portsentry?! wo is es hin?

Rund um die Sicherheit des Systems und die Applikationen
t-son
Posts: 18
Joined: 2002-10-18 09:22
Location: Stuttgart

portsentry?! wo is es hin?

Post by t-son » 2003-03-24 16:48

hi,

ihr redet immer ueber portsentry... und nirgends gibt es das zu downloaden...
rob schulze howto:
1. Vorbereitung
PortSentry kann man nicht einfach irgendwo runterladen, statt dessen muss man sich bei Psionic registrieren um die Software zu bekommen.
Dazu sucht man sich auf der Seite http://www.psionic.com/products/index.html das Tool PortSentry aus, und folgt einfach den Links.
hat cisco die aufgekauft?! wo kann ich die Version 1.1 herbekommen?

vielen dank im voraus
T-Son

rootmaster
Posts: 483
Joined: 2002-04-28 13:30
Location: Hannover

Re: portsentry?! wo is es hin?

Post by rootmaster » 2003-03-24 22:04

Cahn's Axiom:

When all else fails, read the instructions

t-son
Posts: 18
Joined: 2002-10-18 09:22
Location: Stuttgart

Re: portsentry?! wo is es hin?

Post by t-son » 2003-03-24 22:26

wow, vielen dank@rootmaster!!! :)

t-son
Posts: 18
Joined: 2002-10-18 09:22
Location: Stuttgart

Re: portsentry?! wo is es hin?

Post by t-son » 2003-03-25 12:07

so ein mist, nun hab ich ein portscan gemacht und hab mich selber ausgesperrt - das kann nur bedeuten das ich Portsentry richtig eingerichtet hab ;)

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: portsentry?! wo is es hin?

Post by dodolin » 2003-03-25 12:54

Ein gutes Beispiel, warum ich sowas absolut sinnfrei finde. Hast du schonmal darüber nachgedacht, was wohl passieren wird, wenn jemand mit gespooften IPs deinen Rechner "attackiert" aka scant? Z.B. mit den IPs deiner Nameserver oder der Rootnameserver? Mit den IPs der Outgoing MXe grosser Anbieter wie T-Online, AOL, kundenserver, etc.?

Sowas ist der sichere Weg zum Self-DoS.

Disclaimer: Bitte kein Flamewar, ist nur meine persönliche Meinung.

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: portsentry?! wo is es hin?

Post by captaincrunch » 2003-03-25 13:05

Dazu brauchst du noch nicht mal spoofen ... setzt einen vernünftigen Scanner wie nmap ein, und nutz Decoy-Hosts ... ist also sogar für 311e7 Script-Kidz einfacher, als manche zu glauben scheinen ...
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

t-son
Posts: 18
Joined: 2002-10-18 09:22
Location: Stuttgart

Re: portsentry?! wo is es hin?

Post by t-son » 2003-03-25 13:27

ihr seid gemein!

schiebt mal ins newbie forum! ich hab nämlich kein plan von was ihr redet! ich kann nur sagen das ich nmap benutzt habe!?

jeder erzählt hier wohl was anderes?! man soll es unbedingt drauf machen, die anderen das ist quatsch...

und wer hat recht? auf wen kann ich mich verlassen!?

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: portsentry?! wo is es hin?

Post by dodolin » 2003-03-25 13:39

Das mit nmap muss ich mir nochmal heute Abend in Ruhe zu Gemüte führen, habe jetzt gerade nicht so viel Zeit. Danke für den Tipp, CaptainCrunch!

Nuja, ich versuche mich nochmal etwas "newbie-freundlicher" auszudrücken...

Wenn du deine Paketfilterregeln dynamisch veränderst, insbesondere, wenn du dich "angreifende" IPs dann sperrst, ist das etwas... hm... ungeschickt - vorsichtig ausgedrückt.

IPs lassen sich spoofen, d.h. man kann eine andere IP vortäuschen, als man tatsächlich besitzt. Wenn dich nun jemand so "angreift", dass deine Firewall meint, sie müsste die "angreifende" IP sperren und hierzu z.b. die IP deiner Nameserver bzw. der Rootnameserver verwendet, dann blockst du damit deinen eigenen Zugriff auf den DNS. -> SelfDoS. = Du selbst sperrst dich von Diensten aus, die du eigentlich gerne nutzen würdest.

Oder jemand benutzt die IPs von "grossen" MTAs. Dann kannst du von dort keine Mails mehr empfangen. Usw. usf.

Ã?berlege selbst, ob das sinnvoll ist und ob du sowas möchtest.
Ã?berlege auch, was passiert, wenn jemand einfach viele viele unzählige IPs der Reihe nach verwendet, z.B. den DTAG-DIAL Bereich. -> Die meisten User können deine Webseiten und anderen Dienste nicht mehr nutzen.

Jetzt mehr verstanden?

EDIT: Warum ich "angreifen" immer in Anführungszeichen setze: Ein Scan ist nichts schlimmes, aber das Thema ist alt und führt oft zu Flames, weil sich hier die Geister scheiden. Was jedenfalls sicher sein dürfte, ist, dass es dir absolut kein "Mehr" an Sicherheit bringt, wenn du Scanner und andere Leute blockst. Auch das sollte man sich mal durch den Kopf gehen lassen, wenn man über solche "Lösungen" und deren Einsatz nachdenkt...

phisch
Userprojekt
Userprojekt
Posts: 41
Joined: 2002-06-07 17:45
Location: Flagstaff

Re: portsentry?! wo is es hin?

Post by phisch » 2003-03-25 13:49

Das Problem DOS ist leider von sich aus schwierig in den Griff zu bekommen.
Daher bietet ja portsentry auch eine Möglichkeit, bestimmte IPs niemals auszusperren.
Dort sollte man am besten seine wichtigen Rechner (seine NS-Server oder auch nen Rechner in der Firma/Uni mit fester IP etc) eintragen.
Damit kann man zwar nicht verhindern, dass jemand den T-Dialin Bereich ausschließt, aber man kann sich dann wenigstens selbst noch auf Rechner X einloggen und von dort aus auf den Rootie.

phisch

t-son
Posts: 18
Joined: 2002-10-18 09:22
Location: Stuttgart

Re: portsentry?! wo is es hin?

Post by t-son » 2003-03-25 14:07

Vielen Dank fuer die ausfuehrliche Erklärung.

Mit den IP's spoofen, das war mir klar was damit gemeint war, die IPs sind ja auch nicht dauerhaft gesperrt sondern nur fuer 30min, bzw. kannst ja selber definieren. Das es Probleme mit sich bringen kann hast du mir ja nun eindrucksvoll bewiesen :)

Nun aber mein eigentliches Problem, ich moechte mir mit meinem Clan einen RootServer anschaffen (als PW geschuetzten GameServer und VoiceServer, PublicServer haben wir bei nem ProfiHoster;)) nur hab ich keine Lust das der Server nachher offen wie ein Scheunentor dasteht... Also war ich froh dieses Forum gefunden zu haben, ich habe hier ziemlich viel und lange gelesen, hab mir ein paar Sachen rausgepickt und mir dann einen ActionPlan erstellt. http://www.rootforum.de/forum/viewtopic.php?t=8954

Nun, da ich bestimmt nicht ins kalte wasser springe (hatte zwar mit linux schon ein bisschen was zu tun, aber nie mit Security, weil sonst immer nur LAN...) hab ich mir ein System daheim aufgesetzt was dem 1und1 Rootserver ähnelt und gehe da nun schritt fuer schritt durch.

Nur nun stehe ich ein bisschen auf dem schlauch... reicht es einfach nur die nicht benoetigten services zu deaktivieren/deinstallieren (ich benoetige eigentlich nur ssh, gameserver, voiceserver und web fuer gameserver administration)??? und immer die aktuellesten sicherheitspatches zu installieren?!

zum thema scanning, meist ist es doch der erste schritt zu einer attacke, oder nicht!?

Help & thx!
T-Son

edit:
ui da hat noch einer geschrieben ;)
@phisch
das hab ich natuerlich getan... ebenfalls die sperrung nur auf 30 min. begrenzt.

[tom]
Posts: 656
Joined: 2003-01-08 20:10
Location: Berlin

Re: portsentry?! wo is es hin?

Post by [tom] » 2003-03-25 15:51

T-Son wrote: zum thema scanning, meist ist es doch der erste schritt zu einer attacke, oder nicht!?
NEIN! Neugierde ist auch ein sehr verbreitetes Motiv für ein Scan.

Schau in deine Logs. Es finden wesentlich mehr Scans als Atacken statt. Das sollte deine Annahme wiederlegen. ;-)

[TOM]

t-son
Posts: 18
Joined: 2002-10-18 09:22
Location: Stuttgart

Re: portsentry?! wo is es hin?

Post by t-son » 2003-03-25 16:30

war ja nicht gemeint das eine scan eine attacke ist... aber bevor ich attackiere such ich mir ein angriffspunkt (mittels scan zB).

kann mir jmd. meine frage beantworten?

floschi
Userprojekt
Userprojekt
Posts: 3247
Joined: 2002-07-18 08:13
Location: München

Re: portsentry?! wo is es hin?

Post by floschi » 2003-03-25 16:56

T-Son wrote:kann mir jmd. meine frage beantworten?
Ich hätte dafür einen neuen Thread im Newbieforum aufgemacht, hier sieht es normalerweise keiner mehr...

Es reicht aus bzw. viel mehr kann man nicht machen - aber man muss das eben gewissenhaft machen. Es reicht z.B. nicht aus, ab und zu mal YOU laufen zu lassen (bzw. apt-get update und apt-get upgrade bei Debian), sondern man sollte schon verstehen und nachforschen, was da alles über die Securitymaillisten kommt.

Und ab und an mal selber prüfen (oder noch besser: einen Bekannten bitten), wie er deinen Server ansieht.

Also up to date bleiben ist auch mit dem persönlichen Engagement immer am Ball bleiben und erschöpft sich nicht in regelmäßigen Updates der Software und deaktivieren der Dienste ;)

t-son
Posts: 18
Joined: 2002-10-18 09:22
Location: Stuttgart

Re: portsentry?! wo is es hin?

Post by t-son » 2003-03-25 17:36

vielen dank @olfi

hatte ja schon einen thread im newbie offen, kam aber nicht viel resonanz.
Ich hab mich in ne mailingliste eingetragen und hab zB bei diesem "Schwachstelle in den Sun RPC XDR library routines" jetzt auch genauer nachgeschaut...

Klar will ich da hinterher sein, ist ja in meinem pers. Interesse ;) und wenn es soweit ist frag ich Dich mal wie Du mein Server siehst *gg*

Vielen Dank allen erstmal, ich denke ich bin aufm richtigen weg - darf nur nicht stehen bleiben 8)

Gruss
T-Son