Nmap abklopfen verhindern

[Aaron]

Gibt es sinn oder weniger sinnvolle methoden sich gegen eine abklopfung durch nmap zu schützen bzw. etwas derartiges zu monitoren??

Aaron

[FlashBuster]

der Portscan Attack Detector psad sollte genau das sein was du suchst

apt-get install psad
man psad

Da kannst du einstellen wie was passieren soll wenn jemand so und so oft deinen Computer scannt.
Auch blocken desjenigen ist möglich.

MfG, Buster

[lobo]

Hi Aaron

Wenn ich mich recht erinnere gab es hier auf dem Forum mal einen ähnlichen Thread.
Du wolltest zwar eine Lösung haben um Portscans zu unterbinden, aber ich versuche dir nochmals ins Gewissen zu reden und bitte dich mal das hier zu lesen.

Ich persönlich finde Portscans nicht schlimm, da dein Rechner bei einem Portscan nur Dienste entdeckt werden sollten, die du sowiso anbieten willst, wenn das nicht der fall ist musst du dir unter Debian ein entsprechendes IPTables Script schreiben.

Psad habe ich bisher noch nicht getestet, aber Intrustion-Response ist ne etwas heikle Sache.
Hier mal nur ein simples Beispiel:

Du verwendest als DNS Server 200.200.200.200
Jemand macht mit Nmap einen Scan auf deinen Rechner und ändert seine Source-IP in 200.200.200.200, er wird zwar keine Scan-Ergebnisse erhalten, aber dein IRS wird die IP blocken, du bekommst keine DNS auflösung mehr und hast somit ne DoS Attacke auf dich selber ausgeübt (Ich glaube diese Peinlichkeit ist vor 3-4 Monaten in einer Windows PersonalFirewall vorgekommen).

Ich will auch nicht behaupten, dass Intrustion Response völliger Schwachsinn ist da ich viel zu wenig Erfahrung in diesem Bereich hab. Diese Syteme haben sicher Ihre Berechtigung, wenn sie sehr gut geplant sind.

Wenn du dir selber deine Meinung dazu bilden willst, könntest du folgende Software testen.

Snort-Inline
snortsam
Hogwash

Gruss

Jochen

[Hackmeck]

Ich persönlich finde Portscans nicht schlimm, da dein Rechner bei einem Portscan nur Dienste entdeckt werden sollten, die du sowiso anbieten willst,

Full ACK!

wenn das nicht der fall ist musst du dir unter Debian ein entsprechendes IPTables Script schreiben.

Oder noch besser die entsprechenden Services einfach abstellen. Ich empfehle dazu auch http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html, insbesondere http://www.iks-jena.de/mitarb/lutz/usen ... l#Portscan und
http://www.iks-jena.de/mitarb/lutz/usen ... html#Scans.

[Aaron]

Speziell das was der CCC geschrieben hat fand ich sehr sinnvoll. Als ich diesen Threat geschrieben habe dachte ich noch garnicht so weit es ging mir in erster linie um das wissen wie man so was macht und ich werde mal sehen wie psad so funktioniert. ich selbe nmape gerne und hab erlichgesagt weniger angst vor den evtuellen juristischen folgen.

danke für eure Antworten

[pdreker]

Um die ursprüngliche Frage zu beantworten: Ausser den Rechner vom Netzwerk zu trennen gibt es keine praktikable Möglichkeit sich vor Portscans zu schützen.

Ansonsten schliesse ich mich meinen Vorrednern an... Manchmal, wenn ich zuviel Zeit habe, schaue ich Durch meine IPTables Logs auf der Suche nach einem besonders dummen/interessanten/hartnäckigen/obskuren Portscanner Wenn man dann was findet ist es die Herausforderung heraus zu finden, was derjenige mit dem Scan bezwecken wollte...

Patrick

[tylerD]

Ich kann mich nur meinen Vorrednern anschließen.Um sich vor normalen Scriptkiddies zu schützen, reichen iptables und auf ein vernüftiges Sicherheitsmaß konfigurierte Dienste. Wenn sie ihren Portscann machen wollen, lass sie doch. Du nimmst an einem öffentlichen Netz teil, in dem Rechner Dienste anbieten -> also ist es normal das andere schauen wollen, welche Dienste du anbietest.
Jemand der wirklich dir schaden will und genügend Ahnung und Zeit hat, kommt auch so auf deine Kiste. Da helfen dir auch nicht diese Dinge, nur Stecker ziehen.

cu

ps: Ich find dieses hysterische Verhalten auf Portscanns meistens recht lächerlich. In der Regel sind das User, die sich unter Windows eine blinkende Personal Firewall installiert haben, die bei jeder Anfrage auf Port 80 von einem vierenverseuchten Rechner riesig groß aufpoppt EINBRUCHSVERSUCH, FASS DEN BÖSEN HACKER, und dann am liebsten gleich einen Strafantrag stellen und keinen Plan davon haben was technisch da abläuft.

[FlashBuster]

mhh.. ich kann mich nicht beschweren mit psad.
Wieso sollte jemand auch meine eigenen Services wissen wollen. Muss doch nicht sein. Nur weil ich im Internet bin, heisst das ja nicht, daß ich (blödes Beispiel) meinen ssh-server als dienst für jedermann freigebe
Wenn ich will, daß jemand meine Dienste in Anspruch nimmt, dann sag ich das demjenigen schon
Das mit dem DNS-Server find ich auch ziemlich an den Haaren herbei gezogen.
1. das trifft vielleicht mal auf 0.000001 % zu..
2. nur ich kenne meinen DNS-Server und dann kann ein Angreifer ja ruhig mal alle
DNS-Server in Dtl. durchgehen, er wird meinen nicht finden...

Aber jeder so wie er es mag

MfG, Buster

[tylerD]

Wieso sollte jemand auch meine eigenen Services wissen wollen. Muss doch nicht sein. Nur weil ich im Internet bin, heisst das ja nicht, daß ich (blödes Beispiel) meinen ssh-server als dienst für jedermann freigebe

Wenn der Port offen ist und dahinter ein ssh lauscht, dann heißt das ganz genau, dass du diesen Dienst für jederman freigibst. Ansonstens würdest du ihn ja per iptables oder anderes sperren.
Ob diejenigen den Dienst nutzen dürfen und können, dass obliegt in der Konfiguration des Dienstes. Bei ssh wären das halt username und passwort.

cu

[FlashBuster]

Es ging mir eher darum, daß ich als Besitzer meine PC's selbst entscheiden möchte was von aussen sichtbar ist und was nicht.
Bis jetzt hiess es so nach dem Motto "ja, wenn du schon im Internet bist musst du dich halt damit abfinden, dass jeder scannen kann."
Ich sehe aber keinen Grund warum ich das jemandem erlauben sollte.
Sicher gibt es andere Mittel und Wege, aber das ist wohl eher eine Frage des Geschmacks


MfG, Buster

[Bert]

Es ging mir eher darum, daß ich als Besitzer meine PC's selbst entscheiden möchte was von aussen sichtbar ist und was nicht.

Das ist ja auch so. Das was von außen sichtbar ist, entscheidest Du. Wo kein Dienst lauscht, sieht man auch nichts. Dazu brauchst Du noch nichtmal eine Firewall.

Bis jetzt hiess es so nach dem Motto "ja, wenn du schon im Internet bist musst du dich halt damit abfinden, dass jeder scannen kann."
Ich sehe aber keinen Grund warum ich das jemandem erlauben sollte.

Klar, es kann Dich jeder Scannen. Wo ist das Problem? Ich schau auch manchmal bei IPs vorbei was da so offen ist (und bin meistens erschrocken). Ich sehe halt keinen Grund, warum es nicht erlaubt sein sollte.

Sicher gibt es andere Mittel und Wege, aber das ist wohl eher eine Frage des Geschmacks

Da wär ich jetzt aber gespannt, was für Mittel un Wege das sein sollten.

Zu dem Blocken der DNS Server: Das ist eigentlich ganz einfach. Die Adressbereiche der großen Povider (T-Online z.B.) sind bekannt. Und deren DNS Server auch. Und bei den meisten Leuten in diesen Netzen wirst Du also erfolgreich den Zugang zum DNS sperren können, wenn diese wie oben beschrieben vorgehen.

Gruß Bert

[FlashBuster]

Keiner versteht mich! *heul*

Ok, also um das mal konkreter zu erläutern:

1. Es gibt genug skriptkiddies da draussen die ganze IP-Bereiche scannen
Jetzt hab ich die Möglichkeit seine IP nach dem X.ten Portscan zu blocken, wodurch er
a) nur wenige meiner Services kennt
b) ihm weder OS noch Version - Fingerprinting richtig möglich gemacht wird

Warum sollte ich das denn nicht verhindern wollen?

Beispiel: Ich brauch an der Uni einen MySQL > Version 4.1 server und wir haben da nur Version 3.
Also setze ich bei mir einen auf und gut ist. Ich weiss ja das bei mir einer läuft.
Durch einen normalen Prtscan wird das nicht sichtbar weil ja der Scanner nach ein paar Ports geblockt wird.
Warum sollte ich ihm denn zeigen daß ich eine Betaversion laufen habe, was ist wenn ein Exploit dafür rauskommt?
Ich habe dadurch doch offfensichtlich zumindest einen kleinen Sicherheitsvorsprung.
Lasse ich einen NMap auf meinen PC laufen kommen grad mal 4 Services zum Vorschein, ohne Versionsinfo und nur mit der Aussage "irgendein Linux".
Das ist mir doch lieber als wenn jemand sieht "SSH version xxx" und Kernel yyy und MySQL xxx. Da genügt dann etwas stöbern im Internet und schon ist meine Maschine kompromitiert, wenn ich Pech habe.
Zu dem DNS: Wie gesagt ist das eher eine theoretische Annahme, und selbst wenn das passiert, hat ein Angreifer bloss geschafft daß mein DNS nicht erreichbar ist. Dann lösch ich halt den iptables-Eintrag und gut ist.
(Ganz davon abgesehen, daß ich meinen eigenen DNS im RZ habe, den wohl kaum jemand kennen dürfte, aber das ist ja nicht der Regelfall)

Mich stört halt nur, daß hier gesagt wird "lass psad liegen, ist doch total wurscht".
Der Poster wollte wissen wie man portscans unterdrückt, und dafür gibt es ein Programm was genau das (mehr oder weniger) tut.
Das habe ich ihm genannt und nun soll er glücklich damit werden, oder nicht.
Es ist wohl eher eine Frage des Geschmacks ob jemand das tun möchte oder nicht.
Ich fü r meinen Teil möchte das, und einfach das Argument "ja, der DNS kann geblockt werden" ist für mich nicht wirklich ein Grund es nicht zu tun.
Aber das kann ja schliesslich auch jeder für sich selbst abwägen.

MfG, Buster

[tylerD]

Es ging mir eher darum, daß ich als Besitzer meine PC's selbst entscheiden möchte was von aussen sichtbar ist und was nicht.
Bis jetzt hiess es so nach dem Motto "ja, wenn du schon im Internet bist musst du dich halt damit abfinden, dass jeder scannen kann."
Ich sehe aber keinen Grund warum ich das jemandem erlauben sollte.
Sicher gibt es andere Mittel und Wege, aber das ist wohl eher eine Frage des Geschmacks

Technisch gesehen ist deinen Argumentation einfach nicht haltbar. Wenn du Dienste anbietest, mußt du damit rechnen, dass sie benutz werden. Wenn du das nichts willst, biete den Dienst nicht an, oder konfiguriere den Dienst so, dass nur bestimmte Nutzer ihn benutzen können.
Darauf basiert das ganze Internet. Woher soll ich den wissen ob die Seite http://www.google.de auf einem "öffentlichen" Rechner liegt oder auf einem Rechner von einem privaten User, der nicht will, dass ich mir diese anschau? Ich bin über irgendeinen Mechanismus (Links auf Webseiten ist einer,Portscans ist auch einer) auf diesen Dienst aufmerksam gewurden und versuche nun ihn zu nutzen. Wenn der Diensteanbieter nicht will das ich ihn benutze, sollte er mir das in irgendeiner Weise verbieten (htaccess, user+passwd usw).

cu

edit: zu deinem Beispiel: Wenn du dich durch diesen Mechanismus sicherer fühlst, dann hast du ein wirkliches Sicherheitsproblem. Die einzige Möglichkeit, Sciptkiddies dran zu hintern deinen Beta-SQL-Server nicht zu hacken liegt darin, ihn so zu konfigurieren das er nur von innen ereichbar ist. Was bei einem Testbetrieb zu entwickeln ja wohl immer sinnvoll ist. Es gibt ja nicht nur vertikale Scans sondern auch horizontale. Das Problem bei deinem Beispiel ist, du denkst du hast damit eine erhöhte Sicherheit, dein Dienst steht aber trotzdem frei im Netz und kann von jedem Sciptkiddie anggriffen werden.
Sicherlich erhöhen solche Systeme die Sicherheit, wenn sie richtig eingesetz werden, jedoch hängt Sicherheit nicht von einem Ding ab, sonderen ist ein Konzept, was es nicht aus der Box gibt.

[Picknicker]

der Portscan Attack Detector psad sollte genau das sein was du suchst

apt-get install psad
man psad

Da kannst du einstellen wie was passieren soll wenn jemand so und so oft deinen Computer scannt.
Auch blocken desjenigen ist möglich.

MfG, Buster

sorry, wenn ich hier reinschneie aber unter woody scheint es diesen "psad" nicht zu geben (auch backports.org und apt-get.org nicht)
Kann das sein ?

[FlashBuster]

Mh, ich hab kein Woody. Nen Mix aus testing und unstable..


Also zu dem Vorschlag oben, ich solle doch für den Testbetrieb meinen mysql server nach aussen hin schliessen. Das ist aber wie gesagt nicht der Sinn der Sache, wenn ich den mysqlserver in der Uni brauche.
Ausserdem sagte ich ja schon oben, daß ich durch den psad nicht sicher bin (das gibt es ja eh nicht), sondern daß die Wahrscheinlichkeit unbestreitbar sinkt daß jemand meine beta-version von mysql scannt.
Womit ich eventuell noch genug Zeit bekomme das zu fixen.

Aber wie schon gesagt, ich bins leid. Bei mir gehört der psad ins das SIcherheitskonzept rein und wer ihn nicht benutzen will soll ihn halt nicht benutzen.
Jeder nach seiner Facon.


MfG, Buster

[tylerD]

Also zu dem Vorschlag oben, ich solle doch für den Testbetrieb meinen mysql server nach aussen hin schliessen. Das ist aber wie gesagt nicht der Sinn der Sache, wenn ich den mysqlserver in der Uni brauche.

Schon mal was von Portforwarding über ssh gehört? Ein ssh-Deamon sollte sicherheitsmäßig unbedenglicher sein als ein beta-SQL-Server. Und wer so wichtige Daten hat, das er sich über den Einsatz eines solchen Tools wie psad einen Kopf machen muß, sollte wohl obigen Weg definitiv gehen, weil es aus Sicht der Sicherheit keinen anderen gibt. Alles andere wäre fahrlässig. Das ist ja gerade der Trugschluß, dass du Zeit gewinnst durch den Einsatz von psad. Es ist nur ein zusätzliches Mittel die Sicherheit zu erhöhen. Jedoch ist die Sicherheit abhängig vom schwächsten Glied, die in deinem Fall der mysql-Server ist.
Trügerische Sicherheit, die man durch die Benutzung von solchen Tools erwirbt ist viel gefährlicherer als der sinnvolle Benutzung und Kongiguration der Dienste die man benutzt (zum Beispiel remote einloggen und mysql für die Übungsstunde starten, in der man ihn braucht). Ein Tool wie psad hilft dir da überhaupt nicht weiter. Vielleicht sitzt der, der dir wirklich schaden will, hinter dir im Pool und bekommt mit das du auf deinen Heimrechner connectest. Dieser Typ braucht dann kein Portscann.

Naja, nur meine Meinung.

cu

[FlashBuster]

Naja, den MySQLserver starte ich eh nur wenn ich ihn brauche
Und ansonsten hab ich ja nicht nur den psad. Bin so ganz zufrieden weil bei nem Portscan auf meinen Computer nichts rauskommt. Nichtmal das OS kann er richtig bestimmen.
Aber das ist ja auch nur das Resultat aus der Gesamtkonfiguration.
Ich mag eben die Mails die bei mir ankommen, wenn mal wieder jemand ein paar hundert Ports durchprobieren wollte und nach den ersten paar geblockt wurde.

MfG, Buster

[pdreker]

Ich hasse es ja, Dir in die Suppe zu spucken, aber ich war gerade 'mal so frei Die IP Adresse unter der Du hier postest zu nmappen. Sehr interessantes Sicherheitskonzept...

Was ich innerhalb von 15 Minuten rausgefunden habe:
Debian (OK, das war popelig )
linux-686
letzter Reboot: Jan 28 18:36:06 2004
die Rechneruhr geht genau

Interessante Anwendungen:
ProFTPD 1.2.9 (kein anon Login, der sagt mir sogar den DynDNS-Namen Deiner Maschine), Sendmail 8.12.11.Beta0/8.12.11.Beta0/Debian-1, Cups läuft (mit TLS aktiviert), MySQL läuft auch (4.0.16), WebMin läuft (SSL), der portmapper ist nach draussen sichtbar (!) und drei weitere offene Ports, die ich nicht auf Anhieb identifizieren konnte.

Bei einem Portscan kommt hier eine ganze Menge raus. nmap kann zwar das OS nicht eindeutig idetifizieren, aber die Strings in den ganzen Daemons machen das auch unnötig. Man kann einfach Deinen Sendmail fragen, welches OS Du benutzt.

Auf den ersten Blick: Debian SID (nicht in der PaketDB kontrolliert...)

Das Port Blocking von psad scheint auch nicht so richtig zu funktionieren, ich kann hier fröhlich vor mich hin ballern. Wenn Du Mails bei Portscans bekommst, dann hast Du jetzt Post Ausserdem kann man nmap auch einfach auf langsam schalten, damit wird psad sehr elegant umgangen, und nmap sagt dann:

Code: Alles auswählen

Device type: general purpose
Running: Linux 2.4.X|2.5.X
OS details: Linux Kernel 2.4.0 - 2.5.20
Uptime 0.056 days (since Wed Jan 28 18:36:05 2004)

Also ein 2.4er Kernel (mremap gepatched? )

Was Du brauchst ist eine Firewall... (man iptables)

Patrick

[lobo]

Ich wollte nur mal sagen, dass hackmeck, pdreker, tylerD, bert eigentlich schon alles gesagt haben was nötig ist.

Zu der DNS Situation habe ich doch extra geschrieben, dass es nur ein simples Beispiel sein soll um zu erklären wie Intrustion Response in manchen Fällen einfach schlecht ist.

Ich habe bisher nur ein Paar programme zur Intrusion Detection getestet, aber die meisten haben nur Scans wie nmap -sS -p 1-65535 erkannt. Sobald jemand gezielt nach Diensten sucht und den Zeitabstand zwischen den Paketen ändert nmap -sS -P0 -T0 -p 22,25,80,443,110,3306 ist es meist schon mit der Detection vorbei. Und ein "telnet 200.200.200.200 3306" wird auch die MySQL Version ausspucken.

@FlashBuster
Nieman will dir psad wegnehmen

Ich verstehe nur leider nicht warum du so fest auf deinem Standpunkt bleibst, ich finde die Leute hier haben sehr gute Erklärungen abgegeben warum es z.B. besser ist die Dienste zu schliessen vor man überhaupt was anderes macht. Man würde sich vielleicht gerne wünschen, dass nur gutmütige und friedselige Personen sich im Internet bewegen, aber das ist nicht so und wenn dein Rechner einen Dienst ins Internet offen hat wird er genutzt (das ist die harte Realität).

Solche Themen lassen sich leider nie richtig beenden.

Gruss

Jochen, der die Nmap Manpage auswendig kennt

[Nachtrag 20:10 Uhr]
Pdreker, hätte ich deinen Beitrag schon vorher gesehen, hätte ich gar nicht mehr posten brauchen
[/Nachtrag]

[FlashBuster]

Jaja, ich geb mich geschlagen.
Aberzu meiner Verteidigung an pdreker: ich hab grad an meiner Firewall rumkonfiguriert,
und (Murphy schlägt zu) vergessen die mal eben auch wieder zu starten
Und: Es ist Kernel 2.6.1
Was musst du das auch heute machen.

Naja, ich sehs ja ein. Zum Glück will mir keiner psad wegnehmen *g*

*trottet hocherrötet davon*

MfG, Buster

[pdreker]

Und: Es ist Kernel 2.6.1

Kann sein, dass die nmap Ausgabe etwas hinterherhinkt... 2.5.20 ist ja der Vorläufer, von 2.6, von daher ist das nicht auszuschliessen. Habe ich nicht dran gedacht.

Und: Du hast es ja geradezu herausgefordert

Patrick

[tylerD]

Zum Glück will mir keiner psad wegnehmen *g*

Nein, zum lernen und rumspielen kann sowas ja richtig gut sein (bei einer Privatperson, bei einer Firma oder größeren Netz sieht das anders aus). Aber es erhöht halt nicht die Sicherheit. Und das Problem ist, das solche User wie Aaron (und wohl auch dir, wenn ich deine Argumentation hier so sehe -> bloß nicht persönlich nehmen, ist ja nicht böse gemeint) das EINE Tool wollen, und sich danach sicher fühlen. Und das ist halt in der Regel genau falsch, weil ein beschäftigen mit dem Thema, sich der Gefahren bewußt werden und ein vernüftiges konfigurieren der Dienste ist um einiges sicherer als solch ein Tool. Die Gefahren gehen auch nicht von den Scriptkiddies aus, die einen Portscan machen....

So, ich hoffe wir haben wieder ein paar Leute für das Thema Sicherheit etwas sensibilisiert und ansonsten eigentlich schon viel zu viel geschrieben.

@Aaron: Ist deine Frage eigentlich halbwegs beantwortet? Wir haben dir ja den Thread im Prinzip weggenommen...

cu