[LAN access from remote] schwer einschätzbare Gefahr

L

LogUser

0
Hallo HaBo Forum,

ich hoffe, dass ich im richtigen Forum bin. Bin seit heute Mitglied und hoffe hier auf Unterstützung.:)
Habe gleich ein spezielles Anliegen. Unzwar habe ich seid einiger Zeit im Router Log komische Meldungen feststellen müssen, die mich etwas verwirren.

Es handelt sich um diese Meldung :

[LAN access from remote] from XXX.XXX.X.X : Port to XXX.XXX.X.X : Port ( Eigene IP )

Die X Zeichen habe ich deshalb gewählt um die betroffenen IP zu verbergen. Diese Meldungen kommen auch, wenn der Rechner aus ist und bzw. vom Internet getrennt ist.

Ich kann die Gefahr dieser Meldung schwer einschätzen, daher bitte ich um Rat von euch.

Folgendes getan :
Rechner durchgescannt, einmal mit LiveCD und mit einem aktuellen Virenscanner. Beides keine Funde.
Nach den IP Adressen gesucht via WhoisIP und dabei kamen folgende IP Adressen aus Brasilien,USA, Rumänien, Deutschland usw. Es handelt sich hierbei um die IP Adressen der Internet Provider.

Außerdem finde ich unter Computer/Netzwerke/Netzwerkstruktur

einen Fremden Router von TP Link, neben meinen Router, was mich ein wenig stuzig macht.

Fals Ihr irgendwelche Informationen benötigt, bescheid geben.

Danke im Vorraus
 
Andere geräte im LAN? Wie ist dein Netzwerk aufgebaut? WLAN? Welcher Router genau?
 
Ja es befinden sich noch 3 Rechner im Heimnetzwerk. Eins via LAN , die anderen via WLAN. Router ist von Netgear, ich weiß nicht ob ich die genau Bezeichnung sagen darf.
 
Hast du die Systeme auch mal gescannt?

Remote Control dürfte im router ausgestellt sein, oder?

Hängt ein XP im Netzwerk? uPnP sollte auch abgestellt sein...

ansonsten kann du ja mal den Netzwerk etwas scannen und beobachten...wireshark wäre eine Möglichkeit. Dabei dann natürlich darauf achten, welcher traffic gewollt ist, welcher nicht, usw...
 
Ich habe alle System gescannt und die scheinen sauber zu sein. Den RemoteControl im Router bin ich mir nicht sicher, aber werde schauen ob er aus ist. Das sollte unter Fernwartung zufinden sein oder?

Im Netzwerk befinden sich nur Windows 7 Rechner. Mit Wireshark habe ich auch geschaut ob sich irgendwie ungewollt Traffic bildet. Habe auch Spezielle Ports oder besser gesagt beliebte Ports gesnifft, konnte jedoch nichts feststellen.

Von Upnp habe ich was gehört, aber das der ausgeschaltet sein soll, dass ist mir ehrrlich gesagt neu. Ist das nicht notwendig für ein Heimnetzwerk. Wird mit diesem Protokoll nicht jeder Rechner im Netzwerk angesteuert, damit jeder Rechner einen "Hallo ich bin da" an den Router sendet ?
 
UPnP bietet mit dem IGD-Protokoll (IGD steht für Internet Gateway Device) eine Möglichkeit, auf für den Benutzer einfache Weise Router anzuweisen, Ports zu öffnen und entsprechende Anfragen aus dem Internet an einen Rechner weiterzuleiten, der via NAT an das Internet angebunden ist. Derartige Weiterleitungen sind beispielsweise für Filesharing und Dateitransfers in Instant-Messaging-Programmen notwendig. Anwendung findet dies beispielsweise in µTorrent, Pidgin 2, Apple iChat, eMule ab Version 0.48a, Miranda IM ab Version 0.6, Transmission, Vuze und ANts P2P.
Der Bequemlichkeit der automatischen Portkonfiguration gegenüber steht ein Verlust an Sicherheit, denn die Firewall eines UPnP-fähigen Routers kann dadurch von einem eventuell auf den Computer gelangten Schadprogramm unwirksam gemacht werden. Dieser Verlust entsteht aber erst, nachdem ein PC im lokalen Netz mit einer Schadsoftware infiziert ist. Ohne Zugriff auf das LAN ist IGD kein Verlust an Sicherheit. Zu bedenken ist allerdings, dass seit Januar 2008 Schadsoftware bekannt ist, die sich z. B. in Adobe Flash oder in JavaScript versteckt und ohne Nutzerinteraktion auch beim bloßen Besuchen von Webseiten mit einem aktuellen Internet-Browser auf dem Rechner ausgeführt werden kann und somit ungebetenen Gästen das Eindringen ins lokale Netzwerk ermöglicht.[1]
Zum Vergrößern anklicken....

siehe wiki... deswegen hab ich nur mal darauf hingewiesen...

irgendwie schon etwas komisch...derjenige, der das versucht braucht irgendwoher deine derzeitige ip - und da fällt mir gerade nur ein: Du teilst sie ihm mit (unbewusst oder bewusst...) oder du hast einen dienst wie dyndns laufen...
 
Zuletzt bearbeitet:
Ok jetzt stellt sich die Frage. Ich benutze Miranda Fusion und kann es möglich sein, dass dadurch da ja Upnp an ist ein Schadprogramm eingeschlichen hat oder verstehe ich das ganze falsch ?

Edit: Dyndns habe ich nicht am laufen.
Ich habe neulich auch einen Basis Check auf der Com-Magazin Seite gemacht und der hat mir sowohl die Interne alsauch die Externe IP Adresse angezeigt. Mögliche Ursache Java , wird dort beschrieben.

Das Merkwürdige daran ist, dass diese Meldungen auch kommen, wenn der Rchner nicht mit dem Internet verbunden ist. Das ich nicht nachvollziehen kann. Teamviewer wird auch genutzt, aber da kann es wohl eher kaum liegen.

Mit einer öffentlichen IP kann man eigentlich wenig anfangen, sehe ich das richtig ? Wenn, dann nur mit der Internen ?
 
Zuletzt bearbeitet:
Upnp ist nur eine Vermutung...es kann natürlich auch sein, dass es durch ein ganz normales Programm passiert und reproduzierbar ist...
 
Ich sehe gerade, dass bei mir Upnp im Router aktiviert ist. Wie soll ich handeln ?

Kann ich den bedenkenlos deaktivieren ? Wie sehen die Foglen aus, wenn ich es deaktiviere.
 
Ich persönlich würde das auf jeden Fall deaktivieren.

Es kann passieren, dass du dich um Portweiterleitungen selber kümmern musst, aber gerade aus sicherheitstechnischer Sicht ist das definitiv zu bevorzugen.

Weiterhin würde ich definitiv das Routerpasswort ändern, ALLE Einstellungen überprüfen und Möglichkeiten, vom Internet auf den Router zuzugreifen deaktivieren.

Wenn du uns sagst, was du für einen Router hast, können wir dir gerne Tipps geben.
 
Danke für die Antwort, ich werde es dann umgehend deaktivieren. Also ich habe es auch so eingstellt, dass ich ohne Internetverbindung auf meinen Router zugreifen kann.

Beim Router handelt es sich um WNR3500L von Netgear. Habe bisschen gezögert mit der bekanntgabe meines Routers, aus Sicherheitsgründen. Aber ich denke, dass ich hier gute behandelt werde und mir niemand was böses möchte.

Edit: Verstehe, aber nicht wieso Upnp standardmäßig aktiviert ist ?
 
LogUser hat gesagt.:
Edit: Verstehe, aber nicht wieso Upnp standardmäßig aktiviert ist ?
Zum Vergrößern anklicken....

weil es am benutzerfreundlichsten ist. Per UPNP können programme mehr oder weniger selbständige Port öffnen und der User muss sich nicht erst mit der Weiterleitung rumschlagen eh Programme funktionieren die auf das Internet zugreifen.
 
Zuletzt bearbeitet:
Das Nennen des Routermodells stellt eigentlich kein Risiko für dich dar.
Ich habe gerade mal nachgesehen, Remote Management ist standardmäßig nicht aktiviert. Überprüfe das trotzdem.

Upnp ist von der Idee her ja gar nicht schlecht, da halt nicht jeder weiß, wie man bei seinem Router und in der FW möglicherweise Ports weiterleitet/freischaltet, nur leider eröffnet das dann doch ein riesiges Sicherheitsproblem. Die einfache Benutzung steht für die Hersteller aber leider im Vordergrund, daher ist das aktiviert. Das gleiche Problem ist man aber von Windows auch schon gewohnt. Viele Einstellungen machen die Bedienung zwar einfacher/übersichtlicher, leider ermöglicht genau das aber vielen Schädlingen, überhaupt ins System zu kommen. Ist also nichts, was jetzt speziell nur Routerhersteller betreffen würde.
 
Ich möchte mich herzlich bei euch bedanken für eure Unterstützung. So fühlt man sich gleich hier Willkommen und wird auch hier bleiben. Ich war schon ziemlich am verzweifeln und hatte schlimmeres befürchtet.

Ich habe Upnp im Router deaktiviert und habe seitdem keine Meldungen wie davor. Auch Remote Managment ist deaktiviert.

Jedoch verstehe ich die Meldungen nicht genau. Als ich mir die IP Adressen genauer unter die Lupe genommen habe und feststellen musste in welchen Ländern sich diese befinden, bin ich davon ausgegangen, dass sich jemand oder mehrere Zugriff verschafft hatten. Oder Interpretiere ich das falsch oder habe ich etwas nicht genau verstanden ?
 
Es kommt darauf an, was wirklich geloggt wird. Sollten das wirklich Remoteverbindungen sein, dann solltest du dir auf jeden Fall sorgen machen (daher auch die genannten Maßnahmen). Es ist aber durchaus auch möglich, dass dies nur Verbindungsversuche sind. In diesem Fall brauchst du dir keine Gedanken machen.
Leider ist das Handbuch von Netgear eine absolute Katastrophe, so dass ich dir die Antwort da nicht raussuchen kann.
 
lightsaver hat gesagt.:
Leider ist das Handbuch von Netgear eine absolute Katastrophe, so dass ich dir die Antwort da nicht raussuchen kann.
Zum Vergrößern anklicken....

Nicht nur das Handbuch teilweise sind die deutschen Firmwares so verbuggt das es unmöglich ist Filter anzulegen etc.

@LogUser ich würde mir das die nächsten Tage erstmal anschauen und dann nochmal melden wenn weiterhin die Logzeilen auftauchen.
 
Ja das kann ich durchaus bestätigen, dass das Handbuch wirklich unübersichtlich ist. Ein kleiner Blick ins Handbuch hat bei mir schon für Verwirrung gesorgt.

Ich werde die Logs die nächsten Tage im Auge behalten und werde berichten, was sich getan hat. Ich hoffe natürlich, dass es nur Verbindungsversuche waren, die geblockt worden sind.

Ich wäre weiterhin für Tipps und Ratschläge dankbar um die Sicherheit ein wenig zu erhöhen. Ich werde mich in derzeit auch im Internet ein wenig erkundigen.
 
LogUser hat gesagt.:
Ich wäre weiterhin für Tipps und Ratschläge dankbar um die Sicherheit ein wenig zu erhöhen. Ich werde mich in derzeit auch im Internet ein wenig erkundigen.
Zum Vergrößern anklicken....

Setze oft dein Gehirn ein und klicke nicht auf alles was irgendwo versprochen wird. Ganz wichtig echte Frauen haben als nachname nich ".exe".
Ein Antivirenprogramm mit gültiger Signatur bringt schon oft viel.
Nutze auch die Update funktionen von Programmen und deinem Betriebssystem, schau das immer auf den aktuellesten Stand bist bei Patches und Updates.

Hau dir nicht tausende Programm drauf die irgndewas versprechen in die richtung "macht ihr Systemschneller" und bei Fehlermeldungen die irgendwo im Browser aufpoppen erstmal googlen nicht das es ein versuch ist dir ein Programm unterzujubeln.

*sind jetzt erstmal die Standarddinge die mir einfallen auf die schnell*
 
Chakky hat gesagt.:
Setze oft dein Gehirn ein und klicke nicht auf alles was irgendwo versprochen wird. Ganz wichtig echte Frauen haben als nachname nich ".exe".
Ein Antivirenprogramm mit gültiger Signatur bringt schon oft viel.
Nutze auch die Update funktionen von Programmen und deinem Betriebssystem, schau das immer auf den aktuellesten Stand bist bei Patches und Updates.

Hau dir nicht tausende Programm drauf die irgndewas versprechen in die richtung "macht ihr Systemschneller" und bei Fehlermeldungen die irgendwo im Browser aufpoppen erstmal googlen nicht das es ein versuch ist dir ein Programm unterzujubeln.
Zum Vergrößern anklicken....

Genau, dass ist bei mir an oberster Stelle. Ich hallte mein System ständig auf dem Neusten Stand, genauso wie alle Installierten Programme. Regelmäßig prüfe ich auf neuste Versionen mit Hilfe von Internetseiten wie Heise oder Computerbase. Einen aktuellen Virenscanner nutze ich auch, der sich auf den akutellstem Stand hält. Im Browser nutze ich auch Noscript und bin über aktuelle Gefahren wie z.b das CLickjacking, dass in Facebook die Runde macht gut und schnell informiert.

Von Systembeschleunigungs Tools halte ich mich schon lange fern, Erfahrung habe ich gesammelt und die waren nicht positiv.
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben