[HaBo]

HighTower

Anzeige

Hi hab da mal ne frage öhm wie kann man das scannen eines pc abwehren ? oder was kann man dagegen tun das dies nicht glückt !?

( kein Scanner gemeint )

Frosty

Du solltest mal Kaspersky Anti-Hacker ausprobieren soweit ich weis gibt es da eine Anti-Portscan funktion. Das erkennt schnell hintereinander connectende PCs, zu denen dannach jede weitere Verbindung unterbrochen wird. Das ganze kann man einstellen wie lang und ab wieviel Portscanns.

Bin mir aber nicht ganz sicher, aber ich meine soetwas in den Einstellungen gesehen zu haben.

junglehell

Es gab mal ein interessantes Projekt namens Tar Pit. Da wurden die Synchronisationsanfragen der Scans "nicht wieder freigegeben" (vereinfacht ausgedrückt). Dadurch sollte die Verbreitung von Viren und Würmern verlangsamt werden. >click<

Ansonsten muss man sich vor einem Scan nicht fürchten . Lass sie doch Scannen was das Zeug hält. Du musst Dir nur sicher sein, dass Deine Firewall bzw. der Router richtig konfiguriert ist und die freigegebenen Dienste sauber konfiguriert bzw. gepatcht sind. Ausserdem kannst du icmp Requests an der Firewall verwerfen. Das bringt allerdings nur bedingt was.
Für die ganz paranoiden (zu denen ich mich auch zähle) gibs ja noch die Möglichkeit sein Netz mit einem IDS zu überwachen...

HighTower

was ist IDS bitte merh stoff ;-)

hab eigentlich alles dicht
troztdem möchte ich das so ein scan fehl schlägt auch bei meiner echten ip ! is das zu verwirklichen ??

junglehell

IDS=Intrusion Detection System

Du wirst, sofern Du Dienste anbietest, nicht verhindern können, dass ein Scan sie auch entdeckt.
Du kannst aber die Angreifer verwirren indem Du zB Honigdämonen einsetzt. *g*
Wenn Du keine Dienste anbietest wird ein Scan logischerweise auch keine finden .

Zirias

Grundsätzlich kann Scans nicht "verhindern", da Scans eben auch nur Netzwerkanfragen stellen, und die will man ja beantworten. Andernfalls kann man offline gehen.

Es gibt aber sehr wohl Möglichkeiten, den Scannern die "Freude" an der Sache zu nehmen.

1. Ping nicht beantworten bzw falls man diese Diagnosemöglichkeit braucht nur beantworten, wenn die Pings von bestimmten Adressen kommen:
Viele Scanner, die ganze IP-Ranges scannen, pingen vorher, um herauszufinden, ob auf dieser IP überhaupt ein Rechner ist.

2. RST-Pakete nach draußen unterdrücken. RST wird gesendet, wenn ein Verbindungsaufbau abgelehnt wird, das ist der Fall wenn auf einem Port kein prozess listen()t. Unterdrückt man RST-Pakete, so muss ein Client bei einer Anfrage an einen nicht existenten Port bis zum Timeout warten, dadurch werden Scans extrem lahm.
3. Sequentielle Anfragen an ports erkennen und die Quellip dann dynamisch bannen. Jeder Scanner, der Ports der Reihe nach abfragt, wird davon erkannt und "ausgeschaltet". Dazu habe ich leider kein iptables-Beispiel.

Die Beispiele gehen davon aus, dass das Netzwerkinterface ins Internet "ppp0" heißt, das ist wohl bei den meisten Dialup-Verbindungen der Fall.

Greets, Ziri

Analyst

Du kannst eine Firewall, z.B. unter Linux mit iptables, so einstellen, dass Dein Rechner auf einen Ping nicht antwortet, oder nur auf eine bestimmte Anzahl von Pings pro Sekunde/Minute antwortet. Diese Einstellung ist z.B. auch sehr wichtig für Volumen begrenzte Internetzugänge, denn so entsteht kein Trafic.
Unter Linux kannst Du das z.B. wie folgt einstellen (nur auf 6 Pings pro Minute wird geantwortet).

iptables -A INPUT -p icmp -i eth1 --limit 6/min --limit-burst 5 -j ACCEPT

oder gar verbieten bzw. antworte nicht auf einen Ping

iptables -A INPUT -p icmp -i eth1 -j DROP

Solche Einstellungen muss es auch bei einer Windows-Firewall geben.

Peter

Elderan

Hallo,
also eigentlich sollte eine Desktop Firewall schon reichen.

Dort sollte man evt. ICMP Echo (Ping) blocken, und die Firewall unterbindet standardmäßig Verbindungsanfragen von außen.

Und genau das macht ein Portscanner. Er versucht sich über den Port xx mit deinem PC zu verbinden, wenn er ein OK als Antwort bekommt, ist der Port offen, sonst ist er geschlossen (vereinfacht dargestellt).

HighTower

Wo lässt sich das einstellen in windows XP ?

Zirias

Das ist leider Mist, denn das blockt ICMP komplett, was dann zu hässlichen Seiteneffekten führt. Z.B. können Benutzer von DSL-Routern nicht mehr auf einen so konfigurierten Host zugreifen, wenn sie nicht entweder ihre MSS runtersetzen oder der Router automatisch alle Pakete neu verpackt (MSS-Clamping, können leider auch einige Hardware-Router nicht), denn eine automatische Erkennung dieses Problems funktioniert nur mit ICMP.

Weiter oben habe ich gepostet, wie es richtig geht (nur icmp-echo-reply blocken, eventuell zu Diagnosezwecken auch noch einzelne Rechner erlauben)

Greets, Ziri

HighTower

wo schalte ich den ab ? hab die FW F-secure hab da was zwar gefunden lässt sich aber nicht bearbeiten gibs da irgenwo ne einstellung bei win xp ???

Internet Control Message Protokoll = ICMP
oder ICMP most common control message

Elderan

Naja ich meinte jetzt nicht unbedingt die Firewall von XP, sondern allgemein eine D-Firewall, z.B. Zonealarm, Sygate, Norten Firewall etc..

Da gibts dann meistens ein Extra Menü: Fortgeschrittene Regeln

HighTower

i[/quote]

wo schalte ich den ab ? hab die FW F-secure hab da was zwar gefunden lässt sich aber nicht bearbeiten gibs da irgenwo ne einstellung bei win xp ???

[/quote]

Ph0eNiX

@HighTower

das kannst du unter Windows XP nicht einstellen. Das ist für Linux.

Wie es bei der Desktop-Firewall F-Secure aussieht, weiss ich nicht....

cya Ph0eNiX

HighTower

das ist ja so als wäre man gezwungen solch eine sicherheits lücke zu haben ? zu gunsten Windows Admins ? oder andere ?

hmmm