Quantcast
Aktuelles
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

PC & Internet Internet-Scanner – Jeder ist betroffen

Wussten Sie, dass Ihr Router, Ihr Smartphone und Ihre anderen Geräte, die über das Internet erreichbar sind, mehrmals am Tag gescannt und somit auf verräterische Zertifikate, Passwörter und Schwachstellen untersucht werden?

Du musst Regestriert sein, um das angehängte Bild zusehen.


Wussten Sie, dass möglicherweise Ihr VPN, Ihr NAS, Ihre Webcam, Ihr VoIP-Telefon, Ihr Smart-TV, Ihre Heizungsanlage oder Ihre anderen Geräte mit Internet-Anbindung in einer großen Datenbank stehen, auf die jeder Zugriff hat?


Shodan.io
Du musst angemeldet sein, um Bilder zu sehen.


Das Sammeln betrifft nicht nur die kleinen Geräte des Haushalts, sondern ebenso größere Dinge wie Ampeln, Solarkollektoren, Windräder, bis hin zu Trinkwasseranlagen, Stromnetzen und Kernkraftwerken.

Websurfer werden überrascht sein, was man bei shodan.io alles finden kann. Die Betreiber der Internet-Scanner sehen sich als Wohltäter der Menschheit, doch es sind zahlreiche Fälle belegt, in denen sich Kriminelle dort lohnende Ziele, sowie deren technische Details und Passwörter für elektronische Raubzüge besorgt haben.

Den meisten Menschen ist das allerdings völlig egal, da es sich außerhalb ihres Wahrnehmungs- und Erfahrungshorizonts befindet. Das ist wie eine Vorlage für das perfekte Verbrechen, denn die Opfer bemerken es nicht einmal. Aber Dummheit, Faulheit und Unwissenheit werden im Internet gnadenlos bestraft: z.B. durch insecam.org, eine große Sammlung ungesicherter privater Webcams (wir berichteten bereits darüber und fragten bei den Betreibern nach einem Statement).

Heimlich & Co
Du musst angemeldet sein, um Bilder zu sehen.

Dann gibt es noch die weniger auffälligen Datensammler, die aber mit gleicher Hingabe alle weltweit erreichbaren Internetanschlüsse auf verwertbares Material absuchen.

Allen voran die NSA mit ihrem verlängerten Arm shadowserver.org und dem lesenswerten Leistungsspektrum. Deren Spionage-Leitungen lassen sich bis nach Salt Lake City zum Utah Data Center der NSA zurückverfolgen. Das ist der größte Datenspeicher der Welt, der mittlerweile pro Minute den Inhalt der größten Bibliothek der Welt aufnehmen und verarbeiten kann. Und den Platz braucht es auch für die Milliarden von überwachten Objekten.

Viele Universitäten sind ebenfalls bei den staatlichen Überwachungsprogrammen eingebunden, die mehrmals täglich die Anschlüsse des kompletten Internets abgrasen. Hier eine unvollständige Liste:

Shadowserver NSA scanner: shadowserver.org

Berkeley University research scanning: 169.229.3.91

Cambridge Cybercrime Centre Internet scanner: 128.232.21.75

Michigan University research scanning: 141.212.122.33

Pennsylvania University research scanning: 158.130.6.191

Rapid7 Sonar @ Michigan University: 34.234.1.51

RWTH Aachen University research scanner: 137.226.113.7

Durch deren Schnüffelei kann es sogar zu Problemen in Computern kommen, wie Heise.de berichtet.

Neben den verbündeten Freunden kommen auch die Russen gerne zu Besuch, um fremde Geräte in fernen Ländern kennenzulernen. Doch zahlenmäßig an erster Stelle sind die Internet-Scpanner aus China – wobei man sich wundern muss, wie es die vielen Chinesen durch die Zensur der Großen Firewall nach draußen schaffen, nur um sich hier die Datenleitungen von innen anzusehen.

Solche Dinge erfährt man aber nur, wenn man sich die Mühe macht, Zugriffe auf die heimischen Geräte zu erfassen und auszuwerten. Allerdings ist von solchen Selbstversuchen abzuraten, denn das Speichern und Auswerten der IP-Nummern von virtuellen Einbrechern verstößt sicherlich gegen irgendwelche Datenschutzbestimmungen.

Was man dagegen tun kann
Die Antwort darauf ist einfach und Menschen aus der Zeit vor dem Internet kennen sie vielleicht noch: die Haustür abschließen.

Zunächst sollte man sich einen Überblick verschaffen, welche Türen daheim unverschlossen sind. Hierzu führt man einen Port-Scan mit der eigenen IP durch. Das ist im Prinzip das gleiche Verfahren, was auch die Schnüffler verwenden. So ein Scan-Vorgang geht mit üblichen Netzwerk-Tools wie Nmap, aber auch online beim Heise-Netzwerkcheck. Die gefundenen offen Ports sollten auf den betroffenen Geräten geschlossen werden. Geräte, die nichts im Internet zu suchen haben, wie Drucker, NAS, Online-Festplatten, private Webcams oder Smart-TV, müssen richtig eingestellt werden. Sie sollten nur innerhalb des heimischen LANs erreichbar sein.

Aus dem Internet erreichbare Geräte und Zugänge wie SSH müssen unbedingt sichere Passwörter bekommen. Auf keinen Fall die Voreinstellungen benutzen oder admin, root, geheim, 12345, usw. auswählen! Solche Standard-Phrasen probieren die Scanner zuerst aus. Und die Software muss selbstverständlich auch durch regelmäßige Sicherheitsupdates auf den aktuellen Stand gebracht werden.

Netzwerk-Spanner aussperren
Der schwierigste Schritt ist das Aussperren unerwünschter Besucher. Dazu müssen deren IP-Nummern bekannt sein, was nicht immer ganz einfach zu ermitteln ist. Man kann hierzu einfach alle Zugriffe aufzeichnen und so die ungebetenen Gäste identifizieren. Das dauert etwas, aber führt zum Ziel. Eine kostenlose und vollständige Datenquelle über IP-Bereiche findet man bei MaxMind als Download. Dort sind auch weitere hilfreiche Datenbanken erhältlich.

Die gefundenen IP-Nummern kommen anschließend auf eine Sperrliste, mit deren Hilfe der Computer den Zugriff verweigert. Hier ist als Grundausstattung die Liste unerwünschter IP-Bereiche der oben genannten Scanner:

# Shodan.io scanner
66.240.0.0/16
82.221.96.0/19
85.25.0.0/16
93.120.27.0/24
71.6.0.0/16
185.163.108.0/23
188.138.0.0/20
198.20.0.0/16
209.126.110.0/23
216.117.0.0/21
# Shadowserver scanner
74.82.44.0/22
184.104.0.0/15
216.218.206.0/24
# Berkeley University research scanning
169.224.0.0/13
169.232.0.0/14
# Cambridge Cybercrime Centre Internet scanner
128.232.0.0/16
# Michigan University research scanning
141.212.0.0/15
# Pennsylvania University research scanning
158.130.0.0/16
# Rapid7 Sonar @ Michigan University
71.6.128.0/19
216.98.128.0/19
# RWTH Aachen University research scanning
137.226.0.0/16
Die IP-Bereiche umfassen großzügig den gesamten Subnetz-Block und sind bereits in ein fertiges Tarnkappe-Script eingetragen, das man hier herunterladen kann: block-incoming-ip.sh.gz

Das Script ist mit gzip gepackt und läuft unter Linux. Es wird entpackt, passend umbenannt und ausführbar gemacht. Nach jedem Booten und ebenso bei jeder Änderung der IP-Listen wird es aufgerufen. Es erlaubt alle lokalen Verbindungen im LAN und sperrt unerwünschte IP-Bereiche aus, die sich im Blacklist-Feld befinden.

Die obigen IP-Bereiche sind dort bereits eingetragen. Ebenso die kompletten deutschen Behörden einschließlich Geheimdiensten, sowie deren Untermieter, wie etwa ein Subnetz der CIA, das wohl vom Frankfurter DE-CIX-Knoten über Göttingen in Richtung Harz zu führen scheint. Und in die Gegenrichtung, nach USA / Virginia / Fremont-Langley. Aber das ist eine andere Geschichte.

Wird das Tarnkappe-Script aufgerufen, dann bekommt das Betriebssystems eine Liste an IP-Bereichen mitgeteilt, anhand derer es bereits in der Netzwerkkarte entscheidet, ob eine Verbindung angenommen oder abgewiesen wird. Jeder erstmalige Zugriff einer IP wird geloggt, ebenso jede abgewiesene IP-Nummer. Log-Zeilen mit dem Präfix “IPTables-NewConn:” sind angenommene Verbindungen, die mit dem Präfix “IPTables-Dropped:” wurden verweigert. Auch unvollständige Zugriffe (TLS-Handshakes von Zertifikat-Sniffern) werden erfasst. Hingegen sind IPs aus dem Whitelist-Feld immer erlaubt und werden nicht aufgezeichnet.

Ungebetene Besucher können in den Logs unter /var/log/messages, /var/log/syslog o.ä. gefunden werden (der Dateiname ist von der Systemkonfiguration abhängig). Anschließend können die unerwünschten IP-Bereiche über ein Network-Whois identifiziert werden und kommen in die Blacklist. Dann wird das Script erneut aufgerufen. Die gesperrten IPs werden zukünftig abgewiesen. Der Computer reagiert nicht mehr auf Verbindungsversuche und liefert auch keine Fehlermeldung an die Besucher zurück (DROP-Modus).

“Billig-IoT” und unsichere Hardware, die sich nicht sauber konfigurieren lässt, kann man notfalls per Reverse-Proxy über einen Webserver auf HTTPS und einen höheren Port tunneln und mit einem sicheren Passwort schützen. Auf diese Weise können auch Problemgeräte den Scannern entzogen werden.

Quelle; tarnkappe
 

Anhänge

Du musst angemeldet sein, um die Anhangsliste zu sehen.
Kopiert man diese Adressen in die Hots datei, im "C:\Windows\System32\drivers\etc" Ordner?
 
Verstehe das mit deinen code nicht. Nutze AVM Fritzbox Firewall. Über die Hosts Datei kann man doch auch blocken, nur ob es da so korrekt ist das da hinzukopieren war die Frage.
 
Nein über die Hosts Datei kannst du Anfragen von außen nicht blocken.

-supraracer
 
Eine Länder sperre auf Viertnam, USA, Frankreich reduziert auch schon die Angriffe.

Bei einem NAS, zum Beispiel Synology kann man auch Ländersperren einfügen.
Viertnam, USA, Frankreich... da ist dann das Meiste raus an Schnüfflern.

Systemsteuerung, Sicherheit, Firewall, Regeln bearbeiten, erstellen....
 
Zuletzt bearbeitet:
Ich denke da brauchst du sowas wie Freetz und dann kannst du Paketfilter wie iptables nachinstallieren.

-supraracer
 
...
Ok. Wie kann ich dann mit der Fritzbox (meiner Firewall) diese Anfragen blocken?
...

Hi,
die Funktion heisst "Firewall im Stealth Mode", Zitat: "Die FRITZ!Box-Firewall verwirft im Stealth-Modus unangeforderte Anfragen aus dem Internet, anstatt mit ICMP-Kontrollnachrichten zu antworten. Von Programmen oft benötigte Anfragen werden weiterhin beantwortet. Aktivieren Sie diese Option dann, wenn Sie die Identifikation Ihrer FRITZ!Box gegenüber Portscans erschweren wollen." Zitat Ende
Dieses findest du unter Internet/Filter/Listen "Globale Filtereinstellungen", bei aktivierter Ansicht:Erweitert ganz sicher.
Zumindest ist das bei meiner 6350 so, und wahrscheinlich bei allen anderen so oder ähnlich.

Wenn das nicht reicht, dann freetz die Box wie @supraracer geschrieben hat.


LG

/edit/
Und unter dem Reiter "Diagnose" bei "Sicherheit" kannst du sehen, was die Box aktuell an Einstellungen hat, und was offen ist...
 
Zuletzt bearbeitet:
Das ist nicht das Selbe, denn im "Stealth Mode" kommen trotzdem noch Antworten auf den offenen Ports.
Genau darum geht es doch, man will offene Ports vor den bekannten Netzwerkscannern verstecken, deshalb blockt man die bekannten Netzbereiche.

-supraracer
 
Mal eine Frage,
bei meinem alten Netgear DG834 GTB hatte ich ein Tool, um Portscans (mit entsprechender IP des Angreifers) anzeigen zu lassen.
Bei meiner neuen Fritz 7580 gibt es eine solche Log-Funktion leider nicht mehr.

Gibt es eine Möglichkeit, die (ständigen weltweiten) Portscans auch mit der Fritz anzeigen zu lassen?
Ist das realisierbar?

Grüße
Hardy009
 
Zurück
Oben