Ole Michaelsen <omic+usenet3@fys.ku.dk> wrote:
[portsentry]
> Det eneste jeg har at udsætte på det er, at man nemt kan bliver offer
> for DOS angreb - de onde kan lokke portsentry til at blokere for vilkårlige
> adresser ved blot at portscanne med falsk afsenderadresse.
Nemlig. Automatiske svar af denne art er farlige og kan relativt let gaa
galt. Alene af den grund vil jeg fraraade brug af portsentry.
De gange jeg er blevet bedt om at evaluere sikkerhed paa en maskine der
koerer noget tilsvarende, forsoeger jeg at forklare hvorfor det er en
daarlig ide. Hvis den ansvarlige ikke lader til at forstaa det, portscanner
jeg maskinen min source adresse sat til deres DNS server. De som ikke
forstaar problemet paa dette tidspunkt er de samme mennesker som stadigt
ikke har en aaben IIS der venter paa en Code Red.
> Det skal man selvfølgelig være klar over, når/hvis man vælge at bruge
> systemet. I nogle tilfælde er det bedre at miste tilgængeligheden
> end det er at miste data/blive cracket/whatever.
Hvis man har lidt fornuft koerer man nyeste versioner af sine services, og
man holder oeje med meldinger paa bugtraq og fra producenten. Hvis der ikke
findes kendte sikkerhedsfejl i det software man koerer udelukker det 98% af
angreb.
Man kan ikke beskytte sig imod onde mennesker der har evnerne til at saette
sig ned og finde sikkerhedsfejl i f.eks. sshd eller apache -- medmindre man
selv har everne og tiden.
Det burde virkeligt ikke spille nogen rolle om man bliver portscannet eller
ej.
> Jeg har kun brugt det eet sted (men der kører det endnu (og jeg har ikke
> længere noget med dette sted at gøre)), og har derfor ikke fulgt med -
> har du et link til noget info om de problemer, med portsentry, du nævner?
Securityfocus lader til at have det haardt nu. Led i bugtraq arkiverne efter
en reference.
> Selvfølgelig er det ikke et IDS - alene. Men mener du, at det, at holde
> øje med connectforsøg, ikke kan give tidlig advarsel/indikation om et
> forsøg på cracking?
Portsentry kan ikke se forskel paa en tastefejl og et indbrudforsoeg. Hvis
du blot vil vide om connect forsoeg kan du saette dine services op til at
logge naar nogen connecter og disconnecter uden at gennemfoere en hel
session. F.eks. kan sendmail og sshd brokke sig gevaldigt i loggen hvis
saadan noget sker.
> Sammen med bl.a. de værktøjer jeg nævnte før: tripwire,
> logcheck, hostsentry, og en årvågen sysadmin, der kender sit system,
> sine processer og sine brugere, mener jeg godt portsentry kan betegnes
> som værende en delpart af et IDS.
Jeg vil ikke hives ud af sengen fordi en af vores medarbejdere for foerste
gang er i Kina og derfor logger ind kl 4 om natten for at laese email.
Jeg vil hives ud af sengen hvis SHA-1 fingerprintet paa /usr/bin/ssh og
/usr/bin/sshd aendrer sig. Jeg vil hives ud af sengen hvis vores DNS server
begynder at hente local root exploits ned fra packetstorm via HTTP.
Istedet for at bruge tid paa portsentry og hostsentry virker det mere
passende at bruge tid paa at faa evnerne til at kunne lave kode reviews paa
det software man installerer.
"I suggest you buy insurance. Lots of it." -- Elias Levy
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow.
http://a.area51.dk/