Meister-Security

IT-Consulting, Beratung und Training

Kunden Referenzen

oder: Was man auf einer Fritzbox nicht sieht

Auf dieser Seite haben wir, mit freundlicher Genehmigung, Security-Alarme eines Kunden zusammengestellt, dessen Kleinbetrieb an einem Anschluss von 1und1 betrieben wird.
Das interne Netz ist in verschiedene Segmente aufgeteilt. Hier gibt es ein privilegiertes Netz, welches die Geschäftsleitung nutzt. Für die Angestellten gibt es ein unprivilegiertes Netz, welches zwar Zugriff ins Internet hat. Zugriff auf die Personaldatenbanken etc. sind den Angestellten jedoch verwehrt.
Es gibt noch einige weitere Segmente, darunter ein Server-Segment für die Unternehmensdaten und eine DMZ für den Webshop.
Rechts sehen wir eine aktuelle Grafik aus dem Report, welchen wir dem Kunden im wöchentlichen Intervall zusenden.

Die Logfiles analysieren wir regelmäßig, um Angriffe oder bereits bestehende Infektionen zu erkennen.
Aus dem Internet kommt der Hauptanteil der Angriffe. Oft sieht man hier auch die Folgen der Aktionen, die der Vorbesitzer einer IP-Adresse verursacht hat. Diese zeigen sich meist dann, wenn der Provider dem Kunden eine neue IP-Adresse zuweist.
Die Alarme werden aktuell noch optimiert, um Anzahl der False-Positives zu reduzieren. Dabei werden bekannte Vorfälle, welche nicht relevant sind, aus der Alarmierung genommen. Nachfolgend sieht man die Alarme am WAN Interface nach Häufigkeit sortiert:


  55998 ET SCAN NMAP -sS window 1024
   6064 ET SCAN Suspicious inbound to MSSQL port 1433
   3165 ET SCAN Sipvicious Scan
   3121 ET SCAN Sipvicious User-Agent Detected (friendly-scanner)
   1204 ET COMPROMISED Known Compromised or Hostile Host Traffic
   1077 ET DROP Spamhaus DROP Listed Traffic Inbound
    560 PROTOCOL-SNMP public access udp
    560 GPL SNMP public access udp
    462 ET SCAN Suspicious inbound to mySQL port 3306
    412 ET SCAN Suspicious inbound to PostgreSQL port 5432
    321 GPL EXPLOIT ntpdx overflow attempt
    218 ET SCAN Suspicious inbound to Oracle SQL port 1521
    208 GPL RPC portmap listing UDP 111
    148 GPL DNS named version attempt
     99 PROTOCOL-TFTP HP Intelligent Management Center TFTP server MODE remote code execution attempt - RRQ
     94 OS-WINDOWS Microsoft Windows getbulk request attempt
     56 GPL RPC xdmcp info query
     41 ET POLICY DNS Update From External net
     37 ET SCAN Suspicious inbound to mSQL port 4333
     30 ET POLICY possible OnePlus phone data leakage DNS
     27 POLICY-OTHER Netcore/Netis firmware hard-coded backdoor account access attempt
     18 GPL SCAN nmap TCP
     17 ET VOIP Modified Sipvicious Asterisk PBX User-Agent
     11 GPL POLICY PCAnywhere server response
     11 ET DOS Possible NTP DDoS Inbound Frequent Un-Authed MON_LIST Requests IMPL 0x03
     10 ET SCAN Potential VNC Scan 5900-5920
      9 ET TOR Known Tor Relay/Router (Not Exit) Node Traffic
      9 ET TOR Known Tor Exit Node Traffic
      6 ET SCAN HID VertX and Edge door controllers discover
      5 MALWARE-CNC Win.Trojan.ZeroAccess inbound connection
      4 MALWARE-CNC Cobalt Strike DNS beacon outbound TXT record
      3 ET SCAN Potential VNC Scan 5800-5820
      2 null
      2 ET SCAN Potential SSH Scan
      2 ET SCAN NMAP -sS window 2048
      2 ET SCAN NMAP -f -sV
      2 ET SCAN MS Terminal Server Traffic on Non-standard Port
      2 ET DOS Possible SSDP Amplification Scan in Progress
      1 ET SCAN SipCLI VOIP Scan
      1 ET SCAN NMAP -sS window 4096
      1 ET SCAN NMAP -sA (1)
				

Der Kunde betreibt an seinem Anschluss auch eine Fritzbox. Diese bedient die IP-Telefone im Unternehmen. Wenn wir uns die Liste noch einmal genauer anschauen, bemerken wir, dass die Fritzbox einige Angriffe aushalten müsste.
Die SIPVicious tool suite beispielsweise, besteht aus mehreren einzelnen Tools, mit denen sich Passwörter von SIP Accounts erraten lassen. Diese Tools findet man besonders oft. Hat man damit erst einmal Passwörter gefunden, kann ein Angreifer die Telefonnummer übernehmen und Gespräche zu 0900-Servicenummern aufbauen, an denen er meist selbst Gewinn macht.
Auf einer Fritzbox bekommt man leider nicht mit, daß ein entsprechender Anteil der Bandbreite eigentlich für einen Angriff verbraucht wird. Anders als auf einem Intrusion-Detection-System. Falls Angriffe stattgefunden haben, sind diese hier zu sehen:

   3165 ET SCAN Sipvicious Scan
   3121 ET SCAN Sipvicious User-Agent Detected (friendly-scanner)
     17 ET VOIP Modified Sipvicious Asterisk PBX User-Agent
      1 ET SCAN SipCLI VOIP Scan
				

Da wir diese Angriffe bereits auf der vorgelagerten OPNsense-Firewall erkennen, lassen sich diese blockieren und erreichen die Fritzbox somit nicht.
Diese Webseite aktualisieren wir täglich, um ihnen einen Eindruck zu vermitteln, welchen Angriffen auch ihr heimischer DSL-Anschluss ausgesetzt ist.
Für ein kleines Unternehmen sind die Folgen eines erfolgreichen Angriffs sicherlich grösser, sollten interne Daten verloren gehen. Weitaus schlimmer: Die Firmendaten finden sich im Internet wieder und dokumentieren den schlechten Umgang mit sensiblen Informationen.
Damit genau das nicht passiert, ist Netzwerk-Sicherheit kombiniert mit Host-Security und einer gut abgestimmten Backup-Strategie die beste Vorbereitung, einen bevorstehenden Schaden soweit wie möglich in die Zukunft zu verschieben...
... am Besten hunderte von Jahren...