• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

portscanner blocken

gelbeseiten

gelbeseiten

ein fröhliches hallo zusammen,


ich habe eine frage zu iptables.

ist es möglich eine postscan nicht zuzulassen?

meinet wegen mit nmap:

nmap -v -sS -O "ipadresse"

oder via andern portscannern?


gruss

volkmar
 
Martin Breidenbach

Martin Breidenbach

Wenn Du auf allen Ports mit 'DROP' reagierst dann wird auch ein Portscanner nix finden. Allerdings kann die Maschine dann auch keine Dienste anbieten.
 
OP
gelbeseiten

gelbeseiten

hallo martin,



das, wenn ich alle ports droppe, kein portscanner was findet ist mir klar. aber ich muss gewisse ports eben freigeben!

das war ja aber auch nicht meine frage. ich wollte wissen ob es prinzipiell möglich ist, einen porstscan zu verbieten obwohl ports freigegeben sind und diese auch genutzt werden können?

trotzdem danke,

gruss


volkmar
 
Martin Breidenbach

Martin Breidenbach

Könnte es sein daß Du nicht so genau weißt was ein Portscanner tut ? Der versucht (mit verschiedenen Methoden) jeden Port anzusprechen. Entweder kommt da jetzt eine Antwort oder nicht.

Was man noch machen könnte:

- Versuchen Portscans zu erkennen und dann sofort für die betreffende IP dichtmachen. Das klappt aber nur wenn ein Portscan erkannt wird. Und das läßt sich z.B. dadurch erschweren indem der Portscan extrem langsam arbeitet.

- Firewall so konfigurieren daß Ports nur für bestimmte IP-Adressen offen sind. Das klappt natürlich nur wenn die Clients die darauf zugreifen müssen feste IP-Adressen haben.

- Portknocking konfigurieren. Das mach aber nur Sinn wenn die Clients das auch können - und das ist bei 'normalen' Clients eben nicht der Fall.
 
OP
gelbeseiten

gelbeseiten

hallo,

ja ich weiss schon das ein portscanner über verschiedene wege versucht zu checken welche post frei sind. genau darum ging es mir ja. ich habe irgendwie gehofft, dass es möglich ist bei mehrerern portanfragen hintereinander diese anfrage(n) zu blocken.

aber anscheinden geht es nicht, schade.


danke dir trotzdem

gruss

volkmar
 
Martin Breidenbach

Martin Breidenbach

Es gibt wohl Firewallösungen die - wenn sie eine Portscan etc erkennen - versuchen 'zurückzuschlagen'. Ich kenne nur leider keine bzw kann Dir keinen konkreten Tip geben wie man das realisiert.

Vorschlag: es gibt eine IPTables Mailingliste und dazu wohl auch Archive. In denen sollte eine solche Frage schonmal vorgekommen sein. Schau da doch mal ob Du da eine Lösung findest.

Oder suche in google mal nach 'iptables block portscan'. Da kommen ein paar Sachen die sehen ganz gut aus.

EDIT: oc2pus hat mir gerade folgenden Tip gegeben:

psad http://www.cipherdyne.com/psad/
 
G

gaw

Portscannen lässt sich auf Dauer nie ganz verhindern wenn man Dienste anbietet. Jeder Dienst, der auf einen Port zugreift, kann die Verbindung abbrechen und besitzt somit eine der Grundfunktionalitäten eines Portscanners. Greife ich auf einen Webserver zu und erhalte einen login, weiß ich, dass dieser Port offen ist.
Das Problem ist folglich nicht das Portscannen, sondern eher die Reaktion auf zurückgewiesene Pakete. Erhält der Portscanner auf bestimmte Ports eine Antwort und auf anderen keine, weiß der Portscanner im Grunde schon, dass eine Firewall aktiv ist. nmap stuft dann die Ports als filtered ein.

Es gibt zwar Methoden bestimmte Arten des Portscannen zu entarnen und darauf zu reagieren, aber damit kann man sozusagen vom Regen in die Traufe kommen. Entsprechende Regeln in einer Firewall oder einem IDS-Systemen können als DoS-Angriff mißbraucht werden um einen Server durch vorgetäuschtes Portscannen zu blockieren.

mfG
gaw
 
S

Snubnose

Portsentry ist ein Tool das Portscans entdeckt und die IP dann für eine gewisse Zeit sperrt:
http://sourceforge.net/projects/sentrytools/
 
OP
gelbeseiten

gelbeseiten

hallo zusammen,

ich werde mich mal nächste woche mal damit ausseinander setzen.

dank an alle


gruss

volkmar
 
A

Anonymous

Gast
Hi,
oder Du schaust in den Manpage von iptables nach ... da gibts eh Unmengen zu dem Thema
zB
iptables -A INPUT -p tcp --tcp-flags ALL SYN,FIN -j LOG --log-prefix " Alert! SYNFINSCAN "
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j LOG --log-prefix " Alert! NULLSCAN "
iptables -A INPUT -p tcp -d 0/0 --dport 1080 -j LOG --log-prefix " Alert! PROXYSCAN "
iptables -A INPUT -p tcp -d 0/0 --dport 8080 -j LOG --log-prefix " Alert! PROXYSCAN "
iptables -A INPUT -p icmp -f -j LOG --log-prefix " Alert! ICMPFRAG "
iptables -A INPUT -p TCP -s ! 127.0.0.1 --tcp-flags ALL SYN -m limit --limit 50/minute -j LOG --log-pr
efix " Alert! SYNFLOOD "
usw.

Mƒg ®êïñï
 
OP
gelbeseiten

gelbeseiten

hallo zusammen,

das ist ja super, das es soviel resonanz darauf gibt :shock: . mit soviel habe ich nun wirklich nicht gerechnet, danke an alle :D


ich habe mir heute mal portsentry zu gemühte geführt. nicht schlecht, ich denke mal das ist ein wenig oversized, aber ich finde es gut und werde nutzen. die installations howto ist auch gut.

die manpages für iptables zeigen echt eine menge zu dem thema, werde wohl nicht herum kommen mich auch damit auseinander zusetzen :)

bis dann und nochmals danke


volkmar
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben