8
PfSense Portscan blockieren
Hallo,
weiß jemand wie ich es pfSense beibringen kann auf Portscan nicht zu reagieren?
Ich benutze für bestimmte Anwendungen einige Sonderports. Ich möchte allerdings die Gefahr minimieren, dass jemand sie als offene Ports entdeckt.
Hat jemand eine Idee wie man es am besten macht?
Danke für die Vorschläge.
Gr. I.
weiß jemand wie ich es pfSense beibringen kann auf Portscan nicht zu reagieren?
Ich benutze für bestimmte Anwendungen einige Sonderports. Ich möchte allerdings die Gefahr minimieren, dass jemand sie als offene Ports entdeckt.
Hat jemand eine Idee wie man es am besten macht?
Danke für die Vorschläge.
Gr. I.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 191757
Url: https://administrator.de/contentid/191757
Printed on: April 19, 2024 at 01:04 o'clock
8 Comments
Latest comment
Hallo istike2,
in dem man sich via VPN verbindet und gar nicht erst offene Ports hat?
Wenn Ports offen sind, kann man sie auch immer entdecken oder finden.
Was für Anwendungen sind das denn?
Gruß
Dobby
in dem man sich via VPN verbindet und gar nicht erst offene Ports hat?
Wenn Ports offen sind, kann man sie auch immer entdecken oder finden.
Was für Anwendungen sind das denn?
Gruß
Dobby
NAS-Webinterface
Wiki
MailServer
pfSense-Webinterface
Ich habe jetzt auf pfSense Snort installiert. Damit kriegt man so etwas anscheinend hin ...
Wegen meiner zahlreichen User kommt 100% OpenVPN leider nicht in Frage...
Wiki
MailServer
pfSense-Webinterface
Ich habe jetzt auf pfSense Snort installiert. Damit kriegt man so etwas anscheinend hin ...
Wegen meiner zahlreichen User kommt 100% OpenVPN leider nicht in Frage...
Hallo,
das sehe ich jetzt genau so.
Gruß
Dobby
das sehe ich jetzt genau so.
Gruß
Dobby
Zitat von @istike2:
Ich möchte allerdings die Gefahr minimieren, dass jemand sie
als offene Ports entdeckt.
Ich möchte allerdings die Gefahr minimieren, dass jemand sie
als offene Ports entdeckt.
Security by obscurity hat noch nie, ich wiederhole, nie funktioniert. wenn Du Angst hast, daß jemand deine Ports findet, machst Du was falsch.
Die Dienste hinter den Ports müssen sicher genug sein, daß Du die Portnummern auch in der Tageszeitung veröffentlichen könntest oder die Standrard-Ports nutzen kannst. Wenn das nciht der fall ist, hast Du verloren, bevor Du angefangen hast.
Hat jemand eine Idee wie man es am besten macht?
Ja, Ordentlich. Indem man die Hausaufgaben macht:
Entweder die Dienste so sichern, daß diese nicht angreifbar sind. Dann sind die Gimmicks mit automatischer Portscanerkennung ein zusätzliches Bonbon. Oder wirklich ein ordentlichen VPN aufbauen, so daß die Ports nach außen gar nciht sichtbar sind.
Danke für die Vorschläge.
Gern geschehen.
PS: Auch nach 30 Jahren in der IT(-Security) wundere ich mich imemr noch, daß die Leute alte Fehler wiederholen.
Keine Gute Idee, das per Portforwarding erreichbar zu machen.
Wiki
s.o.
MailServer
Da solltest Du den Server vernünftig sichern, dann könnte der auch auf Port 25 laufen.
pfSense-Webinterface
Das sollte auch nur über VPN erreichbar sein.
Ich habe jetzt auf pfSense Snort installiert. Damit kriegt man so etwas anscheinend hin ...
snort ist ein IDS. das schützt Dich nicht vor Angriffen, sondern sagt nur, daß da eventuell einer erfolgt, so es denn richtig erkannt wird. Es gibt auch Angriffsvektoren, die unter dem Radar von snort laufen.
Und vor allen das schützt Dich nciht davor, daß jemand deine Ports "errät".
Wegen meiner zahlreichen User kommt 100% OpenVPN leider nicht in Frage...
Es gibt auch andere VPN-Lösungen.
Es bestätigt sich:
Man sollte sich erst mit der Materie beschäftigen, bevor man irgendetwas mit Sicherheit macht.
lks
Nachtrag:
ich werde nie verstehen, warum sich Leute eine schöne Firewall hinstellen, aber dann große Löcher reinbohren, weil die Firewall im Weg steht.
"Wegen meiner zahlreichen User kommt 100% OpenVPN leider nicht in Frage... "
Na und ?? die pfSense kann auch PPTP, IPsec, L2TP was jeder Client deiner 100 User so an Bord hat !!
Du solltest ggf. mal Grundlagen zur TCP Kommunikation lesen, dann wüsstest du das das so nicht möglich ist, denn diese Ports müssen ja logischerweise auch offen für die Anwendungsdaten sein !
Diese o.a. Frage ist daher irgendwie sinnfrei....
Man kann sich nur den Vorredneren anschliessen... "ich werde nie verstehen, warum sich Leute eine schöne Firewall hinstellen, aber dann große Löcher reinbohren, weil die Firewall im Weg steht."
Das sagt eigentlich alles ! VPN ist dein Zauberwort !
Na und ?? die pfSense kann auch PPTP, IPsec, L2TP was jeder Client deiner 100 User so an Bord hat !!
Du solltest ggf. mal Grundlagen zur TCP Kommunikation lesen, dann wüsstest du das das so nicht möglich ist, denn diese Ports müssen ja logischerweise auch offen für die Anwendungsdaten sein !
Diese o.a. Frage ist daher irgendwie sinnfrei....
Man kann sich nur den Vorredneren anschliessen... "ich werde nie verstehen, warum sich Leute eine schöne Firewall hinstellen, aber dann große Löcher reinbohren, weil die Firewall im Weg steht."
Das sagt eigentlich alles ! VPN ist dein Zauberwort !
Ich verstehe es schon ... Die Vorteile von VPN sind auch mir völlig bekannt.
Wir kriege ich aber eine 50 jährige Hausfrau in den USA dazu mal schnell einen VPN-Zugang einzurichten. Meine User sind geografisch "etwas" zerstreut. Bevor ich wahnsinnig werde, verzichte ich eher auf 100% Sicherheit und lebe ruhig mi 98%.
Sonst habt ihr völlig Recht. Ich brauche aber eine Lösung, die schnell und intuitiv geht.
Wir kriege ich aber eine 50 jährige Hausfrau in den USA dazu mal schnell einen VPN-Zugang einzurichten. Meine User sind geografisch "etwas" zerstreut. Bevor ich wahnsinnig werde, verzichte ich eher auf 100% Sicherheit und lebe ruhig mi 98%.
Sonst habt ihr völlig Recht. Ich brauche aber eine Lösung, die schnell und intuitiv geht.
Hallo,
100% unsicher = Modem, Windowsrechner
95% unsicher = Modem, Windowsrechner mit eingeschalteter Windows eigenen Firewall
90% unsicher = Modem, Windowsrechner mit eingeschalteter Windows eigenen Firewall + Antiuvirus
80% unsicher = Firewall + gesicherten PC im Netzwerk
75% unsicher = Firewall + Switch mit Sicherheitsfunktionen + gesichertem PC im Netzwerk
70% ...........
aber es stimmt, wenn man richtig Geld in die Hand nimmt kann man fast alles schnell erledigen!
Nur genau daran hapert es immer, denn es soll schnell, intuitiv und umsonst sein und das ist
Sicherheit noch nie gewesen.
Schnell und viel findest Du bei Google, aber das hat mit Sicherheit nicht viel zu tun.
Sicherheit setzt zu aller erst einmal ein so genanntes "Sicherheitskonzept" voraus.
Man macht sich einen Plan, wie Kosten, Nutzen und vor allem anderen den Bedarf ab und
realisiert dann etwas! Doch das ist wie ich es vorhin schon erwähnt habe, immer vom
falschen Ende her angefangen. Jeder setzt was auf egal ob es ein Server, Netzwerk,
NAS oder sonst was ist und überlegt erst dann wie er es sichern kann und nie umgekehrt!
Und wenn es keinen spezial Tipp von irgend jemanden gibt, den selbst ein Viertklässler umsetzten kann und vor allem anderen nichts kostet, dann ist es halt auch egal!
Na dann viel Spaß
Gruß
Dobby
Bevor ich wahnsinnig werde, verzichte ich eher auf 100% Sicherheit und lebe ruhig mit98%.
Nehmen wir mal an nichts ist sicher und alles ist möglich, dann ist das leider falsch, Du fängst am falschen Ende an! Du bist zuerst 100% unsicher und dann erst mit jedem Schritt und jeder Aktion wirst Du sicherer und nicht anders herum!!!100% unsicher = Modem, Windowsrechner
95% unsicher = Modem, Windowsrechner mit eingeschalteter Windows eigenen Firewall
90% unsicher = Modem, Windowsrechner mit eingeschalteter Windows eigenen Firewall + Antiuvirus
80% unsicher = Firewall + gesicherten PC im Netzwerk
75% unsicher = Firewall + Switch mit Sicherheitsfunktionen + gesichertem PC im Netzwerk
70% ...........
Sonst habt ihr völlig Recht. Ich brauche aber eine Lösung, die schnell und intuitiv geht.
Schnell und intuitiv geht meist nur mit dem Einsatz von Geld, das hört sich erst einmal platt an,aber es stimmt, wenn man richtig Geld in die Hand nimmt kann man fast alles schnell erledigen!
Nur genau daran hapert es immer, denn es soll schnell, intuitiv und umsonst sein und das ist
Sicherheit noch nie gewesen.
Schnell und viel findest Du bei Google, aber das hat mit Sicherheit nicht viel zu tun.
Sicherheit setzt zu aller erst einmal ein so genanntes "Sicherheitskonzept" voraus.
Man macht sich einen Plan, wie Kosten, Nutzen und vor allem anderen den Bedarf ab und
realisiert dann etwas! Doch das ist wie ich es vorhin schon erwähnt habe, immer vom
falschen Ende her angefangen. Jeder setzt was auf egal ob es ein Server, Netzwerk,
NAS oder sonst was ist und überlegt erst dann wie er es sichern kann und nie umgekehrt!
Und wenn es keinen spezial Tipp von irgend jemanden gibt, den selbst ein Viertklässler umsetzten kann und vor allem anderen nichts kostet, dann ist es halt auch egal!
Na dann viel Spaß
Gruß
Dobby
