Page 1 of 1
Portsentry
Posted: Tue 1. Sep 2020, 09:02
by hase
Moin,
nutzt von euch jemand Portsentry mit der Blockfunktion?
Ist es sinnvoll Portsentry zu nutzen oder gibt es mehr Probleme als nutzen?
Habe es mal selbst auf einem Testserver einen Tag laufen lassen. Es wurden dabei 8 Angriffe geblockt.
Mich würde eure Meinung bzw. Erfahrung zu Portsentry interessieren und ob es jemand aktiv im Einsatz hat!
Re: Portsentry
Posted: Tue 1. Sep 2020, 23:15
by Daniel
Hallo,
ich habe nur rudimentär Kontakt mit "PortSentry" gehabt.
Es ist eine schöne kleine, leicht zu konfigurierende "very light" Intrusion Detection. Das Hauptaugenmerk liegt hier auf der Erkennung von Portscans und Verbindungen zu Ports welche von PortSentry selbst zur Erkennung belegt werden.
"Damals" gab es noch keine IPv6 Unterstützung. Ich glaube nicht, dass dies nach der Übernahme durch Cisco im Jahre 2002
https://www.cisco.com/c/en/us/support/d ... entry.html noch eingepflegt wurde. Daher wäre die Nutzung auf einem System mit "Dual-Stack" nicht sinnvoll.
Sofern der Installationswunsch parallel auf einem Keyhelp-System ist, wäre dies sicherlich möglich - aber im Zuge der Umstellung auf nftables müsste sicherlich über die Routentabelle des Servers "blackholing" genutzt werden. Es war aber auch möglich die "trigger-Aktion" mit der übergebenen IP-Adresse anzupassen.
Grundlegend hilft dies auch nur um das "Grundrauschen" etwas zu reduzieren, also kann man auch ganz einfach die Default-Policy auf DROP stellen und die benötigten Dienste freigeben. Finden Loginversuche statt, dann erledigt Fail2Ban den Rest. Also kann man auch getrost auf einen weiteren Dienst auf dem System verzichten.