debianforum.de

Hallo,

mich würde eure Meinungen dazu interessieren. Macht es Sinn, ein Script zu schreiben, welches alle paar Tage meine im Internet erreichbaren IPv4-Adressen (per nmap) scannt und Alarm schlägt, wenn sich im Output etwas ändert bzw. ein neuer offener Port dazukommt? Normal ist man ja sehr vorsichtig was offene Ports angeht, aber Fehler können trotzdem passieren. Zb. hatte ich kürzlich einen Haken bei der Firewall vergessen, weshalb der SSH-Port längere Zeit nach außen erreichbar war. Nicht weiter kritisch, Debian 11 ist aktuell und die User sind sicher, aber trotzdem, muss ja nicht sein.

Eventuell gibt es ja sowas schon oder blöde Idee? Was denkt ihr?

fail2ban, munin oder icinga melden dir, bei Bedarf, wenn was zu viel wird...
offen Ports kannst du ja auch per netstat "von innen" sehen.....

gruss

Exxter hat geschrieben:

12.05.2022 07:41:14

Was denkt ihr?

Kann man machen, wenn man eine Kiste außerhalb hat, von wo aus man den Scan laufen lässt. Von innen ist’s eher nicht sehr sinnvoll.

Ob man das Heute noch macht weiss ich nicht, aber für dein Vorhaben steht IMO was in der Doku:
https://nmap.org/book/ndiff-man-periodic.html

inne hat geschrieben:

12.05.2022 14:55:22

Ob man das Heute noch macht weiss ich nicht, aber für dein Vorhaben steht IMO was in der Doku:
https://nmap.org/book/ndiff-man-periodic.html

Danke für den Tipp!

niemand hat geschrieben:

12.05.2022 12:51:01

Kann man machen, wenn man eine Kiste außerhalb hat, von wo aus man den Scan laufen lässt. Von innen ist’s eher nicht sehr sinnvoll.

Ja, das ist natürlich Voraussetzung, aber das ist vorhanden

Vielen Dank für eure Antworten und Hinweise!

@Exxter
Ich weiß ja nicht, was du für ein komisches Internet zuhause hast. Aber heutzutage hat man einen DSL-Router, wodurch nur dieser aus dem Internet erreichbar ist. Und dieser sollte erst mal gar nichts von außen zulassen, sondern nur Rückkehrpakete von deinen Anfragen Richtung Internet. Inwieweit dein Provider irgendwelche Zugriffe benötigt weiß ich nicht. Aber du kannst ihm ja mal schreiben. Zudem kann es natürlich sein, dass du gewisse Ports wie z. B. 80/443 in dein Netzwerk z. B. zu einer Nextcloud oder sonstwo hin weiterleitest. Aber dort wartet dann auch nur eine Anwendung (in diesem Fall z. B. Apache2).
Wenn du was machen willst schau ob dein DSL-Router korrekt gepatcht ist. Evtl. macht es auch Sinn einen besseren Router zu kaufen. Dass deine Systeme im Netzwerk angegriffen werden, passiert nur durch eigene Zugriffe wie z. B. Malware. Aber da bist du mit Debian ja auch recht gut aufgestellt. Ok deine Windows-Systeme solltest du vielleicht besser entsorgen.

Ich hatte mal vor 10 oder 20 Jahren einen DSL-Router mit einer Sicherheitslücke (Admin-Seite von außen zugreifbar mit Passwort als Default). Da wurde mir der Router gehackt und der DNS-Eintrag von Wikipedia wurde auf Malwareseiten umgeleitet (für Windows und Android unterschiedliche Seiten). Mein Linux wurde auf die Malware von Windows umgeleitet. Aber ich habe Wine nicht installiert. Android war auch kein Problem, da ich Software aus Fremdquellen (apk-Dateien) bei Android nicht aktiviere. War aber mal interessant zu schauen. Es gab zum Glück ein Workarround. DNS wieder geradebiegen und Admin-Seite nach innen ins Nirvana schicken, da es nicht deaktivierbar war. Einen neuen Router habe ich deswegen natürlich nicht gekauft. Nach ein paar weiteren Jahren gab es dann einen neuen Router.

uname hat geschrieben:

14.05.2022 06:20:08

@Exxter
Ich weiß ja nicht, was du für ein komisches Internet zuhause hast.

Sorry, ich hätte den Verwendungszweck dazuschreiben sollen. Es handelt sich um >15 VM's administriert mit Proxmox, fast alle mit Debian 10/11 die auf dedicated root-Servern laufen, alle mit einer öffentlichen IP.

Ok dann ziehe ich meine Antwort zurück.

Exxter hat geschrieben:

13.05.2022 11:37:37

inne hat geschrieben:

12.05.2022 14:55:22

https://nmap.org/book/ndiff-man-periodic.html

Danke für den Tipp!

Hallo. Hast du mit dem Script dort noch was gemacht?
Mich würde deine Lösung interessieren. U.a. weil das Skript dort z.B. bei jedem Aufruf eine Änderung erkennt, und zwar den Timestamp des Scan. Jedenfalls habe ich das so in Erinnerung. Weswegen ich noch was mit tail -n +3 hinzugefügt habe.