- Mitglied seit
- 25. Apr 2023
- Beiträge
- 3.168
- Punkte für Reaktionen
- 1.133
- Punkte
- 194
DSM 7.2 Brute Force (again) - Möglichkeit zur Erkennung, über welchen Port der Angriff erfolgt?
- Ersteller afranz
- Erstellt am
Hallo afranz,
Bücher und Hardware zum Thema gibt es bei Amazon: Brute Force (again) - Möglichkeit zur Erkennung, über welchen Port der Angriff erfolgt?
Bücher und Hardware zum Thema gibt es bei Amazon: Brute Force (again) - Möglichkeit zur Erkennung, über welchen Port der Angriff erfolgt?
- Mitglied seit
- 30. Dez 2012
- Beiträge
- 13.633
- Punkte für Reaktionen
- 5.809
- Punkte
- 524
Klar doch, ich hab schon Popcorn geholt 
- Mitglied seit
- 26. Aug 2013
- Beiträge
- 3.474
- Punkte für Reaktionen
- 1.087
- Punkte
- 194
Die Pentesting-Tools sind aber intelligenter. Die Tools kriegen auch mit abweichenden Port mit, dass hinter dem Port XYZ ein Synology-Dienst steckt.
Und ob das nun Synology ist oder ein anderer, ist hier auch scheiß egal. Die Tools haben eine Datenbank mit URLs (Unterordner & Pfade), die abgeklappert werden. Diese werden bruteforceartig mit dem offenen Port einfach durchgegangen.
domain.tld:4711/login1 geht nicht
domain.tld:4711/login2 geht nicht
domain.tld::4711/loginXYZ geht
Hier wird es noch anfassbarer:
https://www.synology-forum.de/threa...ssh-auf-synology-blockiert.120154/post-994922
und hier fängt dann der eigentliche Bruteforce / bzw. die Dictionary-Attack an.
Selbst, wenn der betroffene Service nicht bekannt ist, können die Tools auch Login und Passwortelder aus dem Quelltext parsen und daraus einen Bruteforce generieren.
Insofern ist das absolut scheintrügerisch, wenn man denkt, dass man durch die Änderung des Ports sicherer ist. Das ist wohl noch eher ein Relikt aus alten Tagen, wo die Hackingtools noch nicht so weit waren.
- Mitglied seit
- 25. Nov 2022
- Beiträge
- 4.097
- Punkte für Reaktionen
- 2.152
- Punkte
- 289
Klar doch, ich hab schon Popcorn geholt
Hol ne große Tüte und bring mir bitte eine mit.
Es ist draußen naß, kalt und das Wochenende steht vor der Tür. Das wird ein langes Thema und manche werden die Reibung bald als Nestwärme empfinden.
- Mitglied seit
- 09. Nov 2016
- Beiträge
- 4.093
- Punkte für Reaktionen
- 570
- Punkte
- 194
Also es ist grundlegend falsch zu behaupten, das Portmapping nichts bringt. Bei 90% aller Scans werden nur die well known ports abgeklappert.
Erst wenn sich ein Hacker eine IP genauer vornimmt werden zeitraubendere Scans durchgeführt und da hilft port mapping natürlich nicht mehr.
Die wie ich weiter oben schon geschrieben habe einfachste und zielführenste Methode ist die Nutzung des reverseproxy, wenn VPN warum auch immer nicht möglich ist.
Diese ganz Diskussion scheint aber nur auf dem simplen Problem zu beruhen, dass der TE seine Firewall nicht sauber konfiguriert hat. Da sollte man zuerst mal nachbessern.
Als letztes würde mich immer noch der Grund interessieren welche Dienste erforderlich sind um Nutzern Zugang zum DSM zu gewähren und das auch noch via HTTP. Vom TE hört man ja nichts mehr, da rattern wohl inzwischen die Gehirnzellen..........
Erst wenn sich ein Hacker eine IP genauer vornimmt werden zeitraubendere Scans durchgeführt und da hilft port mapping natürlich nicht mehr.
Die wie ich weiter oben schon geschrieben habe einfachste und zielführenste Methode ist die Nutzung des reverseproxy, wenn VPN warum auch immer nicht möglich ist.
Diese ganz Diskussion scheint aber nur auf dem simplen Problem zu beruhen, dass der TE seine Firewall nicht sauber konfiguriert hat. Da sollte man zuerst mal nachbessern.
Als letztes würde mich immer noch der Grund interessieren welche Dienste erforderlich sind um Nutzern Zugang zum DSM zu gewähren und das auch noch via HTTP. Vom TE hört man ja nichts mehr, da rattern wohl inzwischen die Gehirnzellen..........
- Mitglied seit
- 25. Nov 2022
- Beiträge
- 4.097
- Punkte für Reaktionen
- 2.152
- Punkte
- 289
Wurde alles schon 5x nachgefragt…
Es ist grundlegend falsch zu behaupten, dass es was bringt. Es ist dem Bot einfach egal…
Belege es bitte technisch und nicht mit der Aussage „Standard-Port“.
Es ist grundlegend falsch zu behaupten, dass es was bringt. Es ist dem Bot einfach egal…
Belege es bitte technisch und nicht mit der Aussage „Standard-Port“.
- Mitglied seit
- 04. Jul 2021
- Beiträge
- 1.692
- Punkte für Reaktionen
- 617
- Punkte
- 134
Es geht ganz einfach um Effektivität.Solange ich kein bestimmtes Ziel habe programmiere ich mein Portscanner darauf eine möglichst grosse Zahl an möglichen potenziellen Opfern zu finden, dazu teste ich eine IP auf die üblichen Ports, wenn ich nix finde geht's weiter zur nächsten IP.
Da macht es schon ein Unterschied ob ich in 1h 60 mögliche Kunden habe oder nur 3. 65535 Ports pro Adresse durchzutesten kostet nunmal immer noch etwas Zeit.Desweiteren kann ich von ausgehen wenn ich eine IP gefunden hab wo ein Dienst auf ein Standardport läuft das mein zukünftiger Kunde zu 80 Prozent nicht so der IT-Fachmann ist.Warum soll ich mir also die Arbeit (bzw mein Zusatzeinkommen) unnötig erschweren ? Anders sieht's natürlich aus wenn ich aus welchen Gründen auch immer genau an diese IP will.
Da macht es schon ein Unterschied ob ich in 1h 60 mögliche Kunden habe oder nur 3. 65535 Ports pro Adresse durchzutesten kostet nunmal immer noch etwas Zeit.Desweiteren kann ich von ausgehen wenn ich eine IP gefunden hab wo ein Dienst auf ein Standardport läuft das mein zukünftiger Kunde zu 80 Prozent nicht so der IT-Fachmann ist.Warum soll ich mir also die Arbeit (bzw mein Zusatzeinkommen) unnötig erschweren ? Anders sieht's natürlich aus wenn ich aus welchen Gründen auch immer genau an diese IP will.
- Mitglied seit
- 09. Nov 2016
- Beiträge
- 4.093
- Punkte für Reaktionen
- 570
- Punkte
- 194
So isses! Genau so verlaufen ca 90% aller IP-Checks Denen geht es darum DAUs zu finden, die ihr System unzufreichend oder mangels besserem Wissens falsch oder gar nicht abgesichert haben.
Der Aufwand in ein besser abgesichertes System einzudringen ist Hackern inzischen viel zu aufwändig. Statt dessen nutzt man Trojaner, die die Türen öffnen.
@maxblank: Troll? Soetwas kann man nicht technisch belegen sondern nur statistisch erfassen und da gibt es einige Quellen, die solche Informationen liefern. Würdest du dich mit der Materie selbst auseinander setzen kannst du das prima mit Wireshark machen und du wirst dich wundern wie oft deine öffentliche IP einem Scan der well known ports unterliegt. Deine Firewall meldet das erst gar nicht weil ja nur das Vorhanensein der Ports abgeklopft wird und kein Anmeldeversuch erfolgt.
Kann man prima testen, indem man mit einem Penetrationtester die eigene IP scant. Sollte eigentlich ein normales Handwerkszeug sein eines jeden, der sich mit IT-Sicherheit beschäftigt, aber ist natürlich nichts für Leute mit einem gefährlichem Halbwissen. Wozu du dich zählst keine Ahnung.
Der Aufwand in ein besser abgesichertes System einzudringen ist Hackern inzischen viel zu aufwändig. Statt dessen nutzt man Trojaner, die die Türen öffnen.
@maxblank: Troll? Soetwas kann man nicht technisch belegen sondern nur statistisch erfassen und da gibt es einige Quellen, die solche Informationen liefern. Würdest du dich mit der Materie selbst auseinander setzen kannst du das prima mit Wireshark machen und du wirst dich wundern wie oft deine öffentliche IP einem Scan der well known ports unterliegt. Deine Firewall meldet das erst gar nicht weil ja nur das Vorhanensein der Ports abgeklopft wird und kein Anmeldeversuch erfolgt.
Kann man prima testen, indem man mit einem Penetrationtester die eigene IP scant. Sollte eigentlich ein normales Handwerkszeug sein eines jeden, der sich mit IT-Sicherheit beschäftigt, aber ist natürlich nichts für Leute mit einem gefährlichem Halbwissen. Wozu du dich zählst keine Ahnung.
- Mitglied seit
- 25. Nov 2022
- Beiträge
- 4.097
- Punkte für Reaktionen
- 2.152
- Punkte
- 289
@NSFH: Dein technisches Fachwissen gepaart mit statisch hinterlegten Fakten scheint echt enorm zu sein. Danke, dass du mich daran teilhaben lässt. Auf deine persönlichen Attacken lasse ich mich nicht ein und meine technische Ansicht werde ich in diesem Thema noch äußern dürfen. Selbstverständlich nur, falls du damit einverstanden bist.
Ansonsten zum Thema: Es sind nicht meine Geräte, die mit Anmeldeversuchen geflutet werden. Vielleicht kannst du dem TE mit deinem Fachwissen weiterhelfen.
Welche Software würdest du mir bezüglich der Erkennung bei Schwachstellen meiner IT-Sicherheit empfehlen?
Ansonsten zum Thema: Es sind nicht meine Geräte, die mit Anmeldeversuchen geflutet werden. Vielleicht kannst du dem TE mit deinem Fachwissen weiterhelfen.
Welche Software würdest du mir bezüglich der Erkennung bei Schwachstellen meiner IT-Sicherheit empfehlen?
Shodan liefert doch was so gebraucht wird und die machen die Portscans, testen auf offene Dienste etc. Das braucht niemand mehr selbst machen. Kostet ein paar Euro dann finden sich offene ESX-Server, offene Exchange-Server und auch offene DSM. Da kannst Ports verschieben wie du willst.
gruss,
sky
gruss,
sky
- Mitglied seit
- 09. Nov 2016
- Beiträge
- 4.093
- Punkte für Reaktionen
- 570
- Punkte
- 194
Für Unbedarfte nett, aber es wäre sinnvoller sich selbst mit der Materie zu befassen. Dann weiss man wenigstens hinterher was man warum getan hat. DAS ist nahezu unbezahlbar!
Der Report von nmap als einfaches Tool unterscheidet sich auch nicht gross von Shodan, kostet nur nichts und ist beliebig wiederholbar, wenn man seine Firewall Einstellungen testen und nachbessern will.
Von daher ist Shodan für eine Einmal-Massnahme vielleicht noch ok, wenn man an seinen Einstellungen arbeiten möchte dagegen unnötig teuer.
Der Report von nmap als einfaches Tool unterscheidet sich auch nicht gross von Shodan, kostet nur nichts und ist beliebig wiederholbar, wenn man seine Firewall Einstellungen testen und nachbessern will.
Von daher ist Shodan für eine Einmal-Massnahme vielleicht noch ok, wenn man an seinen Einstellungen arbeiten möchte dagegen unnötig teuer.
*Räusper* Wer die Suchmaschine Shodan mit dem Netzwerktool nmap vergleicht kennt entweder das eine nicht richtig oder das andere.
Mit nmap scanne ich bestimmte Netzwerkadressen oder Bereiche selbst und suche nach offenen Ports.
Mit Shodan als Suchmaschine suche und finde ich nicht nur offene Ports. Ich finde direkt hunderte von offenen nicht gepatchten Systemen wie z.B. ESX-Server und anderes. Deshalb ist es relativ wertlos großartig Ports zu verschieben. Shodan findet das System auch bei verschobenem Port und kann es meist Aufgrund spezifischer Eigenschaften auch zuordnen.
Shodan ist quasi das Google für verwundbare IT-Systeme.
gruss,
sky
Mit nmap scanne ich bestimmte Netzwerkadressen oder Bereiche selbst und suche nach offenen Ports.
Mit Shodan als Suchmaschine suche und finde ich nicht nur offene Ports. Ich finde direkt hunderte von offenen nicht gepatchten Systemen wie z.B. ESX-Server und anderes. Deshalb ist es relativ wertlos großartig Ports zu verschieben. Shodan findet das System auch bei verschobenem Port und kann es meist Aufgrund spezifischer Eigenschaften auch zuordnen.
Shodan ist quasi das Google für verwundbare IT-Systeme.
gruss,
sky
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
