Follow

Hatte kurz Panik, weil die Telekom mir gemailt hat, ich hätte nen Telnet Port public offen. Hab dann den C't Netzwerkscan laufen lassen, und da haben sich außerdem noch HTTP, FTP und Mail gefunden.

War dann ein wenig verwirrt und konnte mir nicht erklären, wieso das überhaupt läuft und wieso meine FW das nicht blockiert.

... bis ich entdeckt habe, dass ich ja noch den Turris Sentinel Honeypot laufen habe und der sich die Löcher in der FW automatisch schießt :D

... jetzt ergibt alles Sinn.

@thomas Die Telecom schreibt wegen offenen Ports? Unglaublich.
@thomas Würde mich eher irritieren, wenn mein Provider die Ports scannt...

@Hiker macht nicht die Telekom, sondern das CERT-Bund. Telekom meldet nur weiter. Machen wir genauso. Bis zur Deaktivierung des Anschlusses, wenn keine Reaktion folgt.

@Commander1024 Steht sowas in den AGB? In der Schweiz wohl kaum.

@Hiker keine Ahnung. Vermutlich. Aber das BSI hat dafür keinen Auftrag, die machen einfach. Was bei telnet oder ungepatchten Exchanges im Zweifel nur für den Kunden doof ist, wenn lokale Systeme kompromittiert werden, ist bei Diensten die als DDoS Hebel missbraucht werden, machen wir das schon allein aus Selbstschutz.

@Commander1024 Und wenn du für eine Anwendung ein "exotisches" Port offen hast, bekommst du Post? Ach.

@Hiker nö. Aber wenn abusive Traffic festgestellt wird, dann meldet sich der Kunde bei uns wegen einer "Störung"

@Hiker ne, ist eher Positiv da kriminelle sowas auch machen und dadurch versehentlich geöffnete Ports geschlossen werden können. gab nicht wenig Router z.B. welche aufgrund von Sicherheitslücken und veralteter Software Angriffsflache mit geöffneten Ports bieten. @thomas

@Hughenknubbel Das 0815 Argument - Bequemlichkeit und Sicherheit... Oh je. @thomas

@Hiker Portscans sind ja jetzt nichts ungewöhnliches. Da sehe ich wirklich absolut kein Problem. Wurde auch schon öftes durch einen Portscan auf ein Sicherheitsproblem bei meinem Server aufmerksam gemacht. Prinzipiell finde ich sowas gut. @thomas

@Hiker @Hughenknubbel @thomas Was sollte denn daran ein Problem sein? Wenn du nicht willst, dass man deinen Port scannen kann, musst du halt VPN oder TOR nutzen. Ports, die du offen im Netz hast, sind nur mal öffentlich und nicht privat.

@bionade24 dir bringt da weder TOR nor ein VPN etwas. Die Ports werden am heimischen Router gescannt.
Da das ganze öffentliches Internet ist, ist daran weder etwas verwerfliches noch sehe ich da Gar kein Problem.
ein VPN bringt meiner Meinung nach eh noch mehr Privacy Probleme mit sich als er sie löst. @Hiker @thomas

@Hughenknubbel @Hiker @thomas Wenn du Dienst nur über VPN oder TOR aufmachst, ist nur der VPN/TOR Dienst sichtbar, an alle darin getunnelten Dienste kann man von außerhalb nicht anklopfen. Oder verstehe ich gerade etwas falsch?

@bionade24 Ja, es macht einfach keinen sinn einen Dienst über einen VPN ins öffentliche Netz zu leiten. Dann kommst du von außen ja nicht drauf, was eben gewollt ist. und dein Port ist dann eben bei einem VPN Anbieter und nicht mehr bei dir.

@Hughenknubbel Ich meinte hier eben keinen VPN Anbieter sondern ein eigenes. Wenn ich $service nur für mich privat nutze, kann der auch nur über ein privates VPN erreichbar sein, in dem alle meine Geräte drin sind. Z.B hab ich nur einen unbound laufen in meinem Wiregaurd Netz und alle Geräte hängen sich da rein, das BSI siehts nicht und lässt mich in Ruhe.

@bionade24 achso. du gehst von außen in dein Netz mittels eines VPN rein. Ja, das geht natütlich. Da sieht man auch nur den offenen VPN Port.

@bionade24 Es geht weniger darum, das ich das nicht will, vielmehr um mein Erstaunen, dass dies gemacht und gemeldet wird. @Hughenknubbel @thomas

@Hiker @thomas @Hughenknubbel Afaik hat das BSI nachdem haufenweise DNS-Server gehackt und in Bot-Armeen aufgenommen wurden damit angefangen, nach infoffiziellen UDP-DNS Servern zu suchen und die vom Netz zu bekommen, um ein weiteren Fall großer Botnetze zu vermeiden.

@thomas hmm. Bei mir ist Port 22 seit jahren offen und da hat sich noch keiner gemeldet :D Das ist aber absicht^^

@Hughenknubbel die prüfen wohl auch nicht auf alles. HTTP und SSH sind da wohl zum Beispiel Ausnahmen. Oder auch exotischere, wie 1194 oder so.

Aber telnet steht bei denen zurecht auf der roten Liste ;)

@thomas ich hatte mit Telnet tatsächlich noch nie zutun^^ kenne da noch nichtmal den unterschied zu SSH^^

@Hughenknubbel Telnet ist im Prinzip ähnlich zu SSH, aber unverschlüsselt und absolut antik :D

Es gibt keinen vernünftigen Grund, das noch einzusetzen. Außer vllt, wiel man ein maximal einfaches Protokoll braucht.

@thomas hmm. Ich habe Telnet bisher nur ab und an gebraucht um zu schauen ob dienst XY durch die Firewall erreichbar ist :D
Lese auch gerade das es unverschlüsselt ist. aber Prinzipiell sehe ich da ahnliche Angriffsmoglichkeiten wie uber SSH. MITM Angriffe sind doch in der Praxis eher selten oder?

@thomas und was sagt die Telekom zu Deiner Antwort "äh ja, das ist mein Honeypot"?

@lebochequirit sie haben nicht um Rückmeldung gebeten, sondern bieten nur an, dass man sich bei Fragen an sie wendet.

Vermutlich haben sie das aber nicht so gerne, dass man Honeypots betreibt. Dann müssten sie einen Weg finden, die Fehlalarme bei sich als Ausnahmen zu deklarieren, und ich will gar nicht wissen,wodas überallhinführt :D

Sign in to participate in the conversation
\m/ Metalhead.club \m/

Metalhead.club is a Mastodon instance hosted in Germany and powered by 100% green energy.