[sage] ssh-angriffe haeufen sich ...
Michael Schuh
michael.schuh at gmail.com
Thu Apr 24 16:10:56 CEST 2008
meine Firewall ist mit connection-limit bestückt-> 1 Connect von einer
Source-Adresse per Zeiteinheit........
wenn mir das "probieren" zu bunt wird, wird erweitert auf
Table-Funktion mit "flush global" ( pf )
alle ports dicht gemacht für den Angreifer.....
drawback: ich darf selbst keine fehler mehr machen....
viel kritischer sehe ich die sache auch bei ftp-Servern. Da kann ich
nicht mit fail2ban/portknocking kommen......erklär das mal einem
Windows-DAU.....
da ist es einfacher zu sagen probiers in 5 Minuten wieder.....geh
solange kaffee trinken..freut er sich noch über die Kaffee-Pause....
just my 5 ct.
grüße an alle
Michael
Am 24.04.08 schrieb Andreas Jellinghaus <aj at dungeon.inka.de>:
> Am Donnerstag, 24. April 2008 11:32:39 schrieb Benedikt Stockebrand:
>
> > auch wenn das jetzt Gefahr läuft, einen Flame War loszutreten: Wenn
> > ich durch einen anderen Port oder ähnliches frühzeitig sicherzustelle,
> > dass nur noch ein Bruchteil solcher Script-Angriffe stattfindet, dann
> > reduziere ich damit die Anzahl von Fehlalarmen, das heisst ich habe
> > mehr Zeit, um mich um ernstzunehmendere Angriffe zu kümmern.
>
>
> Da will ich doch mal in die Gruppe nachfragen:
> Was macht ihr bei einem Port scan auf 22 oder einem login versuch?
>
> Mich wundert hier der Begriff "Fehlalarm", da ich da keinen alarm
> auslösen würde - passiert doch leider viel zu oft. Statistisch kann
> man das beobachten, und auf massive angriffe reagieren.
> aber jedes script kiddy oder bot, der schaut ob "root" vielleicht das passwort
> "root" hat? scheint mir ein wenig viel aufwand.
>
> Ist nicht eine Situation wünschenswert, in dem man das grundrauschen durch
> port scans, login versuche etc. einfach ignoriert und nur statistisch
> beobachtet?
>
> Tschüss, Andreas
>
>
> _______________________________________________
> SAGE mailing list
> SAGE at guug.de
> http://lists.guug.de/mailman/listinfo/sage
>
--
=== m i c h a e l - s c h u h . n e t ===
Michael Schuh
Postfach 10 21 52
66021 Saarbrücken
phone: 0681/8319664
mobil: 0177/9738644
@: m i c h a e l . s c h u h @ g m a i l . c o m
=== Ust-ID: DE251072318 ===
More information about the SAGE
mailing list