IP's von außen mit nmap überwachen

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Exxter
Beiträge: 383
Registriert: 10.01.2003 00:15:15
Lizenz eigener Beiträge: GNU General Public License

IP's von außen mit nmap überwachen

Beitrag von Exxter » 12.05.2022 07:41:14

Hallo,

mich würde eure Meinungen dazu interessieren. Macht es Sinn, ein Script zu schreiben, welches alle paar Tage meine im Internet erreichbaren IPv4-Adressen (per nmap) scannt und Alarm schlägt, wenn sich im Output etwas ändert bzw. ein neuer offener Port dazukommt? Normal ist man ja sehr vorsichtig was offene Ports angeht, aber Fehler können trotzdem passieren. Zb. hatte ich kürzlich einen Haken bei der Firewall vergessen, weshalb der SSH-Port längere Zeit nach außen erreichbar war. Nicht weiter kritisch, Debian 11 ist aktuell und die User sind sicher, aber trotzdem, muss ja nicht sein.

Eventuell gibt es ja sowas schon oder blöde Idee? Was denkt ihr?

Benutzeravatar
debilian
Beiträge: 1162
Registriert: 21.05.2004 14:03:04
Wohnort: 192.168.43.7
Kontaktdaten:

Re: IP's von außen mit nmap überwachen

Beitrag von debilian » 12.05.2022 12:28:57

fail2ban, munin oder icinga melden dir, bei Bedarf, wenn was zu viel wird...
offen Ports kannst du ja auch per netstat "von innen" sehen.....

gruss
-- nichts bewegt Sie wie ein GNU --

DeletedUserReAsG

Re: IP's von außen mit nmap überwachen

Beitrag von DeletedUserReAsG » 12.05.2022 12:51:01

Exxter hat geschrieben: ↑ zum Beitrag ↑
12.05.2022 07:41:14
Was denkt ihr?
Kann man machen, wenn man eine Kiste außerhalb hat, von wo aus man den Scan laufen lässt. Von innen ist’s eher nicht sehr sinnvoll.

inne
Beiträge: 3273
Registriert: 29.06.2013 17:32:10
Lizenz eigener Beiträge: GNU General Public License
Kontaktdaten:

Re: IP's von außen mit nmap überwachen

Beitrag von inne » 12.05.2022 14:55:22

Ob man das Heute noch macht weiss ich nicht, aber für dein Vorhaben steht IMO was in der Doku:
https://nmap.org/book/ndiff-man-periodic.html

Exxter
Beiträge: 383
Registriert: 10.01.2003 00:15:15
Lizenz eigener Beiträge: GNU General Public License

Re: IP's von außen mit nmap überwachen

Beitrag von Exxter » 13.05.2022 11:37:37

inne hat geschrieben: ↑ zum Beitrag ↑
12.05.2022 14:55:22
Ob man das Heute noch macht weiss ich nicht, aber für dein Vorhaben steht IMO was in der Doku:
https://nmap.org/book/ndiff-man-periodic.html
Danke für den Tipp! :THX:
niemand hat geschrieben: ↑ zum Beitrag ↑
12.05.2022 12:51:01
Kann man machen, wenn man eine Kiste außerhalb hat, von wo aus man den Scan laufen lässt. Von innen ist’s eher nicht sehr sinnvoll.
Ja, das ist natürlich Voraussetzung, aber das ist vorhanden :mrgreen:

Vielen Dank für eure Antworten und Hinweise!

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: IP's von außen mit nmap überwachen

Beitrag von uname » 14.05.2022 06:20:08

@Exxter
Ich weiß ja nicht, was du für ein komisches Internet zuhause hast. Aber heutzutage hat man einen DSL-Router, wodurch nur dieser aus dem Internet erreichbar ist. Und dieser sollte erst mal gar nichts von außen zulassen, sondern nur Rückkehrpakete von deinen Anfragen Richtung Internet. Inwieweit dein Provider irgendwelche Zugriffe benötigt weiß ich nicht. Aber du kannst ihm ja mal schreiben. ;-) Zudem kann es natürlich sein, dass du gewisse Ports wie z. B. 80/443 in dein Netzwerk z. B. zu einer Nextcloud oder sonstwo hin weiterleitest. Aber dort wartet dann auch nur eine Anwendung (in diesem Fall z. B. Apache2).
Wenn du was machen willst schau ob dein DSL-Router korrekt gepatcht ist. Evtl. macht es auch Sinn einen besseren Router zu kaufen. Dass deine Systeme im Netzwerk angegriffen werden, passiert nur durch eigene Zugriffe wie z. B. Malware. Aber da bist du mit Debian ja auch recht gut aufgestellt. Ok deine Windows-Systeme solltest du vielleicht besser entsorgen. ;-)

Ich hatte mal vor 10 oder 20 Jahren einen DSL-Router mit einer Sicherheitslücke (Admin-Seite von außen zugreifbar mit Passwort als Default). Da wurde mir der Router gehackt und der DNS-Eintrag von Wikipedia wurde auf Malwareseiten umgeleitet (für Windows und Android unterschiedliche Seiten). Mein Linux wurde auf die Malware von Windows umgeleitet. Aber ich habe Wine nicht installiert. Android war auch kein Problem, da ich Software aus Fremdquellen (apk-Dateien) bei Android nicht aktiviere. War aber mal interessant zu schauen. Es gab zum Glück ein Workarround. DNS wieder geradebiegen und Admin-Seite nach innen ins Nirvana schicken, da es nicht deaktivierbar war. Einen neuen Router habe ich deswegen natürlich nicht gekauft. Nach ein paar weiteren Jahren gab es dann einen neuen Router.

Exxter
Beiträge: 383
Registriert: 10.01.2003 00:15:15
Lizenz eigener Beiträge: GNU General Public License

Re: IP's von außen mit nmap überwachen

Beitrag von Exxter » 17.05.2022 06:38:23

uname hat geschrieben: ↑ zum Beitrag ↑
14.05.2022 06:20:08
@Exxter
Ich weiß ja nicht, was du für ein komisches Internet zuhause hast.
Sorry, ich hätte den Verwendungszweck dazuschreiben sollen. Es handelt sich um >15 VM's administriert mit Proxmox, fast alle mit Debian 10/11 die auf dedicated root-Servern laufen, alle mit einer öffentlichen IP.

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: IP's von außen mit nmap überwachen

Beitrag von uname » 17.05.2022 16:40:05

Ok dann ziehe ich meine Antwort zurück.

inne
Beiträge: 3273
Registriert: 29.06.2013 17:32:10
Lizenz eigener Beiträge: GNU General Public License
Kontaktdaten:

Re: IP's von außen mit nmap überwachen

Beitrag von inne » 17.06.2022 19:49:48

Exxter hat geschrieben: ↑ zum Beitrag ↑
13.05.2022 11:37:37
inne hat geschrieben: ↑ zum Beitrag ↑
12.05.2022 14:55:22
https://nmap.org/book/ndiff-man-periodic.html
Danke für den Tipp! :THX:
Hallo. Hast du mit dem Script dort noch was gemacht?
Mich würde deine Lösung interessieren. U.a. weil das Skript dort z.B. bei jedem Aufruf eine Änderung erkennt, und zwar den Timestamp des Scan. Jedenfalls habe ich das so in Erinnerung. Weswegen ich noch was mit tail -n +3 hinzugefügt habe.

Antworten