Syslog Einträge die ich noch nicht richtig deuten kann

[Andy81]

Hallo,

ich habe bei meinem Draytek Router ein paar Einträge im SysLog gefunden, die ich noch nicht so recht deuten kann... wird hier von außen versucht auf den Draytek Router zu kommen o. ä.?
Zweiter Anhang zeigt irgendeine Lizenz an, die scheinbar erneuert wurde...

Kann mich diesbezüglich da jemand zuverlässig aufklären?

 

[NonOptionalName]

Ja, das interpretierst du richtig. Den IPs nach zu urteilen vermutlich Systeme, die beliebige Server auf Schwachstellen abklopfen bzw. nach offenen Ports scannen:

https://www.abuseipdb.com/check/146.88.241.160
https://www.abuseipdb.com/check/167.94.138.145
https://www.abuseipdb.com/check/184.105.139.108

Die Logmessages sagen dir, dass es am entsprechenden Port angeklopft hat, aber die Gegenstelle nicht dem korrekten Protokoll für den Service gefolgt ist, der auf dem Port läuft (in deinem Fall anscheinend irgendwas VPN-mäßiges mit ipsec).

Zu dem Lizenzkram kann ich nichts beisteuern.

 

[Andy81]

Ja, IPSec ist halt im Router generell aktiviert, weil hier der VPN Zugang zur Firma hergestellt wird. Ansonsten könnte ich ihn deaktivieren, weil ich sonst nur Wireguard VPN Verbindungen einsetze.

Heißt aber für mich, das kein Handungsbedarf besteht?

 

[NonOptionalName]

Mir fiele gerade nichts sinnvolles ein. Gegen Portscans kann man nicht allzu viel machen, wenn man das System von außen prinzipiell erreichbar halten möchte. Hatte bei meinem Home-Server mal mit geoblocking experimentiert, um wenigstens die Zugriffe von Systemen aus Staaten wie China blocken zu können. Mit Sachen wie fail2ban kann man darüber hinaus ips auf Basis von diversen Regeln blocken (also z.B. wenn mehr als X erfolglose Authentifizierungsversuche in einem Zeitfenster festgestellt werden o.Ä.), aber letztendlich ist das immer ein Katz- und Mausspiel. Die eigentliche Sicherheit deines Systems wird durch die Services sichergestellt, die du auf den Ports laufen hast, die hoffentlich alle irgendwie mit Authentifizierungsmechanismen abgesichert sind.

 

[Andy81]

Geoblocking ist bei mir im Mailserver aktiviert. Ansonsten läuft auf dem Mailserver noch RDPGuard für den RDP, FTP, IMAP, POP3, SMTP und OpenSSH Port.
Draytek ist die Firewall standard aktiv und die Dos-Abwehr aktiviert (siehe Anhang).

Was mir im Syslog noch aufgefallen ist, dass wenn ich im Draytek den Haken bei
"Spoofing Abwehr, IP-Pakete von WAN mit inkonsistenten Quell-IP-Adressen blocken"
setze, dass listenweise im Syslog interne IP-Adressen auftauchen wo der Draytek scheinbar Dinge blockt. Da läuft die Liste ohne Pause im sekundentakt durch. Warum das so viel ist, keine Ahnung...

 

[Andy81]

Wie ist es denn eigentlich sicherer: Einen Router für die Einwahl ins Internet zu nutzen und den Draytek dahinter nur mit WAN an den 1. Router anzuschließen (im Prinzip dann Doppel-NAT) oder den Draytek die Einwahl überlassen und das davorhängende Gerät im reinen Modem-Modus zu verwenden oder ist es egal?

 

[chrigu]

Sicherer ist es, wenn du keine unbekannten Tools im Netzwerk laufen und jedes Sicherheits-Update installiert wird, so dass bei wahllosen portscanning keine Antwort kommt. Auch upnp sollte im Router abgestellt werden.
Doppelnat bringt dir eher mehr Aufwand deine Daten ins Internet zu bringen als nutzen.

 

[Andy81]

Danke.