Portsentry und Konsorten

[captaincrunch]

Hallo zusammen !

Um einmal mehr meine massiven Bedenken gegen Portsentry und Co. zu äußern, hier mal eine neue Methode, diese "ach so sichermachenden" Tools ganz simpel zu umgehen, und schlimmstenfalls einen Self-DOS hervorzurufen :
http://www.insecure.org/nmap/idlescan.html

Wer also immer noch meint, durch solche Programme "sicherer" zu sein ist selbst Schuld. ;)

[dodolin]

Danke für den Link, Chris! Interessanter Artikel.

Witzig, dass wir gerade heute in unserem Netzwerksicherheits-Praktikum genau die gleiche IP ID für andere Zwecke (ICMP Redirect) missbraucht hatten...

Auf was für kreative Ideen die Hacker (diesesmal wirkliche) doch immer wieder kommen... schon krass.

[wirsing]

Auf was für kreative Ideen die Hacker (diesesmal wirkliche) doch immer wieder kommen... schon krass.

Also meinst du Cracker?

[dodolin]

Also meinst du Cracker?

Nein, ich kenne die Bedeutung des Wortes "Hacker". ;)

[kwik]

Ich hab portsentry-1.1 drauf, war aber nie aktiv *hüstel*. Jetzt nach einem Neustart vom Server tummelt es sich aber aktiv herum. Wie kann ich das wieder deinstallieren? Ist schon ewig her und ich habe die entsprechenden Einträge noch nicht gefunden.

[bungeebug]

Hi,

erst mal mit /etc/init.d/portsentry stop anhalten und dann sagst du uns welche Distribution du verwendest und wir sehen weiter :)

[kwik]

Suse 7.3 :)

[dea]

Wer also immer noch meint, durch solche Programme "sicherer" zu sein ist selbst Schuld. ;)

Dass Dich dieser "alte Hut" immer wieder so echauffieren kann wundert mich ;)

Ihc denke, wir haben es eher mit dem Problem zu tun, dass die Materie (Netzwerkprotokolle und -topologien, ID Systeme und deren Zusammenspiel) sehr komplex und augenscheinlich nicht leicht zu verstehen ist und es zudem immer noch kein wirklich gutes ID System gibt, das "die User an die Hand nimmt".

Aber macht nur weiter so - ich find's irrsinnig komisch, wie viele Leute sich einen Kopf darum machen, eine Topologie und Protokolle die von Beginn an als unsicher und unzuverlässig konzipiert wurden, sicher zu machen :-D ;)

[captaincrunch]

Dass Dich dieser "alte Hut" immer wieder so echauffieren kann wundert mich

Mach dir mal keine Sorgen...ich hab kein so hitziges Gemüt, dass ich mich über solchen Kleinsch... echauffieren müsste. ;)

Btw.: Der Thread ist ja nun nicht gerade der neueste. ;)

[dea]

Btw.: Der Thread ist ja nun nicht gerade der neueste. ;)

Uuuh -- dass die Datumsangabe auch immer so unaffällig ist :oops:

hihi, hatte ich echt nicht gesehen :-D

[obsolete]

was heisst hier umgehen? wieso sollte diese scan-technik gegen ein mit portsentry "gesichertes" system erfolgreich sein??? sobald auf einen nicht erlaubten port zu gegriffen wird, wird dieser bei mir mittels iptables gedropped. egal, ob zombie oder der in wirklichkeit angreifende host.

falls der port offen ist, findet der angreifer das auch leichter heraus, nämlich mit einem einfachen connect scan!

[captaincrunch]

wieso sollte diese scan-technik gegen ein mit portsentry "gesichertes" system erfolgreich sein???

Es geht hier nicht darum, ob ein Portscan "erforlgreich" ist, sondern darum, dass man die Kiste durch die freundliche "Hilfe" des Admins fast komplett von der Außenwelt abschneiden kann.

sobald auf einen nicht erlaubten port zu gegriffen wird, wird dieser bei mir mittels iptables gedropped

Das leidige Thema: wer glaubt, dass ein "drop" die Kiste sicherer macht, glaubt vermutlich auch noch an den Weihnachtsmann. Ganz nebenbei: wenn man so richtig "stealth" sein will, ist droppen sogar eher kontraproduktiv.

[obsolete]

diese "ach so sichermachenden" Tools ganz simpel zu umgehen

wie jetzt? simpel umgehen, hoert sich fuer mich eher nach erfolgreichem portscan, als self-dos an. eine selbige ließe sich zudem viel einfacher mit ganz einfachen gespooften src-ip adressen bewerkstelligen.

wobei zu self-dos zu sagen ist, das es auch sowas gibt wie CRON etc. wo man sein kleines script platziert, das je nach groeße der iptables chains, reduziert - oder gar flusht.

wo also siehst du bitte das problem?

portsentry hat seinen sinn, und ist fuer mich eine wirklich tolle ergaenzung!

Das leidige Thema: wer glaubt, dass ein "drop" die Kiste sicherer macht

sagte ich das irgendwo?? .... nein!. drop/reject hat auch immer seinen sinn, naemlich (z.b. im falle einer dos attacke) dir den outgoing traffic zu sparen (drop).

[captaincrunch]

simpel umgehen, hoert sich fuer mich eher nach erfolgreichem portscan, als self-dos an.

Seit wann verhindert Portsentry einen korrekt durchgeführten Portscan (Stichwort "Timing")?

eine selbige ließe sich zudem viel einfacher mit ganz einfachen gespooften src-ip adressen bewerkstelligen.

Wozu? nmap kennt decoy-Scans, da musst du nicht einmal mehr spoofen.

wobei zu self-dos zu sagen ist, das es auch sowas gibt wie CRON etc. wo man sein kleines script platziert, das je nach groeße der iptables chains, reduziert - oder gar flusht.

Na super! In welchen Zeitabständen lässt du den Cron laufen?
Ist die Spanne zu kurz, kann derjenige es schön weiterversuchen, ist sie zu lang riskierst du, dass dich jemand von der Kiste aussperrt, und sich so einen nicht von der Hand zu weisenden Vorsprung verschafft.

portsentry hat seinen sinn, und ist fuer mich eine wirklich tolle ergaenzung!

Es soll sogar Leute geben, die <meistgehasstes OS hier einfügen> eine Daseinsberechtigung geben. Wenn du es einsetzt: bitteschön, ich werde dich nicht davon abhalten, aber heul mir nicht die Ohren voll, wenn du einmal auf jemanden triffst, der ein bisschen was im Kopf hat. ;)

drop/reject hat auch immer seinen sinn, naemlich (z.b. im falle einer dos attacke) dir den outgoing traffic zu sparen (drop).

Wie du richtig erkannt hast, macht höchstens ein Reject Sinn. Im Falle eines richtigen (D)DOS kann dir der Antworttraffic auch sch...egal sein, da helfen nur ganz andere Mittel.
...wobei wir wieder bei der Frage wären, warum so viele Leute so große Panik vor einem DOS-Angriff haben. Keine Ahnung, in welchen Kreisen ihr euch so bewegt, aber im Kreise halbwegs normaler Menschen tritt so etwas höchst selten auf (außer vielleicht, man betreibt eine milliardenschwere Internetfirma ;) ).
Fakt ist jedenfalls, dass droppen herzlich sinnbefreit ist.

[obsolete]

Seit wann verhindert Portsentry einen korrekt durchgeführten Portscan (Stichwort "Timing")? | Na super! In welchen Zeitabständen lässt du den Cron laufen?, Ist die Spanne zu kurz... ....Vorsprung verschafft.

ehm LOL?! das stichwort timing das du ansprichst, ist hierbei ueberhaupt kein problem. script -> sieht ip adresse mehr als X mal pro einem bestimmten zeitraum (JA, das geeeeeht: einfach portsentry log file parsen) -> ip in static_drop chain schmeissen und basta. script kann vom mir aus auch minuetlich laufen - diese zeitspanne duerfte wohl gut zu bewaeltigen sein...

[idiot] Wozu? nmap kennt decoy-Scans, da musst du nicht einmal mehr spoofen. [/idiot]

was fuer ein dummes daher-gelabber. decoy-scans sind nicht dazu konzipiert, den host zu flooden, sondern vielmehr, um deine eigene ip adresse mit den decoys zu vermixen, um somit "das erkannt" werden zu erschweren. vielleicht hilft dir hierbei auch das lesen der manpage (man nmap)...
bei der attacke ueber die wir uns hier unterhalten, ist es von noeten, das so viele src-ip gespoofte packete wie nur moeglich den portsentry geschuetzen host erreichen, um somit einen rapiden anstieg der geblockten adressen in den iptables chains zu erreichen. dies wird UNTER KEINEN UMSTAENDEN durch einen decoy scan erreicht!

[dummes-daher-geschwaetz]Es soll sogar Leute geben... wenn du einmal auf jemanden triffst, der ein bisschen was im Kopf hat. [/dummes-daher-geschwaetz]

da sage ich mal nichts zu: obso@debian:~$ uname -a
Linux debian 2.6.5 #3 Sat Apr 24 17:31:23 CEST 2004 i686 GNU/Linux

Wie du richtig erkannt hast, macht höchstens ein Reject Sinn. ..

Wie du einmal mehr wiederrum, nicht richtig verstanden hast, rede ich hier vom "outgoing traffic sparen". das wird jedoch durch das DROPen der pakete und nicht durch das rejecten bewerkstelligt... (iptables howto lesen koennte dir in dieser hinsicht sicher hilfreich sein!)

bei einer (d)dos attacke gibts nur eins, entweder du surfst auf der welle, und schaust zu, das du selbst nicht auch noch dumme packete mit einem noch DUEMMEREN REJECT beantwortest (da davon auszugehen ist, das die src-ip gefaelscht ist, und somit das rejecten des paketes nur einen nichts wissenden host - wenn ueberhaupt - erreicht), oder du ziehst den stecker! (waere vielleicht die bessere loesung fuer dich, falls du so etwas einmal erfahren solltest.)

um mich noch einmals klar aus zu druecken. drop, wie auch reject, haben beide ihren sinn. es bringt auf jeden fall herzlich wenig, im falle einer dos attacke, pakete zu rejecten (s.o.).

ich denke, in deinem fall waere es sicher hilfreich einige howtos und manpages zu lesen. ausserdem faellt mir auf, das du oft einfach so sachen unterstellst die so nicht richtig sind... was man jedoch dagegen machen kann, weis ich nicht. vielleicht muesstest du dazu einen arzt konsultieren.

[darkspirit]

Ã?hm, was soll das? 8O
Troll dich! :evil:

[dea]

Da ist er wieder ... der Geist, der jedem in die Eier beißt ... ;) (scnr -- hihi)

DarkSpirit, dieses Thema ist einer der ältesten Klassiker im RF.

Zurücklehnen, lesen und genießen! :-D (noch jemand Popcorn?)

;)

[captaincrunch]

ch denke, in deinem fall waere es sicher hilfreich einige howtos und manpages zu lesen. ausserdem faellt mir auf, das du oft einfach so sachen unterstellst die so nicht richtig sind... was man jedoch dagegen machen kann, weis ich nicht. vielleicht muesstest du dazu einen arzt konsultieren.

Ich wäre gerne bereit gewesen, diese Diskussion auch weiterhin zu führen, aber sorry, aus diesem kindlichen (oder besser gesagt kindischen) Alter, in dem man herzlich sinnbefreite Sprüche ablassen muss, weil man mit Argumenten nicht weiterkommt bin ich schon etwas länger heraus.

Daher: *plonk*

[obsolete]

hehe, das war ab zu sehen - eine logische folgerung, wenn einem die argumente ausgehen.

Wenn du es einsetzt: bitteschön, ich werde dich nicht davon abhalten, aber heul mir nicht die Ohren voll, wenn du einmal auf jemanden triffst, der ein bisschen was im Kopf hat.

merkst du was ;) ?

[captaincrunch]

Auch wenn's hier zwar nicht hingehört: Ja, ich merke etwas.

1. Sofern du nicht in der Lage bist, Ironie zu erkennen (besonders, wenn du noch durch ein Emoticon mit der Nase drauf gestoßen wirst), werde ich es mir merken.

2. Auf das Niveau andere wörtlich als "idiot" zu bezeichnen muss ich mich wirklich nicht herabbegeben.

*plonk* und EOD.

[obsolete]

der leser entscheidet selbst!

(das mit dem [idiot] tut mir leid, war zu streng formuliert, auch wenn das, was du schreibst, in meinen augen mehr als nur nonsens ist)

[silentfog]

der leser entscheidet selbst!

(das mit dem [idiot] tut mir leid, war zu streng formuliert, auch wenn das, was du schreibst, in meinen augen mehr als nur nonsens ist)

<<--- Achtung Scherz !!!
Vielleicht hättest Du HIER mitdiskutieren sollen ... jedenfalls bringt diese "Art der Auseinandersetzung" rein gar nichts - zumindest IMHO - ohne dea jetzt das Popcorn wegnehmen zu wollen :) - Immer locker bleiben - Stef.

[captaincrunch]

auch wenn das, was du schreibst, in meinen augen mehr als nur nonsens ist

Dann lass uns aufhören, aneinander vorbeizureden, und argumentier endlich sachlich. Ich fang einfach mal an:

das stichwort timing das du ansprichst, ist hierbei ueberhaupt kein problem. script -> sieht ip adresse mehr als X mal pro einem bestimmten zeitraum (JA, das geeeeeht: einfach portsentry log file parsen)

1. Punkt des aneinder Vorbeiredens:
Mit Timing spiele ich auf die nmapOption -T (Timing) an. Beim "paranoid" hat Portsentry in den meisten Fällen bereits Schwierigkeiten, das festzustellen, in Verbindung mit ausgewählten "Standardports" (-p) wird's dann komplett nutzlos.
Also ja: ich kenne die nmap-manpage ziemlich gut.

decoy-scans sind nicht dazu konzipiert, den host zu flooden, sondern vielmehr, um deine eigene ip adresse mit den decoys zu vermixen, um somit "das erkannt" werden zu erschweren.

2. Punkt des aneinander Vorbeiredens:
Du redest hier die ganze Zeit von Flooding und/oder DOS, ich hingegen sage ausschließlich, das Portsentry jemandem, der etwas mehr im Kopf hat als das normale Scriptkiddie (um mal meine erste Aussage hierzu auszuformulieren) herzlich wenig aufhalten wird.
Mal ganz nebenbei bemerkt wüsste ich absolut nicht, was Portsentry (also dem eigentlichen Thema) mit DOS zu tun haben sollte: spätestens wenn dich jemand mit ICMP-Garbage dost, bekommt Portsentry da nichts von mit, da ICMP (wie du ja sicherlich weißt) keine Ports kennt.

um somit einen rapiden anstieg der geblockten adressen in den iptables chains zu erreichen. dies wird UNTER KEINEN UMSTAENDEN durch einen decoy scan erreicht!

Unter keinen Umständen? Belege für diese Behauptung?

da sage ich mal nichts zu: obso@debian:~$ uname -a

3. Punkt des aneinander Vorbeiredens:
Ich rede nicht von Linux-Distributionen oder sonstigen Unix-Derivaten.

Wie du einmal mehr wiederrum, nicht richtig verstanden hast, rede ich hier vom "outgoing traffic sparen". das wird jedoch durch das DROPen der pakete und nicht durch das rejecten bewerkstelligt...

Natürlich sparst du durch das droppen den outgoing Traffic, das war auch nicht mein Punkt. Eine Lösung gegen DOS ist aber auch das bei weitem nicht, wenn du einmal richtig gedost wirst, hilft einzig und allein Ingres-Filterung auf dem vorstehenden Router, alles andere verlängert nur die Zeit, bis es richtig teuer wird.

ei einer (d)dos attacke gibts nur eins, entweder du surfst auf der welle, und schaust zu, das du selbst nicht auch noch dumme packete mit einem noch DUEMMEREN REJECT beantwortest (da davon auszugehen ist, das die src-ip gefaelscht ist, und somit das rejecten des paketes nur einen nichts wissenden host - wenn ueberhaupt - erreicht)

OK, Punkt für dich! Ich halte allerdings dagegen, dass es weniger häufig vorkommen wird, das die Kiste gedost wird. Viel öfter wird es vorkommen, dass die Kiste geportscanned wird, und im Falle von drop machst du es verdammt offensichtlich, dass du "Schutzmaßnahmen" ergriffen hast. Ein Scriptkiddie magst du damit abhalten, die guten Jungs forderst du dadurch erst heraus.

oder du ziehst den stecker! (waere vielleicht die bessere loesung fuer dich, falls du so etwas einmal erfahren solltest.)

Wenn wir jetzt einmal beim Thema dieses Forums bleiben hast du hier nicht wirklich aufgepasst, denn bei gemieteten Servern bringt's dir in den allermeisten Fällen nicht einmal mehr etwas, den Stecker zu ziehen, wenn du gedost wirst, da Hoster im allgemeinen den Traffic am Switch oder Router messen, der Traffic schlägt also auch weiterhin eine mächtige Schneise in deinen Freitraffic.

um mich noch einmals klar aus zu druecken. drop, wie auch reject, haben beide ihren sinn. es bringt auf jeden fall herzlich wenig, im falle einer dos attacke, pakete zu rejecten

Sorry, aber (wie oben gesagt) ist im Falle eines DOS auch droppen herzlich sinnfrei, da helfen (wie bereits öfter gesagt) nur ganz andere Methoden.

[darkspirit]

DarkSpirit, dieses Thema ist einer der ältesten Klassiker im RF.

Zurücklehnen, lesen und genießen! :-D (noch jemand Popcorn?)

Ich weiß, dass das Thema schon einen ordentlichen Bart hat, ich bezog mich eher auf die Ausdrucksweise und die Beleidigungen "Idiot", "dummes-daher-geschwätz" und den abschließenden Rat, zum Arzt zu gehen.... :roll:
Aber es scheint ja sachlich weiterzugehen.. also reich mir auch mal bißchen Popcorn rüber ;)

[obsolete]

Mit Timing spiele ich auf die nmap Option -T (Timing) an. Beim "paranoid" hat Portsentry in den meisten Fällen bereits Schwierigkeiten...

unsinn!!! es ist portsentry scheiss egal in welchen zeitabstaenden pakete eintrudeln - sobald ein paket auf einen unerwuenschten port trifft, wird dieser bei mir automatisch gedroppt (default portsentry reaktion). damit du das endlich glaubst, hier mal der scan auf meinen host:

nmap -sS -P0 -v -T Paranoid -p 21-25 xxx.xxx.xxx.xxx
Starting nmap V. 3.00 ( http://www.insecure.org/nmap/ )
Host my.vhost.mydomain.org (xxx.xxx.xxx.xxx) appears to be up ... good.
Initiating SYN Stealth Scan against my.vhost.mydomain.org (xxx.xxx.xxx.xxx)
The SYN Stealth Scan took 9044 seconds to scan 5 ports.
Interesting ports on my.vhost.mydomain.org (xxx.xxx.xxx.xxx):
(The 1 port scanned but not shown below is in state: closed)
Port State Service
22/tcp filtered ssh
23/tcp filtered telnet
24/tcp filtered priv-mail
25/tcp filtered smtp

ausser das der scan ewig lange dauert, kommt hierbei nichts raus. zur info: der einzig in wirklichkeit offene port ist 25/smtp.

portsenty logfile ca. 2 sekunden nach dem ersten scan versuch:
May 19 17:32:27 portsentry[15047]: attackalert: TCP SYN/Normal scan from host: pD9E65131.dip.t-dialin.net/217.230.82.149 to TCP port: 21
May 19 17:32:27 portsentry[15047]: attackalert: Host 217.230.82.149 has been blocked via wrappers with string: "ALL: 217.230.82.149"
May 19 17:32:27 portsentry[15047]: attackalert: Host 217.230.82.149 has been blocked via dropped route using command: "/sbin/iptables -I CHECK -s 217.230.82.149 -j DROP"

aus der portsentry readme:
SCAN_TRIGGER - PortSentry has a state engine that will remember hosts
that connected to it. Setting this value will tell PortSentry to allow X
number of grace port hits before it reacts. This will detect both
sequential and random port sweeps. The default is 0 which will react
immediately.

soll heissen: ein paket auf einen falschen port, und du bist gedroppt!!! da bringt dir die -T Option ungefaehr 0 , nichts.

Du redest hier die ganze Zeit von Flooding und/oder DOS, ich hingegen sage ausschließlich, das Portsentry jemandem, der etwas mehr im Kopf hat als das normale Scriptkiddie (um mal meine erste Aussage hierzu auszuformulieren) herzlich wenig aufhalten wird.

koenntest du dann bitte ausformulieren, warum ein ueberhax0r keine probleme mit portsentry hat? du sagst immer nur das es fuer den geuebten kein problem ist, portsentry zu umgehen, warum dies aber "kein problem" sein soll, verraetst du nicht. klaer mich doch mal auf?! wo siehst du den schwachpunkt?

Mal ganz nebenbei bemerkt wüsste ich absolut nicht, was Portsentry (also dem eigentlichen Thema) mit DOS zu tun haben sollte

hae? self-dos, portsentry floodet die iptables. das meine ich damit. jedoch eben mit meinem script kein problem mehr...

spätestens wenn dich jemand mit ICMP-Garbage dost, bekommt Portsentry da nichts von mit

das hast du richtig erkannt. portsentry ist ausschlieslich fuer udp/tcp konzipiert. daher faellt icmp meiner meinung nach nicht mehr in den bereich von portsentry. dies muss dann eben extra behandelt werden. bei mir mittels eines einzeilers im iptables input chain (mit limit match etc.)..
fazit: portsentry hat mit ICMP gar nix zu tun, weil es dafuer nicht konzipiert wurde. das muessen die iptables uebernehmen.

Unter keinen Umständen? Belege für diese Behauptung?

Nein, belege habe ich dafuer nicht, jediglich eine rein logische erklaerung. Du sagst, das es einfach ist, mit den decoy scans eine Dos attacke hervor zu rufen. Dies ist theoretisch moeglich, jedoch praktisch kaum umsetzbar, da du ja die ganze zeit neue decoys einfuegen muesstest (dauert viel zu lange) und diese wiederum portsentry nach dem ersten scan auf einen port wiederum scheiss egal sind, weil sie dann per iptables gedropped sind.

.. Eine Lösung gegen DOS ist aber auch das bei weitem nicht, wenn du einmal richtig gedost wirst, hilft einzig und allein Ingres-Filterung auf dem vorstehenden Router, alles andere verlängert nur die Zeit, bis es richtig teuer wird.

Das ist schon klar. Jedoch gehe ich davon aus, dass die meisten leute einen server gemietet oder gehoused haben, was wiederum heisst, das ihnen nur ihre eigene kiste zur verteidigung zu verfuegung steht. d.h. man hat keine kontrolle ueber den vorgeschalteten router, sondern eben, wie schon oben gesagt, nur ueber seine eigene maschine. da kann man dann eben nur das beste draus machen, und zwar so gut wie moeglich paket filtern, bzw. alles unnoetige im dos fall zu droppen.

Ein Scriptkiddie magst du damit abhalten, die guten Jungs forderst du dadurch erst heraus.

Die "guten jungs" sind so schnell gedroppt, dass sie nicht mehr, als das result eines "script-kiddie-scans" erhalten :)

Wenn wir jetzt einmal beim Thema dieses Forums bleiben hast du hier nicht wirklich aufgepasst, denn bei gemieteten Servern bringt's dir in den allermeisten Fällen nicht einmal mehr etwas, den Stecker zu ziehen, wenn du gedost wirst, da Hoster im allgemeinen den Traffic am Switch oder Router messen...

Ich bin mir dessen durchaus bewusst, das der traffic am vorgeschalteten router aufgezeichnet wird. aber du glaubst doch wohl selbst nicht, das dir dein isp traffic berechnet, obwohl deine kiste ausgeschaltet war! daher, auch dies falsch:

der Traffic schlägt also auch weiterhin eine mächtige Schneise in deinen Freitraffic

Sorry, aber (wie oben gesagt) ist im Falle eines DOS auch droppen herzlich sinnfrei, da helfen (wie bereits öfter gesagt) nur ganz andere Methoden.

Nein, ist es definitv nicht. da du davon ausgehen musst, das man nur kontrolle ueber seine eigene maschine hat, und nicht ueber den router davor oder sonstiges, ist das, dass einzige was dir uebrig bleibt. [ausser - die absolute endloesung, du schaltest den rechner aus.]