Effektive Lösung gegen Portscann-Verstopfung?

[Dizzy]

Hi,

welche Mittel gibt's gegen Portscanner (zB Portfuck)?

 

[bitmuncher]

Snort, scanlogd, portsentry sind die, die mir spontan einfallen.

 

[marce]

gegen Portscanner hift nur eine vorgeschaltete Firewall, die beim Provider steht - bei allem anderen ist die Leitung schon dicht (wenn's um Traffic/DOS/Durchsatz geht) - lokale Firewall kann zwar den Scanner blocken, daß er nicht mehr scannen kann (was nicht viel bringt).

 

[Dizzy]

Hi,

danke euch.

@bitmuncher
Die 3 habe ich gestern auch ausprobiert, leider erfolglos.

@marce
hm ... schade, danke dir.

 

[bitmuncher]

Setze auf alle Ports, die nicht nach aussen erreichbar sein sollen, eine DROP-Regel, anstatt REJECT zu verwenden. Das bremst die meisten Portscans ziemlich aus.

 

[hex]

Setze auf alle Ports, die nicht nach aussen erreichbar sein sollen, eine DROP-Regel, anstatt REJECT zu verwenden. Das bremst die meisten Portscans ziemlich aus.

Was ist da der Unterschied? Bei REJECT gibt er dem gegenüber Antwort und bei DROP nicht?

Gruss

 

[marce]

Na, ist doch viel sicherer :-)

Reject: es kommt ein ordentliche Antwort, das da nichts ist.
Drop: es kommt keine Antwort, das da was oder nichts ist, obwohl der Router einen Hop zuvor gesagt hat, da wäre was. Oh, da läuft wohl eine Firewall. Mal sehen, ob man die knacken kann.

Einzig durch Art, wie der PortScanner mit dem Ergebnis umgeht (evtl. delays, weil er noch wartet oder was auch immer) ändert was am Resultat. Wissen, daß da was ist tut man so oder so.

 

[bitmuncher]

Die wenigsten Portscan werden händisch gemacht. Schau ich in meine IDS-Logs sind die meisten Portscans offenbar durch Bots durchgeführt und die warten zumeist eine gewisse Zeit auf Antwort. Ein Bot denkt sich aber nichts dabei, wenn er innerhalb seines Delays keine Antwort bekommt. Ganz gewiss jedenfalls nicht, dass dort eine Firewall ist, die er knacken könnte.

Praxis vs. Theorie. Klar hilft es nicht gegen einen ernsthaften Angriff aber gegen das übliche "Hintergrundrauschen", das durch Bots verursacht wird, hilft es zumindest ein bisschen. Gegen einen ernsthaften Angriff helfen aber auch Portscan-Detektoren oder externe Firewalls nur bedingt.

 

[hex]

Ja. Es geht ja hier auch um das normale Internetrauschen. Ist das gleiche wie ICMP blockieren. Was bringt es, wenn ein Host keinen echo reply bringt, wenn man den HTTP Server erreichen kann.

mfg

 

[bitmuncher]

Ein P0-Scan dauert noch länger als ein gewöhnlicher TCP-Scan und der ist notwendig wenn kein Echo-Reply kommt, zumindest wenn eine ganze Port-Range gescannt wird. Wird nur auf einen spezifischen Port geprüft, bringt es natürlich wenig.

Das Problem ist doch, dass man z.B. kaum Rootserver mit vorgeschalteter Firewall bekommt, über die man Kontrolle hätte. Als Rootserver-Besitzer muss man sich also etwas einfallen lassen um wenigstens das Gröbste abzublocken und da helfen selbst Kleinigkeiten wie DROPs anstatt REJECTs, Portscan-Detektoren, die scannende Hosts via iptables komplett aussperren u.ä.

 

[marce]

Die Frage ist halt: was will man damit erreichen? Portscans an sich schaden ja nicht (solange kein DOS draus wird) und das beste, was man bei einem sauber konfigurierten System erreichen kann sind saubere Logfiles.