Toon posts:

potentieel probleem: intrusion detection->ongewilde blokkade

Pagina: 1
Acties:

dinsdag 4 januari 2005 22:11

Acties:
  • alexrins
  • Registratie: Maart 2001
  • Laatst online: 30-04 23:07

alexrins

Topicstarter
Beste mensen,

Ik heb laatst mijn firewall geupdate met een stukje intrusion detectie. Dit zorgt ervoor dat bepaalde hosts worden geblokkeerd zodra zij proberen te portscannen. De poorten 1 t/m 21 en 135 t/m 139 zijn voorzien van een trigger. Dus zodra iemand probeerd te verbinden op deze poort wordt de host voor de komende XXX seconde geblokkeerd. In mijn geval heb ik dit ingesteld op 6000 sec, oftewel anderhalf uur.

Mijn internet lijkt goed te werken. Toch baart mij dit enige zorgen. Maken andere applicaties geen gebruik van deze lagere poorten? Poorten als echo, daytime, etc worden gebruikt door deze lagere poorten. Zijn er geen applicaties, websites die hierdoor in de blok-list komen? Ik draai overgens geen ftp server, dat mag logisch zijn.

Wat technische details:
Router: Linux debian 2.4.28, iptables firewall

De betreffende rules die dit mogelijk maken:
iptables -A INPUT -m recent --name portscan --rcheck --seconds 6000 -j DROP

iptables -A INPUT -p tcp -i eth0 --dport 1:21 -m recent --name portscan --set -j DROP
iptables -A INPUT -p tcp -i eth0 --dport 135:139 -m recent --name portscan --set -j DROP


Hebben jullie ideen, ik hoor het graag! :)

dinsdag 4 januari 2005 22:59

Acties:
  • FragFrog
  • Registratie: September 2001
  • Laatst online: 09-05 12:14

FragFrog

AFAIK maakt windows nogal gebruik van poort 139, maar afgezien van niet werkende (windows) netwerkomgeving vanuit de internetkant zul je er AFAIK totaal geen last van hebben.

Daarnaast wellicht wat dubieuse websites van servers die gelijk een zut spyware via windows security holes proberen binnen te lepellen, maar daar zul je over het algemeen niet opkomen natuurlijk.. ;)

[ Voor 5% gewijzigd door FragFrog op 04-01-2005 23:00 ]

[ Site ] [ twitch ] [ jijbuis ]

dinsdag 4 januari 2005 23:02

Acties:
  • alexrins
  • Registratie: Maart 2001
  • Laatst online: 30-04 23:07

alexrins

Topicstarter
Daar is het juist voor bedoelt ;)

dinsdag 4 januari 2005 23:24

Acties:
  • FragFrog
  • Registratie: September 2001
  • Laatst online: 09-05 12:14

FragFrog

Beuh, in dat geval zou ik haast zeggen: niet ook nog eens hostname blokken. Met linux ben je over het algemeen toch wel veilig voor windows-exploits, en op poort 139 zul je geen andere tegenkomen.. :P

Daarnaast: met alleen poort 80 open kun je nog normaal surfen, so who needs'em? ;)

ot: foei!

[ Site ] [ twitch ] [ jijbuis ]

dinsdag 4 januari 2005 23:49

Acties:
  • alexrins
  • Registratie: Maart 2001
  • Laatst online: 30-04 23:07

alexrins

Topicstarter
Het gaat hier om inbound verkeer. De poort 80 die jij beschrijft is outbound en dan wel op destination port. Dit zijn twee verschillende dingen.

woensdag 5 januari 2005 00:57

Acties:
  • FragFrog
  • Registratie: September 2001
  • Laatst online: 09-05 12:14

FragFrog

Daarom zei ik ook "niet ook nog eens hostname blokken", inbound verkeer uiteraard wel :)

[ Site ] [ twitch ] [ jijbuis ]

woensdag 5 januari 2005 01:16

Acties:
  • Wolfboy
  • Registratie: Januari 2001
  • Niet online

Wolfboy

ubi dubium ibi libertas

alexrins schreef op dinsdag 04 januari 2005 @ 22:11:
In mijn geval heb ik dit ingesteld op 6000 sec, oftewel anderhalf uur.
6000 sec = 100 min = 1uur 40min, niet 1uur 30min ;)

Normaal gesproken zal dit geen negatieve gevolgen hebben, sowieso is die hele portrange al gereserveerd dus geen enkele server (waar jij last van zou hebben tenminste) hoort op die poorten met je te verbinden.

Blog [Stackoverflow] [LinkedIn]

Pagina: 1
Reageer