Over het algemeen zijn deze scans niet goedaardig. Meestal is er iemand op zoek naar lekken in je router, in openstaande services, enzovoort. Scans zijn er in vele soorten en maten. De portscan komt het meeste voor. Daarbij wordt er aan alle poorten gerammeld om te kijken of er niet iets openstaat. Andere scans proberen specifieke services aan te vallen, zoals secure shell (SSH), POP3 of HTTP.

Tegen deze scans is gelukkig wel wat te doen. Tegen portscans kan je werken met tarpitting, waarbij je antwoorden met vertraging stuurt. Voor degene die een scan doet wordt het uitvoeren ervan zo onaantrekkelijker, omdat het te veel tijd En ook voor criminelen is tijd geld.

SSH brute force

Een ander veel voorkomende scan is de SSH brute force scan, waarmee eindeloos gebruikersnaam/wachtwoord-combinaties worden geprobeerd, om te kijken of het mogelijk is om toegang tot een server te krijgen. Een eerste goede maatregel tegen deze scans is om zo weinig mogelijk logins op een server te hebben en deze alleen toe te staan met keys in plaats van logins.

Maar dat helpt weinig tegen de scans zelf, ook al zijn ze niet effectief. Een methode die sommige systeembeheerders gebruiken is om na een aantal mislukte pogingen het IP-adres van de scanner in de firewall te blokkeren. Standaardoplossingen voor unix-achtige systemen zijn authfail en fail2ban. Sommige beheerders laten het IP-adres slechts tijdelijk niet toe, maar zelf zijn we daar wat harder in: eenmaal in de shitlist terechtgekomen blijf je erin. Als je er vanaf wilt, dan bel je maar om je excuses aan te bieden.

Http-scans

De derde categorie van scans die we veel zien zijn http-scans, waarbij gehoopt wordt dat er nog software draait die niet gepatcht is en waarmee een server overgenomen kan worden. Al vele jaren zien we scans langskomen voor phpBB, allerlei Windows exploits (terwijl onze servers niet op Windows draaien) en recentelijk veel scans voor Roundcube webmail. Een effectieve methode hiertegen is om mod_security van Apache te nemen, waarmee je voor het web kan whitelisten en blacklisten.

Het opzetten is niet altijd een pretje, omdat je goed moet nadenken over wat je wel/niet moet toestaan/buitensluiten. Bovendien kan het zijn dat je webapplicaties iets minder schalen. Maar dat beetje minder performance wordt meer dan goedgemaakt door het feit dat je niet meer allemaal loze verzoeken hoeft af te handelen.

Bron: Techworld