asl 3.050 and portscan detection

Hello,

there is no clear boundary between common network activity and port scanning. Because of it there will be "false alarms" sometimes. To be sure about it, network administrator have to interprete portscan logs.

Greetings,
--
Dennis

[ 07 May 2002: Message edited by: Dennis Koslowski ]

well,
if someone is asking access on just one (or two) special ports on all ip-aliases directly following each other,
i think it is pretty clear ...
this source ip should (optionally) be banned for further access on all ports (maybe for special time).
so it would make sure, if someone does scanning, he will be banned for a day or so.
this way he might not reach an open port, which possibly is not totally secure.

maybe a feature for future?

kind regards, christian

(and of course i don't want to have false alarms to be banned ;-)

well,
if someone is asking access on just one (or two) special ports on all ip-aliases directly following each other,
i think it is pretty clear ...
this source ip should (optionally) be banned for further access on all ports (maybe for special time).
so it would make sure, if someone does scanning, he will be banned for a day or so.
this way he might not reach an open port, which possibly is not totally secure.

maybe a feature for future?

kind regards, christian

(and of course i don't want to have false alarms to be banned ;-)