Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

PfSense Portscan blockieren

Frage Netzwerke Netzwerkmanagement

Mitglied: istike2

istike2 (Level 2) - Jetzt verbinden

24.09.2012 um 22:27 Uhr, 5114 Aufrufe, 8 Kommentare

Hallo,

weiß jemand wie ich es pfSense beibringen kann auf Portscan nicht zu reagieren?

Ich benutze für bestimmte Anwendungen einige Sonderports. Ich möchte allerdings die Gefahr minimieren, dass jemand sie als offene Ports entdeckt.

Hat jemand eine Idee wie man es am besten macht?

Danke für die Vorschläge.

Gr. I.
Mitglied: Dobby
24.09.2012 um 22:37 Uhr
Hallo istike2,

in dem man sich via VPN verbindet und gar nicht erst offene Ports hat?

Wenn Ports offen sind, kann man sie auch immer entdecken oder finden.

Was für Anwendungen sind das denn?


Gruß
Dobby
Bitte warten ..
Mitglied: istike2
24.09.2012 um 22:49 Uhr
NAS-Webinterface
Wiki
MailServer
pfSense-Webinterface

Ich habe jetzt auf pfSense Snort installiert. Damit kriegt man so etwas anscheinend hin ...

Wegen meiner zahlreichen User kommt 100% OpenVPN leider nicht in Frage...
Bitte warten ..
Mitglied: Dobby
24.09.2012 um 23:09 Uhr
Hallo,

das sehe ich jetzt genau so.

Gruß
Dobby
Bitte warten ..
Mitglied: Lochkartenstanzer
25.09.2012, aktualisiert um 07:40 Uhr
Zitat von istike2:
Ich möchte allerdings die Gefahr minimieren, dass jemand sie
als offene Ports entdeckt.

Security by obscurity hat noch nie, ich wiederhole, nie funktioniert. wenn Du Angst hast, daß jemand deine Ports findet, machst Du was falsch.

Die Dienste hinter den Ports müssen sicher genug sein, daß Du die Portnummern auch in der Tageszeitung veröffentlichen könntest oder die Standrard-Ports nutzen kannst. Wenn das nciht der fall ist, hast Du verloren, bevor Du angefangen hast.


Hat jemand eine Idee wie man es am besten macht?

Ja, Ordentlich. Indem man die Hausaufgaben macht:

Entweder die Dienste so sichern, daß diese nicht angreifbar sind. Dann sind die Gimmicks mit automatischer Portscanerkennung ein zusätzliches Bonbon. Oder wirklich ein ordentlichen VPN aufbauen, so daß die Ports nach außen gar nciht sichtbar sind.



Danke für die Vorschläge.


Gern geschehen.

PS: Auch nach 30 Jahren in der IT(-Security) wundere ich mich imemr noch, daß die Leute alte Fehler wiederholen.
Bitte warten ..
Mitglied: Lochkartenstanzer
25.09.2012, aktualisiert um 08:15 Uhr
Zitat von istike2:
NAS-Webinterface

Keine Gute Idee, das per Portforwarding erreichbar zu machen.

Wiki

s.o.

MailServer

Da solltest Du den Server vernünftig sichern, dann könnte der auch auf Port 25 laufen.

pfSense-Webinterface

Das sollte auch nur über VPN erreichbar sein.


Ich habe jetzt auf pfSense Snort installiert. Damit kriegt man so etwas anscheinend hin ...


snort ist ein IDS. das schützt Dich nicht vor Angriffen, sondern sagt nur, daß da eventuell einer erfolgt, so es denn richtig erkannt wird. Es gibt auch Angriffsvektoren, die unter dem Radar von snort laufen.

Und vor allen das schützt Dich nciht davor, daß jemand deine Ports "errät".

Wegen meiner zahlreichen User kommt 100% OpenVPN leider nicht in Frage...

Es gibt auch andere VPN-Lösungen.

Es bestätigt sich:

Man sollte sich erst mit der Materie beschäftigen, bevor man irgendetwas mit Sicherheit macht.

lks

Nachtrag:

ich werde nie verstehen, warum sich Leute eine schöne Firewall hinstellen, aber dann große Löcher reinbohren, weil die Firewall im Weg steht.
Bitte warten ..
Mitglied: aqui
25.09.2012 um 18:52 Uhr
... ."Wegen meiner zahlreichen User kommt 100% OpenVPN leider nicht in Frage... "
Na und ?? die pfSense kann auch PPTP, IPsec, L2TP was jeder Client deiner 100 User so an Bord hat !!
Du solltest ggf. mal Grundlagen zur TCP Kommunikation lesen, dann wüsstest du das das so nicht möglich ist, denn diese Ports müssen ja logischerweise auch offen für die Anwendungsdaten sein !
Diese o.a. Frage ist daher irgendwie sinnfrei....
Man kann sich nur den Vorredneren anschliessen... "ich werde nie verstehen, warum sich Leute eine schöne Firewall hinstellen, aber dann große Löcher reinbohren, weil die Firewall im Weg steht."
Das sagt eigentlich alles ! VPN ist dein Zauberwort !
Bitte warten ..
Mitglied: istike2
25.09.2012 um 19:07 Uhr
Ich verstehe es schon ... Die Vorteile von VPN sind auch mir völlig bekannt.

Wir kriege ich aber eine 50 jährige Hausfrau in den USA dazu mal schnell einen VPN-Zugang einzurichten. Meine User sind geografisch "etwas" zerstreut. Bevor ich wahnsinnig werde, verzichte ich eher auf 100% Sicherheit und lebe ruhig mi 98%.

Sonst habt ihr völlig Recht. Ich brauche aber eine Lösung, die schnell und intuitiv geht.
Bitte warten ..
Mitglied: Dobby
25.09.2012 um 19:58 Uhr
Zitat von istike2:
Hallo,

Bevor ich wahnsinnig werde, verzichte ich eher auf 100% Sicherheit und lebe ruhig mit98%.
Nehmen wir mal an nichts ist sicher und alles ist möglich, dann ist das leider falsch, Du fängst am falschen Ende an! Du bist zuerst 100% unsicher und dann erst mit jedem Schritt und jeder Aktion wirst Du sicherer und nicht anders herum!!!
100% unsicher = Modem, Windowsrechner
95% unsicher = Modem, Windowsrechner mit eingeschalteter Windows eigenen Firewall
90% unsicher = Modem, Windowsrechner mit eingeschalteter Windows eigenen Firewall + Antiuvirus
80% unsicher = Firewall + gesicherten PC im Netzwerk
75% unsicher = Firewall + Switch mit Sicherheitsfunktionen + gesichertem PC im Netzwerk
70% ...........

Sonst habt ihr völlig Recht. Ich brauche aber eine Lösung, die schnell und intuitiv geht.
Schnell und intuitiv geht meist nur mit dem Einsatz von Geld, das hört sich erst einmal platt an,
aber es stimmt, wenn man richtig Geld in die Hand nimmt kann man fast alles schnell erledigen!
Nur genau daran hapert es immer, denn es soll schnell, intuitiv und umsonst sein und das ist
Sicherheit noch nie gewesen.

Schnell und viel findest Du bei Google, aber das hat mit Sicherheit nicht viel zu tun.
Sicherheit setzt zu aller erst einmal ein so genanntes "Sicherheitskonzept" voraus.
Man macht sich einen Plan, wie Kosten, Nutzen und vor allem anderen den Bedarf ab und
realisiert dann etwas! Doch das ist wie ich es vorhin schon erwähnt habe, immer vom
falschen Ende her angefangen. Jeder setzt was auf egal ob es ein Server, Netzwerk,
NAS oder sonst was ist und überlegt erst dann wie er es sichern kann und nie umgekehrt!

Und wenn es keinen spezial Tipp von irgend jemanden gibt, den selbst ein Viertklässler umsetzten kann und vor allem anderen nichts kostet, dann ist es halt auch egal!

Na dann viel Spaß
Gruß
Dobby
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Firewall
TOR-Clients mittels pfSense blockieren (6)

Frage von mrserious73 zum Thema Firewall ...

TK-Netze & Geräte
PfSense auf welcher Hardware sinnvoll nutzbar? (7)

Frage von cerberus90 zum Thema TK-Netze & Geräte ...

Firewall
gelöst PC Engines APU2C4 oder PC Engines AMD APU1D4 PFSENSE (9)

Frage von horstvogel zum Thema Firewall ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...