Computerbeveiliging - Hoe je bad guys buiten de deur houdt

poorten 22, 23 en 1433 massaal gescand

23-06-2017, 12:21 door Anoniem, 16 reacties
Ik zit zo eens naar mijn firewall te kijken en zie dat minstens 95% van de poortscans op de poorten 22, 23 en 1433 plaats vinden.

Nu gebruik ik zelf deze poorten sowieso al niet en ik neem aan dat iedereen die een server heeft draaien ook wel weet dat je deze poorten niet moet gebruiken of op zijn minst daar een alternatieve poort voor in moet stellen.

Maar gezien het werkelijk gigantische aantal aanvallen op deze poorten begin ik me toch af te vragen of het voor hackers de moeite loont om deze poorten te scannen?

Of is het gewoon domheid van de hackers, want als het niet de moeite loont dan kan je je toch beter op een ander soort aanval richten dan om hier nog resources voor in te zetten?

Ten aanzien van goedbedoelde adviezen: Ja ik weet dat ik de alerts uit kan zetten, maar ik was gewoon nieuwsgierig.
Reacties (16)
23-06-2017, 13:48 door Anoniem
Wat verwacht je nou anders dan een goedbedoeld advies?
Ik bedoel, je geeft een gigantische trap tegen een open deur.
23-06-2017, 14:12 door Anoniem
Dat zijn bots die het internet afstruinen en indien er open poorten gevonden zijn proberen in te loggen met een aantal standaard accounts. Als dat is gelukt proberen ze miningsoftware te installeren.

Alles voor de cryptocurrency. ;)

1433 is gewoon het leeghengelen van slecht beveiligde databases in de hoop CC-nummers te vinden. Ook weer via bots.
Want als 1433 open staat is waarschijnlijk de content van de database ook slecht beveiligd.

Heb niet de illusie dat er actief hackers mee bezig zijn. Wellicht dat 1% dat wel is.
23-06-2017, 14:56 door Tubamaniak
What's in a port ? 23 gebruiken aan de buitenkant van je netwerk is niet handig, want telnet gaat in plain-text. 22 ssh is keurig versleuteld. Binnen je netwerk is die prima te gebruiken en zeker wanneer je het gebruik koppelt aan een goede authenticatie server. Gebruik je 22 richting internet dan kun je gebruik van die poort natuurlijk redelijk goed bepalen middels access-lists op basis van poort, ip source, username enz.
Want is het risico met elk van de mogelijk 65500 poorten niet zo ongeveer hetzelfde wanneer je een service richting internet beschikbaar stelt ?
Je moet gewoon je beveiliging goed regelen. Anders kan er niets meer en is een air-gap je uiteindelijke alternatief.....
23-06-2017, 15:51 door Anoniem
Door Anoniem: Ik zit zo eens naar mijn firewall te kijken en zie dat minstens 95% van de poortscans op de poorten 22, 23 en 1433 plaats vinden.

Maar gezien het werkelijk gigantische aantal aanvallen op deze poorten begin ik me toch af te vragen of het voor hackers de moeite loont om deze poorten te scannen?

Ik geloof dat ik mijn vraag anders had moeten formuleren: Waar ik erg nieuwsgierig naar ben is of iemand is die er enig idee van heeft hoeveel % van dit soort aanvallen werkelijk succesvol zijn en/of er wellicht sites zijn waar dit soort zaken worden bijhouden. En daar bedoel ik geen sites mee zoals speedguide.net die de aantal aanvallen op een bepaalde poort wel bijhouden, maar niets zeggen over het percentage aanvallen dat succesvol is.

Ook dat het voornamelijk om botnets zou gaan heb ik zo mijn twijfels over. Een botnet bestaat in het algemeen immers al uit gehackte computers. Waarom zou je die computers dan nog inzetten voor iets wat nauwelijks loont (mocht de kans op succes inderdaad klein zijn). Die processing power kan je dan beter gebruiken voor cryptomining lijkt mij zo.

Daarnaast zie ik toch ook vrij duidelijk een golf van aanvallen uit landen waar het op een bepaald moment avond of nacht is en het lijkt mij niet dat een botnet er zich daar iets van aantrekt.
23-06-2017, 22:39 door Anoniem
Door Anoniem:Ik geloof dat ik mijn vraag anders had moeten formuleren: Waar ik erg nieuwsgierig naar ben is of iemand is die er enig idee van heeft hoeveel % van dit soort aanvallen werkelijk succesvol zijn en/of er wellicht sites zijn waar dit soort zaken worden bijhouden.
Alleen de aanvallers kunnen dat weten. Als ze al statistiekjes bij houden dan zal je die niet snel vinden. Tenzij die graag aandacht op hun illegale activiteiten vestigen.

Ook dat het voornamelijk om botnets zou gaan heb ik zo mijn twijfels over. Een botnet bestaat in het algemeen immers al uit gehackte computers. Waarom zou je die computers dan nog inzetten voor iets wat nauwelijks loont (mocht de kans op succes inderdaad klein zijn). Die processing power kan je dan beter gebruiken voor cryptomining lijkt mij zo.
Omdat niet alle aanvallers dezelfde interesse of vaardigheid hebben. Misschien maken ze wel meer winst met spam versturen, ransomware of wat anders crimineels. Met minen blijven er ook weinig andere resources over. Je schrijft het zelf al, het botnet is een hulpmiddel.

Daarnaast zie ik toch ook vrij duidelijk een golf van aanvallen uit landen waar het op een bepaald moment avond of nacht is en het lijkt mij niet dat een botnet er zich daar iets van aantrekt.
Misschien wil je het artikel over die kwetsbare routers van een privider die alleen in select gebied actief is nog eens naast je redenatie houden. Succesvol zijn hangt bijvoorbeeld van de verspreiding van slecht beveiligde producten af. Of de taal van een mailtje met een virus.
24-06-2017, 01:06 door [Account Verwijderd]
Nu gebruik ik zelf deze poorten sowieso al niet en ik neem aan dat iedereen die een server heeft draaien ook wel weet dat je deze poorten niet moet gebruiken of op zijn minst daar een alternatieve poort voor in moet stellen.

Security by obscurity helpt echt niet; een RDP server op een andere poort natten, of je SQL server op poort 1435 draaien geeft wel minder pogingen, maar die pogingen die daadwerkelijk op die poorten worden uitgevoerd zijn normaal gesproken "more sophisticated".

Ik ben het dus niet eens met je stelling; je vraag vloeit uit je stelling, mijn antwoord hierboven.
Het is heel goedkoop om standaard poorten uit te vragen (weinig tot geen moeite); een klein percentage van honderduizenden pogingen is nog steeds een fijn aantal. Maar je servers op een andere poort patten/natten maakt je niet veiliger !
24-06-2017, 06:40 door Anoniem
Persoonlijk vind ik die massale botnet scans op de bekende poorten helemaal niet interesant. Zelf kijk ik meer veel belangstelling naar de kleinere / onbekende scans. Lange tijd kwamen er op mijn firewall GRE scans voorbij op meerdere poorten, na het opzetten van een honeypot met GRE zag ik geen echte inlog pogingen. De vraag is dan, wat zoeken ze dan wel?

Zelfde met de SOL, het Intel ATM verhaal, mijn firewall heeft geen mogelijkheid om Serial Over LAN te herkennen, wat gaat er nog meer over mijn internet verbinding waar ik het bestaan niet van weet?
24-06-2017, 07:40 door [Account Verwijderd]
Door Anoniem:
Door Anoniem: Ik zit zo eens naar mijn firewall te kijken en zie dat minstens 95% van de poortscans op de poorten 22, 23 en 1433 plaats vinden.

Maar gezien het werkelijk gigantische aantal aanvallen op deze poorten begin ik me toch af te vragen of het voor hackers de moeite loont om deze poorten te scannen?

Ik geloof dat ik mijn vraag anders had moeten formuleren: Waar ik erg nieuwsgierig naar ben is of iemand is die er enig idee van heeft hoeveel % van dit soort aanvallen werkelijk succesvol zijn en/of er wellicht sites zijn waar dit soort zaken worden bijhouden. En daar bedoel ik geen sites mee zoals speedguide.net die de aantal aanvallen op een bepaalde poort wel bijhouden, maar niets zeggen over het percentage aanvallen dat succesvol is.

Ook dat het voornamelijk om botnets zou gaan heb ik zo mijn twijfels over. Een botnet bestaat in het algemeen immers al uit gehackte computers. Waarom zou je die computers dan nog inzetten voor iets wat nauwelijks loont (mocht de kans op succes inderdaad klein zijn). Die processing power kan je dan beter gebruiken voor cryptomining lijkt mij zo.

Daarnaast zie ik toch ook vrij duidelijk een golf van aanvallen uit landen waar het op een bepaald moment avond of nacht is en het lijkt mij niet dat een botnet er zich daar iets van aantrekt.

Ik volg deze discussie met verhoogde belangstelling.

Je kunt je afvragen wat voor type persoon bots maakt. Waarom kiest iemand voor een bestaan in de misdaad? Maar vooral: wat is nu het intellectuele inzicht van een crimineel? Niet supergroot.

Mogelijk een computerprogrammeur die aan de hard-drugs is geraakt? De hersenen van zo iemand takelen langzaam af.

Of 'onder dwang' moeten werken om een schuld af te dokken aan een maffiabaas?

Een cybercrimineel maakt ook fouten lijkt me en de totale intentie ervan is gewoon dom.
24-06-2017, 10:40 door Anoniem
Door NedFox:
Nu gebruik ik zelf deze poorten sowieso al niet en ik neem aan dat iedereen die een server heeft draaien ook wel weet dat je deze poorten niet moet gebruiken of op zijn minst daar een alternatieve poort voor in moet stellen.

Security by obscurity helpt echt niet; een RDP server op een andere poort natten, of je SQL server op poort 1435 draaien geeft wel minder pogingen, maar die pogingen die daadwerkelijk op die poorten worden uitgevoerd zijn normaal gesproken "more sophisticated".

Ik ben het dus niet eens met je stelling; je vraag vloeit uit je stelling, mijn antwoord hierboven.
Het is heel goedkoop om standaard poorten uit te vragen (weinig tot geen moeite); een klein percentage van honderduizenden pogingen is nog steeds een fijn aantal. Maar je servers op een andere poort patten/natten maakt je niet veiliger !

Uiteraard is alleen "Security bij Obscurity" niet voldoende om je systemen tegen aanvallen te beschermen.
Desondanks heeft het wel degelijk zin om de meest aangevallen poorten, zoals bijvoorbeeld poort 22, naar een andere poort om te zetten.
Dit omdat 99,9% van de aanvallers, na aan een bepaalde poort gerammeld te hebben, verder gaan met het volgende ip adres omdat het voor hen veel makkelijker is om te kijken of bij het volgende ip adres die poort toevallig wel open staat.
Ik zelf (maar ik werk dan ook niet voor bekende organisaties) heb het nog nooit meegemaakt dat een aanvaller, na te hebben geconstateerd dat een poort dicht stond, met bijvoorbeeld een nmap scan mijn systemen nader onder de loep nam. Laat staan dat daarna nog een serieuze poging werd ondernomen om mijn systemen te hacken.

Wat in feite betekent dat als je de meest aangevallen poorten in je systeem achter een ander poortnummer "verstopt" je daarmee al gauw 99% van alle aanvallen op je systeem elimineert. Vandaar dat ik zo nieuwsgierig ben naar de succes rate van de aanvallen.
Maar je moet daar natuurlijk niet alleen op vertrouwen. Zo is bijvoorbeeld naast het gebruik van bijvoorbeeld "snort" mijn ook nog eens "verstopte" poort 22 alleen toegankelijk met key-based ssh en dan nog alleen vanaf een bepaald ip adres.

En dat, zoals een van de andere reacties hier stelde, dat alleen aanvallers deze succes rate zouden weten is volstrekte onzin. Zo zie ik dat bijvoorbeeld ook veel onderzoeks en beveiligings instituten aan mijn poorten rammelen om te zien of die soms open staan. En die krijgen daardoor wel degelijk een goed inzicht in de succes rate van de aanvallen. Jammer genoeg zijn dat steeds commerciële organisaties die dat soort gegevens alleen aan hun eigen klanten ter beschikking stellen. Maar wellicht weet iemand hier een adres waar dat soort gegevens wel vrij toegankelijk is.
24-06-2017, 13:32 door Tha Cleaner
Door NedFox:
Nu gebruik ik zelf deze poorten sowieso al niet en ik neem aan dat iedereen die een server heeft draaien ook wel weet dat je deze poorten niet moet gebruiken of op zijn minst daar een alternatieve poort voor in moet stellen.

Security by obscurity helpt echt niet; een RDP server op een andere poort natten, of je SQL server op poort 1435 draaien geeft wel minder pogingen, maar die pogingen die daadwerkelijk op die poorten worden uitgevoerd zijn normaal gesproken "more sophisticated".
Ben ik niet helemaal met je uit. Je stopt wel 90% van de scans er mee. Juist de scriptkiddies. Als iemand echt kwaad wil, zal een volledige scan van je IP uitvoeren, en komt die zo achter de alternatieve port. Maar de meeste scans zullen dit niet doen.

Het is zeker niet voldoende om alleen op een andere port te luisteren, je moet meer aan veiligheid/hardening doen. Maar de eerste indruk zal zijn, de (voor)deur is dicht, of die op slot zit dat is een tweede.
24-06-2017, 14:40 door Anoniem
Door Anoniem:

Maar gezien het werkelijk gigantische aantal aanvallen op deze poorten begin ik me toch af te vragen of het voor hackers de moeite loont om deze poorten te scannen?

Of is het gewoon domheid van de hackers, want als het niet de moeite loont dan kan je je toch beter op een ander soort aanval richten dan om hier nog resources voor in te zetten?

Er zijn , ruim gezien ca 4*10^9 IPv4 adressen.
Als je leest over (grote) botnets kom je aantallen van honderdduizenden (10^5) tot miljoenen (10^6) tegen.

Dan kun je de succeskans per IP schatten als 1/4000 tot 1/40.000 .

Maar een scan van "het hele internet" kost gewoon erg weinig in resources (cpu, netwerk)- en nog minder als je de resources toch al gestolen hebt.

Kortom - erg weinig moeite en genoeg beloond om het te blijven doen - je botnet moet je ook bijhouden om weggevallen bots weer te vervangen.
25-06-2017, 08:51 door mcb
Door Tha Cleaner:
Door NedFox:
Nu gebruik ik zelf deze poorten sowieso al niet en ik neem aan dat iedereen die een server heeft draaien ook wel weet dat je deze poorten niet moet gebruiken of op zijn minst daar een alternatieve poort voor in moet stellen.

Security by obscurity helpt echt niet; een RDP server op een andere poort natten, of je SQL server op poort 1435 draaien geeft wel minder pogingen, maar die pogingen die daadwerkelijk op die poorten worden uitgevoerd zijn normaal gesproken "more sophisticated".
Ben ik niet helemaal met je uit. Je stopt wel 90% van de scans er mee. Juist de scriptkiddies. Als iemand echt kwaad wil, zal een volledige scan van je IP uitvoeren, en komt die zo achter de alternatieve port. Maar de meeste scans zullen dit niet doen.
Inderdaad.
Daar komt bij dat mijn hostingprovider (ik huur een VPS) massale poortscans af vangt. (kleinschalige poortscans worden wel doorgelaten)
De alternatieve poorten die ik heb ingesteld worden volgens mijn logs niet gescand, alleen de "standaard" poorten.
25-06-2017, 20:09 door [Account Verwijderd]
Door Tha Cleaner:
Door NedFox:
Nu gebruik ik zelf deze poorten sowieso al niet en ik neem aan dat iedereen die een server heeft draaien ook wel weet dat je deze poorten niet moet gebruiken of op zijn minst daar een alternatieve poort voor in moet stellen.

Security by obscurity helpt echt niet; een RDP server op een andere poort natten, of je SQL server op poort 1435 draaien geeft wel minder pogingen, maar die pogingen die daadwerkelijk op die poorten worden uitgevoerd zijn normaal gesproken "more sophisticated".
Ben ik niet helemaal met je uit. Je stopt wel 90% van de scans er mee. Juist de scriptkiddies. Als iemand echt kwaad wil, zal een volledige scan van je IP uitvoeren, en komt die zo achter de alternatieve port. Maar de meeste scans zullen dit niet doen.

Het is zeker niet voldoende om alleen op een andere port te luisteren, je moet meer aan veiligheid/hardening doen. Maar de eerste indruk zal zijn, de (voor)deur is dicht, of die op slot zit dat is een tweede.

Even voor de duidelijkheid : Security through obscurity werkt niet. 90% van de aanvallen tegenhouden helpt niet. Het is een schijnveiligheid.
Ja, je stopt 90% van de scans, maar wat zegt dat?

Verdiep je maar eens in de materie : https://nl.wikipedia.org/wiki/Security_through_obscurity
26-06-2017, 01:25 door Anoniem

Even voor de duidelijkheid : Security through obscuriteit werkt niet. 90% van de aanvallen tegenhouden helpt niet. Het is een schijnveiligheid.
Ja, je stopt 90% van de scans, maar wat zegt dat?

Verdiep je maar eens in de materie : https://nl.wikipedia.org/wiki/Security_through_obscurity

Doe nou niet net of je zo veel van security af weet. Security through obscuriteit werkt wel degelijk. Zij het slechts ten dele.

Een van de eerste dingen die je leert als je je met security bezig houdt is immers dat het onmogelijk is iets 100% waterdicht te beveiligen. Alles, maar dan ook werkelijk alles valt uiteindelijk te kraken. Als je er maar voldoende moeite voor doet. En daar zit hem nou net de kneep.

Waar het werkelijk om gaat is dat je een dusdanige drempel opwerpt dat het voor een aanvaller (mogelijk) te behalen voordeel niet opweegt tegen de inspanning die daar voor moet worden verricht.

Met andere woorden; als je vermoed dat er hooguit €100 in een zwaar beveiligde kluis zit, dan doe je toch geen moeite meer om urenlang bezig te zijn met het openbreken van die kluis als er de kans bestaat dat dat briefje van €100 bij je buurman toevallig gewoon op tafel ligt.

En daar is die meer dan 90% van de hackers die na de eerste inbraakpoging afhaken en naar het volgende ip adres gaan een prachtig voorbeeld van. Met alleen al Security through obscuriteit heb je in ieder geval al ruim 90% van de aanvallen afgeslagen.

Bedenk maar eens wat er was gebeurd als je poort 22 niet had verstopt maar door bijvoorbeeld een stomme configuratiefout poort 22 nagenoeg onbeschermd had gelaten?

Dat is mij wel eens overkomen doordat ik dacht dat ik poort 22 alleen vanaf de LAN kant (van mijn dedicated firewall machine) benaderbaar had gemaakt en daarom van een simpel wachtwoord had voorzien en ook niet had verstopt terwijl naderhand bleek dat poort 22 ook vanaf de WAN kant benaderbaar was. Daarom stel ik sindsdien standaard alle kritische poorten op een ander poortnummer in. Niet als "de" beveiliging waar ik volledig op vertrouw, maar alleen als extra beveiligingslaag.

Want zoals ik al aangaf: "Security through obscuriteit" alleen is absoluut onvoldoende om je systeem in afdoende mate te beschermen. En dat is er weer van afhankelijk hoe hoog de drempel is die je op wil werpen om te voorkomen dat iemand je systeem binnen kan dringen. Er is immers niets dat zegt dat dat niet meerdere verschillende drempels van verschillende soorten en verschillende hoogte mogen zijn.
26-06-2017, 11:17 door Tha Cleaner
Door NedFox:
Even voor de duidelijkheid : Security through obscurity werkt niet. 90% van de aanvallen tegenhouden helpt niet. Het is een schijnveiligheid.
Ja, je stopt 90% van de scans, maar wat zegt dat?

Verdiep je maar eens in de materie : https://nl.wikipedia.org/wiki/Security_through_obscurity
Dus met een hele kleine gemakkelijke aanpassing, kan ik 90% van de scans tegenhouden? Waarna ik mij alleen nog maar op de 10% hoef te focusen? Ik zeg juist een hele goede EXTRA beveiliging.
Dat het niet voldoende is, dat is een zekerheid, zoals ik ook al meld.

En wat die 90% zegt? Is dat die personen mij server op die port verder met rust laten, en ik mij om die 90% geen zorgen meer hoeft te maken. Ze gaan mij voordeur voorbij, waarbij ik alleen maar de deur voor heb hoeven dicht doen. Of de deur nu verder op slot staat of niet, dat maakt niet uit (maar is natuurlijk nog steeds noodzakelijk).

Dus voor een quick line of defense, is dit gewoon een hele goedkope en gemakkelijk oplossing, maar dit alleen zeker niet voldoende.
26-06-2017, 14:35 door Anoniem
Door Tha Cleaner:
Dus voor een quick line of defense, is dit gewoon een hele goedkope en gemakkelijk oplossing, maar dit alleen zeker niet voldoende.
Geoblock erop / erbij en je vangt 99,999% af
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.