Moin,
nutzt von euch jemand Portsentry mit der Blockfunktion?
Ist es sinnvoll Portsentry zu nutzen oder gibt es mehr Probleme als nutzen?
Habe es mal selbst auf einem Testserver einen Tag laufen lassen. Es wurden dabei 8 Angriffe geblockt.
Mich würde eure Meinung bzw. Erfahrung zu Portsentry interessieren und ob es jemand aktiv im Einsatz hat!
Portsentry
Portsentry
viele Grüße
Andi
Andi
Re: Portsentry
Hallo,
ich habe nur rudimentär Kontakt mit "PortSentry" gehabt.
Es ist eine schöne kleine, leicht zu konfigurierende "very light" Intrusion Detection. Das Hauptaugenmerk liegt hier auf der Erkennung von Portscans und Verbindungen zu Ports welche von PortSentry selbst zur Erkennung belegt werden.
"Damals" gab es noch keine IPv6 Unterstützung. Ich glaube nicht, dass dies nach der Übernahme durch Cisco im Jahre 2002 https://www.cisco.com/c/en/us/support/d ... entry.html noch eingepflegt wurde. Daher wäre die Nutzung auf einem System mit "Dual-Stack" nicht sinnvoll.
Sofern der Installationswunsch parallel auf einem Keyhelp-System ist, wäre dies sicherlich möglich - aber im Zuge der Umstellung auf nftables müsste sicherlich über die Routentabelle des Servers "blackholing" genutzt werden. Es war aber auch möglich die "trigger-Aktion" mit der übergebenen IP-Adresse anzupassen.
Grundlegend hilft dies auch nur um das "Grundrauschen" etwas zu reduzieren, also kann man auch ganz einfach die Default-Policy auf DROP stellen und die benötigten Dienste freigeben. Finden Loginversuche statt, dann erledigt Fail2Ban den Rest. Also kann man auch getrost auf einen weiteren Dienst auf dem System verzichten.
ich habe nur rudimentär Kontakt mit "PortSentry" gehabt.
Es ist eine schöne kleine, leicht zu konfigurierende "very light" Intrusion Detection. Das Hauptaugenmerk liegt hier auf der Erkennung von Portscans und Verbindungen zu Ports welche von PortSentry selbst zur Erkennung belegt werden.
"Damals" gab es noch keine IPv6 Unterstützung. Ich glaube nicht, dass dies nach der Übernahme durch Cisco im Jahre 2002 https://www.cisco.com/c/en/us/support/d ... entry.html noch eingepflegt wurde. Daher wäre die Nutzung auf einem System mit "Dual-Stack" nicht sinnvoll.
Sofern der Installationswunsch parallel auf einem Keyhelp-System ist, wäre dies sicherlich möglich - aber im Zuge der Umstellung auf nftables müsste sicherlich über die Routentabelle des Servers "blackholing" genutzt werden. Es war aber auch möglich die "trigger-Aktion" mit der übergebenen IP-Adresse anzupassen.
Grundlegend hilft dies auch nur um das "Grundrauschen" etwas zu reduzieren, also kann man auch ganz einfach die Default-Policy auf DROP stellen und die benötigten Dienste freigeben. Finden Loginversuche statt, dann erledigt Fail2Ban den Rest. Also kann man auch getrost auf einen weiteren Dienst auf dem System verzichten.
Mit freundlichen Grüßen / Best regards
Daniel Marckardt
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
https://www.keyweb.de - https://www.keyhelp.de
**************************************************************
Daniel Marckardt
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
https://www.keyweb.de - https://www.keyhelp.de
**************************************************************