tobmes
Goto Top

Portsentry und Firewall

Hi,

ich interessiere mich sehr für das Thema IT-Sicherheit. Jetzt bin ich auf das Tool Portsentry gestossen und möchte mir das gerne etwas näher anschauen. Damit lassen sich ja wunderbar Portscans erkennen und darauf reagieren. Jetzt habe ich aber ein Verständnisproblem.

Z.B. Habe ich einen VServer dieser ist per SSH erreichbar (nicht über den standard Port). Alle anderen Ports sind durch die Firewall Blockiert. Jetzt kann doch Portsentry garnicht erkennon, ob ein Portscan statt findet, oder? Dazu müsste ich ja die zu überwachenden Ports in der Firewall freigeben, wäre das nicht wieder eine Sicherheitslücke?

Danke schon mal für eure Hilfe.

Content-ID: 305926

Url: https://administrator.de/contentid/305926

Ausgedruckt am: 26.11.2024 um 11:11 Uhr

magicteddy
magicteddy 01.06.2016 um 18:52:16 Uhr
Goto Top
Moin,

wenn Du deine Kiste dicht hast (SSH aktuell und nur mit Key Auth) dann lass die Deppen doch scannen, die Erfolgsaussichten sind extrem gering. Vergleiche es mit dem Hintergrundgebrabbel in einer Menschenmenge, wenn Dein Kumpel fragt: "..noch ein Bier?" dann dringt das bis an Deine Synapsen vor, das Gebrabbel geht hingegen unter face-smile.

-teddy
Sheogorath
Lösung Sheogorath 01.06.2016 um 20:39:41 Uhr
Goto Top
Moin,

Ich habe mich mal eben eingelesen:
http://www.symantec.com/connect/articles/portsentry-attack-detection-pa ...

Joa, also wenn du alle Ports wirklich dicht machst, dann wird das mit dem Erkennen, so wie es dort gemacht wird, nichts. Dann ist dir aber so ein Portscan aber eigentlich egal.

Was du tun kannst, ist gedropte Pakete loggen und diese auswerten. Gleiches Ergebnis wie mit Portentry nur nicht ganz so genau. Außerdem gibt es Probleme, da logging sehr langsam ist/sein kann. Du bremst dir also dadurch deine Kiste massiv aus.

Portentry ist aber halt auch wirklich weniger was für Produktivsysteme als eher etwas für Honeypots um auf Angriffe zu reagieren. Deine Produktivsysteme sollten keineswegs Probleme mit Portscans haben. Denn !DAS WECHSELN VON PORTS HAT NICHTS MIT SICHERHEIT ZU TUN! Das ist Security by Obscurity und deshalb eigentlich ein NoGo.

Wie @magicteddy schon sagte: Key based authentification, Fail2Ban und root-login weg und du bist eigentlich schon mal grundlegend "safe" was SSH angeht. Zumindest wenn du dann nicht so dämlich bist und deinen private key auf GitHub in ein Public-Repository ablegst. (Da kann man viel Spaß mit haben ;))

Wie schonmal erwähnt, kann das Wechseln des SSH-Ports in den Bereich von >1024 sogar ein größeres Sicherheitsrisiko darstellen, als die "paar" Angreifer, die du am Tag auf Port 22 bekommst. (Hab ich irgendwann in den letzten 72h schonmal verteiltface-smile
https://www.adayinthelifeof.nl/2012/03/12/why-putting-ssh-on-another-por ...

In diesem Sinne

Gruß
Chris