Hallo, mal ne Frage, kann man irgendwie mit der Firewall ufw oder ein anderes Tool ein Portscan von außen stoppen/verhindern?
Mit Firewall ufw portscan stoppen
Anmeldungsdatum: Beiträge: 729 |
|
Supporter, Wikiteam
Anmeldungsdatum: Beiträge: 17583 Wohnort: in deinem Browser, hier auf dem Bildschirm |
Einen Portscan von außen kannst du nicht verhindern, denn er kommt von außen. Was willst di mit der FW erreichen? Ein Portscan richtet auch außer Traffic keinen Schaden an. |
(Themenstarter)
Anmeldungsdatum: Beiträge: 729 |
Ich dachte man kann offene Ports verschleiern. |
Supporter, Wikiteam
Anmeldungsdatum: Beiträge: 17583 Wohnort: in deinem Browser, hier auf dem Bildschirm |
Nein, das geht schon aus Prinzip nicht, denn dann sind sie nicht mehr offen. Du MUSST dich mehr mit Netzwerktechnik befassen. Bei TCP: Ein offener Port antwortet auf ein SYN mit einem SYN-ACK. Das MUSS so sein, sonst funktioniert kein Zugriff für einen legitimen Nutzer. Lauscht kein Dienst kommt ein RST-ACK. Das signalisiert auch dem Angreifer, dass da nichts ist. Bei UDP ist es etwas anders. Ist der Port offen muss aus Sicht von UDP gar nichts kommen. Das höhere Protokoll bestimmt, ob und welche Antwort kommt. Diese muss man durchlassen - auch für den Angreifer. Lauscht kein Dienst auf dem UDP-Port, kommt ein ICMP Port unreachable. Auch das signalisiert dem Angreifer, dass da nichts ist. Du kannst mit einer Firewall nichts verstecken, was von außen zugänglich sein soll. Eine FW dient als zusätzlicher Schutz wenn man bestimmte Dienste von außen gar nicht oder nur für bestimmte IP-Bereiche zugänglich machen will. Zusätzlich noch, um Nutzer einzuschränken und DAUs zu "schützen", die (unabsichtlich) Serverdienste auf dem Rechner laufen haben. |
Anmeldungsdatum: Beiträge: 13892 |
Ja, das kann man machen. Man kann auch IP-Adressen von "nicht offenen Ports" verschleiern. Das macht aber nur dann Sinn, wenn der Server (lauschender Port) nicht von der Öffentlichkeit benutzt werden soll. Z. B. für forum.ubuntuusers.de wäre das nicht gut. Für deinen privaten z. B. sshd-Server wäre das evtl. sinnvoll. |
(Themenstarter)
Anmeldungsdatum: Beiträge: 729 |
OK, und mit welcher Methode macht man das? Edit: Ich habe gerade gesehen, wenn ich in der ufw einen Port für eine bestimmte IP Freigebe, dann sieht man von einer anderen IP nicht, dass er offen ist. |
Supporter, Wikiteam
Anmeldungsdatum: Beiträge: 8554 Wohnort: Münster |
Was ist ein „offener Port“? Antwort: Ein offener Port ist ein Netzwerkanschluss, der Datenverkehr über TCP oder UDP oder ein anders Protokoll, welches Ports (Network Layer 4) annimmt und die Kommunikation mit den zugrunde liegenden Servertechnologien ermöglicht. Oder anders: Wenn ein Server-Programm diesen Port bedient. Einen offenen Port schließt man, indem man das betreffende Server-Programm stoppt. Meistens hat es aber einen Grund, warum man dieses Server-Programm benutzen möchte. Dann kann man grundsätzlich nicht verhindern, dass das Angebot an die Öffentlichkeit auch von Halunken benutzt werden kann. Außer man schränkt die Öffentlichkeit ein, indem man nur bestimmte IP-Adressen auf diesen Port zugreifen lässt. Dann hat man das Problem, Kriterien zu formulieren und diese technisch umzusetzen, welche IP-Adresse man als rechtmäßigen Benutzer oder als Halunke betrachtet. Es gibt dafür keine generelle Lösung. |
Anmeldungsdatum: Beiträge: 13892 |
|
Supporter, Wikiteam
Anmeldungsdatum: Beiträge: 17583 Wohnort: in deinem Browser, hier auf dem Bildschirm |
Und wo ist da der Sicherheitsgewinn? Portscans funktionieren weiterhin, es gibt aber Timeouts. Das Ganze nervt nur legitime Benutzer, wenn jemand einen Portscan machen will, macht der den. |
Anmeldungsdatum: Beiträge: 13892 |
Es geht darum was _technisch_ möglich ist und nicht um einen Sicherheitsgewinn. Solche Fragen musst Du an den TE stellen. Wenn ich so etwas will, dann stelle ich bzw. diskutiere ich so etwas nicht in einem öffentlichen Forum, genau wegen solchen Beträgen wie deiner hier. Was für dich schlecht ist, kann für einen anderen warum auch immer gut bzw. nützlich sein.
Du hast nicht verstanden oder nicht verstehen wollen was ich geschrieben habe. Ich kann auch einen Portscan auf eine imaginäre IP-Adresse machen und mich dann über einen (ungünstig konfigurierten) Timeout ärgern oder wundern.
Für einen Port auf dem nicht gelauscht wird, gibt es doch keinen legitimen Benutzer, oder? Und ja, jeder darf einen Portscan machen. Aber meinst Du, Du hättest ein Recht auf eine rst+ack-Antwort, wenn Du mehr oder weniger zufällig die externe/öffentliche IPv4-Adresse meines "border device" auf dem z. B. nicht lauschenden Port 22222, scannst? |
Supporter, Wikiteam
Anmeldungsdatum: Beiträge: 17583 Wohnort: in deinem Browser, hier auf dem Bildschirm |
Ein Recht darauf gibt es nicht, aber es signalisiert mir, dass da nichts lauscht. Entweder nutze ich die falsche Adresse oder es gibt eine Störung. Sonst muss ich mich darum kümmern, wo mein TCP-SYN verloren geht. |
Anmeldungsdatum: Beiträge: 13892 |
Das ist jetzt aber ein anderes Szenario bzw. dir geht es um den legitimen Benutzer. Das kann schon so konfiguriert werden, dass der legitime Benutzer immer eine rst+ack-Antwort (oder gleichwertig) bekommt (z. B. wenn er für den tcp-ping/-scan einen bestimmten 5-stelligen source-Port benutzt und/oder den tcp-Ping mit einer bestimmten tcp-flag-Kombination macht und/oder ...). |