Toggle sidebar

Firewall und IP-Spoofing

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
K

Klanda

Benutzer
Registriert
19. Jan. 2012
Beiträge
160
Reaktionspunkte
3
Punkte
18
Hallo,

immer wieder lese ich, dass eine Einschränkung auf ein paar erlaubte externe IP-Adressen durch IP-Spoofing "leicht" ausgehebelt werden kann. Aber warum? Wenn ich wirklich z.B. nur die IP-Adressen eines bestimmten Providers erlaube, woher soll denn ein Angreifer wissen, um welche Provider/IP-Adressen es sich handelt?

Gruß
Klanda
 
In dem er zum Beispiel wenn Du in einem Internet-Café sitzt deinen Verkehr mitlauscht oder aber er probiert es einfach aus. Die Möglichkeiten sind so vielfältig wie es Angriffs-Szenarien gibt. Wichtig ist nur zu wissen, das eine IP gefälscht werden kann und somit keine absolute Sicherheit bietet.

In jedem Fall gilt wie bei allem, öffne nach aussen so wenig wie möglich und wenn doch nötig, dann verwende jeweils die verschlüsselten Varianten oder aber ein VPN.

Gruß Frank
 
Hallo Frank,

ja, eine Man-In-The-Middle wollte ich oben ausschließen - hab's nur vergessen. Also ist es so, wenn man die spezielle erlaube IP nicht kennt, bringt einem IP-Spoofing nichts.
Es ging mir jetzt nicht um absolute Profis, die alles daran setzen auf meine Syno zu kommen, sondern eher um "Script-Kiddies", die bei einem Port-Scan zufällig über sie stolpern --> also wenn jemand meine Syno-IP und erlaubten IP's (Spoofing) nicht kennt, sollte es doch nicht möglich sein, mich aufzuspüren...
 
Das oben genannte Beispiel hat nichts mit Man-in-the-middle zu tun. Möglichkeiten gibt es viele. Falls es dich sehr interessiert würde ich dir einschlägige Bücher zu dem Thema Firewall empfehlen. Hier werden meist die gebräuchlichen Verfahren beschrieben. Deine Fragen kann man nicht einfach beantworten. Hierüber kann man Bücher schreiben.

Prinzipiell ist jeder nach aussen geöffnete Port eine Sicherheitslücke, deshalb muß ich mich hier selbst zitieren.

fpo4711 schrieb:
In jedem Fall gilt wie bei allem, öffne nach aussen so wenig wie möglich und wenn doch nötig, dann verwende jeweils die verschlüsselten Varianten oder aber ein VPN.
Zum Vergrößern anklicken....

Wenn Du zusätzlich zu deinem Router auch noch die Firewall der DS und die automatische Blockierung nutzt, hast Du sicherlich das Maximum des im privaten Bereich möglichen ausgenutzt.

Gruß Frank
 
Ja, ist keine Man-In-The-Middle - Attacke. Wollte damit nur sagen, dass ich solche Angriffe jetzt nicht dazuzähle, denn ich verwende keine fremden WLAN's oder dergleichen und bin per VPN mit dem Server verbunden. Mir ging es wirklich um normale Portscanns die tausendfach durchführt werden.

Im Prinzip hab ich nur den 443 und OpenVPN Port offen. Und die beiden habe ich nun bis auf wenige IP's eingeschränkt. Ein "normaler"? Portscanner findet die jetzt nicht mehr.

Was wären denn nun so einschlägige Firewallbücher?

Gruß
Klanda
 
Klanda schrieb:
die bei einem Port-Scan zufällig über sie stolpern --> also wenn jemand meine Syno-IP und erlaubten IP's (Spoofing) nicht kennt, sollte es doch nicht möglich sein, mich aufzuspüren...
Zum Vergrößern anklicken....
also IP-Spoofing ist nicht ganz so einfach v.a. bei TCP basierten Protokollen nicht. Das liegt bei TCP daran, dass man die Antworten des Servers (SYN/ACK) auf sich umbiegen können muss. Wenn man die Antworten nicht erhält kommt auch die TCP Verbindung nicht zu stande. Ich würde daher sagen bei TCP muss du keine Angst vor ScriptKiddies haben. Anders schaut es bei UDP aus. Weil es dort keine Antwortpakete seitens des TCP/IP Protokolls gibt ist Spoofing deutlich einfacher als bei TCP
 
Danke für die Erklärung

Da ich mich nun durch die Diskussion etwas mehr mit Firewalls beschäftigen möchte...
Was haltet Ihr von einer Manowall/pfSense Lösung (hab mir jetzt nur mal die Grundlagen angeschaut)? Bringt sowas noch einen ordentlichen Schub an "Sicherheit"?
Ich meine, jetzt kann ich bei meinem Router sehen, von welcher mit welcher IP jemand versucht hat sich mit meinen 443-Port zu verbinden und die DS-Firewall blockt dann die IP. Ich habe jedoch bei der DS-Firewall kein Log, wo ich sehe, was genau angesprochen wurde (Mail Station, Owncloud,... - verwenden alle den 443 Port) bzw. kann ich Angreifer nicht gleich direkt am Router blocken. Mit den oben genannten Firewalls sollte das dann doch möglich sein (neben anderen Vorteilen, die ich noch nicht kenne)?
 
nur der Server kann wissen welcher Service "angegriffen" wurde. Für den Router sind das alles dieselben Zugriffe auf Port 443. Du kannst am Router also nicht einen User sperren, sondern nur eine IP welche auf einen bestimmten Port zugreifen will. Grundsätzlich macht es durchaus Sinn der "Angreifer" möglichst früh also auf dem Router zu blocken
 
jahlives schrieb:
nur der Server kann wissen welcher Service "angegriffen" wurde. Für den Router sind das alles dieselben Zugriffe auf Port 443.
Zum Vergrößern anklicken....
Wieder mal vorm Schreiben nicht ordentlich nachgedacht - hab das oben eh selber geschrieben ;)

Hab jetzt mal schnell gesucht und nicht wirklich was gefunden, aber gibt es wirklich nirgendwo ein LogFile der Firewall?
 
Zuletzt bearbeitet:
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten