IP's von außen mit nmap überwachen
-
- Beiträge: 383
- Registriert: 10.01.2003 00:15:15
- Lizenz eigener Beiträge: GNU General Public License
IP's von außen mit nmap überwachen
Hallo,
mich würde eure Meinungen dazu interessieren. Macht es Sinn, ein Script zu schreiben, welches alle paar Tage meine im Internet erreichbaren IPv4-Adressen (per nmap) scannt und Alarm schlägt, wenn sich im Output etwas ändert bzw. ein neuer offener Port dazukommt? Normal ist man ja sehr vorsichtig was offene Ports angeht, aber Fehler können trotzdem passieren. Zb. hatte ich kürzlich einen Haken bei der Firewall vergessen, weshalb der SSH-Port längere Zeit nach außen erreichbar war. Nicht weiter kritisch, Debian 11 ist aktuell und die User sind sicher, aber trotzdem, muss ja nicht sein.
Eventuell gibt es ja sowas schon oder blöde Idee? Was denkt ihr?
mich würde eure Meinungen dazu interessieren. Macht es Sinn, ein Script zu schreiben, welches alle paar Tage meine im Internet erreichbaren IPv4-Adressen (per nmap) scannt und Alarm schlägt, wenn sich im Output etwas ändert bzw. ein neuer offener Port dazukommt? Normal ist man ja sehr vorsichtig was offene Ports angeht, aber Fehler können trotzdem passieren. Zb. hatte ich kürzlich einen Haken bei der Firewall vergessen, weshalb der SSH-Port längere Zeit nach außen erreichbar war. Nicht weiter kritisch, Debian 11 ist aktuell und die User sind sicher, aber trotzdem, muss ja nicht sein.
Eventuell gibt es ja sowas schon oder blöde Idee? Was denkt ihr?
Re: IP's von außen mit nmap überwachen
fail2ban, munin oder icinga melden dir, bei Bedarf, wenn was zu viel wird...
offen Ports kannst du ja auch per netstat "von innen" sehen.....
gruss
offen Ports kannst du ja auch per netstat "von innen" sehen.....
gruss
-- nichts bewegt Sie wie ein GNU --
Re: IP's von außen mit nmap überwachen
Kann man machen, wenn man eine Kiste außerhalb hat, von wo aus man den Scan laufen lässt. Von innen ist’s eher nicht sehr sinnvoll.
-
- Beiträge: 3273
- Registriert: 29.06.2013 17:32:10
- Lizenz eigener Beiträge: GNU General Public License
-
Kontaktdaten:
Re: IP's von außen mit nmap überwachen
Ob man das Heute noch macht weiss ich nicht, aber für dein Vorhaben steht IMO was in der Doku:
https://nmap.org/book/ndiff-man-periodic.html
https://nmap.org/book/ndiff-man-periodic.html
(=_=)
Unsere neue Mutter: https://www.nvidia.com/de-de/data-center/a100/
Unsere neue Mutter: https://www.nvidia.com/de-de/data-center/a100/
-
- Beiträge: 383
- Registriert: 10.01.2003 00:15:15
- Lizenz eigener Beiträge: GNU General Public License
Re: IP's von außen mit nmap überwachen
Danke für den Tipp!inne hat geschrieben:12.05.2022 14:55:22Ob man das Heute noch macht weiss ich nicht, aber für dein Vorhaben steht IMO was in der Doku:
https://nmap.org/book/ndiff-man-periodic.html
Ja, das ist natürlich Voraussetzung, aber das ist vorhandenniemand hat geschrieben:12.05.2022 12:51:01Kann man machen, wenn man eine Kiste außerhalb hat, von wo aus man den Scan laufen lässt. Von innen ist’s eher nicht sehr sinnvoll.
Vielen Dank für eure Antworten und Hinweise!
Re: IP's von außen mit nmap überwachen
@Exxter
Ich weiß ja nicht, was du für ein komisches Internet zuhause hast. Aber heutzutage hat man einen DSL-Router, wodurch nur dieser aus dem Internet erreichbar ist. Und dieser sollte erst mal gar nichts von außen zulassen, sondern nur Rückkehrpakete von deinen Anfragen Richtung Internet. Inwieweit dein Provider irgendwelche Zugriffe benötigt weiß ich nicht. Aber du kannst ihm ja mal schreiben. Zudem kann es natürlich sein, dass du gewisse Ports wie z. B. 80/443 in dein Netzwerk z. B. zu einer Nextcloud oder sonstwo hin weiterleitest. Aber dort wartet dann auch nur eine Anwendung (in diesem Fall z. B. Apache2).
Wenn du was machen willst schau ob dein DSL-Router korrekt gepatcht ist. Evtl. macht es auch Sinn einen besseren Router zu kaufen. Dass deine Systeme im Netzwerk angegriffen werden, passiert nur durch eigene Zugriffe wie z. B. Malware. Aber da bist du mit Debian ja auch recht gut aufgestellt. Ok deine Windows-Systeme solltest du vielleicht besser entsorgen.
Ich hatte mal vor 10 oder 20 Jahren einen DSL-Router mit einer Sicherheitslücke (Admin-Seite von außen zugreifbar mit Passwort als Default). Da wurde mir der Router gehackt und der DNS-Eintrag von Wikipedia wurde auf Malwareseiten umgeleitet (für Windows und Android unterschiedliche Seiten). Mein Linux wurde auf die Malware von Windows umgeleitet. Aber ich habe Wine nicht installiert. Android war auch kein Problem, da ich Software aus Fremdquellen (apk-Dateien) bei Android nicht aktiviere. War aber mal interessant zu schauen. Es gab zum Glück ein Workarround. DNS wieder geradebiegen und Admin-Seite nach innen ins Nirvana schicken, da es nicht deaktivierbar war. Einen neuen Router habe ich deswegen natürlich nicht gekauft. Nach ein paar weiteren Jahren gab es dann einen neuen Router.
Ich weiß ja nicht, was du für ein komisches Internet zuhause hast. Aber heutzutage hat man einen DSL-Router, wodurch nur dieser aus dem Internet erreichbar ist. Und dieser sollte erst mal gar nichts von außen zulassen, sondern nur Rückkehrpakete von deinen Anfragen Richtung Internet. Inwieweit dein Provider irgendwelche Zugriffe benötigt weiß ich nicht. Aber du kannst ihm ja mal schreiben. Zudem kann es natürlich sein, dass du gewisse Ports wie z. B. 80/443 in dein Netzwerk z. B. zu einer Nextcloud oder sonstwo hin weiterleitest. Aber dort wartet dann auch nur eine Anwendung (in diesem Fall z. B. Apache2).
Wenn du was machen willst schau ob dein DSL-Router korrekt gepatcht ist. Evtl. macht es auch Sinn einen besseren Router zu kaufen. Dass deine Systeme im Netzwerk angegriffen werden, passiert nur durch eigene Zugriffe wie z. B. Malware. Aber da bist du mit Debian ja auch recht gut aufgestellt. Ok deine Windows-Systeme solltest du vielleicht besser entsorgen.
Ich hatte mal vor 10 oder 20 Jahren einen DSL-Router mit einer Sicherheitslücke (Admin-Seite von außen zugreifbar mit Passwort als Default). Da wurde mir der Router gehackt und der DNS-Eintrag von Wikipedia wurde auf Malwareseiten umgeleitet (für Windows und Android unterschiedliche Seiten). Mein Linux wurde auf die Malware von Windows umgeleitet. Aber ich habe Wine nicht installiert. Android war auch kein Problem, da ich Software aus Fremdquellen (apk-Dateien) bei Android nicht aktiviere. War aber mal interessant zu schauen. Es gab zum Glück ein Workarround. DNS wieder geradebiegen und Admin-Seite nach innen ins Nirvana schicken, da es nicht deaktivierbar war. Einen neuen Router habe ich deswegen natürlich nicht gekauft. Nach ein paar weiteren Jahren gab es dann einen neuen Router.
-
- Beiträge: 383
- Registriert: 10.01.2003 00:15:15
- Lizenz eigener Beiträge: GNU General Public License
Re: IP's von außen mit nmap überwachen
Sorry, ich hätte den Verwendungszweck dazuschreiben sollen. Es handelt sich um >15 VM's administriert mit Proxmox, fast alle mit Debian 10/11 die auf dedicated root-Servern laufen, alle mit einer öffentlichen IP.uname hat geschrieben:14.05.2022 06:20:08@Exxter
Ich weiß ja nicht, was du für ein komisches Internet zuhause hast.
Re: IP's von außen mit nmap überwachen
Ok dann ziehe ich meine Antwort zurück.
-
- Beiträge: 3273
- Registriert: 29.06.2013 17:32:10
- Lizenz eigener Beiträge: GNU General Public License
-
Kontaktdaten:
Re: IP's von außen mit nmap überwachen
Hallo. Hast du mit dem Script dort noch was gemacht?
Mich würde deine Lösung interessieren. U.a. weil das Skript dort z.B. bei jedem Aufruf eine Änderung erkennt, und zwar den Timestamp des Scan. Jedenfalls habe ich das so in Erinnerung. Weswegen ich noch was mit tail -n +3 hinzugefügt habe.
(=_=)
Unsere neue Mutter: https://www.nvidia.com/de-de/data-center/a100/
Unsere neue Mutter: https://www.nvidia.com/de-de/data-center/a100/