Sperrt das LRZ Port-Scanner aus dem Internet?
Port-Scans (z.B. SSH-Scans) sind ein weitverbreitetes und auch im MWN tagtäglich beobachtbares Problem. Derzeit ist dieses Problem zentral, d.h. am Internetübergang, nicht zu lösen. Für die Port-Scans sind meist kompromittierte Systeme verantwortlich, die u.U. noch legitime Dienste bereit stellen. Eine zentrale Sperrung verhindert MWN-weit jede weitere Kommunikation mit diesen IP-Adressen, unabhängig davon ob sie legitim ist oder nicht. Die Unterscheidung zwischen legitimem und illegitimem Verkehr lässt sich nicht zuverlässig vornehmen, so dass wir von zentralen Sperren absehen. Allerdings können dezentral, d.h. auf dem Endsystem oder durch eine Instituts-Firewall, Gegenmaßnahmen ergriffen werden. Auf Unix-basierten Systemen gibt es gute Erfahrungen mit Werkzeugen wie fail2ban
oder denyhosts
. Damit können derartige Scan-Aktivitäten automatisiert durch temporäre Sperrung am Endsystem unterbunden werden.