Portscan abwehren |
||
---|---|---|
#0
| ||
15.09.2003, 23:45
...neu hier
Beiträge: 3 |
||
|
||
16.09.2003, 07:13
Ehrenmitglied
Beiträge: 831 |
#2
Deine Vermutung zu IDS ist im einfachen Sinne richtig.
Es gibt hierfür extra Programme [2] welche Scans unterbinden können. Dort kannst du auch IPs sperren. Unter [1] findest du Scanner mit dennen du Testen kannst inwiefern dies funktioniert. Zuletzt etwas zu IDS [3] wobei LIDS nur ein aufsatz(ein sehr praktischer) für Snort ist. Scanner [1] http://www.nmap.org/ [Nmap] [2] http://fink.sourceforge.net/pdb/package.php/portsentry/ [Portsentry / Notfalls über Packetstorm holen] [2] http://www.openwall.com/scanlogd/ [ScanlogD] [3] http://www.snort.org/ [IDS] [1] http://www.nessus.org/ [Sec-Scanner] [3] http://www.lids.org/ [IDS] __________ http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de |
|
|
||
16.09.2003, 13:31
Member
Beiträge: 5291 |
#3
Hmm ist es wirklich so wichtig scans zu unterbinden? Das ist ja eh nichts schlimmes. Ich bin bis jetzt mit dem netfilter immer gut ausgekommen und ob mich jemand scannt oder nicht das ist mir ehrlichgesagt sehr egal. Das ändert ja nichts am ergebnis
__________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
16.09.2003, 20:34
Member
Beiträge: 326 |
#4
Es kommt eigentlich nur darauf an was hinten 'raus kommt . I.e. wenn der Firewall steht sollte es eigentlich nicht interessieren ob an der Tuer jemand angeklopft hat. Sie ist einfach zu.
Diese Scans sind immer wieder zu beobachten und daher weiss ich auch nicht warum es interessant ist, zu wissen, dass man gescannt wurde. Einzig wenn man seinem FW nicht traut und nach jedem Versuch eine genauere Analyse vornehmen moechte ob der Scan erfolgtlos war. __________ "Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds Dieser Beitrag wurde am 16.09.2003 um 20:35 Uhr von framp editiert.
|
|
|
||
16.09.2003, 20:35
Member
Beiträge: 907 |
#5
zur unterbindung solcher aktivitäten gibts es IntrusionPreventionSystems (IPS)
aber auch iptables kann im gewissen rahmen scans unterbinden, wenn solche erkannt werden (limit match,....) greez |
|
|
||
16.09.2003, 21:05
Member
Beiträge: 5291 |
#6
@framp
Genauso meinte ich das auch Tür ist halt zu. Und klopfen ist ja nicht verboten. Das selbe bei apache(webserver) wie ich immer in den logs festellen kann stehn dann so sachen darin wie /c:/winnt/root.exe - solche Zugriffe sind natürlich lächerlich - ich weiß es nicht warum es Leute gibt die das immer wieder versuchen oder auf jedenfall so in dieser Art. Aber all das kann mich nich jucken. Sobald ich meine iptables modifiziere gehe ich immer vorher sicher das alles funktioniert. __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
17.09.2003, 09:31
...neu hier
Themenstarter Beiträge: 3 |
#7
Also ich finde, dass man die IP's von Portscanner sperren sollte, da diese ja eh nichts gutes im Sinne haben. Wenn Sie eventl. ja Glück haben finden sie wirlich noch etwas was nicht ganz sicher ist. Und Kosten tut es ja auch nichts .
Bin ich den bei iptables auch gegegen DDOS-Attacken (SYN, ...) geschütz? Und wie steht es mit IP Spoofing und IP Source Routing? Wenn ich einen Webserver hinter der Firewall betreibe, wäre es auch möglich, irgendwie einzustellen, dass nur HTTP Packete durch den Port 80 kommen? So à la GET /...... oder macht dies gar keinen Sinn? Was für IntruderPreventionSystems gibt es denn? @poiin2000 Das Tool Portsentry liegt bei Packetstorm in der Version 1.0 zur Verfügung. Gibt es da nicht etwas aktuelleres? Oder wird dies sogar nicht mehr weiterentwickelt? Entschuldigt meine Fragen, aber dieses Thema nimmt mich halt riesig wunder und ich will auch nicht einen unsicheren Server ins Netz stellen . greetz SecureTiger |
|
|
||
17.09.2003, 10:25
Ehrenmitglied
Beiträge: 831 |
#8
Soweit ich weiss gibt es keine offizielen ... aber hier findest du aktuellere http://rpmseek.com/rpm-pl/portsentry.html?hl=de&cbd=0%3AP%3A0%3A0%3A25%3A0%3A0&qArStr=0&qRtStr=0&qDnStr=0 (google hilft)
__________ http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de |
|
|
||
17.09.2003, 14:51
Member
Beiträge: 907 |
#9
@tiger
nunja, so einfach kann man auch im internet nicht entscheiden, ob da ein angriff bevorsteht oder nicht - selbst einfache SYN anfragen (P2P) oder schiefgelaufene SYN/ACK würden dann von IDS als attacke gewertet und eine vermeintlich "positive" IP gesperrt bzw. evtl. mittels IPS fälschlicherweise angegriffen iptables bietet einen schutz gg. DOS, aber nur, wenn der user dies auch einrichtet du kannst natürlich frei definieren, welche pakete erlaubt sind und welche nicht dies funzt auch insoweit, dass du nur pakete durchlässt, die "HTTP GET"-Anweisungen beinhalten google sucht dir alles zu IPS raus greez |
|
|
||
23.09.2003, 13:02
...neu hier
Themenstarter Beiträge: 3 |
#10
Danke für eure Hilfe. Ich werde jetzt einmal noch ein paar Tut's lesen und dann beginnen den server einzurichten.
bye SecureTiger |
|
|
||
Ich bin ein Neuling in Linux und würde gerne einen Server einrichten. Nun suche ich nach einer Firewall, die Portscanns mit einer IP-Sperre abwehrt. Ist diese Funktion standarmässig bei Linux dabei (iptables) oder muss ich da noch was nachladen? Wie kann ich mich gegen andere "Angriffe" schützen? Lieg ich da richtig, wenn ich behaupte, dass ein IDS à la snort nur protokolliert und mich informiert, aber nichts zur Unterbindung des Angriffes tätigt?
Danke für eure Antworten
SecureTiger