Linux 15.036 Themen, 107.107 Beiträge

Verfolgung starten Optionen

Firewallmeldungen (Angriffe) anzeigen unter Linux

GÖPFRICH / 7 Antworten / Baumansicht Nickles

Hi an alle, ich habe mir neben Win nun doch Linux mit auf die Platte gespielt(Mandrake 8.1 von einer Zeitschrit nur eine CD) Meine Frage an euch und ich hoffe jemand kann mir weiterhelfenen. Wenn ich eine Firewall unter Win laufen habe und z.B jemand scannt meine Ports scannt erhalte ich sofort eine Warnmeldung. Wie bekomme ich dieses auch unter Linux angezeigt? Ich war zum Testen der Firewall auf div. Seiten die mir "bestätigen", das die Firewall arbeitet und meine Ports gescannt wurden. Jetzt schon Danke an alle die sich Gedanken machen.

bei Antwort benachrichtigen
Klaus_T GÖPFRICH „Firewallmeldungen (Angriffe) anzeigen unter Linux“
Optionen

Z.B. so:

iptables -A INPUT -p tcp -m limit --limit 1/s -j LOG --log-prefix "FIREWALL:INPUT "

Je nachdem, wo du das in deinem Script einbaust, bekommst du dann Meldungen. Lese die Man-Page zu iptables.

Klaus

bei Antwort benachrichtigen
label GÖPFRICH „Firewallmeldungen (Angriffe) anzeigen unter Linux“
Optionen

Anzeigen der Meldungen:

GUI:
Mandrake Control Center -> System -> Logs
* Syslog auswählen
* In die Box 'Übereinstimmung mit' drop eintragen
* 'Suche starten' klicken

Konsole:
(als root)
$ grep -i deny /var/log/messages

Bis denne,
label

bei Antwort benachrichtigen
Klaus_T label „Anzeigen der Meldungen: GUI: Mandrake Control Center - System - Logs Syslog...“
Optionen

Du willst damit sagen, dass Mandrake auch eine 'Personal Firewall' eingebaut hat, die droppt und nicht rejectet? Also -> Tonne.
Die Leute lernen es einfach nicht.

Klaus

bei Antwort benachrichtigen
label Klaus_T „Du willst damit sagen, dass Mandrake auch eine Personal Firewall eingebaut hat,...“
Optionen

Was spricht denn für "reject" und was spricht gegen "drop"?

IMHO ist es nicht schlecht, den Skriptkiddies das Leben zu erschweren, die standardmäßig Subnetze nach offenen Ports durchscannen, denn mit gedroppten Paketen dauert so ein Portscan deutlich länger.

Deswegen eine Distro zu bashen halte ich für übertrieben, denn es steht Dir immer noch frei, eigene Filterregeln zu schreiben. Auch unter Mandrake.

Bis denne,
label.

bei Antwort benachrichtigen
Klaus_T label „Was spricht denn für reject und was spricht gegen drop ? IMHO ist es nicht...“
Optionen

Nein, das ist falsch. Durch deny haelst du keinen Scriptkiddy auf.Es ist kein Problem, viele tausend Scans gleichzeitig zu starten und so auf alle Timeouts gleichzeitig zu warten. Ein Scanner wird so nicht gebremst.
Aber du bremst mit deny alle anderen Nutzer und Server aus. Das macht man nicht Mann soll einen Rechner nicht auf 'Stealth' stellen. Wenn ein Port 'closed' ist, ist das in Ordnung .
Uebrigens, mit -> Tonne meinte ich nicht Mandrake, sondern die Firewall. Meine Tochter hat auch Mandrake drauf. Fuer einen einfachen Nutzer ist die gar nicht schlecht.

Bye, Klaus

bei Antwort benachrichtigen
polytaen GÖPFRICH „Firewallmeldungen (Angriffe) anzeigen unter Linux“
Optionen

Warum installierst Du Dir nicht einfach Snort? Das ist das, womit ich hier das NEtzwerk einigermassen überprüfe. Vorteil bei Snort: Man kann (wenn das Netzwerk geeignet ist) das gesamte Netz überwachen, auch den Verkehr zwischen 2 internen Rechnern (z.B: nach einer manuellen Brute-Force Attacke ;) ).

Ich empfehle Dir auf jeden Fall Snort, tcpdump und damit verbundene sachen. Da lernt man sogar noch was, wobei Snort komfortabler ist als tcpdump. Und wenn man den richtigen Schalter ins Startscript setzt, bekommt man SOFORT! die IP des Angreifers, und human readable log-files.

www.snort.org , sollte aber auch bei jeder Distri dabei sein. Man kann auch Regeln (ähnlich iptables) aufstellen, was als Ansgriff zu werten ist, und was nicht etc etc etc. Aber da haben die bei snort.org eine exzellente Beschreibung.

HTH
Bis denne
poly

-      .---.        .----------     /     \  __  /     ------    / /     \(  )/    -----   //////   ' \/ `   ---  //// / // :    : --- // /   /  /`    '--//          //..\\       ====MM====MM====           '//||\\`
bei Antwort benachrichtigen
duke38-uk GÖPFRICH „Firewallmeldungen (Angriffe) anzeigen unter Linux“
Optionen

Hallo zusammen erst einmal möchte ich mich bei euch für eure Tipps
bedanken. Da ich ziehmlich neu im "Linuxland" bin wird die Umsetzung bestimt etwas dauern.

bis denn duke

bei Antwort benachrichtigen