IP's von außen mit nmap überwachen

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Exxter
Beiträge: 351
Registriert: 10.01.2003 00:15:15
Lizenz eigener Beiträge: GNU General Public License

IP's von außen mit nmap überwachen

Beitrag von Exxter » 12.05.2022 07:41:14

Hallo,

mich würde eure Meinungen dazu interessieren. Macht es Sinn, ein Script zu schreiben, welches alle paar Tage meine im Internet erreichbaren IPv4-Adressen (per nmap) scannt und Alarm schlägt, wenn sich im Output etwas ändert bzw. ein neuer offener Port dazukommt? Normal ist man ja sehr vorsichtig was offene Ports angeht, aber Fehler können trotzdem passieren. Zb. hatte ich kürzlich einen Haken bei der Firewall vergessen, weshalb der SSH-Port längere Zeit nach außen erreichbar war. Nicht weiter kritisch, Debian 11 ist aktuell und die User sind sicher, aber trotzdem, muss ja nicht sein.

Eventuell gibt es ja sowas schon oder blöde Idee? Was denkt ihr?

Benutzeravatar
debilian
Beiträge: 306
Registriert: 21.05.2004 14:03:04
Kontaktdaten:

Re: IP's von außen mit nmap überwachen

Beitrag von debilian » 12.05.2022 12:28:57

fail2ban, munin oder icinga melden dir, bei Bedarf, wenn was zu viel wird...
offen Ports kannst du ja auch per netstat "von innen" sehen.....

gruss
-- nicht bewegt Sie wie ein GNU --

Benutzeravatar
niemand
Beiträge: 15833
Registriert: 18.07.2004 16:43:29

Re: IP's von außen mit nmap überwachen

Beitrag von niemand » 12.05.2022 12:51:01

Exxter hat geschrieben: ↑ zum Beitrag ↑
12.05.2022 07:41:14
Was denkt ihr?
Kann man machen, wenn man eine Kiste außerhalb hat, von wo aus man den Scan laufen lässt. Von innen ist’s eher nicht sehr sinnvoll.
„The wise man doesn't give the right answers, he poses the right questions.“ (C. Levi-Strauss – gefunden im Manual des Apachen)

non serviam.

inne
Beiträge: 3018
Registriert: 29.06.2013 17:32:10
Lizenz eigener Beiträge: GNU General Public License
Kontaktdaten:

Re: IP's von außen mit nmap überwachen

Beitrag von inne » 12.05.2022 14:55:22

Ob man das Heute noch macht weiss ich nicht, aber für dein Vorhaben steht IMO was in der Doku:
https://nmap.org/book/ndiff-man-periodic.html

Exxter
Beiträge: 351
Registriert: 10.01.2003 00:15:15
Lizenz eigener Beiträge: GNU General Public License

Re: IP's von außen mit nmap überwachen

Beitrag von Exxter » 13.05.2022 11:37:37

inne hat geschrieben: ↑ zum Beitrag ↑
12.05.2022 14:55:22
Ob man das Heute noch macht weiss ich nicht, aber für dein Vorhaben steht IMO was in der Doku:
https://nmap.org/book/ndiff-man-periodic.html
Danke für den Tipp! :THX:
niemand hat geschrieben: ↑ zum Beitrag ↑
12.05.2022 12:51:01
Kann man machen, wenn man eine Kiste außerhalb hat, von wo aus man den Scan laufen lässt. Von innen ist’s eher nicht sehr sinnvoll.
Ja, das ist natürlich Voraussetzung, aber das ist vorhanden :mrgreen:

Vielen Dank für eure Antworten und Hinweise!

uname
Beiträge: 10690
Registriert: 03.06.2008 09:33:02

Re: IP's von außen mit nmap überwachen

Beitrag von uname » 14.05.2022 06:20:08

@Exxter
Ich weiß ja nicht, was du für ein komisches Internet zuhause hast. Aber heutzutage hat man einen DSL-Router, wodurch nur dieser aus dem Internet erreichbar ist. Und dieser sollte erst mal gar nichts von außen zulassen, sondern nur Rückkehrpakete von deinen Anfragen Richtung Internet. Inwieweit dein Provider irgendwelche Zugriffe benötigt weiß ich nicht. Aber du kannst ihm ja mal schreiben. ;-) Zudem kann es natürlich sein, dass du gewisse Ports wie z. B. 80/443 in dein Netzwerk z. B. zu einer Nextcloud oder sonstwo hin weiterleitest. Aber dort wartet dann auch nur eine Anwendung (in diesem Fall z. B. Apache2).
Wenn du was machen willst schau ob dein DSL-Router korrekt gepatcht ist. Evtl. macht es auch Sinn einen besseren Router zu kaufen. Dass deine Systeme im Netzwerk angegriffen werden, passiert nur durch eigene Zugriffe wie z. B. Malware. Aber da bist du mit Debian ja auch recht gut aufgestellt. Ok deine Windows-Systeme solltest du vielleicht besser entsorgen. ;-)

Ich hatte mal vor 10 oder 20 Jahren einen DSL-Router mit einer Sicherheitslücke (Admin-Seite von außen zugreifbar mit Passwort als Default). Da wurde mir der Router gehackt und der DNS-Eintrag von Wikipedia wurde auf Malwareseiten umgeleitet (für Windows und Android unterschiedliche Seiten). Mein Linux wurde auf die Malware von Windows umgeleitet. Aber ich habe Wine nicht installiert. Android war auch kein Problem, da ich Software aus Fremdquellen (apk-Dateien) bei Android nicht aktiviere. War aber mal interessant zu schauen. Es gab zum Glück ein Workarround. DNS wieder geradebiegen und Admin-Seite nach innen ins Nirvana schicken, da es nicht deaktivierbar war. Einen neuen Router habe ich deswegen natürlich nicht gekauft. Nach ein paar weiteren Jahren gab es dann einen neuen Router.

Exxter
Beiträge: 351
Registriert: 10.01.2003 00:15:15
Lizenz eigener Beiträge: GNU General Public License

Re: IP's von außen mit nmap überwachen

Beitrag von Exxter » 17.05.2022 06:38:23

uname hat geschrieben: ↑ zum Beitrag ↑
14.05.2022 06:20:08
@Exxter
Ich weiß ja nicht, was du für ein komisches Internet zuhause hast.
Sorry, ich hätte den Verwendungszweck dazuschreiben sollen. Es handelt sich um >15 VM's administriert mit Proxmox, fast alle mit Debian 10/11 die auf dedicated root-Servern laufen, alle mit einer öffentlichen IP.

uname
Beiträge: 10690
Registriert: 03.06.2008 09:33:02

Re: IP's von außen mit nmap überwachen

Beitrag von uname » 17.05.2022 16:40:05

Ok dann ziehe ich meine Antwort zurück.

Antworten