HTTPS- Frage

Hallo zusammen,

beim Online-Banking ist mir folgendes aufgefallen:
ich baue (über den Router unseres Heimnetzwerkes) eine HTTPS-Verbindung zur Bank auf. Während ich das Onlinebanking durchführe, erhalte ich immer wieder Meldungen der LOKALEN Firewall, dass versucht wird parallel auf verschiedene (jedesmal wechselnde) Ports meines Rechners zuzugreifen (zB 4146,3244,3071,3070,3069, …). Die Firewall des Routers blockt diese Versuche nicht bzw bemerkt sie nicht, da ich ja selber die Verbindung aufgebaut habe. Ich blocke sie mit der lokalen Firewall und natürlich funktioniert das Banking trotzdem.
Aber: wieso wird parallel versucht weitere Verbindungen aufzubauen?
Und: nachdem ich der Bank dies mitgeteilt habe, war ca 7 Wochen „Ruhe“ (es funktioniert also auch ohne diese Verbindungsversuche), nun geht es wieder los.

Ich fühle mich unsicher und erwäge meine Konten umzuziehen. Ist das übertrieben? Man hört ja heute soviel, aber das kommt mir wirklich spanisch vor.

Danke und LG Kathrin

Hallo Kathrin,

Also HTTPS ist genau so wie HTTP eine verbindung die mit einem einzigen port auskommt!

dein router sollte eigendlich keine verbindungsanfragen zu dir durchstellen. wenn du nicht selbst für diese ports ein port forwarding oder einen „application“ rule eigenfüght hast.

entweder du hast in deinem Router DMZ aktiviert (was alle verbindungen an eine ziel adresse weiterleitet). DMZ ist eine schlechte idee weil es quasie bedeutet einen rechner vor die firewall des router zu stellen das ist quasie eine einladung für jeden hacker

siehe hierzu auch:
http://de.wikipedia.org/wiki/Demilitarized_Zone

zuerst würde ich überprüfen ob die bank generell versucht einen rechner auf anderen port zu kontaktieren (dafür einfach mal zu einem freund gehen) dort solltest du für den test entweder DMZ aktivieren oder ohne router arbeiten (weil sonst ja die verbindungen vom router geblockt werdne sollten) wenn die bank generell versucht deinen rechner auf den ports zu connecten würde ich zumindest mal nachfragen was die damit bezwecken. vieleicht gucken die ja auch nur ob sich irgendwelche trojaner melden. und sehen das als sicherheits service.

wenn deine bank aber keine solchen anfragen sendent wenn du dich von einem freund aus verbindest. könnte es sein das du einen trojander oder ähnliches hast. der im falle einer https verbindung irgendwas auslöst. stichwort „man in the middle attack“ das müste dann im zweifelsfall genauer untersucht werden was da passiert.

generell müste dein router richtig konfigurieren werden und wenns nicht geht gegen ein anderes model austauschen welches solche sicherungsmaßnahmen möglich macht.

gruss chris

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Hallo Chris,

dein router sollte eigendlich keine verbindungsanfragen zu dir
durchstellen. wenn du nicht selbst für diese ports ein port
forwarding oder einen „application“ rule eigenfüght hast.
entweder du hast in deinem Router DMZ aktiviert (was alle
verbindungen an eine ziel adresse weiterleitet). DMZ ist eine
schlechte idee weil es quasie bedeutet einen rechner vor die
firewall des router zu stellen das ist quasie eine einladung
für jeden hacker

Die DMZ ist bei uns deaktiviert, auch Forwarding oä ist nicht eingefügt. Habe ich gerade nochmals gegengeprüft. Ich vermute, dass es deshalb funktioniert, weil ich ja die Verbindung aufbaue und der Router deshalb davon „ausgeht“, dass es OK ist Verbindungen von 443 dieses Servers zuzulassen.

zuerst würde ich überprüfen ob die bank generell versucht
einen rechner auf anderen port zu kontaktieren (dafür einfach
mal zu einem freund gehen) dort solltest du für den test
entweder DMZ aktivieren oder ohne router arbeiten (weil sonst
ja die verbindungen vom router geblockt werdne sollten) wenn
die bank generell versucht deinen rechner auf den ports zu
connecten würde ich zumindest mal nachfragen was die damit
bezwecken. vieleicht gucken die ja auch nur ob sich
irgendwelche trojaner melden. und sehen das als sicherheits
service.

Ich habe bereits mehrfach mit der Bank (IT-Sicherheit / technischer Support / second level support) gesprochen, die behaupten, dass das gar nicht sein kann, dass von ihrer Seite aus gescannt (oä) wird. Komischerweise waren direkt anschließend wochenlang keine Verbindungsversuche vorhanden - bis gestern. Heute (habe gestern nochmals angerufen) wieder: nichts. Ich habe aber die Logs gespeichert und die sind eindeutig.
Aus diesem Grund kann es meines Erachtens auch kein Trojaner sein, denn der würde ja IMMER versuchen sich einzuschalten und nicht nur alle paar Wochen mal. Zudem habe ich auch bei anderen Banken Konten und da ist dieses Problem noch nie aufgetreten.

Und nun?

Gruß Kathrin

Also Das Router Problem lassen wir erstmal bei seite. (ein anständiger router sollte deinen rechner eigendlich nicht komplett „öffentlich“ machen nur weil du
reinzufällig eine verbindung zu einem server aufbaust.

zum banken problem. würde ich dir dringend empfehlen das noch mal von einer anderen „location“ zu überprüfen. sprich sich einfachmal bei einem freund einloggen. umd zu gucken ob da die scans genau so auftreten.

wann treten diese scans denn auf? sobald du per HTTPS den login aufrufst oder erst nach dem du eingelogged bist.?

kommen sie wirklich von der ip der bank? was sind die ausgehenden ports auf seiten der bank? zu welchen eingehenden ports versucht es verbindung aufzunehmen?

kannst du evnetuell mal einen auszug aus dem log posten?

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Das Router-Problem werde ich mal prüfen - danke für den Hinweis.
 

zum banken problem. würde ich dir dringend empfehlen das noch
mal von einer anderen „location“ zu überprüfen. sprich sich
einfachmal bei einem freund einloggen. umd zu gucken ob da die
scans genau so auftreten.

 
Hm, ja gute Idee. Leider (oder zum Glück ) sind seit meinem gestrigen Beschwerdeanruf keine weiteren Verbindungsversuche aufgetreten, obwohl ich es heute (testweise aus Neugier) mehrfach versucht habe. Mal sehen, ob es in ein paar Wochen wieder losgeht (so war’s ja beim letzten Mal), falls ja werde ich es definitiv bei einem Dritten testen. Ärgert mich jetzt selbst, dass ich das nicht gemacht habe…
 

wann treten diese scans denn auf? sobald du per HTTPS den
login aufrufst oder erst nach dem du eingelogged bist.?

 
Sobald ich per HTTPS den Login aufgerufen habe. Also, wenn ich auf die Seite ging, auf der ich mich einloggen soll. Die HTTPS-Verbindung steht dann schon, aber es wurden noch keine persönlichen Daten übertragen. Egal, ob ich die Scans (Verbindungsanfragen) blocke oder nicht, geht es normal weiter.
 

kommen sie wirklich von der ip der bank?

 
Ja, soweit nicht jemand  mogelt (‚man in the middle‘)
 

was sind die ausgehenden ports auf seiten der bank?

 
immer 443
 

zu welchen eingehenden ports versucht es verbindung aufzunehmen?

 
wechselnd, Querbeet (inzwischen habe ich ca 1 DINa4 Seite mit verschiedenen Ports - über einen längeren Zeitraum gesammelt)
 

kannst du evnetuell mal einen auszug aus dem log posten?

 
Ja, ich sende ihn Dir per Mail als .gif, da ja die IP-Adresse der Bank sichtbar ist.

Gruß Kathrin

Ja, ich sende ihn Dir per Mail als .gif, da ja die IP-Adresse
der Bank sichtbar ist.

Die IP-Adresse der Bank ist nichts anderes, als die in Zahlen umgesetzte, von der Bank selbst vielfältig veröffentliche http-Adresse. Es spricht aus rechtlicher wie aus sicherheitstechnischer Sicht nicht das geringste dagegen, solche Daten zu veröffentlichen. Insbesondere ist die Weitergabe dieser Information möglicherweise entscheidend für die Lösung deines Problems.

Wenn du mit der Bank per https kommunizierst, sprichst du zwar auf dem Server der Bank den Port 443 an, dein Rechner aber baut die Verbindung von einem beliebigen Port aus dem Client-Bereich auf. Insofern ist an den Meldungen zunächst nichts ungewöhnliches. Wenn dein Rechner mehrere Verbindungen gleichzeitig aufmacht (z. B. diverse Popups der Webseite, unabhängig von einem evtl. Popup-Blocker o. ä.), hast du entspr. mehrere Verbindungen von versch. Ausgangsports.

Ohne detailliertes Log ist es aber kaum möglich, abschliessend zu bewerten, wieso dein PF hier gleich ‚Alarm‘ schreit.

Gruss
Schorsch

Das Router-Problem werde ich mal prüfen - danke für den
Hinweis.

zum banken problem. würde ich dir dringend empfehlen das noch
mal von einer anderen „location“ zu überprüfen. sprich sich
einfachmal bei einem freund einloggen. umd zu gucken ob da die
scans genau so auftreten.

Hm, ja gute Idee. Leider (oder zum Glück ) sind seit
meinem gestrigen Beschwerdeanruf keine weiteren
Verbindungsversuche aufgetreten, obwohl ich es heute
(testweise aus Neugier) mehrfach versucht habe. Mal sehen, ob
es in ein paar Wochen wieder losgeht (so war’s ja beim letzten
Mal), falls ja werde ich es definitiv bei einem Dritten
testen. Ärgert mich jetzt selbst, dass ich das nicht gemacht
habe…

wann treten diese scans denn auf? sobald du per HTTPS den
login aufrufst oder erst nach dem du eingelogged bist.?

Sobald ich per HTTPS den Login aufgerufen habe. Also, wenn ich
auf die Seite ging, auf der ich mich einloggen soll. Die
HTTPS-Verbindung steht dann schon, aber es wurden noch keine
persönlichen Daten übertragen. Egal, ob ich die Scans
(Verbindungsanfragen) blocke oder nicht, geht es normal
weiter.

kommen sie wirklich von der ip der bank?

Ja, soweit nicht jemand mogelt (‚man in the middle‘)

kann ja nicht, wg. http S od. hast du zertifikatwarnungen weggeklickt?

was sind die ausgehenden ports auf seiten der bank?

immer 443

das ist der anschluss, mit dem du dich unterhalten willst.

zu welchen eingehenden ports versucht es verbindung aufzunehmen?

wechselnd, Querbeet (inzwischen habe ich ca 1 DINa4 Seite mit
verschiedenen Ports - über einen längeren Zeitraum gesammelt)

es ist normal, das ein browser auf mehreren ports verbindungen zum zielserver aufbaut - er sucht sich dazu beliebige freie ports > 1024. dass es tatsaechlich der browser ist, der die verbidnugnen aufmacht kannst du mit netstat -ano und taskmgr pruefen.

ich vermute die aussage deiner „LOKALEN Firewall“ bzgl. eingehender Verbindungen ist missverstaendlich od. falsch.

Es spricht aus rechtlicher wie aus
sicherheitstechnischer Sicht nicht das geringste dagegen,
solche Daten zu veröffentlichen. Insbesondere ist die
Weitergabe dieser Information möglicherweise entscheidend für
die Lösung deines Problems.

Hm, da bin ich mir nicht so sicher, da ich ja unterstelle bzw vermute, dass etwas nicht in Ordnung ist, würde ich den Namen der Bank lieber heraushalten. Ich habe aber per Tracer nachgesehen und Registrant der entsprechenden Quell-Ip ist tatsächlich die Bank (wurde mir dort auch bestätigt)

Wenn du mit der Bank per https kommunizierst, sprichst du zwar
auf dem Server der Bank den Port 443 an, dein Rechner aber
baut die Verbindung von einem beliebigen Port aus dem
Client-Bereich auf. Insofern ist an den Meldungen zunächst
nichts ungewöhnliches. Wenn dein Rechner mehrere Verbindungen
gleichzeitig aufmacht (z. B. diverse Popups der Webseite,
unabhängig von einem evtl. Popup-Blocker o. ä.), hast du
entspr. mehrere Verbindungen von versch. Ausgangsports.

Vielleicht (hoffentlich) habe ich da tatsächlich einen Knoten im Hirn, aber meiner Meinung nach ist es doch so:
ICH baue beim ersten Aufruf der HTTPS-Seite eine Verbindung auf (mein Rechner - bel. freier Port - mit Port 443 des Bankservers). Über DIESE läuft die komplette weitere HTTPS-Komunikation ohne dass weitere Ports auf meiner Seite angesprochen werden sollten. Pop-Ups oä werden nicht verwendet (habe ich auch auf anderen Rechnern gegengeprüft, zudem besitze ich keinen speziellen Blocker und diese dürften ja auch nicht HTTPS sein, denke ich).
Warum also meldet meine Firewall (McAfee) Versuche eine Verbindung aufzubauen?
Ausgangs-IP: Bank / Host: Bank
Quellport dort: 443
Zieladresse: meine IP (wechselnd, da über einen Netzbetreiber)
Zielports (bei mir): mehrere beim ersten Aufruf der HTTPS-Seite (bis zu 8 Stück gleichzeitig) mit wechselnden Nummern. Darunter auch solche, die für bestimmte Anwendungen reserviert sind, die mit HTTPS oä nichts zu tun haben.
Und: wenn ich die Verbindung aufbaue, bekomme ich für den entsprechenden Port keine Meldung. Selbst wenn ich alle eingehenden Anfragen blocke, funktioniert das Banking problemlos. Die HTTPS-Verbindung steht also. Das kann ich auch per netstat nachvollziehen.

Und: nachdem ich das Problem gemeldet habe, hat es wieder aufgehört (das letzte Mal war ca 7 Wochen Ruhe). Leider habe ich es vorher nicht auf einem dritten Rechner gegengeprüft, so dass ich nur meine Logs habe

Naja, ich finde es komisch, weil es meiner Meinung nach definitiv NICHT normal ist und danach aussieht, als würde dort jemand herumspielen. Aber vielleicht missverstehe ich da auch etwas komplett.

Gruß Kathrin, immer noch nicht klüger

Ja, soweit nicht jemand mogelt (‚man in the middle‘)

kann ja nicht, wg. http S od. hast du
zertifikatwarnungen weggeklickt?

Nein, habe ich nicht. Bei soetwas bin ich sensibel. Aber ein geschickter Trojaner könnte sich schon auf bzw in eine HTTPS-verbindung einschummeln, fürchte ich. Da gab es ja auch schon Fälle…

das ist der anschluss, mit dem du dich unterhalten willst.

Genau - aber der sollte von sich aus ja keine weiteren Verbindungen zu mir aufbauen bzw entsprechende Anfragen schicken - schon gar nicht mehrere parallel und zu den unterschiedlichsten (teilweise für bestimmte Anwendungen reservierten) Ports. Sondern einfach „nur“ antworten.

zu welchen eingehenden ports versucht es verbindung aufzunehmen?

wechselnd, Querbeet (inzwischen habe ich ca 1 DINa4 Seite mit
verschiedenen Ports - über einen längeren Zeitraum gesammelt)

es ist normal, das ein browser auf mehreren ports verbindungen
zum zielserver aufbaut - er sucht sich dazu beliebige freie
ports > 1024. dass es tatsaechlich der browser ist, der die
verbidnugnen aufmacht kannst du mit netstat -ano und taskmgr
pruefen.

Es ist ja eben NICHT mein Browser, der die Verbindungen aufbaut. Esa sind eingehende Verbindungsanfragen / -versuche, die die Firewall meldet. Mit netstat habe ich es nicht geprüft, aber seit ich den Vorfall gemeldet habe, ist wieder Ruhe - würde ich die Verbindungen aufbauen, wäre das JA immer der Fall - unabhängig von der Bank (also auch bei anderen Banken / HTTPS-Anwendungen). Oder? So langsam weiß ich gar nichts mehr *verwirrt bin*.

ich vermute die aussage deiner „LOKALEN Firewall“ bzgl.
eingehender Verbindungen ist missverstaendlich od. falsch.

Hm, ist McAfee, und das Log ist eigentlich eindeutig (siehe auch meine Antwort an Schorsch).

Gruß

Kathrin

Warum also meldet meine Firewall (McAfee) Versuche eine
Verbindung aufzubauen?

PF pflegen nur das zu melden, was ihnen auffällig erscheint. Von daher sagen die Meldungen nichts darüber aus, ob nicht doch zunächst dein Rechner eine Verbindung geöffnet, diese aber vor Eintreffen der Antwortpakete der Bank wieder geschlossen hat.

Vielleicht ist ja dein Router in der Lage, den Datenverkehr vollständig mitzuloggen und das Ergebnis an einen Protokollserver weiterzureichen. Ansonsten könnte ethereal ein vollständiges Protokoll des Verkehrs auf deinem Rechner mitschneiden. Allerdings weiss ich nicht, wie sich ethereal und McAffee untereinander vertragen, möglicherweise sollte ethereal daher auf einem dritten Rechner im promiscuous Mode mitschneiden.

Leicht zu lesen sind solche Logs allerdings nicht.

Gruss
Schorsch

Vielleicht ist ja dein Router in der Lage, den Datenverkehr
vollständig mitzuloggen und das Ergebnis an einen
Protokollserver weiterzureichen. Ansonsten könnte ethereal ein
vollständiges Protokoll des Verkehrs auf deinem Rechner
mitschneiden. Allerdings weiss ich nicht, wie sich ethereal
und McAffee untereinander vertragen, möglicherweise sollte
ethereal daher auf einem dritten Rechner im promiscuous Mode
mitschneiden.

Danke, werde mal sehen was ich diesbezgl machen/herausfinden kann und dann (frühestens Montag) ggf nochmal berichten.

Gruß Kathrin