Re: OT: alternativen zu portsentry

To: debian-user-de@lehmanns.de
Subject: Re: OT: alternativen zu portsentry
From: michael loeffler <mi.lo@gmx.net>
Date: Thu, 26 Apr 2001 23:44:01 +0200
Message-id: <[🔎] 20010426234401.A26841@pc-ml1.dyndns.org>
Mail-followup-to: debian-user-de@lehmanns.de
In-reply-to: <[🔎] 871yqfqw0t.fsf-bofh@killfile.de>; from debian.user.de@killfile.de on Thu, Apr 26, 2001 at 09:52:02PM +0200
References: <[🔎] 20010426165848.A11074@pc-ml1.dyndns.org> <[🔎] 871yqfqw0t.fsf-bofh@killfile.de>

* Marcus Jodorf <debian.user.de@killfile.de> [010426 21:52]:
> scanlogd ist noch so ein Portscandetektor, der mich allerdings nicht
> überzeugt hat. Nach einigen Tagen Laufzeit hat er hier jeweils sang- und
den kenn ich auch, und bin net so überzeugt, mit portsentry hab ich nur mal
aus neugier angefangen.

> Einen Portscandetektor, der wie portsentry optional automatisch
> Verbindungen komplett blockt, willst Du gar nicht verwenden, weil
> das ziemlich dämlich ist.
> Dann hat man eine wunderbare Anlaufstelle für DoS Angriffe: Man
> braucht Dich nur mit Scans mit gefälschten Sourceadressen (z.B. nmap
> -S Zufallsadresse) zu fluten und es stellt sich nur noch die Frage, ob
Diese bedenken hatte und habe ich auch, hab schon
heut mittag nen freund gebeten sowas an mir auszubrobieren
dazu benutzt wurde das erste mal nen programm namens
mobbing.c welches speziell für solche aktionen gedacht war.

und hinterher auch mit nmap, es hatte beidesmal keine wirkung,
und bei nmap hat er die wirkliche ip gesperrt.

> dein Rechner eher unter dem Umfang der ipchainskette zusammenbricht
hmm, ich benutz linux 2.4 und iptables, ab wann is bei
ner umfangreichen chain eigentlich die kritische masse erreicht, wo
die kiste zusammen bricht?

> und schnarchlangsam wird oder Du eher von allen wichtigen
> Internetservern abgeschnitten bist, die Du potentiell noch erreichen
> willst.
Das ist das was ich speziell bei sowas auch befürchtet hab, und
deshalb auch nen bisserl in die richtung experimentiert hab.

> Also, wenn Du nicht remote und unfreiwillig abklemmen lassen willst,
> dann solltest Du sowas nicht verwenden.
> Wenn Du Deinen Rechner richtig konfiguriert hast, brauchst Du sowas
> ohnehin nicht.
ich hoff doch daß er ordentlich konfiguriert ist, aber trotzdem
will ich mir mal solche "interessanten" programme ansehen.
Und ich denke, portsentry erwartet bei tcp ja einen connect
welcher ja bei einer falschen source ip nicht zustande kommen kann,
und vereinzelte pakete lösen die falle die von portsentry
ausgelöst wird nicht aus.

udp nimmt allerdings andere wege, darum würd ich da solche angriffe
schon als warscheinlicher sehen, man braucht portsentry ja nicht
bei udp auf diese art blocken lassen. (ausserdem is bei mir eh fast
alles zu, hab halt nach aussen ssh auf und halt für den test
auch die ports an denen portsentry lauschen will - udp hab ich
net auf gemacht)

Aber wie dem auch sei, der ansatz einen potetiellen
angreifer gleich zu blocken ist nicht so abwägig, auch wenn es
unter umständen weitere angriffsmöglichkeiten eröffnet.

mal abwarten und derweil vertrau ich mal iptables und der tatsache
daß das was zu sein muss, zu ist.

mfg michael

-- 
Segmentation fault (core dumped)

--
-----------------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie bitte eine
E-Mail an debian-user-de-request@lehmanns.de die im Subject
"unsubscribe <deine_email_adresse>" enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@Lehmanns.de
-----------------------------------------------------------

803 eingetragene Mitglieder in dieser Liste.

Reply to:

References:
- [Debian] OT: alternativen zu portsentry
  - From: michael loeffler <mi.lo@gmx.net>
- Re: OT: alternativen zu portsentry
  - From: Marcus Jodorf <debian.user.de@killfile.de>

Prev by Date: Re: [Debian] Fehlermeldung blockiert gesamtes System?!?
Next by Date: [Debian] delete frozen mails
Previous by thread: Re: OT: alternativen zu portsentry
Next by thread: [Debian] sox oder andere sound-filter
Index(es):
- Date
- Thread