Internet & Routersicherheit

    • Hilfreich

    Internet & Routersicherheit

    Aus gegebenem Anlass gibt es heute eine kleine Übersicht der aktuellen Gefahren - natürlich haben aufmerksame Leser einschlägig bekannter Computerzeitschriften & Magazine bereits davon gelesen und entsprechende Schritte zur Prüfung/Bereinigung durchgeführt. Dennoch darf es gerne in Erinnerung geholt werden und für alle anderen dient es zur Hilfe:


    # NEUSTE #

    BCMUPnP - Botnetzattacke auf eine schon länger bestehende Lücke des UPnP Protokolls. Bei erfolgreichem Zugriff fungiert der betroffene Router als E-Mail Spamquelle. Es sind viele Markenrouter betroffen! ComputerBase Netlab


    GhostDNS - Phishing Angriff automatisiertes Hacking des Admin Passwort (des Routers) und umbiegen der DNS gebenden Config Datei. Heise

    VPNFilter - Malware die den Router und NAS (QNAP und Co) befällt. (immer noch akut) Cisco Talos (englisch) PC-Magazin (inkl. Routerliste)

    LoJax - Malware die bei Kontrolle über den Computer sich ins (U)EFI Bios einnistet und noch weit vor dem Start des Betriebssystem sein Unwesen treibt. T3n


    Grandcab - Ransomeware/Krypto Trojaner der sich als Bewerbung tarnt. Das Bild ist clean. Die ausführbare Datei befindet sich im Anhang als ZIP Datei, sobald geöffnet führt er sich im Hintergrund aus. Dauert dann ca. 20-30 Sekunden und alle Daten sind verschlüsselt - des Hintergrundbild des Windows Computer wird schwarz mit weißer Schrift zur Aufforderung der Zahlung von xx Bitcoin. (im Selbsttest mit einem HP Core i5, 8GB Ram und SSD ausprobiert). Auf Youtube gibt es ein entsprechendes Video eines anderen Benutzers.


    Gerade in letzter Zeit kann man häufig in unserer Software eine vermeidlichen Versuch eines anderen Client sehen der sich als Gateway/Proxy sprich Gegenstelle anbieten möchte.

    :!:Kurz gesagt: Die IP Adressen im Format von 94.xxx.xxx.xxx.xxx (Russland) und 170.xxx.xxx.xxx.xxx (China) sind nicht unsere Freunde.:!:


    Gut dass die das überhaupt anzeigt! Wieso?
    Nun das Ziel des Versuch ist es jeglichen Datenverkehr abzureifen und potentielle Angriffsziele aufzudecken (Botnetz). Natürlich lässt sich nicht ausschließen dass auch finanzielle Interessen dahinter stecken siehe Krypto-Trojaner.

    Was kann ich tun?
    Startet euren Router neu, setzt ihn auf Werkseinstellung zurück.
    Admin Passwort ändern

    WiFi Passphrase ändern
    WPS Knopf ausschalten
    Prüft die Firewall auf eurem Router und falls ausgeschaltet aktiviert diese für IPV4 wie auch IPV6. Schaltet dort die DoS-Erkennung aktiv (DoS-Schutz).
    Schaltet den Ping gegen WAN aus.
    Schaltet den Routerzugang über WAN aus.
    Schaltet UPnP aus.
    Schaltet alle nicht benötigten Module aus (FritzNAS etc.).


    Das macht die Fläche zum Angriff um einiges kleiner. Ebenfalls solltet ihr bei Verdacht die Logfile Aufzeichnung auf "Dropped Packages" aktivieren und beobachten.
    Entsprechende Anschlüsse werden sehr häufig mit sogenannten Distributed Denial of Service Attacken (DDoS) angegriffen.

    Als weitere Instanz: Informiert euch wie lange die IP für euren Anschluss (Kabel & Glas) reserviert ist 24h/3 Tage.... bei DSL sind es 24h. Und schaltet für diese Zeit den Router komplett aus.

    Leider dauern solche Attacken über Tage und Wochen an. Das Potential dass nach dieser Offline-Aktion dann wieder etwas aufkommt ist gegeben - von den Zombiemonstern Zuhause ohne WiFi und Internet mal ganz zu schweigen. :evil:

    Das allerletzte was Ihr tun könnt ist (ohne sich schämen zu müssen) beim Provider die Attacke auf den Anschluss zu melden. Sie haben entsprechende Appliances und Sicherheitshardware die diese Attacken dann nicht mehr zu euch durchdringen lassen sprich abfangen. Leider kann es dann vorkommen dass der eine oder andere Dienst von uns dann ebenfalls unterbunden wird. Hier sind sie eigentlich sehr kooperativ. Entsprechenden Port angeben (man muss nicht genau sagen was für einen Dienst man dort am Laufen hat - ist z.b. privat & verschlüsselt! 8o) und schon sollte der Rest es wieder fliegen.

    Wie macht sich das bemerkbar?
    Hängt von euch und eurem Router ab. Von nicht bemerkbar (potentiell gute bis sehr gute Routerhardware) bis zu stark bemerkbar mit seltsamen LAN Anomalien, WiFi Verbindungsunterbrechnungen (obwohl gute Signalqualität und Stärke) sowie langsames Internet.

    -> Die Anzeichen kommen von der Last der Attacken von außen & Überlastung des Routers dessen Firewall bemüht ist die Pakete zu filtern und abzuwehren (das benötigt sehr viel CPU Rechenpower des Routers).

    Sind nur wir betroffen?
    Nein, alle die einen Internetzugang besitzen sind betroffen. Die Angreifer scannen mit ihren Botnetzen ganze IP Ranges ab, da geht es nicht um persönliche einzelne Anschlüsse.

    Was gilt es im Bezug zum BetaCube?
    Firewall aktivieren, Regeln erstellen und falls vorhanden bei Betrieb von betaCube V3 den StealthMode aktivieren.


    asus router



    Bild: IPV4 und IPV6 Firewall mit empfohlenen Einstellungen bei aktuellen ASUS Routern.


    Quellen:

    Wikipedia (D)DoS Cisco Talos PC-Magazin T3n Sylvana Schreiber Spiegel.de