Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Häufige Portscans etc. weitere Vorgehensweise?

Frage Sicherheit Erkennung und -Abwehr

Mitglied: theoberlin

theoberlin (Level 2) - Jetzt verbinden

23.04.2013 um 14:58 Uhr, 3091 Aufrufe, 18 Kommentare

Aloha an alle,

ich kann auf meiner FireWall recht oft (mehrmals am tag) Portscanns im Log sehen bzw. sehe sporadisch alle paar Minuten wie versucht wird, über die üblichen Ports (SSH,Telnet,MySQL, HTTP-Old.....) reinzukommen.
An sich kein Problem, die Firewall Blockt ja alles ab. Also ein Sicherheitsrisiko ist es an sich nicht.
Dennoch..gerade wenn öfter mal die gleiche IP auftaucht, würde mich interessieren ob es eine Stelle gibt der man derartiges melden kann.
Da wir mehrere feste IP-Adressen haben, sind wir darauf natürlich festgelegt.
Über Antworten würde ich mich freuen.

viele grüße

Theo
Mitglied: Hitman4021
23.04.2013 um 14:59 Uhr
Hallo,

was macht eure Firewall? Reject oder Drop?

Gruß
Bitte warten ..
Mitglied: Dani
23.04.2013 um 15:04 Uhr
Moin,
was macht eure Firewall? Reject oder Drop?
Ist das Gleiche.

Wie sieht deine iptables aus?


Grüße,
Dani
Bitte warten ..
Mitglied: Hitman4021
23.04.2013 um 15:05 Uhr
Hallo

@Dani nein das ist nicht das gleiche:
Reject: Wird das Paket mit einem Connection Refused zurück geworfen.
Drop: Der Sender bekommt ein TimeOut und weiß nicht ob am anderen Ende überhaupt ein Gerät vorhanden ist.

Gruß
Bitte warten ..
Mitglied: Dani
23.04.2013 um 15:09 Uhr
Moin hitman,
das war Ironie... auch wenn heute nicht Montag oder Freitag is.


Grüße,
Dani
Bitte warten ..
Mitglied: theoberlin
23.04.2013, aktualisiert um 15:16 Uhr
Die FireWall Dropt alles was von extern kommt. Reject gibts bei keinem Port.
Es wird also alles verworfen. Nur sehr wenige Ports kommen durch und die landen auch in einer DMZ. Da gibts also kein Problem.

FireWall steht komplett auf Deny Any....für die NAT´s gibt es Port und IP basierte FireWall Regeln.

.lg
Bitte warten ..
Mitglied: Dani
23.04.2013 um 15:17 Uhr
Von welchen Betriebssytem reden wir? Falls Linux läuft schau die fail2ban an.
Hab ich auch im Einsatz.


Grüße,
Dani
Bitte warten ..
Mitglied: theoberlin
23.04.2013, aktualisiert um 15:24 Uhr
Die FireWall ist eine Hardware FireWall. Fail2ban ist zwar eine sehr nette Geschichte aber scheidet bei mir natürlich aus...
Auf den FTP Servern läuft das Python Script. Aber soweit kommen ja die Anfragen gar nicht. Mich würde ja nur interessieren ob man dem irgendwie nachgehen kann.

lg
Theo
Bitte warten ..
Mitglied: Dani
23.04.2013, aktualisiert um 16:04 Uhr
Muss ich dir alles aus der Nase ziehen! Welcher Firewallhersteller und welches Modell?


Grüße,
Dani

Edit: Missverständis, Sorry!
Bitte warten ..
Mitglied: theoberlin
23.04.2013 um 15:26 Uhr
Na fein ;)
USG200 von ZyXel.


lg
Theo
Bitte warten ..
Mitglied: Deepsys
23.04.2013 um 15:41 Uhr
Hi,

darum geht es ihm doch gar nicht.
Ich verstehe es so, das der TO wissen möchte ob man den Provider informieren sollte.

Wenn es deutsche Server die bei dir anklopfen, kannst du es mal versuchen.
Da findest du meist etwas auf der Homepage. Kann ja sein das der Kundenserver gekapert wurde.

Bei ausländischen, wir haben da im Moment viel von Belarus Telecom (oder so), macht das meist wenig Sinn.
Da ist die Zeit zu schade, mir zumindest.
Mag Ausnahmen geben, aber bisher sind die paar Anfragen im Internet verschwunden ...

VG
Deepsys
Bitte warten ..
Mitglied: theoberlin
23.04.2013 um 15:56 Uhr
Hallo Deepsys,

genau darum geht es mir.
Oftmals springen die Ip´s daher gehe ich davon aus das es die üblichen "anonymisier" Netzwerke sind von denen die fragwürdigen Anfragen kommen.
Wenn sich Ip´s häufen, werd ich mal gucken ob die von deutschen Servern kommen falls nicht muss ich mich wohl an die roten Einträge in meinem Log gewöhnen ;)

lg
Theo
Bitte warten ..
Mitglied: Lochkartenstanzer
23.04.2013 um 15:57 Uhr
Moin,

Einfach in der whois-Datenbank nachschauen und eine Abuse-Meldung rausschicken. Wird aber, sofern es kein Europäer ist, kaum Konsequenzen haben.

lks
Bitte warten ..
Mitglied: marc-1303
23.04.2013, aktualisiert um 16:10 Uhr
Hallo theoberlin

Ich haben auch eine Zyxel USG200.

Frage: Hast du einige oder sämtliche Portscan-Filter in Anti-X --> ADP --> Traffic Anomaly auf block gesetzt?
Dort kannst du allenfalls auch auswählen, dass keine Log-Einträge mehr erstellt werden. Vorausgesetzt du bist 100% sicher, dass die Einstellungen stimmen und du somit keinen wichtigen Log-Eintrag verpasst.

Gruss
Marc
Bitte warten ..
Mitglied: theoberlin
23.04.2013, aktualisiert um 17:28 Uhr
Hallo Marc,

den Eintrag muss ich nochmal überprüfen. Grundsätzlich habe ich etliches auf Block gesetzt z.B Port Sweeps etc.
Bei mir stehen schon sehr wenige Einträge auf LogAlert eigenltich nur die die wirklich ein Risiko darstellen können.
Grundsätzlich will ich ja auch sehen wenn was passiert.
Na ich werd mal gucken was sich da noch machen lässt.
Würdest du mir per PN mal deine Erfahrungen mit den ADP Block/Allow Einstellungen schicken? Vielleicht hast du ja noch was geblockt was ich vergessen habe und Sinn macht.

@Lochkartenstanzer..whois hab ich auch ab und an schonmal angeschmissen.

lg

Theo
Bitte warten ..
Mitglied: fnord2000
24.04.2013 um 11:26 Uhr
Zitat von Hitman4021:
@Dani nein das ist nicht das gleiche:
Reject: Wird das Paket mit einem Connection Refused zurück geworfen.
Drop: Der Sender bekommt ein TimeOut und weiß nicht ob am anderen Ende überhaupt ein Gerät vorhanden ist.

Sollte nicht, wenn ein Gerät tatsächlich nicht vorhanden ist, der letzte vorgeschaltete Router nach einigen Sekunden Timeout ein ICMP Destination Host Unreachable rausschicken?
Wenn also gar nichts zurück kommt, dann kann man sich doch schon ziemlich sicher sein, dass da etwas ist, was einfach drop-t.
Tendenziell bin ich ja eher dafür nur reject zu verwenden.


Zitat von Deepsys:
darum geht es ihm doch gar nicht.
Ich verstehe es so, das der TO wissen möchte ob man den Provider informieren sollte.

Hatte ich auch so verstanden, halte ich aber eigentlich für fragwürdig.
Sicher ist ein Portscan, oder ein "Wir probieren ein paar Passworte am SSH-Server aus" nicht wünschenswert, aber ich sehe darin auch kein Vergehen, das gemeldet werden müsste, solange es sich um öffentliche Server handelt.

Das ist in etwa so, wie wenn jemand durch eine Stadt geht und an jeder Haustüre (oder Autotüre) rüttelt um zu sehen ob sie offen ist. Daran ist ja nichts verbotenes, solange es dabei bleibt.
Bitte warten ..
Mitglied: Lochkartenstanzer
24.04.2013 um 12:21 Uhr
Zitat von fnord2000:
Das ist in etwa so, wie wenn jemand durch eine Stadt geht und an jeder Haustüre (oder Autotüre) rüttelt um zu sehen
ob sie offen ist. Daran ist ja nichts verbotenes, solange es dabei bleibt.

Deswegen darf man denjenigen trotzdem ermahnen oder der Polizei melden, damit sie ihn überprüft.

Es ist ein unterschied, ob man mal aus versehen an der falschen Tür rüttelt, oder ob man das systematisch entweder an jedem Haus der Straße macht, bzw. regelmäig immer am gleichen Haus, wenn die Bewohner grad nicht da sind.

lks


PS. HAst Du das mal im realen Leben versucht, mal an jeder Haustür Haustür zu rütteln? ich wette, daß dann recht schnell die Polizei dasteht (oder jemand, der einem auf die Birne haut).
Bitte warten ..
Mitglied: fnord2000
24.04.2013 um 13:43 Uhr
Zitat von Lochkartenstanzer:
PS. HAst Du das mal im realen Leben versucht, mal an jeder Haustür Haustür zu rütteln? ich wette, daß dann
recht schnell die Polizei dasteht (oder jemand, der einem auf die Birne haut).

Daran zweifle ich nicht.
Ändert aber nichts an der Tatsache, dass es zwar ein seltsammes Verhalten ist, aber gegen kein Gesetz verstößt und die Polizei daher im Grunde nichts tun kann. Unterm Strich ist sie dann also ganz umsonst gekommen und hätte es auch gleich bleiben lassen können.
Und daher halte ich auch das sich-beschweren beim Provider für überflüssig, weil dessen Kunde ja eben nichts Verbotenes getan hat.
Bitte warten ..
Mitglied: theoberlin
24.04.2013 um 13:52 Uhr
Aloha,

keine Sorge, wenn mal einer an meine ohnehin komplett geschlossene Tür klopft hab ich nicht unbedingt ein Problem damit. Nur wenn ich sehe wie öfter von selben IP´s sämtliche Ports gesweept werden werde ich hellhörig. Der besagte Server steht auch in Deutschland und per whois ist ne Mail raus. Warscheinlich kann irgendein Admin sein Glück noch nicht fassen, dass sein Server ein Problem hat.
Nun vielen Dank für die hilfreichen Posts.

lg
Theo
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Viren und Trojaner
Weitere Entschlüsselungs-Tools für Ransomware veröffentlicht (2)

Link von runasservice zum Thema Viren und Trojaner ...

Exchange Server
gelöst Exchange 2013 kann keine Verbindung mit Outlook 2013 aufbauen für weitere Domain (9)

Frage von corpse2001 zum Thema Exchange Server ...

Server-Hardware
Fehlersuche, Anwendung stürzt sporadisch ab. Vorgehensweise (4)

Frage von Sebastian06 zum Thema Server-Hardware ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (15)

Frage von liquidbase zum Thema Windows Update ...

DSL, VDSL
Problem mit variernder Internetgeschwindigkeit (12)

Frage von schaurian zum Thema DSL, VDSL ...