Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 2 subscribers
  • Views 4883 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Correct Anti-Portscan Settings ?

THXEngineer
Over the past week or so, I've seen several "[WARN-856] Portscan detected" notifications.  I wanted to verify that I currently have our Anti-Portscan settings set to the best / correct option.

I'm running UTM 9.308-16 and my current Anti-Portscan setting is set to "Drop Traffic", which sounds like what I'd want to silently drop scan traffic and be in maximum "stealth" mode (ie not respond to the scanner at all and appear as if there's nothing at my IP address).

However, when reading the UTM's built in Help, it describes "Drop Traffic" as:

"Further packets of the portscan will be silently dropped. A port scanner will report these ports as filtered."

I don't want these ports to be reported as "filtered"; I want them to not be reported at all, as if they don't exist.  At least I think that this is what I want [:S]

Is "stealth mode" something that I should be trying to achieve?  I know that this was recommended years ago, but I didn't know if the philosophy has changed.

If "stealth mode" is what I need to achieve, is "Drop Traffic" the correct setting or should I be using "Log Event Only"?

Thanks in advance,

- Ben


This thread was automatically locked due to age.
Parents
  • 0
    This depends on what you want to achieve. Per default UTM doesn´t respond to pings on WAN interface anyway. Setting the mode to drop or reject depends on where the firewall is placed. From my personal  philosophy a firewall used placed as edge/border firewall towards internet I´d set mode to drop, which drops probe requests without any notification (RST) to the sender. In internal networks I´d set it to reject, which terminates the connection, and don´t lead your software doing the probes running into timeout for the connections.

    However - anti portscan (or "stealth mode") helps only against quick syn scans and hides open ports. Any deep scan or direct connection (as a telnet to a specific service port) will open a legitimate connection and bypass any anti PS / stealth technology, as thats the intended behaviour of TCP/IP ;o)

    I still recommend to enable Anti PSD anyway, as it can help a lot to bring down the number of sources / skript kiddies and co. trying to brute force resources you publish as portals, FTP servers etc.
Reply
  • 0
    This depends on what you want to achieve. Per default UTM doesn´t respond to pings on WAN interface anyway. Setting the mode to drop or reject depends on where the firewall is placed. From my personal  philosophy a firewall used placed as edge/border firewall towards internet I´d set mode to drop, which drops probe requests without any notification (RST) to the sender. In internal networks I´d set it to reject, which terminates the connection, and don´t lead your software doing the probes running into timeout for the connections.

    However - anti portscan (or "stealth mode") helps only against quick syn scans and hides open ports. Any deep scan or direct connection (as a telnet to a specific service port) will open a legitimate connection and bypass any anti PS / stealth technology, as thats the intended behaviour of TCP/IP ;o)

    I still recommend to enable Anti PSD anyway, as it can help a lot to bring down the number of sources / skript kiddies and co. trying to brute force resources you publish as portals, FTP servers etc.
Children
No Data