07. februar 2004 - 10:43Der er
7 kommentarer og 1 løsning
Hackerangreb - logfiler
Hejsa,
Jeg har for nyligt købt- og opsat en hardware firewall på mit lille netværk.
Mit netværk består af 2 pc'er og en webserver. Før firewallen (ud til nettet) har jeg en router sat op, der "stealther" alle porte undtagen de porte der er nødvendige for web, ftp, mail osv.
Selve routeren forwarder så traffik på disse porte til firewallen, der igen forwarder traffik til serveren og det er på denne at den egentlige filtrering sker (firewallen).
Jeg er ikke just den største sikkerheds-specialist og det er så her mit spørgsmål kommer :-) Jeg modtager jævnligt logs og "alerts" via email fra min firewall, kan ses herunder:
Sat, 02/07/2004 00:48:17 - TCP connection dropped - Source:212.116.155.3, 4747, WAN - Destination:10.0.0.2, 80, LAN - 'Code-Red' End of Log ----------
Portnummeret varierer i de forskellige logs, men ip-adressen er den samme for i dag i hvert fald.
Er der evt. nogen der kan komme med et konkret bud på hvad der er sket her? I dag har jeg modtaget 30 af disse emails (ret unormalt i forhold til andre dage) og det kan jo godt tyde på at en person virkelig har VILLET have adgang til mit LAN. Altså, at der ikke bare er tale om et tilfældigt/sporadisk angreb.
Et lidt andet spørgsmål. Jeg har installeret software firewalls på maskinerne på netværket - dette for at supplere hardware firewallen. Jeg kan forstå at en hardware firewall filtrerer traffik udefra og ind på netværket, men hvis hackeren først er kommet ind kan denne jo råde over computeren som han vil og dermed skabe forbindelse udefra og ind på netværket. Nogen der kan fortælle om dette er en god måde at gøre det på, eller om der er en bedre måde?
Mon det er slik at denne personen i Bulgaria bare forsøker å komme inn på web serveren din. Source port er vel sånn sett ikke så mye å legge vekt på. Det viktigste er vel destignation port, og her står det da 80 som er web server.
Det var da ellers litt pussig at det står destignation ip 10.0.0.2 port 80 på en droppet pakke. Den kan jo ikke ha blitt sendt fra Bulgaria, for 10.0.0.2 er en lokal pakke som ikke kan reise via internett med denne adressen. Du har ikke feilkonfigurert hardware firewallen ? IP pakker som dnattes eller videresendes inn på lan via firewalls skal da normalt ikke droppes ?!
En annen teoretisk mulighet det er at det er noen som står utenfor stuedøren eller som sitter i naboleiligheten eller naborommet slik at både avsender og mottaker ip er forfalsket, dvs spoofet.
Ellers .. helt generelt. Prinsippet med å kombinere først en hardware firewall og en software firewall på workstaiton og server, den er bra synes jeg. Det er alltid mulig å feilkonfigurere og da er det greit å ha en bariere no 2.
Desuten software firewalls gir ofte beskjed om irregulær trafikk ut slik at man kan ha en viss kontroll på ormer og trojanere som eventuelt forsøker å sette opp irregulær trafikk ut.
Bruker man lokale ip adresser for eksempel 10.0.0.x inne på Lan så må jo selve firewall routeren eventuelt erobres for å kunne brukes til videre angrep, med mindre man selv har satt opp portforwardinger som kan brukes til angrep eller, dersom dette har blitt gjort i en erobret firewall router. Man bør av den grunn ikke sette opp firewall/router med mulighet for fjernpålogging utenfra. Det vil eventuelt kunne gjøre den sårbar for "bruteforce angrep" (automatisk gjetting av passord) og buffer overflow angrep (påloggingsbuffer.)
Glemte visst å nevne en ting .. det er destignation portnumber, i dette tilfellet 80, dvs webserver som er det kritiske. Avsender portnummer kan jo være det det ene eller det andre uten at det spiller den store rolle.
"Source:212.116.155.3, 4747, WAN - Destination:10.0.0.2, 80,"
Her står det vel bare at en ip i bulgaria med avsender port 4747 sender en ip pakke til din adresse 10.0.0.2 port 80. Akkurat dette med ip numret er litt pussig, for det skulle være umulig. Sansynlig vis så må det dreie seg om en ip som har blitt redirected på din firewall gateway. Da skulle den på den annen side ikke normalt ha blitt droppet, med mindre du har formulert en firewall rule: ingen pakker fra denne ip i Bulgaria.
Det kunne teoretisk også dreie seg om en "practical joke" eller lokal spoofing, men det er vel ikke videre sansynlig ?
Synes godt om
Slettet bruger
08. februar 2004 - 14:10#4
Tak for svaret! Altså jeg hæftede mig nu mest ved at jeg samme dag modtog over 30 "alert emails" fra firewallen med 'Code-Red' :-) Normalt når nogen kommer ind på mine sider får jeg jo ikke en email hvor der står alert i subject feltet.
Nej webserveren har ikke 10.0.0.2, det er firewallen, der står bag routeren. Denne forwarder så traffik til webserevern på de porte der er tilladt.
Er det normal kotume at en klient forsøger at connecte til en webserver på så mange forskellige porte? For mig virker det lidt underligt at denne ikke bare benytter port 80, som jo er standardporten... Mange af de beskrevne porte havde jeg ikke engang nogen anelse om hvad man bruger til.
"det er destignation portnumber, i dette tilfellet 80, dvs webserver som er det kritiske. Avsender portnummer kan jo være det det ene eller det andre uten at det spiller den store rolle.
"Source:212.116.155.3, 4747, WAN - Destination:10.0.0.2, 80,""
Ja, det har du ret i, men igen. Det lugter lidt at personen har forsøgt sig på port 4747. Hvad bruges denne port egentlig til?
Local spoofing. Jeg tror det ikke. Vi har som sagt kun 3 maskiner internt og min kæreste ved som jeg selv ikke hvad dette betyder :-) Hun har næppe forsøgt sig med en joke af denne kaliber...
Men ok. Alt i alt er problemet vel ikke større end som så. Så længe jeg modtager advarsler om at der har været angreb og at disse er "dropped" betyder det vel egentlig at opsætningen virker som den skal. Jeg ville bare høre om andres mening om dette, da jeg ikke normalt (før jeg fik firewall) modtog den slags meddelelser, men der kan jo sagtens have været angreb alligevel.
"Ja, det har du ret i, men igen. Det lugter lidt at personen har forsøgt sig på port 4747. Hvad bruges denne port egentlig til?"
Men har han det da ? Det er jo normalt at en ip pakke har en avsender og en mottaker port. Vanlig vis så vil disse portnummerene være forskjellige. Om den har avsender ip 4747 eller hva som helst spiller vel ingen rolle ?
Ellers ved en portscan så vil man jo kunne få en request på en serie av mange tusen forskjellige portnummere i løpet av en kort tid.
Så du bruker først en hardware firewall og så en router, altså et slags dobbelt firewall router oppsett. Dette forklarer jo adresseringen til IP 10.0.0.2
Tror du har et ganske bra sikkerhetsoppsett og at det hele fungerer slik som det skal.
Synes godt om
Slettet bruger
08. februar 2004 - 15:23#6
Det glæder mig at min opsætning umiddelbart ser "sikker ud". Jeg ved godt at det er svært at bedømme ud fra en kort beskrivelse og det afhænger selvfølgelig meget af hvilke services osv., der stilles til rådighed for brugerne.
"Men har han det da ? Det er jo normalt at en ip pakke har en avsender og en mottaker port. Vanlig vis så vil disse portnummerene være forskjellige. Om den har avsender ip 4747 eller hva som helst spiller vel ingen rolle ? ".
Jeg troede at hvis man lavede en request på en hjemmeside, ville browseren altid tage port 80?!?
"Ellers ved en portscan så vil man jo kunne få en request på en serie av mange tusen forskjellige portnummere i løpet av en kort tid. ".
Jeg har tidligere modtaget emails fra firewallen hvor der står "possible portscan", men i det tilfælde jeg beskriver her, stod der i alle mails, "connection dropped" og "code-red".
Tyder altså på at det har været mere omfattende end en postscanning... Også at jeg modtager så mange emails på samme dag tyder på at der har været et decideret angreb, der måske har været målrettet mod netop vores netværk.
Synes godt om
Slettet bruger
08. februar 2004 - 15:25#7
Ved nærmere eftersyn af den seneste log-fil kan jeg godt se at brugerne har forespurgt fra forskellige porte. Hvilket jo udelukker min første tanke om at browseren altid benytter port 80 :-)
Enhver tcp ip pakke inneholder 2 ip adresser og 2 portnummere, avsender og mottaker.
Det finnes et lite meget enkelt gratis program som lar deg monitore trafikken til og fra PC. Det heter vel noe slikt som tcpview. Da kan man jo se nærmere på ip adresser og portnummere.
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
