4. portscans loggen?

portscans loggen?

  • L

    Hi Leute 🙂

    Ich habe folgendes Problem: Ich würde gern Portscans die an meinem PC und server durgeführt wurden loggen. Doch ich will nicht das gleich alle kleinen crawler,pings ...
    in den logs landen.

    Hier meine regeln:

    Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere           state ESTABLISHED 
ACCEPT     all  --  anywhere             anywhere           state RELATED 
LOG        all  --  anywhere             anywhere           state NEW LOG level warning prefix `<IPTABLES> '

    Das heisst das nur bereits bestehende Verbindungen durchgelasen werden. Ausserdem
    neue Verbindungen, die von alten ausgehen. Ale Syn Anfragen (neue Verbindungen)
    landen in den logs.

    Nun ist das für einen PC ja ausreichend, was die letzte Regel betrifft.
    Würde ich diese aber bei meinem server, welcher ja Dienste anbietet, anwenden
    würde jede 'normale' Verbindung auch gleich die logdatei fluten. Daher meine Frage: Wie schaffe ich die Portscans zu logen ohne gleichzeitig normale Anfragen zu loggen? Hilft mir da das Modul 'limits' weiter?

    Noch eine Frage nebenbei: wieso interpretiert syslogd die messages nicht als 'authpriv' sondern als 'kern' (obwohl iptables im kernel ja integriert ist)?
    Da landen bei mir alle iptables-logs in /var/log/messages und nicht in /var/log/secure?

    Für eure Antwort wäre ich da sehr dankabr 🙂

    0
  • N

    Hm, das mit dem Portscans mitloggen würde ich mir gut überlegen, ich hab das eine Zeit lang gemacht, und hatte sehr schnell ein paar Hundert Megs an Logfiles beisammen, obwohl ich das ganze auch auf ein paar Scans pro Minute limitiert habe.

    Ich würde darauf also eher verzichten.

    0
  • L

    THX 🙂

    Hi recht haste: als ich heute die Logs anschaute sah ich: Die Längste Logfile der Welt 🙂

    Aber ich meine es muss doch einen Weg geben diese scans irgendwie zu protocolieren (So das sie zb später ein script auswerten kann) ohne die Logs gleich zu fluten.

    Nicht das ich das unbedingt machen möchte, ist aus blosser Neugier

    Gruss

    0
  • N

    Klar, Du kannst natürlich die Log-Einträge limitieren; aber selbst mit "-m limit --limit 6/h --limit-burst 5 -j LOG" müllt einem das den Syslog noch unheimlich zu.
    Wenn Du wirklich viel Sicherheit brauchst, dann richte lieber ein wirklich bombensicheres Gateway inklusive richtig guter IDS ein, das dürfte interessanter sein.

    0
Anmelden zum Antworten