Brute force Attacke auf meine Fritzbox?

MarcDK schrieb:
Aber wie soll ich denn jeden Tag den Leuten die neue IP kommunizieren wenn ich das nicht über DDNS mache?

Stimmt schon, deine IP ändert sich wahrscheinlich jeden Tag. Bzw nach einem Neustart deiner Fritz Box.
Dann am Besten alle Dienste die du von außen her nicht brauchst dort auch deaktivieren, sodass wirklich nur dein Minecraft Server weitergeleitet wird.
Falls das nicht möglich ist, dann auf einen anderrn DDNS Dienst umsteigen wie z.B. NOIP
Der Dienst ist auch kostenlos.

@Raijin das weiß ich natürlich. Nur habe ich mich mit meiner vorherigen Antwort etwas blöd ausgedrückt.
 
Zuletzt bearbeitet:
Wie gesagt: Die meisten Angriffe im Netz werden eh über eine IP-Range gemacht. D.h. der Angreifer scannt von IP x bis IP y und guckt ob dort zB Port 22 oder 443 offen ist. Wenn ja, startet der Angriff. Ob die aktuell angegriffene IP nu einen DDNS-Eintrag hat, fünf oder gar 100, ist dem Angreifer vollkommen schnuppe, weil er direkt auf die IP geht und nix mit myfritz, noip oder sonstigen DDNS am Hut hat.

Das Abschalten eines DDNS-Dienstes würde nur dann gegen Angriffe helfen, wenn der Angreifer wie auch die legitimen Nutzer die DDNS-Adresse abfragt und dann über die IP angreift. Das setzt aber einen gezielten Angriff voraus und 99,9% aller Angriffe sind reine Scan-Attacken, die von Bots vollautomatisch ausgeführt werden, während sich der vermeintliche Hacker - oder das Script-Kiddie - zurücklehnt und auf das Ergebnis des Scans wartet. Ein gezielter Angriff wäre, wenn zB einer der Minecraft-Spieler, ein Bekannter oder jemand, der in einem Forum zufällig die Server-Adresse gelesen hat, sich einen Spaß draus machen würde und den Server bewusst angreift.
 
Und dann zeigt der Home Server mal an "326 Fehlgeschlagene Anmeldeversuche seit ihrer letzten erfolgreichen Anmeldung" -> SSH Port von 22 auf was anderes gestellt, seither gab es mehr keine Meldung.
 
"Security by obscurity". Wenn man zB den SSH-Port ändert, dann wehrt man besagte Scanner ab, die lediglich eine Handvoll Ports scannen. Diese wiederum greifen eh nur mit Standard-Wörterbuch-Attacken an und scheitern sowieso schon an einem starken Passwort. Man hat also durch einen geänderten Port nicht wirklich einen Sicherheitsgewinn, sondern schont lediglich die Log-Dateien.

Für mehr Sicherheit nutzt man starke Passwörter, Zertifikate oder zB auch Mechanismen wie denyhosts oder fail2ban. Geänderte Ports sind so als wenn man zum Einbruchsschutz das Türschloss nicht mehr an der Tür hat, sondern irgendwo am Haus. Gelegenheitseinbrecher könnte man so abwehren, aber wenn jemand wirklich rein will, sucht er auch nach dem versteckten Türschloss - und dann kommt es am Ende erneut auf die Sicherheits des Schlosses selbst an, so wie es direkt an der Tür ebenfalls wäre.

Man kann also gerne die Ports ändern, aber das beruhigt nur das Gewissen und ist unterm Strich keine wirkliche Sicherheitsmaßnahme.
 
Deshalb immer auf mehrere Sicherheits Maßnahmen. Wie du sagst, das abnormale Port ist eine Abwehr gegen die Gelegnheits Script Kiddies
Gegen einen der wirklich rein will hilft das nichts, der scannt dann zum Beispiel nicht Port 22 an Ip Adressen a-z sondern Port 1 bis 65535 an Ip Adresse c.
Dann noch ein gutes Passwort und um Sicher zu gehen standard Benutzer aussperren, eigene Benutzer anlegen. Zum Beispiel Niemals einen direkten Root Login erlauben.
 
  • Gefällt mir
Reaktionen: Hayda Ministral
Die Script-Kiddies kommen aber eh nicht durch ein starkes Passwort oder gar fail2ban/denyhosts. Ergo führt der geänderte Port einzig und allein zu weniger Einträgen im Log, trägt aber rein gar nichts zur Sicherheit bei. Stattdessen hat der legitime Nutzer mehr Aufwand, weil im Client-Tool der Port explizit angegeben werden muss - wenn das Tool überhaupt geänderte Ports erlaubt(!). Auch kann es passieren, dass die lokale Firewall nur ganz bestimmte Ports erlaubt und das sind dann in der Regel nur 80/443, etc, nicht aber 22222 oder sowas..


Dazu ein interessantes Zitat:

Security through obscurity would be burying your money under a tree. The only thing that makes it safe is no one knows it's there. Real security is putting it behind a lock or combination, say in a safe. You can put the safe on the street corner because what makes it secure is that no one can get inside it but you.


Aber gut, ich will das auch nicht zu sehr breit treten. Es gibt diesbezüglich zwei Lager, die Pro-Fraktion und die Contra-Fraktion. Wer mag, darf gerne die Ports ändern, wenn man sich denn dessen bewusst ist, dass man trotzdem alle Maßnahmen zur eigentlichen Sicherung ergreifen muss, starkes Passwort, fail2ban, Porttrigger, etc..
 
  • Gefällt mir
Reaktionen: Robolon
@MarcDK: Funktioniert das jetzt wie gewünscht, wenn du es wie in Beitrag #15 einstellst? DDNS geht eben auch, ohne dass sich das Webinterface der Fritzbox zeigt. Deine myfritz-Adresse in den Browser eingetippt sucht an Port 80 oder 443 nach einem Webserver. Wenn du wie beschrieben die Haken entfernst, ist die Fritzbox an sich noch da, aber ein Browser findet keinen Webinterface mehr und es müsste ein Timeout kommen. Der Minecraft-Server ist natürlich auf seinen Port immer noch erreichbar.

@ security through obscurity: Zusätzlich zu Raijin und Robolon noch Beispiele. Im Grunde kannst du das Webinterface anlassen, die Fritzbox setzt den Timer zur erneuten Eingabe nach falschen Zugangsdaten immer höher. Brute Force ist also schlecht möglich. Deine Onlinebank wird das Webinterface auch nicht verstecken, Computerbase nicht, der Mailanbieter nicht. :)

Edit: Ah, ich sehe gerade, du hast deinen Minecraftserver verlinkt. Das Webinterface der Fritzbox ist nicht mehr zu sehen.
 
  • Gefällt mir
Reaktionen: Robolon
Ist mir neu das sich eine Fritzbox Brutforcen lässt. Die wandelt das Passwort doch in eine Hex zahl um die dann nochmal durch mehrere Gleichungen gejagt wird und die Hex zahl wird dann im code sichtbar.
Denke mal nicht das sich jemand die Mühe macht zurückzurechnen bis er auf die entsprechende hex zahl kommt die er beim ersten falschen password versuch hatte die sich dann in das wort das er eingetippt hatte umwandeln lässt. das würde wahrscheinlich ewig viel ressourcen und Zeit kosten.
 
stev96 schrieb:
Ist mir neu das sich eine Fritzbox Brutforcen lässt.
Alles lässt sich bruteforcen.

Der einzige Bruteforce-Schutz den eine Fritzbox afaik hat, ist die exponientielle Wartezeit zwischen falschen Eingaben. Das dürfte sich aber dadurch umgehen lassen, dass nach x fehlgeschlagenen Passwörtern von einem anderen Bot/IP aus weitergemacht wird.
Die wandelt das Passwort doch in eine Hex zahl um die dann nochmal durch mehrere Gleichungen gejagt wird und die Hex zahl wird dann im code sichtbar.
Das ist der gespeicherte Hash des Passworts, richtig. Wie genau man von außen an den Hash kommen könnte, ist aber nicht ganz einfach.

Denke mal nicht das sich jemand die Mühe macht zurückzurechnen bis er auf die entsprechende hex zahl kommt die er beim ersten falschen password versuch hatte die sich dann in das wort das er eingetippt hatte umwandeln lässt. das würde wahrscheinlich ewig viel ressourcen und Zeit kosten.
Wenn derjenige welche bereits die Passwort-Hashes hat*, hat der zumindest einen größeren Aufwand betrieben als ein paar Passwörter an einem Webfrontend durchzuprobieren was jeder kompetentere Bot kann. Derjenige welche würde dann eher nicht davor zurückschrecken ein paar GPUs und/oder ein Botnetz gegen die Hashes zu werfen.
 
  • Gefällt mir
Reaktionen: Raijin
d2boxSteve schrieb:
Einfach das Passwort auf was ausreichend sicheres setzen und alles ist gut.
So seh ich das auch. Extra Benutzer für Zugriff von außen (nicht admin, nicht root) mit gescheitem Kennwort verwenden.
Einziger Weg auf deine FB, der in der Praxis dann Erfolg haben könnte ist dann ein Zero Day Exploit bei Fehlern in der Firmware.
Als Notnagel lässt du dir bei externen Logins eine Push Mail schicken.

Klar kann man nochmal mit VPN einen extra Layer Sicherheit drüber legen, aber ich kenne das Risiko und halte es für völligst akzeptabel. Das ist eigentlich der wichtige Teil.
 
Echt jetzt? Der Thread ist mehr als 1 Jahr alt... :rolleyes:
 
  • Gefällt mir
Reaktionen: carnival55 und h00bi
Zurück
Oben