[linux-l] portsentry meldet folgendes: (?)
Steffen Dettmer
steffen at dett.de
Di Feb 26 08:20:31 CET 2002
* Ulrich Wiederhold wrote on Mon, Feb 25, 2002 at 13:28 +0100:
> Hi,
> * Steffen Dettmer <steffen at dett.de> [020225 10:45]:
> > * Ulrich Wiederhold wrote on Mon, Feb 25, 2002 at 10:31 +0100:
> > Greift die automatische Blockregel auch bei UDP? Dann weiß ich
> > ja jetzt, wie ich Dich ärgern kann :) SCNR.
>
> Habe ich noch nicht ausprobiert. Du kannst es ja mal versuchen, sofern
> Du meine aktuelle IP rausbekommst. Oder weißt Du meinen Domain-Namen? :)
> Da bin ich ja mal gespannt.
Das läuft ja anders. Du bist im Chat, irgentjemand labert Dich
voll, Du sagst ihm freundlich, daß er das Maul halten oder
sterben soll, als plötzlich nichts mehr geht...
> > Ja, so funktioniert das Teil ja. Bindet sich an etliche Ports,
> > und wenn die jemand benutzt, wird irgentwas gemacht. Das macht
> > snort intelligenter, das hilt sich einen raw socket und liest
> > einfach alles mit, auch wenns weiter geroutet wird (muß man also
> > nicht auf jeder Maschine installieren :)).
> Meldet snort auch Attacken/Scans per Email?
Weiß ich doch nicht. Wieviel Mails soll er denn schicken? Vor
allem, wozu? Mach doch die Ports dicht, und dann laß sie scannen.
Willst Du allen ernstes alle paar Minuten ne Mail haben, die
mitteilt, das da gerade mal wieder ein nimbda scan oder ssh scan
läuft? Ich kriege meine Mails aus syslog vom zentralen Loghost
alle Stunde (via logmail, siehe auch: http://sws.dett.de/ :)),
also prima zusammengefaßt und gut gefiltert. Trozdem bleibt da
massig snort-Kram drin. Was die Leute so machen... Senden exploit
code auf den SMTP port, scannen wie die Bekloppten, probieren SSH
connects usw.
Außerdem würde ich nicht unbedingt von so einem Daemon mails
ungeprüft versenden, das kann schnell ausarten. Lieber maximal
alle 60 (oder so) Minuten einen cron dafür. Du kannst eh nie
sofort auf solche Mails reagieren. Na ja, mag die Diskussion
nicht weiterführen. Nicht schon wieder :)
> > Andere argumentieren,
> > funktionalität hin oder her, "silent deny" muß sein, weil sonst
> > ja ein Angreifer Rückschlüsse gewinnen würde.
> Das ist meiner Meinung nach die Variante der Wahl.
Siehst Du, meiner Meinung nach nicht. Außerdem erkennt so ein
Angreifer auch die Firewall. Der Scan dauert maximal länger, aber
slow scans sind eh sehr beliebt. Ich denke, das trifft also nur
Leute, die sich mal vertippen oder so.
> Klar, aber ich habe portsentry noch nicht so lange laufen und wollte
> sicher gehen.
Was nützt Dir die Information, daß Du ständig gescannt wirst
eigentlich? Schätze, ziemlich genau gar nichts, oder? Höchstens
*nach* einem wirklichen Angriff (den Du mit Portsentry eh nicht
siehst). Also lieber absichern, gescannt wird eh ohne Ende...
oki,
Steffen
--
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.
Mehr Informationen über die Mailingliste linux-l