Nachricht durch Firewall

[chipo]

Hallo Leutz,

habe daheim ein Linux Router. Gibt es eine Möglichkeit, das wenn jemand von aussen versucht auf meine kiste zu kommen, ich meinen Router so Konfigurien kann, das ich in der Hinsicht eine Nachricht bekomme oder mail?

gruesse

chipo

[wildkart]

Was heisst für dich "auf meine kiste kommen"?

Ist ein Portscan für dich ein Angriff? Gezielte Connect-Vesuche zu deinen Diensten? Ein Trojanisches Pferd?

Die Antwort auf deine Frage ist grossteils davon abhängig.

Hier ein paar Möglichkeiten:

1. IDS (Intrusion Detection System)

Dieses System erkennt auffälligeiten im System (zB veränderung bestimmter Dateien, unüblicher Netzwerkverkehr). Ein IDS ist im Prinzip für deine Zwecke überflüssig und überdimensioniert. Wenn du aber Lust am rumspielen hast, kannst du es ja mal ausprobieren.

2. Mitloggen von auffälligen Paketen durch den Packetfilter.

3. Virenscanner gegen Trojanische Pferde (oder am besten gleich etwas besser aufpassen)

Das wären die Mittel die mir so "auf den ersten Blick" einfallen würden.

[chipo]

hallo wildkart,

erzähl mal mehr von dem IDS.

hab mich auch etwas unklar ausgedrückt. natürlich meine ich icht ein portscan. du hast es schon richtig verdeutlicht. Änderungen von datein und potenzielle angriffe halt. Ich habe mir sagen lassen, das es da einen möglichkeit gibt, das man in der hinsicht eine nachricht bzw. mail bekommen kann wenn so etwas passiert.

weisst du da mehr??

gruss

chipo

[*I C Q*]

Hallo chipo,

kenne mich zwar unter Linux nicht so richtig aus, aber starte doch 'nen Daemon, der das Log-File von der Firewall überwacht. Bei einem Sicherheitsrelevanten Eintrag in das Log-File schickst Du Dir 'ne Mail. Nur mal so als Idee.

Hab irgendwo auch schonmal 'nen Sourcecode für sowas ähnliches gefunden, da ging's aber um das Logfile von I4L, sprich, da wollte jemand sich informieren, wenn ein Anruf auf einer bestimmtem MSN reinkommt. Wenn ich's wiederfinde, poste ich es hier.

CU,

Red Bull

[EDIT]

Das mir sowas auch nie Ruhe lässt.

Schau doch mal auf http://www.cert.dfn.de/eng/logsurf/ da findest Du ein Programm, was die Überwachung des Logfiles für Dich übernimmt. Sag Bescheid, ob's geholfen hat.

[/EDIT]

<FONT COLOR="#a62a2a" SIZE="1">[ 22. Dezember 2001 00:58: Beitrag 1 mal editiert, zuletzt von RedBull ]</font>

[chipo]

das wäre super redbull. kannst es mir auch mailen.

oder icq 33025365.

oder tigerag@t-online.de

gruss

chipo

[wildkart]

@chipo

Ein IDS dient der Erkennung von Einbrüchen. Die IDS kennen zB verschiedene Exploits und geben bei deren Ausnutzung Alarm (verhindern diese aber nicht!!). Ein IDS ist also nur ein Monitor, keine Firewall. Ähnlich wie ein Virenscanner muss das IDS ständig aktualisiert werden um wirksam schützen zu können.

Da das Thema sehr umfangreich ist und ich persönlich noch keine Erfahrungen mit IDS's gesammelt hab, gib ich dir lieber eine Linkliste zu FAQs, Howto's usw... Die ist zwar ziemlich umfangreich, aber IMO ist es gerade beim Thema Sicherheit nicht schlecht etwas mehr zu wissen als unbedingt nötig ist.

In der c't 8/2001 ist auf Seite 212 ein gut einführender Artikel zu IDS. Solltest du diese Ausgabe nicht haben (shame on you! ), kannst du dir von Heise für 5,-DM eine Kopie zukommen lassen.

[chipo]

danke wildkart,

werde mich in der Hinsicht mal informieren. ich schreib dann mal ob es funzt hat.

gruss

chipo

[*I C Q*]

<BLOCKQUOTE><font size="1" face="Verdana, Arial, Helvetica, sans-serif">Zitat:</font><HR>Original erstellt von chipo:

<STRONG>das wäre super redbull. kannst es mir auch mailen.

</STRONG>