[Wien] Hilfe - Attacke?

[oi01]

Hallo Felix, Hallo Liste,

den Port vom SSHd zu ändern und ihn in einen Bereich >=1024 zu setzen 
hilft schon unheimlich viel, um Angriffe zu verringern. Da sich der 
Service trotzdem noch durch Port Scanner verraten kann, kann ich nur 
jedem ein Port-Knocking (knockd) ans Herz legen.

Bei der richtigen Sequenz an TCP/IP Verbindungsanfragen (SYN) auf 
bestimmten Ports sollte iptable nur diese eine IP und den SSH Port für 
eine bestimmte Zeitspanne zum Verbinden freigeben.  Telnet reicht schon 
aus und ist unter jedem Betriebssystem zu finden, also muss nicht 
unbedingt noch ein zusätzliches Skript geschrieben werden. Es sei denn 
du hast eine Sequenz aus 20 Ports, aber dann ist das schon sehr 
oversized ;-) Nach der eingestellten Zeitspanne schließt sich der Port 
automatisch wieder. Dieser Vorgang ist hilfreich, vor allem wenn du an 
einem öffentlichen Platz bist (Uni, Starbucks, ...), die einen Proxy 
vorgeschalten haben und eine IP von mehreren Rechnern genutzt werden kann.

Dass eine Sequenz aus drei deiner eingestellten Ports in genau der 
Reihenfolge von jemandem erwischt wird und dann genau auf den SSH-Port 
geht, ist so ziemlich unwahrscheinlich. In meinen Logs ist nie wieder 
eine Anmeldung von Dritten aufgetaucht. Das schöne dabei ist, dass man 
bei knockd ein Skript schreiben kann, welches bei der richtigen Sequenz 
ausgeführt wird. Dadurch kann man beispielsweise eine LED oder ein rotes 
Licht zum Leuchten bringen, um zu zeigen, dass jemand den Port geöffnet 
hat. Da fallen dir sicherlich noch weitere nette Spielereien ein ;-)

Lg Jürgen