PF zum Portscans blocken?

radiohead

radiohead

Well-Known Member
Hi,

ist es möglich, dass ich durch einen Portscan von außen auf meine OpenBSD Firewall rein garnichts herausbekomme? Wie muss ich da die PF Regeln anpassen?

Wir haben in der Firma eine WatchGuard und die hat natürlich so Sachen wie HTTPS für OWA oder SMTP offen, jedoch rödelt sich ein Portscan auf unsere IP tot und es wird nie ein einziger offener Dienst angezeigt.

Ist sowas auch mit PF möglich?
 
Du kannst PF konfigurieren, dass er Pakete auf geschlossene Ports wegschmeisst und nicht zurueckschickt. Allerdings hilft das nicht gegen zB 'nmap -P0'.

Ansonsten kannst Du natuerlich noch die Anzahl der neuen Verbindungen pro Maschine und Zeitraum einschraenken.

Details und Beispiele finden sich in der FAQ, zB hier und hier.

HTH
 
xbit schrieb:
Ansonsten kannst Du natuerlich noch die Anzahl der neuen Verbindungen pro Maschine und Zeitraum einschraenken.
Zum Vergrößern anklicken....

Das ist aber nur scheinbare Sicherheit. Wenn jemand wirklich auf deine Kiste will und entsprechende Fähigkeiten und Mittel hat, dann scannt er dich einfach mit Hilfe eines Botnetzes aus. Dagegen hilft solch eine Konfiguration nicht. Abwehren kannst du damit nur Scriptkiddies. Und außerdem läufst du Gefahr dich zeitweise selbst auszusperren, falls du mal versehentlich einen Ping und/oder andere Anfragen in zu großer Menge schickst. Das halte ich nicht für empfehlenswert. ;)
 
Es geht mir ja auch mehr darum einen Portscan zu erkennen und dann bei einem offenen Port wie ssh dem Scanner trotzdem keine Antwort zu geben...

So ist das bei der WatchGuard...
 
.mp schrieb:
Das ist aber nur scheinbare Sicherheit. Wenn jemand wirklich auf deine Kiste will und entsprechende Fähigkeiten und Mittel hat, dann scannt er dich einfach mit Hilfe eines Botnetzes aus. Dagegen hilft solch eine Konfiguration nicht. Abwehren kannst du damit nur Scriptkiddies. Und außerdem läufst du Gefahr dich zeitweise selbst auszusperren, falls du mal versehentlich einen Ping und/oder andere Anfragen in zu großer Menge schickst. Das halte ich nicht für empfehlenswert. ;)
Zum Vergrößern anklicken....

Klar erhoehst Du damit die Sicherheit nicht, aber Du wirst zumindest zeitweise diese Portscans los, indem Du sie ausperrst. Auch wenn es nur Scriptkiddies sind, aber auch die Muellen die Logs voll. Es ging ja auch nur darum, ob PF sowas kann und das war die einzige Moeglichkeit, die ich so gesehen habe.

Du koenntest das natuerlich mittels pfauth noch etwas besser hinbekommen, dann kann man sich das sparen, die Anzahl der Verbindungen zu Beschraenken. Wenn man dann SSH noch auf nem anderen Port lauschen laesst, laeuft das Log uU auch nicht so voll.

Ansonsten sehe ich bei PF keine Moeglichkeit, Portscans zu erkennen.
 
xbit schrieb:
Ansonsten sehe ich bei PF keine Moeglichkeit, Portscans zu erkennen.
Zum Vergrößern anklicken....
Naja, besonders dämliche TCP-Connect Portscans mit nmap kann man mit pf durch die OS-Fingerprint-Tabelle filtern:
block in log quick on $ext_if os NMAP

Wenn man keine root-Rechte auf einem System hat, ist glaube ich der TCP-Connect Scan mit nmap der default. Extreme Kiddiescans kann man damit vielleicht zumindest loggen.

Und ansonsten gibt es ja auch noch http://www.freshports.org/security/scanlogd/ Produziert ab und an mal Fehlalarme, aber hat auch schon einiges an Scanlogs erkannt, wo ich denjenigen Spielkindern dann im Nachhinein ein's auf die Mütze geben konnte dafür. Idealerweise installiert man das Tool einfach und gibt die Information nicht weiter, dass es läuft. Damit Scanlogd allerdings seine Arbeit tun kann, darf ihm kein pf etc. vorgeschaltet sein. Für Perimeter-ferne Hosts in einem größeren Netzwerk ohne Host-Paketfilter ist es aber ganz nett imho, um zu sehen, wenn jemand im Netz Unfug treibt.
 
Zuletzt bearbeitet:
radiohead schrieb:
Hi,
ist es möglich, dass ich durch einen Portscan von außen auf meine OpenBSD Firewall rein garnichts herausbekomme? Wie muss ich da die PF Regeln anpassen?
Zum Vergrößern anklicken....

Hehe, schwierig, wenn man dennoch erreichbar sein möchte.

Empfehle snort http://www.snort.org/ , um erst mal rauszufinden, wie ernst das ganze ist. Eventuell auch entsprechende Plugins/Webinterfaces installieren, um nen längerfristigen Überblick zu bekommen.

Wenn man die Infos hat, was überhaupt abgeht, kann man einfacher die Block-Regeln anpassen...

Lieber nix fummeln und sauber konfigurieren - ich lasse lieber nen Scanner wissen, dass er sich an meinem OpenBSD die Zähne ausbeissen wird :D
 
Snort selbst hat aber auch schon Sicherheitslücken gehabt... Ob man unbedingt eine Muster-verarbeitende komplexe Anwendung auf OSI Layer-3 haben möchte, die nicht vom OpenBSD-Projekt stammt? Man will doch die Sicherheit erhöhen und nicht senken...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben