Es gehen mal wieder Portscans rum!

Hinweis: Nach dem 31.12.2025 ist eine Registrierung nicht mehr möglich, nutze die verbleibenden Tage!

    Hallo, Leute!

    Ich habe die letzten Tage verstärkt Meldungen der QuFirewall bekommen: Schwellwert für die Alarmmeldung erreicht (30). Dieses wurde durch Portscans ausgelöst. Ich habe den Ursprung der Portscans mal etwas analysiert. Gescannt wurde meine IPv6 Adresse (alle Ports geschlossen)! Die Quelladressen befanden sich (laut RIPE) in at (Österreich), eu (Europäische Union), ie (Irland) und de (Deutschland). Das sind noch nicht alle Quelladressen. Auffällig war, dass keine Adressen aus Übersee dabei sind - alles EU. Es wurde geprüft, ob Port 80 und 443 geöffnet sind. Hat Putin:/ vielleicht einige Router,NAS,IoT u.s.w. kapern lassen, um neue Malware zu verteilen?


    Also, wer es nötig hat:

    Holzauge sei wachsam!

    Ich hab keine fixe IP/Präfix. Diese ändern sich jede Nacht! Für IPv6 sind Portscans eine neue Qualität..

    Möglich das IPv6 jetzt von Diensten wie Shodan eingesetzt/angeboten wird, das würde dann den Traffic antreiben. Irgendwer wird sich halt denken daß sich das lohnt.

    Ich hab das schon richtig verstanden, er hat in der Qufirewall die Ports alle geschlossen, trotzdem kommen die Portscans aus dem Internet direkt auf dem NAS, also der QuFirewall an.

    Und das ist bei der genrellen Qualität der QNAP Software schon ziemlich mutig.

    Ich habe ein komplettes Backup des NAS. Die Ports sind in der Firewall gesperrt. Sie werden nur kurz geöffnet, wenn das Lets Encrypt Zertifikat erneuert werden muss.

    Übrigens: Ich betreibe mein NAS schon seit dem Erscheinen des TS-464 mit dieser Konfiguration. Bis jetzt ging es gut.

    Der nächste Kommentar ist bestimmt: Glück gehabt! :)


    PS: habe gerade noch einen Scan von 2602:80d:: bekommen. Laut RIPE: Internet Assigned Numbers Authority.

    Dort ist diese Anmerkung zu finden:

    • Anmerkungen: Dieses Netzwerk ist nicht zugeordnet. Dieses Objekt dient der Konsistenz der Datenbank und um hierarchische Berechtigungsprüfungen zu ermöglichen.

    Was muss man sich darunter vorstellen?

    3 Mal editiert, zuletzt von q.tip () aus folgendem Grund: Ein Beitrag von q.tip mit diesem Beitrag zusammengefügt.

    Das mit den port scans ist scheinbar nichts neues … aber ipv6?

    Wenn nur irgendwie möglich schalte ich das ipv6 Zeug wenn geht ab

    Wird nur selten gebraucht … aber wenns sein muss … ja gerne aber kurz

    Das wollte ich erreichen. Die Aufmerksamkeit der NAS Betreiber schärfen. IPv6 Portscans sind zumindest mir neu.

    Eines verstehe ich jetzt wirklich nicht:


    Wie kommt ein IPv6-Scan durch einen Router an einem Gerät an, das sensible/persönliche Daten enthalten kann, deren Kompromittierung schnell mal den Verlust der wirtschaftlichen Existenz bedeuten könnte, mindestens aber erheblichen Zeitaufwand und damit auch Kosten bedeutet?


    Tip 1: Netzwerkkarten lassen es zu, daß Protokolle wie IPv6 und Co deaktiviert werden.

    Tip 2: Router lassen es zu, daß im LAN nur IPv4 gesprochen wird. Das gilt auch für WAN.

    Tip 3: Router lassen auch zu, daß WAN-seitig nicht geschwatzt wird.

    ---

    Es gibt natürlich auch alte Router wie z.B. den WZR-1166DHP :)

    Aber selbst der hat schon Häkchen, um IPv6-Pass Through, UPnP und übles Gedöns zu unterbinden, und auch sonst noch viele nützliche Funktionen wie MAC-Filter uswusf. Leider nicht mehr neu erhältlich ;)


    Dafür sind die Manuals eines Mikrotik schnell mal 1000 Seiten dick, was auch nicht wirklich lustig ist ... aber einen Tod muß man immer sterben, auch mit einer Fritz. Aber Gedanken über sein Netzwerk sollte man sich schon im eigenen Interesse machen, auch wenn es "rtfm" bedeutet.

    Warum sollte ich 2025, bald 2025 auf IPv6 verzichten?

    Ja mag sein, wird jetzt auch gescannt, aber die Angriffe auf IPv4 schlagen genauso durch wenn der Port offen ist.

    Da hilft auch kein NAT, das übersetzt nur und schützt nicht.


    Und viele neue Anschlüsse sind IPv6 only, für v4 trittst du dir hier nen Tunne v4 over v6 ein und noch mal CGNAT.

    Dann doch lieber gleich sauber mit v6 direkt zum Ziel.

    Es ging darum, daß zugelassen wird, daß auf IPv4 betriebene Geräte per IPv6 gescannt werden können. Und das lässt sich sehr wohl unterbinden. Zu offenen Ports zum WAN ist hier schon ellenlang geschrieben worden, auch zu den dann sinnvollerweise zu treffenden Maßnahmen wie VPN etc.

    Persönlich ist es mir herzlich egal wie andere ihre Nas exponieren, aber restlos.

    NAT bei IPv4 ja.

    Aber bei IPv6 gibt's ja kein NAT mehr.... wenn der Angreifer in irgendeinerweise die IPv6 Adresse rausbekommt kann er direkt den Host scannen.


    Wenn er die IPv6 Adresse nicht kennt, kann er nur zufällig scannen und hoffen was zu finden. Da ja kein NAT bei IPv6, eben zufallstreffer dann im Lan.


    Oder hab ich da was falsch verstanden ?

    Ich spekuliere mal:

    Router nur mit IPv6 angebunden, hat also seine unique Adresse.

    Dieser Router setzt intern die Anfragen seiner Clients in IPv4 auf seine IPv6 um und sendet sie als eigene Anfrage ab.

    Er bekommt eine Antwort und sendet sie intransparent an seinen IPv4 Clienten ab.

    Der Router aktioniert also nur als exposed Host, das dahinter hat er zu verbergen.

    Wenn er das nicht kann, dann ist er kein Router, dann ist er unbrauchbar.


    Und dann schalte ich mich auch per Switch direkt vor den Router und traktiere das Ding bis es kotzt, oder auch nicht :)

    Ein QNAP bekäme von mir niemals direkten Netzzugang, weder stateful noch stateless. Ist geblockt, da eindeutig unzuverlässig. Ein Gerät, das trotz verweigerter Kommunikationsaufnahme diese durchführen will, ist auf IP und MAC zu blocken, ganz einfach. Da haben die Chinesen Probleme mit dem Vertrauen, ganz einfach. Und das überprüfe ich penibel, bevor so ein Gerät auch nur in die Nähe eines Internetzugangs kommt. Ich sehe dann nur eine Meldung im Syslog ... und schmunzel mir eins.


    Bei mir kommt kein IPv6 an, auch wenn die Fritz, die mir Internet im Mesh ermöglicht, auch IPv6 aktiviert hat. Es interessiert meine Infrastruktur einfach nicht!

    Zitat von NightStalk3r

    Wenn er die IPv6 Adresse nicht kennt, kann er nur zufällig scannen und hoffen was zu finden. Da ja kein NAT bei IPv6, eben zufallstreffer dann im Lan.

    Oder er kennt deinen Domainnamen - dann findet ein Angreifer dich immer wieder...


    Matselm. Ein Router - in meinem Fall eine FritzBox - kann NICHT IPv4 in IPv6 oder umgekehrt "übersetzen". Das übernehmen NAT64-Gateways der Internetprovider im öffentlichen Netz! ;)

    Einmal editiert, zuletzt von q.tip ()

    Zitat von q.tip

    Oder er kennt deinen Domainnamen - dann findet ein Angreifer dich immer wieder...

    meinst du vielleicht "https://qlink.to/nas-org"


    ipv4.providerdomain.toplevel und die ip wechselt ständig


    zusätzlich lässt sich auch eine router vpn aktivieren

    aber nicht glauben das eine vpn schützt

    ist der vpn extern bekannt lässt sich der host scannen und vielleicht mit csfr und ähnlichen zeug traktieren

    Zitat von q.tip

    Matselm. Ein Router - in meinem Fall eine FritzBox - kann NICHT IPv4 in IPv6 oder umgekehrt "übersetzen". Das übernehmen NAT64-Gateways der Internetprovider im öffentlichen Netz! ;)

    Sei mir nicht böse, aber imho hast Du die Problematik überhaupt nicht verstanden.

    Es ist reichlich Wurst, ob die Fritz per IPv4 oder IPv6 am WAN hängt; entscheidend ist, daß ein IPv6 Scan auf Deinem NAS im LAN einschlägt, das angeblich nur über IPv4 kommuniziert.

    Einen Webserver richtet man bei einem Provider oder in einer DMZ ein, aber niemals! exponiert man ein NAS als Server im WAN.


    Und selbstverständlich kann eine per IPv6 angebundene Fritz intern ein IPv4-Netz aufspannen.


    Aber mach einfach, was Dir so einfällt ...