Unitymedia Welche Risiken bzgl. Hacker-Angriffe gibt es

[Cpt.Hardy]

Hätte mal eine Frage an die Internet Experten:

Wir sind mit unserem Modem und angeschlossenem Router ja permanet online. Im Router habe ich für L-WAN WEP mit 128Bit verschlüsselung eingeschaltet und Ping ausgeschaltet. Trotzdem zeigt mir der D-Link unter Status - NAT-Status dies hier an:


Aktive Sitzungen
Der aktuelle Status der aktiven NAT-Sitzungen auf dem DI-524 wird angezeigt.


Seite 1/2
Intern Prot. Extern NAT Auszeit
192.168.2.9:2628 TCP 213.203.217.106:80 62669 3176
192.168.2.13:1699 UDP 80.69.98.110:53 62895 259
192.168.2.13:1452 UDP 80.69.98.110:53 63129 287
192.168.2.9:4499 TCP 213.203.217.106:80 63137 3476
192.168.2.9:1230 UDP 80.69.98.110:53 63157 275
192.168.2.9:1108 TCP 213.198.47.119:80 63177 1
192.168.2.9:1076 TCP 213.198.47.119:80 63181 1
192.168.2.9:1118 TCP 217.160.110.229:80 63185 1
192.168.2.9:1117 TCP 209.85.137.164:80 63189 1
192.168.2.9:1116 TCP 209.85.137.164:80 63191 1
192.168.2.9:1115 TCP 213.198.47.119:80 63193 1
192.168.2.13:3373 TCP 213.254.229.145:80 63197 3588
192.168.2.9:1223 TCP 209.85.135.103:80 63199 3590
192.168.2.13:3372 TCP 213.254.229.145:80 63205 3588
192.168.2.9:1120 TCP 87.230.8.234:80 63217 1
192.168.2.9:1172 TCP 209.160.73.101:80 63219 21
192.168.2.13:3357 TCP 209.85.135.147:80 63221 54
192.168.2.13:3358 TCP 89.107.66.221:80 63223 3590
192.168.2.13:3359 TCP 89.107.66.221:80 63225 60
192.168.2.13:3360 TCP 89.107.66.221:80 63227 3590

was bedeuten diese Externen Sitzungen? Sind das irgendwelche Hacker?
Sieht das bei Euch auch so aus?

Danke für Aufklärung

 

[Grothesk]

Nö, sieht bei mit komplett anders aus:

netstat
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 192.168.1.2:58485 xxxxxxxxxxxxx:ircd ESTABLISHED
tcp 0 0 192.168.1.2:56856 XXXXXX.XXXXX:imaps ESTABLISHED
tcp 0 0 192.168.1.2:58869 XXXXXXXXXXXX:XXXX ESTABLISHED
tcp 0 0 192.168.1.2:50306 XXXXXXXXXXXX:imaps ESTABLISHED

Hier gehen nur vier Verbindungen raus, und da weiß ich auch, warum die rausgehen. Könnte aber durchaus am Betriebssystem liegen.

 

[Cpt.Hardy]

wieso rausgehen, bedeutet extern NAT-Status das man diese IP aufruft? Ich dachte, daß ist eine externe IP die versucht, auf meinen Router zu kommen (Hacker-Angriff)???

 

[sauger345]

das sind deine verbindungen...

wenn du eine seite öffnest erscheint dort eine anfrage. Sieht man ja am Routing.

Ein Hacking ist über einen Router von AUßEN so gut wie ausgeschlossen. Wenn du einen Virus hast, der eine verbindung öffnet solltest du dir sorgen machen. Wenn du keinen Virus hast ist das nicht bedenklich.

Übrigens egal welcher Virenscanner aktiv ist, egal ob bezahlt oder nicht. Es werden nur 50% der viren erkannt. Denn der scanner muss sie ja kennen.

 

[Cpt.Hardy]

puh, da bin ich beruhigt, vielen Dank für die schnelle Hilfe.

Vielleicht habt ihr auch noch eine Antwort auf diese Frage:

Am D-Link hängt ein FTP-Server, ich kann aber vom WAN nur darauf zugreifen, wenn ich seine IP in die DMZ eintrage. Dadurch wird ja jeglicher Zugriff von außen gestattet

Durch diese Maßnahme komme ich unter Eingabe solch einer Internetadresse:

http://meinname.homeftp.org

in das Setup des FTP-Servers. Das macht nicht so viel Sinn.

Statt dessen möchte ich vom WAN aus mit dem HTTP-Aufruf auf einen anderen Server (Drucker und Web-Cam) kommen, der auch am DLink parallel zum o.g. FTP-Server hängt.

Hab mich hoffentlich einigermßen verständlich ausgedückt. Ist alles Neuland für mich.

Besten Dank
Hardy

 

[Moses]

Dazu hab ich schonmal recht viel geschrieben (ob eMule, FTP, HTTP Server ist alles ähnlich, auch der Router ist relativ egal, nur die Bezeichnungen und Optionen werden sich was unterschieden), falls dich das ganze ausführlich interessiert, dann les mal hier: http://www.unitymediaforum.de/viewtopic.php?f=10&t=2181&st=0&sk=t&sd=a&start=10#p12554

Ansonsten die Kurzanleitung:
Dem Rechner mit dem FTP Server eine feste IP geben, z.B. 192.168.2.50 (nach deinem Log einfach eine IP aus deinem Netz genommen) und im Router eine Portweiterleitung des Ports 21 TCP auf diese IP weiterleiten. Von außen kann dann jeder über Port 21 auf diesen Rechner zugreifen. Man könnte sich überlegen, ob man nicht einen Port wie 2100 oder 2121 oder nochwas anderes nimmt, z.B. 4919, was gar nicht an 21 erinnert, dann wird der FTP nicht so oft gesucht und angegriffen. Wenn die Software Lücken hat, ist da ein Einstieg durchaus möglich. Du kannst auch den Server im internen Netz auf Port 21 laufen lassen, aber von außen über einen andere Port erreichbar machen (musst du dann natürlich entsprechend im Router einstellen, meistens geht das).

Für den Rechner mit dem Webserver einfach das gleiche machen, also eine IP geben, z.B. 192.168.2.51 und dann Port 80 auf den weiterleiten. Hier gilt natürlich bei dem Port genau dasselbe. Insbesondere Apache Server sind weit verbreitet und werden daher auch gerne gehackt (keine Software ist sicher, so!). Also am besten einen Port nehmen, wo keiner an einen Webserver denkt... wild auf der Tastatur 5-Ziffern eintippen (maximal 65535).

Ich empfehle das oben zu lesen, wenn ich mich recht erinnere, hab ich da auch erklärt, warum von außen keiner auf dein Netz zugreifen kann und der Router damit schon als Firewall fungiert...

 

[Cpt.Hardy]

Hi Moses,

whow, ist ja ein Mega-thread, werd ich mir gleich durchlesen. Meinst Du mit Portweiterleitung das, was im D-Link als Virtueller Server bezeichnet wird? Dort habe ich bereits eingegeben:

Virtueller Server
Virtuelle Server erlauben Internet-Benutzern den Zugriff auf Dienste im LAN.

Aktiviert
Name FTP-Server
Private IP-Adresse 192.168.2.6
Protokollart TCP
Privater Port 21
Offentlicher Port 21
Zeitplan Immer

Mein FTP Server hat die feste IP in meinem Netz 192.168.2.6
Trotzdem komme ich vom WAN nur auf den Server, wenn ich ihn zusätzlich in der DMZ eintrage. Das sieht so aus:

DMZ (Demilitarisierte Zone): Ein Rechner aus dem LAN ist aus dem Internet direkt erreichbar.
Aktiviert
IP-Adresse 192.168.2.6


An der Stelle kann ich nur eine einzige IP eintragen, somit kommt man völlig unabhängig dovon, ob man
http://meinname.homeftp.org oder
ftp://meinname.homeftp.org

eingibt immer auf diese IP im LAN (192.168.2.6)

Der andere Server mit der IP 192.168.2.4 wird nicht erreicht.

 

[Moses]

Also DMZ ist definitiv nicht möglich. Soweit ich weiß hieß das bei D-Link "Virtueller Server", ja... so müsste das eigentlich reichen.

PS: auf den Server kommt man ja auch Anonym.. tz... das solltest du abschalten. War gerad die DMZ an? Falls nicht, ging es gerade.

 

[Cpt.Hardy]

@Moses:

also alles was ich versuche funktioniert nicht, weder dieser virtuelle Server noch eine Portweiterleitung bei der Firewall. Derzeit einziger Weg ist diese DMZ.

Wie bist Du auf meinen Server gekommen, hab noch nirgends mein Alias von DynDNS oder meine IP gepostet (oder doch)? Jedenfalls hatte ich DMZ verwendet, um den Server freizuschalten.

Was könnte denn passieren, wenn ich auf meinem FTP Server einen öffentlichen Ordner bereitstelle?

Hardwaremaßig handelt es sich um ein NAS mit Samba-Server?
siehe hier...

http://www.tinxi.de/product_info.php?cPath=66&products_id=538

 

[Moses]

Hehe, als Moderator kann ich deine IP einsehen. Die wird natürlich gespeichert, damit hier keiner Blödsinn machen kann und im Falle von Strafverfolgung usw. muss die mittlerweile sogar rausgerückt werden.. also anonym ist man im Forum definitiv schon seit langem nicht mehr. Ich hoffe du bist nicht böse, dass ich die mal kurz für einen Test missbraucht hab.

Also wenn du keinen Schutz über eine Benutzernamen/Passwort Kombination einrichtest, dann kann jeder deine Daten aus diesem Ordner lesen / herunterladen. Wenn du dann ggf. noch Schreibrechte zulässt (hab ich nicht getestet) kann auch jeder Hansel irgendnen Blödsinn bei der hochladen... das kann dann auch schnell strafrechtlich relevant sein oder ein Virus oder sonstiges... du glaubst gar nicht auf was für alberne Sachen die Leute so kommen..

Das NAS ist auch per Windows Freigabe zu erreichen, oder? Dann würde ich von der DMZ definitiv abraten. Selbst wenn du da alles mit Passwort sicherst, sollte man das nicht so machen. Mit einem einzelnen Port muss das funktionieren.

AAAAH... natürlich... FTP... sorry, mein Fehler... ich vergas! Beim FTP gibt es nochwas zu beachten. Die Frage: kommst du auf den FTP selber drauf? Oder funktioniert auch das schon nicht? Die Datenübertragung geht beim FTP über eine eigene Verbindung, wenn die nicht geht, dann musst du den FTP Client in den "Passiv Modus" schalten (der darf dann allerdings auch nicht hinter einem NAT Router sein oder Firewall) oder noch weitere Ports für den Server freigeben und am Server die Ports für die Datenübertragung beschränken (können leider die wenigsten).

Ansonsten hatte ich glaub ich auch mal Probleme mit der Port Weiterleitung, die hat nur funktioniert, wenn ich den Router nochmal von Hand neugestartet hab... ansonsten mal in einem D-Link Forum suchen / gucken.

 

[Grothesk]

So am Rande: Die WEP-'Verschlüsselung' kann man sich in die Haare schmieren. Das ist in wenigen Minuten offen, wenn man es drauf anlegt. Nimm WPA(2), wenn möglich.

 

[Cpt.Hardy]

Hi Moses,

erstmal vielen Dank, daß Du Dich hier so engagierst und mit Rat und Tat zur Seite stehst.

Hier noch ein paar Infos.

Das NAS ist im LAN datürlich durch direkte Eingabe der IP 192.168.2.6 von allen im LAN angeschlossenen PC aus erreichbar. In der Netzwerkumgebung sind entsprechende Verküpfungen gesetzt.

Auf dem NAS gibt es z.Zt. (noch Testphase) drei Ordner, 2 Ordner (read&write) sind mit einem Passwort belegt, der dritte ist der öffentliche (read only) den Du gestern entdeckt hast (hatte natürlich nichts degegen, sind auch keine wichtigen Daten drauf, man kann ja keine Antworten erwarten wenn man das nicht zum Testen einrichtet, oder?).

Solange ich DMZ einschalte, ist das NAS vom WAN aus erreichbar, sowohl vom meinem PC zu hause, als auch hier von der Firma. Das andere läuft noch nicht. Werde heute Abend Deine Vorschläge zu Hause ausprobieren.

Ich habe inzwischen eine etwas genauere Beschreibung meines D-Link DI524 gefunden, siehe

ftp://ftp.dlink.de/di/di-614plus/documentation/DI-614plus_man_de_050311.PDF

Eigentlich haben wir alles richtig gemacht.

 

[sauger345]

ich habe slebst einen ftp am laufen: (ab und zu)

port: 21 zum FTP und:


das hier sind die ports: 20200-21000 (sind um über ftp:// im Firefox und im Explorer drauf zu kommen