[sage] ssh-angriffe haeufen sich ...

ulf.rudolf at guug.de ulf.rudolf at guug.de
Thu Apr 24 19:11:26 CEST 2008


Moin moin,

On Thu, Apr 24, 2008 at 06:34:08PM +0200, Frank Brodbeck wrote:
> Hallo,
> 
> Dirk Wetter has spoken, thus:
> > Am 24.04.2008 16:34, Frank Brodbeck schrieb:
> > > Andreas Jellinghaus has spoken, thus:
> > >> Da will ich doch mal in die Gruppe nachfragen:
> > >> Was macht ihr bei einem Port scan auf 22 oder einem login versuch?
> > > 
> > > Ich nutze (allerdings nur privat) die overload Funktion der pf und
> > > blocke dann fr?hzeitig den Netzverkehr der ip's in der entsprechenden pf
> > > table. Funktioniert nat?rlich bei offensichtlichen scan versuchen.
> > 
> > genauso mach ich das in Grenzen auch (wie erwahnt). Nur die Schwellwerte sind
> > etwas schwierig und das ist DoS-anf?llig, wenn ich Dir Pakete mit falscher
> > Absendeadresse von Deinem Nameserver schicke. Oder wenn Du ein paar Webserver
> > hast und Du gefakte Pakete vom Telekom- o.?. -Proxy geschickt bekommst. ;-)
> 
> Das ist richtig, empfinde ich allerdings gegen?ber andere Ports zu
> nutzen als bessere Variante. Man k?nnte alternativ dazu auch nur die
> Bandbreite f?r diese hosts beschneiden anstatt sie komplett
> auszusperren.
>
und ausserdem sollte man eh nicht wegen eines gefakten TCP SYN
in Aktionismus verfallen. Solange der three way handshake nicht
erfolgreich abgeschlossen wurde kann der Angreifer zumindest nicht
ueber ein geratenes Passwort reinkommen.
Bei nicht verbindungsorientierten Protokollen sieht es vielleicht
etwas anders aus, aber da sollte halt spaetestens die Applikations-
schicht einen gewissen Schutz gegen Pakete mit gefaelschter SRC-IP
bieten.

Schoenen Abend
 Ulf




More information about the SAGE mailing list