port SCAN

[daxdaxdax]

Ciao a tutti ragazzi,
è da un po che sono soggetto a sempre più frequenti portscan al mio ip... me ne accorgo dal continuo monitoraggio del syslog a me trasmesso dal router adsl. Non so se posso scrivere nel forum l'ip che effettua il portscan, ma non so quanto possa essere utile... Come comportarmi?

[Harry_Callahan]

lo puoi segnalare come abuse all'ISP di quell'IP. Prova a cercare su www.ripe.net(o simili) l'email di abuse di quell'utente e poi lo segnali come port scanner. Di più non puoi fare, in ogni caso sei protetto dai Firewall del router

[nuovoUtente86]

a volte si tratta di azioni lecite operate dal tuo provider. In ogni caso il port scan muore sul tuo ip pubblico, non hai nulla da temere.

[daxdaxdax]

Nulla di rischioso? ok...
Dato che in seguito al portscan, sempre dal syslog, ho visto numerosi utilizzi di una delle regole che ho creato che reindirizzava proprio al mio pc (spento)... ho provveduto a disabilitare tutte le NAT create non sapendo quali rischi possono subentrare..

[nuovoUtente86]

il rischio è legato unicamente alle vulnerabilità dell' applicativo in ascolto sulla porta in forward

[tcp/ip]

Quote:

Originariamente inviato da daxdaxdax

Ciao a tutti ragazzi,
è da un po che sono soggetto a sempre più frequenti portscan al mio ip... me ne accorgo dal continuo monitoraggio del syslog a me trasmesso dal router adsl. Non so se posso scrivere nel forum l'ip che effettua il portscan, ma non so quanto possa essere utile... Come comportarmi?

Per il port scan i giuristi ed i giudici sono divisi. Per alcuni effettuare il port scan non è a tutti gli effetti una intrusione, mentre per altri si.
Ipotizziamo il caso di un malvivente che decide di perpetrare un furto in una casa. Per controllare se c'è gente in casa suona il campanello. Il reato è stato commesso?. Ecco alcuni giuduci e giuristi affermano che effettuare il port scan è come suonare il campanello, mentre altri lo considerano violazione del sistema informatico.

[daxdaxdax]

Interessante punto di vista, a cui non avevo pensato...
Si, di fatto, non è una violazione del mio sistema in effetti, però potrebbe diventarlo.

Tirando le somme, deduco di dover aumentare la sicurezza della rete, configurando meglio firewall dei miei client e quant'altro...
Non sono completamente sicuro della sua esattezza, ma avrei ricavato l'indirizzo fisico di questo "amico", sarà possibile dire al router di bloccarlo?

[tcp/ip]

Quote:

Originariamente inviato da daxdaxdax

Interessante punto di vista, a cui non avevo pensato...
Si, di fatto, non è una violazione del mio sistema in effetti, però potrebbe diventarlo.

Tirando le somme, deduco di dover aumentare la sicurezza della rete, configurando meglio firewall dei miei client e quant'altro...
Non sono completamente sicuro della sua esattezza, ma avrei ricavato l'indirizzo fisico di questo "amico", sarà possibile dire al router di bloccarlo?

Più che il firewall dei client io agirei sul router, oppure gli fai una maccchina specchietto per le allodole, così riesci a monitorarlo anche meglio. La macchina specchietto per le allodole sarebbe una macchina senza niente solo S.O. e robbetta inutile a cui senz'altro sara' tentato di collegarsi

[nuovoUtente86]

Quote:

ma avrei ricavato l'indirizzo fisico di questo "amico"

l' indirizzo fisico ovvero l' indirizzo datalink ha visibilità locale e quindi non hai potuto ricavarlo.

[Teo@Unix]

Quote:

Dato che in seguito al portscan, sempre dal syslog, ho visto numerosi utilizzi di una delle regole che ho creato che reindirizzava proprio al mio pc (spento)... ho provveduto a disabilitare tutte le NAT create non sapendo quali rischi possono subentrare..

il port scan è come tutte le altre connessioni lecite, solo che non posegue oltre la negoziazione una volta ricevuti gli ack. Quindi è normale trovarti dei log riguardo l'attività NAT, in quanto questa "forwarda" i pacchetti sul tuo pc interno alla rete.

A seconda della natura dell'applicativo tieni d'occhio i log per vedere se i tentativi si limitano alla semplice connessione o ad un tentativo di autenticazione. Solitamente le informazioni di autenticazione vengono inoltrate solo dopo la connessione.
E' possibile trovare molteplici tentativi di accesso con credednziali tipo "administrator" o "unanymous"...sempre a seconda del tipo di applicativo.... nel caso tieni monitorata questa attività.
Anche se, solitamente non si va oltre a dei tentativi, se ritieni che la cosa sia frequente e sistematica, prova ad interessarti su come possa essere configurato un "honeypot".