Debian PortScan abwehren

[KingJoshii1000]

Hallo,
ich beschäftige mich zurzeit ein wenig mit der Sicherheit von Debian und wollte mal Wissen wie man einen Portscan abwehrt. Wo er Server z.B 3 Ports hinterinander (50,51,52) aufmacht und wenn in kurzer Zeit abfragen auf die Ports kommen (die Ports sind nicht in benutzung) die IP gebannt wird. Funktioniert das so, oder ganz anders?

Und kennt jemand ein Programm für das abwehren?


Mit freundlichen Grüßen

 

[BasCom]

also a: ein server macht nen port nicht auf, wenn keine anwendung auf diesem konfiguriert ist.

und b: ja das lässt sich alles einrichten, auch mit bedingungen. programm brauchste nicht, ist alles im Kernel drin und nennt sich iptables. dazu gibt haufenweise information im netz, angefangen mit der iptables manpage.

 

[Humaer]

Was du haben willst ist ein IDS - Intrusion Detection System
Schau dir mal snort an --> snort.org

 

[Masamune2]

Ich glaub du stellst dir Port Scans schlimmer vor als sie sind... solang du keine Dienste nach außen offen hast die das nicht sein sollten kann der Server so viel gescannt werden wie er will.

Für alles andere gibt es wie gesagt iptables.

 

[KingJoshii1000]

Hallo,
ich weiß schon was ein Port Scan macht .
Nur ich hab nen Root Server und den würde ich gerne bestmöglich absichern.

Mit freundlichen Grüßen

 

[xammu]

hi

Macht keinen Sinn

a)
Ein wirklicher Angreifer scannt die Port nicht von einer einzigen IP aus, sondern verteilt das auf mehrere bis tausendende.

b)
Diese automatische Blockierung öffnet einem DoS die Türen. Verwende ich die als AbsendeIP eine beliebige, dann kannste die danach nicht mehr aufrufen. Das kann ich so lange treiben bis dein Internet unnutzbar wird.

Sorge lieber dafür, das die laufenden Anwendungen / Scripte so wenig Sicherheitslücken wie möglich haben. Beschäftige dich mit sicherer Konfiguration, um eventuelle Lücken unausnutzbar zu machen ( SuExec, SuPHP usw. ).

mfg

 

[KingJoshii1000]

Hallo,
also würdet ihr sagen das eine Blockierung keinen Sinn macht?

 

[xammu]

Du kannst bestimmte Dienste blockieren.
Beispielsweise SSH, wenn von einer IP viele fehlerhafte Loginversuche kommen, aber ob das sinnvoll ist.

 

[andy_0]

Mit Fail2Ban kann man Zugriffsversuche sperren, wenn zu viele Zugriffe in der Sekunde stattfinden. Schau dir das mal an. Ich bin mir nicht sicher, ob es auch bei jeweils einer Abfrage pro Port funktioniert oder nur bei x Abfrage pro Port.

 

[Humaer]

Für einfache Sperrungen tuts auch eine Denyhosts-Konfiguration. Ich schließe mich aber meinen Vorrednern an:
Mach dir mal ein vernünftiges iptables-Skript
Schließe alles was nicht gebraucht wird
Wenn dir das immer noch nicht reicht (ich weiss ich wiederhole mich) --> snort

 

[Daaron]

Fail2Ban ist für die meisten Zwecke robust genug. X Fehlversuche -> IP-Ban für y Sekunden... und das auf viele Dienste, z.B. FTP, SSH, Dovecot, als Reaktion auf schwere Suhosin-Fehler... ich habs sogar mal für Roundcube eingesetzt.

 

[mensch183]

also würdet ihr sagen das eine Blockierung keinen Sinn macht?

Genau.

 

[Nugget100]

Hallo,
ich weiß schon was ein Port Scan macht .
Nur ich hab nen Root Server und den würde ich gerne bestmöglich absichern.

Mit freundlichen Grüßen

Solange keine Dienste Ports öffnen ,besteht auch keine Gefahr für dein System. Das System kann somit nur kompromittiert werden über die Offnen Ports die vorhanden sind. Entstanden durch die Dienste die man verwendet. Dafür gibts Scanner die dir aufzeigen welche Ports bei dir offen sind. Damit kannst entscheiden ob du Sie brauchst, es sinn macht die zu verwenden oder Sie zu schließen.

Im Windows Os ist es ein wenig an ders. Dort ist es (bei deaktiverter Firewall) alles offen . Nur die Firewll die MS mitliefert bietet geringen schutz gegen die Offnen Ports. Ausserdem lässt sich so ein Windows Sysem leichter Kompromittieren als ein Linux System. Wenn wir hier Sicherheit definieren wollen, so liegt die Sicherheit mehr bei Linux als bei Windows. Nicht umsonst wird Linux auch in Enterprise und Serverlandschaften verwendet WEIL es so sicherer ist als Windows.

 

[Masamune2]

Im Windows Os ist es ein wenig an ders. Dort ist es (bei deaktiverter Firewall) alles offen .

Und bei Linux ist bei deaktivierter Firewall alles zu? Blödsinn....

Nur die Firewll die MS mitliefert bietet geringen schutz gegen die Offnen Ports.

Was heißt denn geringer Schutz? Entweder die Firewall macht einen Port zu oder nicht. Die Windows Firewall bietet hier exakt den gleiche Schutz wie jede andere auch.

Ausserdem lässt sich so ein Windows Sysem leichter Kompromittieren als ein Linux System.

Warum?

Nicht umsonst wird Linux auch in Enterprise und Serverlandschaften verwendet WEIL es so sicherer ist als Windows.

Windows ist in Unternehmen ebenso verbreitet wie Linux.

 

[Daaron]

Windows ist in Unternehmen ebenso verbreitet wie Linux.

Zumindest nicht im Bereich Webhosting. Der IIS fristet da eher ein Schattendasein, dauert nicht mehr lange bis er sogar vom nginx vernascht wird...


Was die Ports angeht: Es ist Wurst, ob ein Port nun aktiv geblockt ist oder nicht. Solange niemand an dem Port zuhört passiert gar nichts. Du kannst ja mal einen Rechner, auf dem kein HTTP-Dienst läuft, auf Port 80 ansprechen. Der wird mit den Schultern zucken. Kein Dienst -> kein Port.

Viel wichtiger sind folgende Punkte:
- nur die Dienste, die wirklich müssen, dürfen Ports öffnen bzw. auf ihnen lauschen
- gewisse Dienste kann/sollte man vom Standard-Port entfernen
- alle Dienste, die Ports öffnen dürfen, müssen aktuellen Sicherheitsanforderungen entsprechen. PATCHEN, PATCHEN, PATCHEN!

 

[Masamune2]

Klar hat Linux bei manchen Diensten die Nase vorn... Webserver sind da das beste Beispiel, aber pauschal zu sagen Windows wird in Enterpriselandschaften nicht eingesetzt ist mal grober Unfug.

 

[mensch183]

Was die Ports angeht: Es ist Wurst, ob ein Port nun aktiv geblockt ist oder nicht. Solange niemand an dem Port zuhört passiert gar nichts. Du kannst ja mal einen Rechner, auf dem kein HTTP-Dienst läuft, auf Port 80 ansprechen. Der wird mit den Schultern zucken. Kein Dienst -> kein Port.

Nur Kiddie-Rechner reagieren gar nicht. Ordentliche Rechner (Windows gehörte bis XP dazu) antworten mit TCP Reset auf TCP bzw. mit ICMP Port Unreachable auf UDP.