[HaBo]

Vertax · 24.07.11, 17:11

Hallo Community, ich bin momentan Student der Technischen Informatik und habe im letzten Semester den CCNA Kurs besucht. Hier wurde mein Interesse zu Netzwerken und Netzwerksicherheit geweckt. Ich möchte daher auch im nächsten Semester den CCNA Security besuchen. Dazu informaiere ich mich momentan über das Thema Network Security. Dazu habe ich mir das Buch: Network Hacking von kraft u. weyert ausgeliehen. In diesem sind einige Angriffsszenarien aufgeführt und dessen Abwehrmassnahmen beschrieben. Dazu habe ich aber nun allerdings eine Frage wo ich hoffe von einem von euch erklärt zu bekommen: In einem Szenario wurde mittels Nmap der Klassiche Portscann durchgeführt, umnach Offenen Ports ausschau zu halten um danach mittels exploits in das System einzudringen. Doch die ermittelten IP-Adressen sind doch nur die öffentlichen Addressen des Routers. Das ein Router gewisse Ports offen haben muss für erfolgreiche Verbindungen ist ja verständlich, aber was soll diese Information einem Potentiellen Angreifer den nützen? Ich hab ja nur die IP des Routers damit kann doch der Angreifer an meinem Heimnetzwerk keinen schaden anrichten, bzw ich zerbreche mir gerade den Kopf wieso dies für mein Heimnetz gefährlich sein könnte. Wenn ich alles Richtig in erinnerung habe, dann müsste der Angreifer doch erstmal meine Private IP-Adresse im Lan kennen, damit er dann ein Paket an den Router senden kann welches dann in mein Heim-Lan geroutet wird. Natürlich sind alle Private IP Addressen bekannt und man könnte alle durchprobieren, aber wird dies dann in der Realität wirklich so gemacht? Oder wie überwindet der Angreifer meinen Router um mein LAN zu kompromitieren? Mfg Vertax

Tsjuder · 24.07.11, 18:07

Die IP innerhalb des Netzes ist auch nur bedingt wichtig.
Wenn ein PC einen Server laufen hat leitet der Router doch auch automatisch die Pakete an deinen PC weiter mittels NAT. Wenn du jetzt also einen Port Scan ausführst und z.B. Port 80 scannst, dann übermittelt der Router automatisch das Paket an den PC der auf Port 80 eine Weiterleitung im Router aktiviert hat bzw. dort einen Server laufen hat. Es ist also doch gar nicht notwendig den Router irgendwie zu überwinden schließlich kann doch auch so jeder auf einen Server zugreifen, wenn du die entsprechenden Ports freigegeben hast und er kommt trotzdem auf deinen Server ohne deine interne Struktur zu kennen.

Anzeige

- Anzeige -

Hackse · 26.07.11, 00:32

Wie Du sicherlich weißt werden vom Router alle 65535 Ports auf eingehende Anfragen geblockt. Nun stelle Dir vor, Du selbst möchtest aber aus dem Internet (z.B. aus einem Hotel) auf Dein privates Heimnetzwerk zugreifen, z.b. über ssh. Dann musst Du im Router vorher einstellen, dass eingehende Portanfragen auf Port 22 durch den Router an die IP-Adresse Deines Rechners im Heimnetzwerk weitergeleitet werden. Damit hast Du schon mal einen offenen Port und nmap wird Dir exakt mitteilen was dort läuft:

Code:

nmap -p 22 -A DEIN.HOST.dyndns.org

Starting Nmap 5.21 ( http://nmap.org ) at 2011-07-26 00:23 CEST
Nmap scan report for DEIN.HOST.dyndns.org (**.**.**.***)
(...)
PORT      STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 5.1p1 Debian 5 (protocol 2.0)
| ssh-hostkey: (...)Service Info: OS: Linux

hierbei ist es nicht der Router, der auf den Portscan antwortet, sondern direkt Dein PC (wg. dem NAT).

Anderes Szenario:
Du verwendest Torrent für Filesharing. Dann wirst Du für eine bessere Download-Performance Direktverbindungen zu anderen Rechnern aus dem Internet aufbauen wollen und gemäß Torrent-Protokoll Port 6881 auf Deinem Router für eingehende Verbindungen öffnen. Es werden somit alle Pakete, die über den Port 6881 kommen, bewusst auf Deinen PC weitergeleitet.

Gleiches Spiel, dies wäre ein weiterer angreifbarer, offener Port, dessen dahinter lauschender Dienst eine potenzielle Schwachstelle darstellen kann.

Anzeige

- Anzeige -

24.07.11, 17:11	#1 (permalink)
Vertax Registriert seit: 24.07.11 Likes: 0	Router überwinden bei Internet-Attacke Anzeige Hallo Community, ich bin momentan Student der Technischen Informatik und habe im letzten Semester den CCNA Kurs besucht. Hier wurde mein Interesse zu Netzwerken und Netzwerksicherheit geweckt. Ich möchte daher auch im nächsten Semester den CCNA Security besuchen. Dazu informaiere ich mich momentan über das Thema Network Security. Dazu habe ich mir das Buch: Network Hacking von kraft u. weyert ausgeliehen. In diesem sind einige Angriffsszenarien aufgeführt und dessen Abwehrmassnahmen beschrieben. Dazu habe ich aber nun allerdings eine Frage wo ich hoffe von einem von euch erklärt zu bekommen: In einem Szenario wurde mittels Nmap der Klassiche Portscann durchgeführt, umnach Offenen Ports ausschau zu halten um danach mittels exploits in das System einzudringen. Doch die ermittelten IP-Adressen sind doch nur die öffentlichen Addressen des Routers. Das ein Router gewisse Ports offen haben muss für erfolgreiche Verbindungen ist ja verständlich, aber was soll diese Information einem Potentiellen Angreifer den nützen? Ich hab ja nur die IP des Routers damit kann doch der Angreifer an meinem Heimnetzwerk keinen schaden anrichten, bzw ich zerbreche mir gerade den Kopf wieso dies für mein Heimnetz gefährlich sein könnte. Wenn ich alles Richtig in erinnerung habe, dann müsste der Angreifer doch erstmal meine Private IP-Adresse im Lan kennen, damit er dann ein Paket an den Router senden kann welches dann in mein Heim-Lan geroutet wird. Natürlich sind alle Private IP Addressen bekannt und man könnte alle durchprobieren, aber wird dies dann in der Realität wirklich so gemacht? Oder wie überwindet der Angreifer meinen Router um mein LAN zu kompromitieren? Mfg Vertax

26.07.11, 00:32	#3 (permalink)
Hackse Registriert seit: 31.07.06 Likes: 32	Wie Du sicherlich weißt werden vom Router alle 65535 Ports auf eingehende Anfragen geblockt. Nun stelle Dir vor, Du selbst möchtest aber aus dem Internet (z.B. aus einem Hotel) auf Dein privates Heimnetzwerk zugreifen, z.b. über ssh. Dann musst Du im Router vorher einstellen, dass eingehende Portanfragen auf Port 22 durch den Router an die IP-Adresse Deines Rechners im Heimnetzwerk weitergeleitet werden. Damit hast Du schon mal einen offenen Port und nmap wird Dir exakt mitteilen was dort läuft: Code: nmap -p 22 -A DEIN.HOST.dyndns.org Starting Nmap 5.21 ( http://nmap.org ) at 2011-07-26 00:23 CEST Nmap scan report for DEIN.HOST.dyndns.org (...) (...) PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 5.1p1 Debian 5 (protocol 2.0)* \| ssh-hostkey: (...)Service Info: OS: Linux hierbei ist es nicht der Router, der auf den Portscan antwortet, sondern direkt Dein PC (wg. dem NAT). Anderes Szenario: Du verwendest Torrent für Filesharing. Dann wirst Du für eine bessere Download-Performance Direktverbindungen zu anderen Rechnern aus dem Internet aufbauen wollen und gemäß Torrent-Protokoll Port 6881 auf Deinem Router für eingehende Verbindungen öffnen. Es werden somit alle Pakete, die über den Port 6881 kommen, bewusst auf Deinen PC weitergeleitet. Gleiches Spiel, dies wäre ein weiterer angreifbarer, offener Port, dessen dahinter lauschender Dienst eine potenzielle Schwachstelle darstellen kann.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

24.07.11, 18:07	#2 (permalink)
Tsjuder Registriert seit: 03.04.11 Likes: 10	Die IP innerhalb des Netzes ist auch nur bedingt wichtig. Wenn ein PC einen Server laufen hat leitet der Router doch auch automatisch die Pakete an deinen PC weiter mittels NAT. Wenn du jetzt also einen Port Scan ausführst und z.B. Port 80 scannst, dann übermittelt der Router automatisch das Paket an den PC der auf Port 80 eine Weiterleitung im Router aktiviert hat bzw. dort einen Server laufen hat. Es ist also doch gar nicht notwendig den Router irgendwie zu überwinden schließlich kann doch auch so jeder auf einen Server zugreifen, wenn du die entsprechenden Ports freigegeben hast und er kommt trotzdem auf deinen Server ohne deine interne Struktur zu kennen.

[HaBo]

Router überwinden bei Internet-Attacke