Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

portscanner blocken

Alles rund um das Internet, Internet-Anwendungen (E-Mail, Surfen, Cloud usw.) und das Einrichten von Netzwerken einschl. VPN unter Linux

Moderator: Moderatoren

Antworten
Benutzeravatar
gelbeseiten
Newbie
Newbie
Beiträge: 32
Registriert: 19. Okt 2004, 12:12
Wohnort: Bremen

portscanner blocken

Beitrag von gelbeseiten »

ein fröhliches hallo zusammen,


ich habe eine frage zu iptables.

ist es möglich eine postscan nicht zuzulassen?

meinet wegen mit nmap:

nmap -v -sS -O "ipadresse"

oder via andern portscannern?


gruss

volkmar
Das Chamälion passt sich nun mal der Umgebung an, warum eigentlich?!
Benutzeravatar
Martin Breidenbach
Ultimate Guru
Ultimate Guru
Beiträge: 5632
Registriert: 26. Mai 2004, 21:33
Wohnort: N 50.17599° E 8.73367°

Beitrag von Martin Breidenbach »

Wenn Du auf allen Ports mit 'DROP' reagierst dann wird auch ein Portscanner nix finden. Allerdings kann die Maschine dann auch keine Dienste anbieten.
Nicht Böse sein ! Der Onkel macht doch nur Spaß !
Benutzeravatar
gelbeseiten
Newbie
Newbie
Beiträge: 32
Registriert: 19. Okt 2004, 12:12
Wohnort: Bremen

Beitrag von gelbeseiten »

hallo martin,



das, wenn ich alle ports droppe, kein portscanner was findet ist mir klar. aber ich muss gewisse ports eben freigeben!

das war ja aber auch nicht meine frage. ich wollte wissen ob es prinzipiell möglich ist, einen porstscan zu verbieten obwohl ports freigegeben sind und diese auch genutzt werden können?

trotzdem danke,

gruss


volkmar
Das Chamälion passt sich nun mal der Umgebung an, warum eigentlich?!
Benutzeravatar
Martin Breidenbach
Ultimate Guru
Ultimate Guru
Beiträge: 5632
Registriert: 26. Mai 2004, 21:33
Wohnort: N 50.17599° E 8.73367°

Beitrag von Martin Breidenbach »

Könnte es sein daß Du nicht so genau weißt was ein Portscanner tut ? Der versucht (mit verschiedenen Methoden) jeden Port anzusprechen. Entweder kommt da jetzt eine Antwort oder nicht.

Was man noch machen könnte:

- Versuchen Portscans zu erkennen und dann sofort für die betreffende IP dichtmachen. Das klappt aber nur wenn ein Portscan erkannt wird. Und das läßt sich z.B. dadurch erschweren indem der Portscan extrem langsam arbeitet.

- Firewall so konfigurieren daß Ports nur für bestimmte IP-Adressen offen sind. Das klappt natürlich nur wenn die Clients die darauf zugreifen müssen feste IP-Adressen haben.

- Portknocking konfigurieren. Das mach aber nur Sinn wenn die Clients das auch können - und das ist bei 'normalen' Clients eben nicht der Fall.
Nicht Böse sein ! Der Onkel macht doch nur Spaß !
Benutzeravatar
gelbeseiten
Newbie
Newbie
Beiträge: 32
Registriert: 19. Okt 2004, 12:12
Wohnort: Bremen

Beitrag von gelbeseiten »

hallo,

ja ich weiss schon das ein portscanner über verschiedene wege versucht zu checken welche post frei sind. genau darum ging es mir ja. ich habe irgendwie gehofft, dass es möglich ist bei mehrerern portanfragen hintereinander diese anfrage(n) zu blocken.

aber anscheinden geht es nicht, schade.


danke dir trotzdem

gruss

volkmar
Das Chamälion passt sich nun mal der Umgebung an, warum eigentlich?!
Benutzeravatar
Martin Breidenbach
Ultimate Guru
Ultimate Guru
Beiträge: 5632
Registriert: 26. Mai 2004, 21:33
Wohnort: N 50.17599° E 8.73367°

Beitrag von Martin Breidenbach »

Es gibt wohl Firewallösungen die - wenn sie eine Portscan etc erkennen - versuchen 'zurückzuschlagen'. Ich kenne nur leider keine bzw kann Dir keinen konkreten Tip geben wie man das realisiert.

Vorschlag: es gibt eine IPTables Mailingliste und dazu wohl auch Archive. In denen sollte eine solche Frage schonmal vorgekommen sein. Schau da doch mal ob Du da eine Lösung findest.

Oder suche in google mal nach 'iptables block portscan'. Da kommen ein paar Sachen die sehen ganz gut aus.

EDIT: oc2pus hat mir gerade folgenden Tip gegeben:

psad http://www.cipherdyne.com/psad/
Nicht Böse sein ! Der Onkel macht doch nur Spaß !
Benutzeravatar
gelbeseiten
Newbie
Newbie
Beiträge: 32
Registriert: 19. Okt 2004, 12:12
Wohnort: Bremen

Beitrag von gelbeseiten »

ich danke dir/euch erstmal,


wenn ich was finden sollte poste ich das hier.


gruss


volkmar
Das Chamälion passt sich nun mal der Umgebung an, warum eigentlich?!
gaw
Hacker
Hacker
Beiträge: 464
Registriert: 28. Sep 2004, 16:33

Beitrag von gaw »

Portscannen lässt sich auf Dauer nie ganz verhindern wenn man Dienste anbietet. Jeder Dienst, der auf einen Port zugreift, kann die Verbindung abbrechen und besitzt somit eine der Grundfunktionalitäten eines Portscanners. Greife ich auf einen Webserver zu und erhalte einen login, weiß ich, dass dieser Port offen ist.
Das Problem ist folglich nicht das Portscannen, sondern eher die Reaktion auf zurückgewiesene Pakete. Erhält der Portscanner auf bestimmte Ports eine Antwort und auf anderen keine, weiß der Portscanner im Grunde schon, dass eine Firewall aktiv ist. nmap stuft dann die Ports als filtered ein.

Es gibt zwar Methoden bestimmte Arten des Portscannen zu entarnen und darauf zu reagieren, aber damit kann man sozusagen vom Regen in die Traufe kommen. Entsprechende Regeln in einer Firewall oder einem IDS-Systemen können als DoS-Angriff mißbraucht werden um einen Server durch vorgetäuschtes Portscannen zu blockieren.

mfG
gaw
Snubnose
Hacker
Hacker
Beiträge: 410
Registriert: 18. Feb 2004, 19:19
Wohnort: Schwabenland

Beitrag von Snubnose »

Portsentry ist ein Tool das Portscans entdeckt und die IP dann für eine gewisse Zeit sperrt:
http://sourceforge.net/projects/sentrytools/
Benutzeravatar
gelbeseiten
Newbie
Newbie
Beiträge: 32
Registriert: 19. Okt 2004, 12:12
Wohnort: Bremen

Beitrag von gelbeseiten »

hallo zusammen,

ich werde mich mal nächste woche mal damit ausseinander setzen.

dank an alle


gruss

volkmar
Das Chamälion passt sich nun mal der Umgebung an, warum eigentlich?!
reini123

Beitrag von reini123 »

Hi,
oder Du schaust in den Manpage von iptables nach ... da gibts eh Unmengen zu dem Thema
zB
iptables -A INPUT -p tcp --tcp-flags ALL SYN,FIN -j LOG --log-prefix " Alert! SYNFINSCAN "
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j LOG --log-prefix " Alert! NULLSCAN "
iptables -A INPUT -p tcp -d 0/0 --dport 1080 -j LOG --log-prefix " Alert! PROXYSCAN "
iptables -A INPUT -p tcp -d 0/0 --dport 8080 -j LOG --log-prefix " Alert! PROXYSCAN "
iptables -A INPUT -p icmp -f -j LOG --log-prefix " Alert! ICMPFRAG "
iptables -A INPUT -p TCP -s ! 127.0.0.1 --tcp-flags ALL SYN -m limit --limit 50/minute -j LOG --log-pr
efix " Alert! SYNFLOOD "
usw.

Mƒg ®êïñï
Benutzeravatar
gelbeseiten
Newbie
Newbie
Beiträge: 32
Registriert: 19. Okt 2004, 12:12
Wohnort: Bremen

Beitrag von gelbeseiten »

hallo zusammen,

das ist ja super, das es soviel resonanz darauf gibt :shock: . mit soviel habe ich nun wirklich nicht gerechnet, danke an alle :D


ich habe mir heute mal portsentry zu gemühte geführt. nicht schlecht, ich denke mal das ist ein wenig oversized, aber ich finde es gut und werde nutzen. die installations howto ist auch gut.

die manpages für iptables zeigen echt eine menge zu dem thema, werde wohl nicht herum kommen mich auch damit auseinander zusetzen :)

bis dann und nochmals danke


volkmar
Das Chamälion passt sich nun mal der Umgebung an, warum eigentlich?!
Antworten