Suche Erfahrung mit ISP-Netzwerken: Wie, was, wo, warum?

[mabra]

Hi Leute !

Ich versuch's hier mal, weil hier wahrscheinlich gute Netzwerker sind und mein Firewall unter Debian (noch
Squeeze - Update unterwegs) läuft. Das eine Bein (eth0 - LAN) hängt am Kabel-BW-Modem (eth1) und ich
weiß nicht, wie so ein ISP-Netzwerk wirklich aussieht und was man da erwarten kann, soll oder muß.

Ich habe auch in der Firma mit dem Netzwerkmanagement zu tun gehabt, aber sehr tiefe Kenntnisse
habe ich nicht (z. B. Routing-Protokolle, etc.). Ich schaue gelegentlich (und seit dem ich das erste Mal
geschaut habe mit wachsender Tendenz) auf die WAN-Schnittstelle mit größer werdendem Unbehagen.

Ich habe dort IPv4. So sind dort vor allem ARP-Pakete vertreten - in Zeiten geringen eigenen
Traffics 95% (!!!) - es kommen neben IPv4 gelgentlich auch IPv6 auch Multicasts. Schon die
Netzwerkmaske /23 stinkt mir gewaltig und ich bekomme scheinbar auch die DHCP-Requests/Responses
aus ganz Deutschland. Habe mal aus Jux und Dollerei in etwa 24h etwa 100.000 fremde IP-Adressen
aus DHCP (Request/Response) eingesammel [ja, ich hacke garnichts, ein speicher, was mir die Freunde
anbieten! ]. Auch die ARPs fragen bei mir aus der ganzen für die ganze Welt nach ....

Sieht so aus, als wären alle Clients an einer transparenten Bridge ....

Ich habe ein kleines Tool in C# geschrieben (mit Hilfer der SharpPcap-Library), das nur etwas Statsitik
macht und vor allem auch die MAC-Adressen einsammelt (auf Level IPTables lasse ich nur das
Kabel-BW-Gateway durch), sicher ist sicher.

Mein Tool sagt, z. B.:

Total: 7,075,271 packets
ARPs, which do NOT ask for 'me': 4,847,104
ARPs, where 'I' am effected (tot: 5,722)

Also für diesen Lauf waren rund 50% der Pakete ARPs. Das liegt wahrscheinlich nicht an mangelnden
Progarmmierkenntnisse (auf dem Level war ich allerdings noch nie), tcpdump produziert in einer
Konsole "dasselbe" ...

Mein Tool erlaubt sich, die in den ARP-Pakete steckenden Quell/Ziel-Adressen mitzuschreiben und
am Schluß gibt es ein nslookup und Ping darauf. Pervers: Die aus der (vermuteten) Kabel-BW-Infra
mit 10.* antworten alle nicht, während alle anderen Anfragen scheinbaär von öffentlichen Netzen
kommen und nach Hosts in öffentlichen Netzen fragen !!!!! Beispiel:

95.208.164.1 count: 1,175,397 ( HSI-KBW-095-208-164-001.hsi5.kabel-badenwuerttemberg.de [ 6 ms])

Habe ich eine Matsch-Birne ?? Ist das faul ??


Irgendwie sieht mir das eher nach einem NSA-TAP aus, als nach einem Provider-Netzwerwerk, aber
vielleicht habe ich einfach keine Ahnung - vor dem NSA-Skandal war ich auch einer der naiven
IT'ler, die darüber nie nachdedacht haben und als ich noch bei der Telekom mit DSL war, habe
ich naiverweise nie geschaut.

Was noch auffällig ist: Ich benutze freie DNS-Server und nie die von Kabel-BW. Ich hatte schon mehrmals
Störungen (leider nur einmal bei heise.de eingetragen), weil der Port53 Zugriff auf die freien DNS-Server
unterbunden war. Ich habe ihnen offen vorgeworfen, die Netzneutralität zu verletzen und gedroht, die
Bundes-Netzagentur einzuschalten (von denen aich aus anderer Erfahrung leider schon weiß, das sie für
Endbenutzer nur so tun, als würden sie etwas tun ...). In der Zeit dieser Störungen, waren diese
Server pingbar, nur nslookup schlug fehl. Test, Handy: WLAN aus, nslookup mit Server-Angabe: Geht
sofort ! Genau auch während dieser Zeit gehen nslookups per Kabel-BW-DNS und natürlich auch
auf den Super-Spion (8.8.8.: Aber genau das will ich ja nicht

So, vielleicht ist jemand interssiert und sagt mir, wie es bei ihm aussieht

Danke erstmal und viele Grüße,
Manfred

[spiralnebelverdreher]

... Irgendwie sieht mir das eher nach einem NSA-TAP aus, als nach einem Provider-Netzwerwerk, aber
vielleicht habe ich einfach keine Ahnung - vor dem NSA-Skandal war ich auch einer der naiven
IT'ler, die darüber nie nachdedacht haben und als ich noch bei der Telekom mit DSL war, habe
ich naiverweise nie geschaut.

So ein richtig guter NSA-Tap sollte sich eigentlich deutlich unauffälliger verhalten und sollte nur durch (vergleichende) Messungen von Dämpfung und Reflektion bestimmbar sein.

Was noch auffällig ist: Ich benutze freie DNS-Server und nie die von Kabel-BW. Ich hatte schon mehrmals
Störungen (leider nur einmal bei heise.de eingetragen), weil der Port53 Zugriff auf die freien DNS-Server
unterbunden war. Ich habe ihnen offen vorgeworfen, die Netzneutralität zu verletzen und gedroht, die
Bundes-Netzagentur einzuschalten (von denen aich aus anderer Erfahrung leider schon weiß, das sie für
Endbenutzer nur so tun, als würden sie etwas tun ...). In der Zeit dieser Störungen, waren diese
Server pingbar, nur nslookup schlug fehl. Test, Handy: WLAN aus, nslookup mit Server-Angabe: Geht
sofort ! Genau auch während dieser Zeit gehen nslookups per Kabel-BW-DNS und natürlich auch
auf den Super-Spion (8.8.8.: Aber genau das will ich ja nicht

Die Antworten auf pings und auf DNS Anfragen sind halt zwei unterschiedliche Sachen. Wenn die Namensauflösung eines Servers nicht arbeitet bedeutet dies ja nicht automatisch, dass auf diesem gar nix mehr geht. Und der benachbarte Server nebendran beantwortet noch Anfragen. Ich würde immer davon ausgehen, dass bei großen ISPs vorne dran Load-Balancer sitzen, die nach irgendwelchen Kriterien die Anfragen an die Backend-Server weiter leiten.

[mabra]

Hi !

Das mit dem NSA-TAP war reine Ironie ...

Aber hast du nicht gelesen, das die freien DNS über andere Netzwerke erreichbar waren, wären sie im Kabel-BW-Netzwerk nicht erreichbar waren ?? Nachvollziehbar, reproduzierbar - für mehrere Tage.
Auch wiederholt. Wiederholte Störungen (mit Wochen Abstand) und genau gleichem Verhalten.

Diesmal kam nach zwei Tagen eine SMS, nach der ich das Modem und meinen Router rebooten soll,
dann würde alles wieder gehen.

Das habe sie aber einen Schlaumeier eine Antwort schreiben lassen ... ich hatte das bereits vier Stunden vorher bemerkt, ohne irgendwas zu resetten, versteht sich ...

VG++Manfred

[spiralnebelverdreher]

Aber hast du nicht gelesen, das die freien DNS über andere Netzwerke erreichbar waren, wären sie im Kabel-BW-Netzwerk nicht erreichbar waren ?? Nachvollziehbar,eproduzierbar - für mehrere Tage. Auch wiederholt. Wiederholte Störungen (mit Wochen Abstand) und genau gleichem Verhalten.

Doch, hatte ich gelesen. Dass der Zustand mehrere Tage andauerte war mir aber nach deinem ersten Beitrag nicht so klar. Da bleibt dir nur die Ochsentour: alles sehr sauber dokumentieren, viel Schreiberei mit KBW und der Bundesnetzagentur.

Diesmal kam nach zwei Tagen eine SMS, nach der ich das Modem und meinen Router rebooten soll, dann würde alles wieder gehen.

Das ist halt die Standardantwort auf fast alle gemeldeten technischen Störungen. Im ersten Service Level ist IT-Fachwissen nicht zwingend Voraussetzung (vorsichtig formuliert).

[BenutzerGa4gooPh]

Sieht so aus, als wären alle Clients an einer transparenten Bridge ....

von einem Client aus:

Code: Alles auswählen

ifconfig
traceroute www.google.de 

Die genaue Bezeichnung deines Provider-Netzabschlussgerätes wäre in Verbindung mit Google und den daraufhin bekannten Geräte-Specs vielsagend. Das und die Befehlsausgaben könnte man posten. (Öffentliche IP-Adressen sind eh im Internet durch Routing-Protokoll bekannt, private mehrfach verwendet. es sollte nur keine genaue Zuordnung Anschrift-IP gelingen. Kannst auch die letzten Zeichen "ixeln".)

Wenn das mit der Bridge so ist, sei froh, dass Du "nur" ein Provider-Modem hast. Dahinter einen eigenen Router hängen. IPv6 abschalten, wenn du es nicht brauchst. Schafft erstmal Ordnung. Auf Router FW und später IDS einschalten. FW-Logs auswerten. Dann mal schauen ... Bei Bedarf IDS aktivieren, um kurzfristig reagieren zu können.

ARP läuft nur innerhalb einer Routing Domain. An den aufgelösten (nur eigenen oder eigenen und fremden IPs) solltest Du auch erkennen können, ob ein Router oder eine Bridge Netzabschlussgerät ist. https://de.wikipedia.org/wiki/Address_R ... n_Protocol

Da gibt es so nette Tools wie Fing für Android. Das scannt das gesamte WLAN-Segment mit Smartphone oder Tablet vom Sofa aus und man weiß, wer im Segment ist. (Nur ich oder auch Fremde.)

Debian hat auch was zu bieten: viewtopic.php?f=28&t=139912

Routerberatung machen wir hier gerne, so du dein momentanes Netz und deinen geplanten Bedarf ordentlich beschreibst.
Privatrouter und SOHO siehe z. B. hier: viewtopic.php?f=15&t=160999

[dufty2]

Routerberatung machen wir hier gerne, so du dein momentanes Netz und deinen geplanten Bedarf ordentlich beschreibst.

Ich denke nicht, dass es dem TE um seinen Router bzw. wie man ihn konfiguriert ging,
sondern eher darum, ob es bei Kabel BW/Unitymedia "normal" ist, lauter fremden Traffic wie ARP- oder auch DHCP-Request anderen Teilnehmer zu erhalten?

G**gle-treffer wie etwa http://www.admlife.de/2013/04/28/eindeu ... t-gegeben/ zeigen, dass manche gar /22 Netzmasken bekommen.

Scheint also nicht ganz so ungewöhnlich zu sein.
Für UM-Verhältnisse

[BenutzerGa4gooPh]

Ja dufty2, so richtig weiss ich auch nicht. Verstanden habe ich es so, der TE hat eigenartigen Traffic und weiss nicht, ob er Router oder Modem/Bridge hat. Ein Router mit FW würde "ordnend" wirken ...
Es würde vieles erklären, wenn der TE gebridged mit vielen anderen an einem großem Routing-Segment hängt, auch die Netzmaske.
Vielleicht erfahren wir es noch genau?!

[dufty2]

Verstanden habe ich es so, der TE hat eigenartigen Traffic und weiss nicht, ob er Router oder Modem/Bridge hat. Ein Router mit FW würde "ordnend" wirken ...

Nunja, der TE weiss, dass er eine Debian-FW als router hat, die Topologie ist wie folgt:
mabra's clients (uninteressant) - eth0 | Debian-FW | eth1 - modem (von Kabel BW gestiftet) - "komisches, gebridgetes(?) Kabel BW-Netz - "eigentliches" Internet.

Und genau aus diesem "komischen, gebridgetes(?) Kabel BW-Netz" kommen die vielen arp/dhcp-requests auf sein WAN-Interface (eth1) rein.

Und mit

Sieht so aus, als wären alle Clients an einer transparenten Bridge ....

sind die weiteren Kabel BW-Kunden gemeint, nicht seine eigenen clients.

[BenutzerGa4gooPh]

Die Debian-FW-Router-Kombi des TE habe ich übersehen/überlesen und somit teilweise umsonst geschrieben, der TE möge mir verzeihen. (Ein IP-DNS-Scan (kein Port-Scan) des externen Routing-Segmentes (WAN) vom Debian-Rechner aus wäre vielleicht doch aufschlussreich.)

[mabra]

Die genaue Bezeichnung deines Provider-Netzabschlussgerätes wäre in Verbindung mit Google und den daraufhin bekannten Geräte-Specs vielsagend. Das und die Befehlsausgaben könnte man posten. (Öffentliche IP-Adressen sind eh im Internet durch Routing-Protokoll bekannt, private mehrfach verwendet. es sollte nur keine genaue Zuordnung Anschrift-IP gelingen. Kannst auch die letzten Zeichen "ixeln".)

Ok, das ist ein >CISCO EPC3212<, der hat auch schon seine Berühmtheiten erfahren, wie heise.de sagt:
http://www.heise.de/security/meldung/Kr ... 62088.html

Wenn das mit der Bridge so ist, sei froh, dass Du "nur" ein Provider-Modem hast.

Bin ich definitiv ! Hatte mal 'n Fritzbox beantragt, won der ich vorher erkundet hatte, das sie den Bridge-Modus beherrscht, aber Kabel-BW hat das nicht zum Laufen bebracht ...

Dahinter einen eigenen Router hängen. IPv6 abschalten, wenn du es nicht brauchst. Schafft erstmal Ordnung. Auf Router FW und später IDS einschalten. FW-Logs auswerten. Dann mal schauen ... Bei Bedarf IDS aktivieren, um kurzfristig reagieren zu können.

"dufty2" hat's richtig erfaßt - ich hatte das etwas kurz gefaßt .....
Mein Firewall ist natürlich ständig aktiviert [registert etwa zwischen 200 und 2.000 Zugriffsversuche von außen pro Tag. Wo ich hier an "dufty2" hinzufügen möchte, das ich auch "/22" Netzwerkmaske habe.

[quto]ARP läuft nur innerhalb einer Routing Domain.[/quote]
Daher kam meine Aussage mit der Bridge ...

Routerberatung machen wir hier gerne, so du dein momentanes Netz und deinen geplanten Bedarf ordentlich beschreibst

Danke! Bis jetzt ist alles in Ordnung. Aber auf meinem Tisch steht eine neue Hardware dazu, mit neuen Plänen. Deshalb werde auf das Angebot eines Tage (zu viel Arbeit zur Zeit) möglicherweise zurückommen!
Ein, zwei Notizen dazu habe ich schon.


So, zu deinen Fragen:

Code: Alles auswählen

ifconfig
eth0      Link encap:Ethernet  HWaddr 00:10:b5:da:98:0b
          inet addr:192.168.26.254  Bcast:192.168.26.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:70579429 errors:0 dropped:0 overruns:0 frame:0
          TX packets:83225861 errors:0 dropped:0 overruns:1 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2910039093 (2.7 GiB)  TX bytes:3170892696 (2.9 GiB)
          Interrupt:11 Base address:0x2000

eth0:0    Link encap:Ethernet  HWaddr 00:10:b5:da:98:0b
          inet addr:192.168.26.253  Bcast:192.168.26.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Interrupt:11 Base address:0x2000

eth1      Link encap:Ethernet  HWaddr 00:21:86:56:ab:7d
          inet addr:134.3.209.241  Bcast:255.255.255.255  Mask:255.255.252.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:120464222 errors:3787 dropped:9467 overruns:2688 frame:0
          TX packets:16888864 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:3081985024 (2.8 GiB)  TX bytes:1435805031 (1.3 GiB)
          Interrupt:11 Base address:0x2400

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:983544 errors:0 dropped:0 overruns:0 frame:0
          TX packets:983544 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:62528646 (59.6 MiB)  TX bytes:62528646 (59.6 MiB)

tun1      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:192.168.28.1  P-t-P:192.168.28.1  Mask:255.255.255.0
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

Über die Fehler, die das externe IF zeigt (eth1) bin ich im Bilde. Wie erwähnt, es steht neue Hardeware auf dem Tisch ....
Nun der Traceroute zu google:

Code: Alles auswählen

]traceroute http://www.google.com
traceroute to http://www.google.com (216.58.213.228), 30 hops max, 60 byte packets
 1  10.124.224.1 (10.124.224.1)  7.381 ms  7.376 ms  7.342 ms
 2  172.30.22.45 (172.30.22.45)  7.365 ms  7.294 ms  8.143 ms
 3  84.116.190.81 (84.116.190.81)  16.867 ms  16.880 ms  16.616 ms
 4  84.116.190.6 (84.116.190.6)  15.659 ms  15.397 ms  14.924 ms
 5  84.116.134.9 (84.116.134.9)  14.946 ms 84.116.134.5 (84.116.134.5)  14.179 ms  14.142 ms
 6  de-fra03b-ri1-ae5-0.aorta.net (84.116.133.118)  14.318 ms de-fra03b-ri1-ae25-0.aorta.net (84.116.130.206)  12.297 ms  13.783 ms
 7  213.46.177.42 (213.46.177.42)  13.262 ms  13.485 ms  13.036 ms
 8  216.239.59.72 (216.239.59.72)  14.076 ms 216.239.59.68 (216.239.59.68)  13.047 ms 216.239.59.60 (216.239.59.60)  14.955 ms
 9  216.239.57.186 (216.239.57.186)  14.497 ms 216.239.57.188 (216.239.57.188)  14.786 ms  14.515 ms
10  209.85.143.25 (209.85.143.25)  18.210 ms  17.892 ms 209.85.143.26 (209.85.143.26)  18.737 ms
11  74.125.37.160 (74.125.37.160)  25.774 ms 74.125.37.88 (74.125.37.88)  25.271 ms 74.125.37.160 (74.125.37.160)  23.457 ms
12  72.14.234.219 (72.14.234.219)  29.198 ms  29.090 ms 209.85.240.89 (209.85.240.89)  28.707 ms
13  72.14.233.215 (72.14.233.215)  28.306 ms 108.170.233.178 (108.170.233.178)  28.252 ms 72.14.233.166 (72.14.233.166)  26.675 ms
14  209.85.253.241 (209.85.253.241)  26.818 ms  30.135 ms  29.573 ms
15  ham04s01-in-f4.1e100.net (216.58.213.228)  30.463 ms  29.947 ms  29.974 ms

Danke für deine Hinweise zu ARP. Seit Wochen lese ich darüber, wobei ARP das unwichtigste ist.
Ich habe mehr Auge alle die Protokolle zu kennen und zu erkennen, die in der Lage sind, "hinter
meinem Rücken" Tunnel nach außen aufzubauen .... Der schlimste Feind ist nämlich immer INNEN !!
So hat mein DNSMasq folgende Zeile:

Code: Alles auswählen

address=/.ipv6.microsoft.com/192.168.26.253

Das sich das lohnt, sieht man im Log:

Code: Alles auswählen

cat /var/log/dnsmasq/dnsmasq.log | grep -i -E 'query.*teredo' | wc -l
64

Bill Gates Trojaner wollen also ständig was wegschicken ...

Damit man besser versteht, was ich untersucht hatte [ich wollte mich eigentlich kurz fassen - das hat aber scheinbar mehr Fragen aufgeworfen ... ] habe ich gelernt ein "Paste" zu erstellen. Vielleicht klappt das:

39377

Man sieht darin, das ich Ende der Datensammlung für alle IPs, die in ARP Paketen steckten, Namensauflösung und Ping mache ...

Vielen, vielen Dank für all die Hinweise !!
Ich war am Ende meiner Tests derart auf Hipe, und habe die weitere Nacht damit verbracht .... das ich vor wichtigen öffentlichen Terminen am Montag irgendwie nicht zum Schlaf kam .... So konnte ich gestern Abend echt nicht mehr antworten

Viele Grüße,
Manfred

[mabra]

[quote="Jana66"]Die Debian-FW-Router-Kombi des TE habe ich übersehen/überlesen und somit teilweise umsonst geschrieben, der TE möge mir verzeihen. (Ein IP-DNS-Scan (kein Port-Scan) des externen Routing-Segmentes (WAN) vom Debian-Rechner aus wäre vielleicht doch aufschlussreich.)[/quote]

Kein Problem !

Den von dir erwähnten Scan mache ich demnächst. Sowas "ähnliches (zumindest für die Orks [ARPs]) habe ich ja schon.
Ist auch echt dufte, wenn man non-Kabel-BW-DNSse verwendet, die Kabel-BW-DNSse dann aber eine Anfrage an dich schicken ...
Das habe ich allerdings verschlmapt aufzuheben ..

VG++Manfred

[dufty2]

Mmmh, wenn ich den Paste richtig verstehe, gibt es lediglich 3 (Destination-)-MACs:
Deine eigene, die des GW und der Broadcast von den ganzen ARP-requests.
Also nicht unbedingt etwas, worüber man ultra besorgt sein müsste.

Was den traceroute angeht:
(6) gehört noch Unitymedia (Kable BW)
(7) IX von Amsterdam ?
(8) ist bereits g**gle.

[mabra]

Mmmh, wenn ich den Paste richtig verstehe, gibt es lediglich 3 (Destination-)-MACs:
Deine eigene, die des GW und der Broadcast von den ganzen ARP-requests.
Also nicht unbedingt etwas, worüber man ultra besorgt sein müsste.

Korrekt - das wollte ich herausfinden. Manachmal sind Multicasts dabei

Was den traceroute angeht:
(6) gehört noch Unitymedia (Kable BW)
(7) IX von Amsterdam ?
(8) ist bereits g**gle.

Hi Danke !

Das werde ich mal bei meiner Nagios config ändern - dort teste ich einen anderen Exit-Point.

VG++Manfred

[BenutzerGa4gooPh]

Hast doch fein säuberlich alles getrennt, 3 Zonen (LAN, WAN, DMZ), benutzt NAT im LAN, da kann doch im LAN eigentlich gar nicht viel passieren.
Der traceroute zeigt nur öffentliche Adressen, du hast den demzufolge von der Debiankiste aus gemacht?!
Was ich am Anfang nicht gesehen habe, du hast wirklich nur ein Kabelmodem vom Provider.
Alles läuft per IPv4.
Es handelt sich um ein Firmennetzwerk, nehme ich an.

So jetzt stelle ich mir eine Frage: Das Internet ist bekanntermaßen "böse" mit schlimmen Scriptkiddies und Hackern verseucht. Das Routing-Segment deines Providers, an dem du hängst, ist Teil des bösen Internets, also was wundert dich?

Tja, was du verbessern könntest, ist wohl auch etwas Philosophiefrage, andere hier sind anderer Meinung als ich. Für ein privates Netz kann man vermutlich FW und Webserver auf einer Kiste laufen lassen. In einem Firmennetzwerk würde ich persönlich das tunlichst unterlassen. Debian kompromittiert, FW kompromitiiert, alles hin. Wo ist der Unterschied zu einer ach so verpönten Desktop-Firewall? Und du lässt noch Webserver darauf laufen. Gut, wenn man alles richtig konfiguriert, mag es funktionieren. Bist du dir sicher mit dem "richtig"???

In einer Firma würde ich eine dedizierte SPI-Firewall einsetzen. Letztere schützt auch sekundär geöffnete Ports, die aufgrund intern initiierter Verbindungen geöffnet werden müssen, Beispiel FTP. https://de.wikipedia.org/wiki/Stateful_ ... Inspection
Des weiteren schützt eine spezielle GUI vor Fehlkonfigurationen und man siieht sofort, was besser gemacht werden kann. Manche arbeiten objektorientiert und helfen dir bei der Auswahl Port/protokoll. Gibt sogar vorgefertigte FW-Scripts für viele "Anlässe" LANCOM ist da vorbildlich. OpenWRT und DDWrt kenne ich noch nicht.

Den Arp-Scan hatte ich vorgeschlagen, um mal die Anzahl der Hosts im Routing Segmentes von dir bis zum Provider zu sehen. Allerdings kommen mehrere Netzwerke rein. Na ich muss noch mal genau schauen und mit deinen Netzwerk vergleichen.

Bevor du dir über das Internet und deinen Provider sorgen machst, analysiere die Schnittstelle hinter der FW, was kommt rein, was geht raus. FW-Logs und Wireshark sind deine Freunde.
https://packages.debian.org/de/jessie/wireshark

Es gibt auch Tools wie Kali und ... , mache doch mal einen (automatisierten) Einbruchsversuch von außen in dein eigenes Netz.

Edit: im WAN-Segment sehe ich nur dich und DefGW. Allerdings bei der o. g. Netzmaske und diesen Adressen:

When: 2016-06-18--11:51:33.241226-1 sip: 134.3.209.241 tip: 134.3.208.1 smac: 00:21:86:56:AB:7D tmac: 00:00:00:00:00:00 op: Request
When: 2016-06-18--11:51:33.255379-2 sip: 134.3.208.1 tip: 134.3.209.241 smac: 00:01:5C:6B:E0:46 tmac: 00:21:86:56:AB:7D op: Response

Arp löst ja nur die IPs auf, die vorher angefordert wurden. Es müsste ein automatischer ping auf alle möglichen Adressen des WAN-Segments erfolgen. Das ganz einfache Android-Tool Fing macht das. Wenigstens rudimentär, für debian hatte ich oben was verlinkt.

Zu Debian-Tools und -Konfigurationen müssen dich andere beraten, da bin ich selbst Anfänger.

Jetzt ist der Thread schon so lang, du müsstest jetzt besser konkrete Fragen stellen.

VG Jana

[mabra]

Hi,

und danke mal für deine Hilfe !!!!

Hast doch fein säuberlich alles getrennt, 3 Zonen (LAN, WAN, DMZ), benutzt NAT im LAN, da kann doch im LAN eigentlich gar nicht viel passieren.

.
Wie gesagt: Das ist der Plan; Momentan laufen ein Webserver und ein XMPP-Server auf derselben Kiste. Zwar auf dem LAN-Inferface, aber per iptables "gerouted".
Im Bild habe ich dafür LXC Container vorgesehen, mit einem habe ich schon mal gespielt - das wars aber dann leider auch schon.

Der traceroute zeigt nur öffentliche Adressen, du hast den demzufolge von der Debiankiste aus gemacht?!
Was ich am Anfang nicht gesehen habe, du hast wirklich nur ein Kabelmodem vom Provider.
Alles läuft per IPv4.

Ja.

Es handelt sich um ein Firmennetzwerk, nehme ich an.

Nein, mein Heimnetz - ich tue und lerne gerade alles, um sicher zu sein.

So jetzt stelle ich mir eine Frage: Das Internet ist bekanntermaßen "böse" mit schlimmen Scriptkiddies und Hackern verseucht. Das Routing-Segment deines Providers, an dem du hängst, ist Teil des bösen Internets, also was wundert dich?

Nur die Orks [ARPs].

.... Debian kompromittiert, FW kompromitiiert, alles hin. Wo ist der Unterschied zu einer ach so verpönten Desktop-Firewall?

Das sehe ich ähnlich. habe von Linux noch (!!) zuwenig Ahnung, um daran was zu ändern.
Aber "Zeitgeist" habe ich neulich deinstalliert - weil es als root läuft ...

Ohne Desktop-Firewall kann man nicht wirklich überleben! Den System-Layer bekommt man scheinbar
schon in den Griff, aber nicht die Apps. So darf ja eine App einfach Port53 benutzen. Darüber denken
zuwenige nach. Wenn ich das machen darf, kann ich einen präparierten DNS-Server benutzen
um den ganzen Platteninhalt (langsam, aber sicher) ins Internet zu tunneln.
Siehe hier: http://analogbit.com/software/tcp-over-dns/
Meine iptables-Regeln blocken jeden DNS-Request, außer den vom eigenen DnsMasq.
Ist in Wirklichkeit aber noch schlimmer, weil Webbrowser, natürlich getriggert vom
Oberspion 8.8.8.8 [ ], versuchen, DNS nun über HTTP zu machen:
https://developers.google.com/speed/pub ... over-https
Das kann man mit iptables nicht mehr unterbinden, da hilf nur Application-Level Protokollanalyse
und so kommen Squid&Co. ins Spiel. So schließt sich der Kreis. Auf meinem Windows-Rechner
versuchen Webbrowser auf das Adreßbuch zuzugreifen ... McAfee ist so schlau, das zu verhindern.
Keine Open Source Solution in Sicht - also muß man dem "anderen Spion" (der McAfee ja ein
kann) vertrauen. Ok, ich nicht mehr lang ...

Meine neue Linux-Workstation steht schon unter dem Tisch .. da teste ich dann
>iptables -A FORWARD -m owner --uid-owner root

Und du lässt noch Webserver darauf laufen. Gut, wenn man alles richtig konfiguriert, mag es funktionieren. Bist du dir sicher mit dem "richtig"???

.
Leider NIE ...

In einer Firma würde ich eine dedizierte SPI-Firewall einsetzen. Letztere schützt auch sekundär geöffnete Ports...... man (!??) siieht sofort, was besser gemacht werden kann.

.
Ich habe die letzten 15 Jahre in so 'nem Team gearbeitet - für "so'n Quatsch" hat eh' keiner Zeit ...

Jetzt ist der Thread schon so lang, du müsstest jetzt besser konkrete Fragen stellen.

Nun haben wir alle über diese böse Netzwerkwelt geredet
Aber es begann mit:

So, vielleicht ist jemand interssiert und sagt mir, wie es bei ihm aussieht

.

So, jetzt muß ich wirklich schmunzeln ....
Aber sehr gute Beiträge hier, da bleibe ich wohl nun besser im deutschen Forum !!!

VG++Manfred


VG Jana[/quote]

[BenutzerGa4gooPh]

Hallo Manfred,
bezüglich deiner ARP-Requests von außen denke ich, dass dein Provider ein Segment benutzt, an dem nicht nur du alleine hängst. Entsprechenden IP-Scan hatte ich beschrieben.

Ohne Desktop-Firewall kann man nicht wirklich überleben!

Doch. Ist nur innvoll auf einem Desktop, der ohne Router/NAT per Modem am Internet hängt. Dedizierter Router/NAT/FW ist sicherer und hilft allen Clients im LAN mit nur einer zu pflegenden Konfiguration. Tja, du mischst irgendwie und das halte ich persönlich für nicht ideal (Debian, Router, FW und Server auf einer Kiste), im Privatsektor vlt. okay. Könnte Probleme geben, wenn Du mal den Traffic mit Wireshark scannen möchtest und nur systeminterne Schnittstellen hast. Weiß ich nicht genau.

So, vielleicht ist jemand interssiert und sagt mir, wie es bei ihm aussieht

Hm, der Handwerker hat selbst immer das Schlechteste. Habe nur Laptop und Tablet, hänge am Internet per WLAN-Backbone (gibt kein DSL) einer kleinen Firma. Die stellen einen WLAN-Accesspoint. Arbeite deshalb mit Deskop-FW, künftig dedizierter Router. Damit ergibt sich ein Routing-Segment im WAN mit allen Nachbarn (fast das ganze Dorf) gemeinsam. Tja, manchmal war ich neugierig und habe das Segment gescannt, einschließlich IPs und Ports. Interessant, was andere so für Router und Firmware haben. Mehr wollte ich nicht wissen. Es gibt sicherlich noch andere Neugierige, die mich auch scannen.
Erfahrungen mit deinem Provider habe ich nun wahrlich nicht, müssen andere ran.
Hardwaremäßig machen es wohl einige so wie du, also Router/FW/Proxy/Webserver auf einer Debian-Kiste. Andere haben OpenWRT auf TPLink-Router. Ich avisiere OpenWRT oder DDWRT auf Netgear R7000 oder APU-Router Board. Schaue mal in meinen Link im ersten Beitrag. Das am Ende diskutierte APU-Router-Board wäre vielleicht für dich interessant, spart Strom und macht das gleiche wie deine neue, unter dem Tisch stehende Workstation. Oder willst du noch ein DE auf deiner FW betreiben?
LG Jana

[mat6937]

Code: Alles auswählen

eth1      Link encap:Ethernet  HWaddr 00:21:86:56:ab:7d
          inet addr:134.3.209.241  Bcast:255.255.255.255  Mask:255.255.252.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:120464222 errors:3787 dropped:9467 overruns:2688 frame:0
          TX packets:16888864 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:3081985024 (2.8 GiB)  TX bytes:1435805031 (1.3 GiB)
          Interrupt:11 Base address:0x2400

Wird die externe IPv4-Adresse 134.3.209.241, per DHCP zugewiesen? Denn in einem 22er Subnetz, sollte die Broadcast-Adresse dann 134.3.211.255, und nicht 255.255.255.255 sein.

Merkwürdig sind auch die errors, dropped und overruns, bei den RX-packets. Ich habe auch IPv4 (mit 26er Subnetz) bei KabelBW (UM) und da wird beim WAN-Interface (mit der externen IPv4-Adresse) immer 0 (... für errors, dropped und overruns) angezeigt.

Kannst Du die MTU für das eth1-Interface evtl. ändern/anpassen (... z. B. von 1500 auf 1472)?

[mabra]

Hi !
Danke für deinen Beitrag - Volltreffer !

Wird die externe IPv4-Adresse 134.3.209.241, per DHCP zugewiesen? Denn in einem 22er Subnetz, sollte die Broadcast-Adresse dann 134.3.211.255, und nicht 255.255.255.255 sein.

Exakt! Das ist Kabel-BW live !! Sie haben meinen Rechner an die Welt ausgeliefert !!!
Dieser Wert wird von meinen dhclient aber angefordert.
Ich habe in iptables versucht alles zu blocken, was nicht vom zugewiesenen Netzwerk stammt,
z. B. auch 10.0.0.0/8. Habe aber in der Kernel-Konfiguration (sysctl):

Code: Alles auswählen

net.ipv4.conf.all.log_martians = 1

Dann rauchts - der Kernel bemerkert die DHCP Pakete, die nämlich von 10.?? (habs nicht im Kopf)
kommen - zurecht! Ich mußte diese Regel wieder entfernen. Auch DHCP geht dann nicht mehr.
Bezeichnenderweise gehört auch der DHCP Rechner zu den Rechnern in meinem Trace, die auf Ping
nicht antworten ...

Merkwürdig sind auch die errors, dropped und overruns, bei den RX-packets. Ich habe auch IPv4 (mit 26er Subnetz) bei KabelBW (UM) und da wird beim WAN-Interface (mit der externen IPv4-Adresse) immer 0 (... für errors, dropped und overruns) angezeigt.

Wenn nur die Overruns wären, käme dein nächster Punkt zu 100% zum Ansatz - das erklärt aber nicht, das
die Errors ja auf der Empfangsseite entstehen ! Wenn also auf der Senderseite 1472 als MTU gesetzt
wäre, hätte ich ja mit 1500 kein Problem. Vermute eher Hardware und eine neue steht schon bereit.

Kannst Du die MTU für das eth1-Interface evtl. ändern/anpassen (... z. B. von 1500 auf 1472)?

Jack-Pot !

Mir fehlen Detailkenntnisse über DHCP - man (ich?) kann halt nicht jedes Protokoll im Kopf haben.
Dachte bis eben, das die MTU auch per DHCP kommt. Dann mache ich also den Ping-Test:

Code: Alles auswählen

[/]ping -s 1474 -a -c 2 -n -D -t 1 -M do 134.3.208.1
PING 134.3.208.1 (134.3.208.1) 1474(1502) bytes of data.
[1466611195.563032] From 134.3.209.241 icmp_seq=1 Frag needed and DF set (mtu = 1500)

Jedes Byte > 1472 führt zu obigem Fehler, die 1472 passen zu 100%.

Doch dann kommt das Unterbewußtsein und führt mich Jahre zurück ...

Code: Alles auswählen

dhclient.conf
##ORG## (org contained: 'interface-mtu' but the answer is '576' !!!)

Ist mein Kommentar, Jahre zurück. D. H. Kabel-BW hat mir per DHCP eine MTU von 576
übermittelt und ich hatte dann experimentell eine andere festgelegt ...
Werde das mal rückgängig machen, um zu sehen, was denn heutzutage inder
DHCP Antwort steht! Je nachdem werde ich dann eben manuell auf 1472 gehen.

Sehr vielen Dank für deinen Beitrag!!!

VG++Manfred

[dufty2]

Jack-Pot !

Nix Jack-Pot, sondern Irrtum!

Die "size" beim Ping bezieht sich auf die Payload, nicht auf die Gesamt-Paket-Größe,
sprich 1472 ist völlig ok bei 1500 MTU.

Es sei denn, Du hättest Cisco, da müsste mensch tatsächlich mit 1500 pingen

[mabra]

Hi !

Nix Jack-Pot, sondern Irrtum!

Die "size" beim Ping bezieht sich auf die Payload, nicht auf die Gesamt-Paket-Größe,
sprich 1472 ist völlig ok bei 1500 MTU.

Danke - das hätte ich allerdings wissen sollen

VG++Manfred

[BenutzerGa4gooPh]

Wie kommt denn die falsche Broadcast-Adresse zustande???

Auf Routern konfiguriert man IP und Subnetzmaske, auf DHCP-Server IP-Bereich und Netzmaske, die Broadcast-Adressen ergeben sich daraus automatisch und können von jedem Client selbst berechnet werden. Dazu dient ja die Netzmaske.
Drei Angaben, davon ist eine redundant und das führt zu Fehlern ....

Na, wer hat's konfiguriert? Wirklich der DHCP-Server des Providers???

[mabra]

Hi !

Wie kommt denn die falsche Broadcast-Adresse zustande???
Auf Routern konfiguriert man IP und Subnetzmaske, die Broadcast ergibt sich daraus automatisch. Drei Angaben, davon ist eine redundant und das führt zu Fehlern .... Na, wer hat's konfiguriert? Wirklich der DHCP-Server des Providers???

Ich versaubeutle schon mal was ...aber

Code: Alles auswählen

auto eth1
iface eth1 inet dhcp
	multicast off

Nu ??

VG++Manfred

[BenutzerGa4gooPh]

Nu weeessch ah net. Sehr merkwürdig.

Was willst du jetzt machen? Provider mitteilen, das dessen Broadband Remote Access-Server falsch konfiguriert ist? Hänge mal einen Win-PC oder was anderes aus dem LAN als DHCP-Client an das Kabel-Modem und schaue mal.

[dufty2]

Nu weeessch ah net. Sehr merkwürdig.

Naja, so merkwürdig ist das bei Kabel BW nicht
Wenn Du mal meinen oben zitierten link gelesen hast, da hat man schon damals (2013) dies bei Kabel BW/UM verwendet:

inet 37.24.104.181/22 brd 255.255.255.255 scope global eth1

Geht auch händisch problemlos:
# ip address add 10.0.0.1/24 broadcast 255.255.255.255 dev eth0

DHCP-Server vergeben das - nebenbei angemerkt - auch getrennt:

Code: Alles auswählen

...
fixed-address 192.168.0.12;
option subnet-mask 255.255.255.0;
...
option broadcast-address 255.255.255.255;
...

[mabra]

Hi Jana !

Nu weeessch ah net. Sehr merkwürdig.

Ich mache da jetzt erstmal garnix weiter - zu viele Baustellen und der "Provider" ist nicht kommunikationsfähig.
Das tägliche Problem sind wieder die DNS-Aussetzer ... die ja angeblich gefixed sind ...
VG++Manfred