Wie oft blockt eure Firewall WAN-seitig ankommende Pakete?

[tiermutter]

Moin zusammen,

mich würde mal interessieren, wie oft eure Firewall Pakete blockt, die aus dem WAN kommen. Natürlich inkl. der default deny rule.
Mich würde dies für ipv6 und insbesondere für ipv4 interessieren, die Anschlussart (CGNAT/ öffentliche v4) ist dabei natürlich entscheidend.

Da ich hinter CGNAT sitze, kommt bei mir natürlich so gut wie nix auf ipv4 an, auf ipv6 ist es relativ wenig, da es halt auch weniger genutzt wird und schwieriger ist v6 Netze zu scannen.
Leider habe ich vor meiner CGNAT Zeit nie darauf geachtet, wie viel auf v4 geblockt wird.

Hintergrund ist der, dass ich als Failover LTE einsetze, hier aber ebenfalls hinter CGNAT sitze. Ich hatte mal testweise den APN umgestellt, sodass ich eine öffentliche v4 bekomme, da hatte meine Firewall aber gnadenlos zu tun. Sicherheitsbedenken habe ich dabei nicht, aber ich möchte natürlich auch nicht, dass die Firewall dauerhaft mit haufenweise Schrott beschäftigt ist. Daher frage ich mich, ob die unzähligen und nicht aufhörenden Anfragen bei ipv4 normal sind.

Cheers und einen frohen zweiten Festtag!

 

[Mavalok2]

"Wie blockt eure Firewall WAN-seitig ankommende Pakete?"
Du kummscht da ned rein!

Von zuhause kann ich Dir dies leider nicht sagen. Bei einer Fritte wüsste ich nicht wo dies zu suchen ist. Dazu habe ich hier nichts nach Außen offen. In der Firma geht es in die 100'000-ende. Nutzt Dir zum Vergleichen aber vermutlich wieder nichts.

 

[tiermutter]

Nutzt Dir zum Vergleichen aber vermutlich wieder nichts.

Schon, wenn Du noch verrätst ob das täglich oder monatlich ist Dann ist 100k+ schon eine Hausnummer...

Ich bin mit CGNAT halt den Luxus gewöhnt, dass kaum Anfragen ankommen und entsprechend auch nicht geblockt werden müssen...
Das sind bei mir so 0 bis 10 Anfragen am Tag, hauptsächlich v6, v4 ist da schon eine Rarität.

 

[-jody-]

In der Langzeitüberwachung einer Firewall, die am DSL-Anschluss hängt, habe ich im Schnitt mindestens 100 - 150 Sweep-Scans täglich, die sich aber aufgrund der "Durchführung" eher Scriptkiddies zuordnen lassen (da müsste man, jeden Port einzeln als zu blockendes Paket betrachten, was alleine schon einige zig-Tausend sind).

Anders sieht es jedoch mit den Angriffen auf VPN aus! Diese sind deutlich präziser und werden deutlich dezenter ausgeführt..

Wenn man die Summe der geblockten Pakete am Tag zusammenrechnet, kommt da ganz schön etwas zusammen! Eine sinnvolle Auswertung bekommt man da auch nur mit Scripten hin.
Wichtig ist, dass man potentielle "Trojaner-Ports", VPN-Ports und die ersten 1024 Ports im Auge behält (hier sollte man die FW so konfigurieren, dass sie einen Eintrag im Logbuch erzeugt ).
Gut ist auch, wenn man die Möglichkeit hat, seine FW regelmäßig von außen nach offenen Ports zu scannen! Das hilft bei einer Bedrohungsanalyse und beim Auffinden potentieller Sicherheitsrisiken im eigenen Netz

 

[tiermutter]

Was genau das für Anfragen sind, darum geht es mir zunächst ja noch nicht. Auf dem Interface würden auch nur drei VPN Server laufen dessen Ports nicht im Standardbereich liegen. Bei mir werden aktuell alles Blocks geloggt, ich kann es mir mit meinen paar geblockten Anfragen aber auch erlauben. Wenn das täglich aber in die Tausende geht kann ich das Loggen der default deny einstellen, da das Log sonst zu unübersichtlich wird und die FW zu viel mit loggen beschäftigt ist.
Ich frage mich halt nur, wie viele geblockte Anfragen bei einer öffentlichen v4 normal sind.

 

[rednag]

Wollte grad nachgucken, finde das aber in der Sophos UTM auf die schnelle nicht.

 

[tiermutter]

Wird man wahrscheinlich nur in den Logs sehen können... Grob zumindest, kenne mich mit sophos aber nicht aus...

 

[blurrrr]

Man könnte alternativ auch einfach in die entsprechenden Reports schauen...

Frage nach der "Normalität" der Anzahl der Pakete, hat sicherlich auch immer damit zu tun, welche Dienste nach aussen freigegeben sind (wirft ja auch keiner Steine gegen eine Wand, nur weil er dort ein Fenster vermutet). Allerdings muss man auch ein wenig differenzieren... So eine Fritzbox z.B. kann durchaus schon ein ziemlich ätzender Brüllaffe sein.

Insgesamt sieht das privat (wöchentliche Statistik) bei mir so aus: Von Firewall blockierte Pakete: 75.869

Vor der Firewall hängen alles noch 2 Router (2 Uplinks), wovon der eine nix freigegeben hat und das andere Ding ist eben die Fritzbox und dort sind auch nur VPN-Ports freigegeben. Muss man sich ja schon fragen, wie da jetzt 75.869 Pakete zusammenkommen... Die Lösung ist da (traurigerweise) doch recht einfach:

TOP10 der verworfenenen Quellhosts:

#1 ... wer hätte es gedacht... die "Fritzbox"... mit 50,37% (38.212 verworfenen Pakete)

Tjo, einfach "normale" Kommunikation wird es wohl nicht sein, da man sicherlich nicht soviel direkt mit der Fritzbox spricht, also schaut man nach und siehe da: IGMP ist der Übeltäter. Kurzum läuft es dann so, dass die Fritzbox ständig Meldungen an die 224.0.0.1 (Multicast) raushaut. Diese werden hier von der Firewall (WAN-seitig) natürlich verworfen (was auch richtig ist), sieht dann im Log wie folgt aus:

14:50:48 Standard-VERWERFEN IGMP 192.168.x.1 → 224.0.0.1

Da sowas auch öfters mal vorkommt, würde es sich ggf. auch mal anbieten, einfach mal speziell auf solche Dinge zu loggen, einfach um da mal ein Gefühl für zu kriegen, wie sich die Dinge im eigenen Netz eigentlich so verhalten (man hat sicherliches vieles auf dem Plan, aber sowas nicht unbedingt).



Das hier ist aber auch eher nur ein Szenario für Leute, die vor ihrer Firewall noch den SOHO-Router laufen haben (welcher dann mitunter ins lokale Netz brüllt). Ich hatte vor Ewigkeiten mal deswegen geschaut, aber anscheinend liess sich IGMP nicht abschalten, also war es mir dann auch kurzerhand egal. Wenn da alle paar Minuten mal ein Paket weggeschmissen wird ist das "in Summe" sowieso nicht so erheblich.

An einem anderen Standort sieht es etwas anders aus, da beläuft es sich auf über 1 Millionen Pakete pro Woche und da sitzt auch keine Fritzbox vor (also fällt das IGMP-Thema auch schon weg). Da sind es aber auch mehrere öffentliche IP-Adressen... Jetzt darf man natürlich wieder raten, wer in den TOP10 Platz 1 anführt... naja, die Welt schreit es ja eh schon, die bösen Russen wieder (TOP10 übrigens auch direkt 8/10 Plätzen belegt ). #1 bei den TOP10 verworfenen Diensten ist halt - wie immer - ... Telnet... scheint sich also noch immer gut zu lohnen...

Wollte grad nachgucken, finde das aber in der Sophos UTM auf die schnelle nicht.

...................direkt im Dashboad (die Seite die sofort nach dem Login kommt).... Jung, mach de Klüsen uff! ... und davon ab: Haben wir nicht mittlerweile etwas über "auf die schnelle" und "mal eben" gelernt?

EDIT: Ach, die "eigentliche" Antwort bin ich ja noch schuldig: Eigentlich kannste es ignorieren, "Grundrauschen" im Internet, wenn man so will. Stell mal POP3+SMTP offen ins Netz und fang mal an die Anmeldeversuche zu zählen... Sobald da eine handvoll Leute Wind davon bekommen haben, dass man schön dagegen ballern kann, fliegen Dir die Logs im Sekundentakt (oder weniger) mit Anmeldeversuchen um die Ohren (so richtig geht's dann zur Sache, wenn man dazu noch eine statische öffentliche IP hat). Kurzum: Sobald man etwas ins öffentliche Netz stellt, muss man auch damit rechnen, dass jemand vorbei schaut, frei nach dem Motto: Wer einen Kuchen auf's Fensterbrett stellt, muss auch damit rechnen, dass mal jemand zum naschen vorbei kommt

 

[UdoAA]

Frohe Weihnachten Euch allen!

Zum Thema:

Zum einen kann man unter

http://fritz.box/support.lua

auf der Fritzbox einen Paketmitschnitt starten, sowohl vom WAN kommend, als auch im LAN.
Hatte das mal vor ein paar Jahren gemacht, und da wurde schon einiges rausgefiltert, jedoch nicht besorngniserregend, merkbar war aber als source-IP Russland.

Interessanterweise habe ich an meiner Second-level Firewall schon beim normalen Surfen einige Paket-drops, da ich alle source-routed Pakete rausschmeisse und die Firewall auch ziemlich hart eingestellt habe, neben der Standard-Regel drop-from-anywhere. Offensichtlich läßt die Fritzbox da einiges durch.

 

[-jody-]

... frei nach dem Motto: Wer einen Kuchen auf's Fensterbrett stellt, muss auch damit rechnen, dass mal jemand zum naschen vorbei kommt

Diese Aussage kann ich bestätigen

Habe vor Jahren mal spaßeshalber einen FTP-Server für "Anonymous" ins Web gestellt...
Nach ca. 30 Minuten war der Internetzugang nicht mehr nutzbar, dafür hatte ich aber sehr interessante Dateien auf dem Server liegen!
Habe den Versuch dann sehr schnell abgebrochen (da ich zu dem Zeitpunkt schon nicht mehr der Admin auf dem Server war, musste ich hart trennen!)

 

[rednag]

Meine Sophos sagt mir:

Firewall:​

800 Pakete gefiltert​

 

[-jody-]

Meine Sophos sagt mir:

Also meine Firewall spricht nicht mit mir
... da muss ich alles selbst kontrollieren

 

[rednag]

Ist nur eine Sache der Erziehung.

 

[tiermutter]

Habe dann mal den selbstversuch gestartet:
Bei öffentlicher v4 auf dem LTE Interface (alle Ports dicht) habe ich etwa 500 Drops in 1,5h. Die Masse wird dabei von IP Blocklisten (Firehol) abgefangen, dann greifen die GeoIP und nur selten die default deny, aber das nur am Rande. Meine CPU war vorher im Schnitt zu 6% ausgelastet, nun sind es 16%, wovon sicherlich auch etwas aufs Logging fällt, was ich noch abstellen muss.

Ich denke damit kann man leben und sieht für mich so aus als wäre das üblich bei einer öffentlichen v4.