Hallo liebe BSD-Gemeinde
Einer meiner FreeBSD 10.1-Server wird immer mal wieder für Portscans missbraucht Scheinbar lassen sich diese Angriffe nicht 100% ausschließen aufgrund der Funktionsweise von TCP/UDP...
Anyway: Ich habe jetzt, zusätzlich zu meinen bisherigen Vorkehrungen, einige weitere Regeln für PF gefunden, die es nmap und Co. weiter erschweren sollen. Allerdings basieren diese auf TCP-Flags und ich bin ich in dieser Hinsicht nicht ganz sicher, welche Auswirkungen diese genau haben. Daher möchte ich sie nicht wahllos aktivieren Zudem sich verschiedene Quellen bezüglich ihrer "Anti-nmap-Regeln" zum Teil wiedersprechen:
Quelle 1:
Quelle 2:
Ist eine der beiden Varianten vorzuziehen? Warum unterscheiden die beiden sich so stark bezüglich der Flags? Kann mir einer von euch erklären, was genau diese Angaben machen um die Unterschiede zu verstehen?
Ich möchte nur vermeiden, dass mein Server nach Aktivierung der Regeln nicht mehr erreichbar ist
Dankeschön
Viele Grüße,
Thorsten
Einer meiner FreeBSD 10.1-Server wird immer mal wieder für Portscans missbraucht Scheinbar lassen sich diese Angriffe nicht 100% ausschließen aufgrund der Funktionsweise von TCP/UDP...
Anyway: Ich habe jetzt, zusätzlich zu meinen bisherigen Vorkehrungen, einige weitere Regeln für PF gefunden, die es nmap und Co. weiter erschweren sollen. Allerdings basieren diese auf TCP-Flags und ich bin ich in dieser Hinsicht nicht ganz sicher, welche Auswirkungen diese genau haben. Daher möchte ich sie nicht wahllos aktivieren Zudem sich verschiedene Quellen bezüglich ihrer "Anti-nmap-Regeln" zum Teil wiedersprechen:
Quelle 1:
Code:
set block-policy return
block in log quick proto tcp flags FUP/WEUAPRSF
block in log quick proto tcp flags WEUAPRSF/WEUAPRSF
block in log quick proto tcp flags SRAFU/WEUAPRSF
block in log quick proto tcp flags /WEUAPRSF
block in log quick proto tcp flags SR/SR
block in log quick proto tcp flags SF/SF
Quelle 2:
Code:
set block-policy return
set fingerprints "/etc/pf.os"
block in log quick on $ext_if os NMAP
block in log quick on $ext_if inet proto tcp from any to any flags FUP/FUP
block in log quick on $ext_if inet proto tcp from any to any flags SF/SFRA
block in log quick on $ext_if inet proto tcp from any to any flags /SFRA
Ist eine der beiden Varianten vorzuziehen? Warum unterscheiden die beiden sich so stark bezüglich der Flags? Kann mir einer von euch erklären, was genau diese Angaben machen um die Unterschiede zu verstehen?
Ich möchte nur vermeiden, dass mein Server nach Aktivierung der Regeln nicht mehr erreichbar ist
Dankeschön
Viele Grüße,
Thorsten