hallo erstmal,
ich habe mal eine verständnisfrage: ich habe hier kanotix installiert und alle dienste soweit deaktiviert, dass mir netstat nichts mehr anzeigt. nun habe ich nochmal einen check mit sygate's online scanner gemacht, der mir anzeigt, dass diverse ports zwar "closed" aber nicht "blocked" seien (bei stealth- und udp-scan), was man dort für den idealfall hält. mit meinen recht rudimentären netzwerkkenntnissen könnte ich mal eine kurze erklärung gebrauchen:
wo ist denn da genau der unterschied und wie bewerkstellige ich denn das blocken?
(ich habe hier keine firewall und auch kein weiteres netzwerk- es handelt sich um einen einzelrechner mit internetzugang)
greetings
_bernd
ports: closed vs. blocked
-
Feuerzwerg
- Beiträge: 105
- Registriert: 28.09.2002 15:29:30
- Wohnort: Saarbrücken
-
Kontaktdaten:
-
Feuerzwerg
- Beiträge: 105
- Registriert: 28.09.2002 15:29:30
- Wohnort: Saarbrücken
-
Kontaktdaten:
Es ist auf jeden Fall besser wenn ein Angreifer keine Infos von dir erhaelt als wenn er erfaehrt, dass unter der ip ein rechner ist, bei dem halt einige ports closed sind. Um den Effekt zu erhalten brauchst du die packet filtering pakete im Kern oder eine externe Firewall. Ich weiss jetzt nicht, ob die module im Standardkern drin sind.
also eigentlich ist es egal ob der angreifer weiß ob der rechner antwortet oder nicht.
denn wenn man sich mal seine logs so anschaut kommen die angriffe von den verseuchten windows kisten eh wahllos auf die ip's. entweder reagiert die kiste dahinter oder auch nicht. macht keinen unterschied für den wurm.
und wenn es jemand auf dich angesehen hat, dann ist es auch egal, weil dann weiß er wie er an deinen rechner ran kommt.
im grunde macht es dann noch nicht mal sinn überhaupt eine firewall einzusetzen.
wenn man nur dienste nach aussen hin anbietet die sowieso durchgelassen werden würden, dann brauche ich dafür keinen portfilter. und dienste die nicht laufen können ja auch nicht angegriffen werden.
es sei denn ich lege wert auf statefull inspection und erkennen von synflood attacken usw...
denn wenn man sich mal seine logs so anschaut kommen die angriffe von den verseuchten windows kisten eh wahllos auf die ip's. entweder reagiert die kiste dahinter oder auch nicht. macht keinen unterschied für den wurm.
und wenn es jemand auf dich angesehen hat, dann ist es auch egal, weil dann weiß er wie er an deinen rechner ran kommt.
im grunde macht es dann noch nicht mal sinn überhaupt eine firewall einzusetzen.
wenn man nur dienste nach aussen hin anbietet die sowieso durchgelassen werden würden, dann brauche ich dafür keinen portfilter. und dienste die nicht laufen können ja auch nicht angegriffen werden.
es sei denn ich lege wert auf statefull inspection und erkennen von synflood attacken usw...
-
Interceptor
- Beiträge: 18
- Registriert: 26.12.2003 14:21:37
- Wohnort: Hagen in Westf.
Hallo alle zusammen
Interessant ist dabei mal folgendes:
Jan 2 10:44:02 debian sshd[11795]: Illegal user patrick from 210.100.255.3
Jan 2 10:44:04 debian sshd[11799]: Illegal user patrick from 210.100.255.3
Jan 2 10:44:22 debian sshd[11820]: Illegal user rolo from 210.100.255.3
Jan 2 10:44:25 debian sshd[11824]: Illegal user iceuser from 210.100.255.3
Jan 2 10:44:28 debian sshd[11829]: Illegal user horde from 210.100.255.3
Jan 2 10:44:31 debian sshd[11832]: Illegal user cyrus from 210.100.255.3
Jan 2 10:44:34 debian sshd[11835]: Illegal user www from 210.100.255.3
Jan 2 10:44:37 debian sshd[11840]: Illegal user wwwrun from 210.100.255.3
Jan 2 10:44:39 debian sshd[11845]: Illegal user matt from 210.100.255.3
Jan 2 10:44:42 debian sshd[11849]: Illegal user test from 210.100.255.3
Jan 2 10:44:45 debian sshd[11854]: Illegal user test from 210.100.255.3
Jan 2 10:44:48 debian sshd[11858]: Illegal user test from 210.100.255.3
Jan 2 10:44:51 debian sshd[11862]: Illegal user test from 210.100.255.3
Jan 2 10:44:57 debian sshd[11869]: Illegal user mysql from 210.100.255.3
Jan 2 10:45:00 debian sshd[11874]: Illegal user operator from 210.100.255.3
Jan 2 10:45:03 debian sshd[11877]: Illegal user adm from 210.100.255.3
Jan 2 10:45:06 debian sshd[11882]: Illegal user apache from 210.100.255.3
Jan 2 10:45:14 debian sshd[11895]: Illegal user adm from 210.100.255.3
Jan 2 10:45:26 debian sshd[11913]: Illegal user jane from 210.100.255.3
Jan 2 10:45:29 debian sshd[11917]: Illegal user pamela from 210.100.255.3
Jan 2 10:45:46 debian sshd[11940]: Illegal user cosmin from 210.100.255.3
Kann sich doch eigendlich nur um eine Bruteforceattacke handeln oder ?
Interessant ist dabei mal folgendes:
Jan 2 10:44:02 debian sshd[11795]: Illegal user patrick from 210.100.255.3
Jan 2 10:44:04 debian sshd[11799]: Illegal user patrick from 210.100.255.3
Jan 2 10:44:22 debian sshd[11820]: Illegal user rolo from 210.100.255.3
Jan 2 10:44:25 debian sshd[11824]: Illegal user iceuser from 210.100.255.3
Jan 2 10:44:28 debian sshd[11829]: Illegal user horde from 210.100.255.3
Jan 2 10:44:31 debian sshd[11832]: Illegal user cyrus from 210.100.255.3
Jan 2 10:44:34 debian sshd[11835]: Illegal user www from 210.100.255.3
Jan 2 10:44:37 debian sshd[11840]: Illegal user wwwrun from 210.100.255.3
Jan 2 10:44:39 debian sshd[11845]: Illegal user matt from 210.100.255.3
Jan 2 10:44:42 debian sshd[11849]: Illegal user test from 210.100.255.3
Jan 2 10:44:45 debian sshd[11854]: Illegal user test from 210.100.255.3
Jan 2 10:44:48 debian sshd[11858]: Illegal user test from 210.100.255.3
Jan 2 10:44:51 debian sshd[11862]: Illegal user test from 210.100.255.3
Jan 2 10:44:57 debian sshd[11869]: Illegal user mysql from 210.100.255.3
Jan 2 10:45:00 debian sshd[11874]: Illegal user operator from 210.100.255.3
Jan 2 10:45:03 debian sshd[11877]: Illegal user adm from 210.100.255.3
Jan 2 10:45:06 debian sshd[11882]: Illegal user apache from 210.100.255.3
Jan 2 10:45:14 debian sshd[11895]: Illegal user adm from 210.100.255.3
Jan 2 10:45:26 debian sshd[11913]: Illegal user jane from 210.100.255.3
Jan 2 10:45:29 debian sshd[11917]: Illegal user pamela from 210.100.255.3
Jan 2 10:45:46 debian sshd[11940]: Illegal user cosmin from 210.100.255.3
Kann sich doch eigendlich nur um eine Bruteforceattacke handeln oder ?
--
cu
Interceptor
cu
Interceptor
OffensichtlichInterceptor hat geschrieben:Kann sich doch eigendlich nur um eine Bruteforceattacke handeln oder ?
Aber dafür wurde ssh mit tcp wrapper support übersetzt und Du kannst das über hosts.allow und hosts.deny einstellen. Solange man die Hosts eindeutig festlegen kann (oder auch nur auf Netze beschränken kann), sollte man das IMO dort tun 
Code: Alles auswählen
hosts.deny: ALL:ALL
hosts.allow: sshd: host1.foo.bar *.my-isp.net 192.168.