Netzwerk-Listener (sec-network)
Überwacht offene Netzwerk-Ports und meldet Listener, die nicht in der Whitelist stehen. Erkennt unerwartete Dienste, die auf eingehende Verbindungen warten.
Konfiguration
| Parameter | Typ | Default | Beschreibung |
|---|
enabled | bool | true | Modul aktivieren/deaktivieren |
allowed_listeners | list | ["22/tcp"] | Erlaubte Listener im Format port/proto |
unexpected_listener_severity | int | 1 | Severity für unerwartete Listener (1=Warnung, 2=Fehler) |
ignore_loopback | bool | true | Loopback-Adressen (127.0.0.1) ignorieren |
ignore_docker | bool | true | Docker-Netzwerke ignorieren |
YAML-Beispiel
sec_network:
enabled: true
allowed_listeners:
- "22/tcp"
- "443/tcp"
- "80/tcp"
unexpected_listener_severity: 2
ignore_loopback: true
ignore_docker: true
Diagnose-Codes
| Code | Severity | Bedeutung | Empfehlung |
|---|
| 5002 | 1–2 | Unerwarteter Netzwerk-Listener gefunden | Dienst identifizieren, ggf. stoppen oder zur Whitelist hinzufügen |
- Linux: Nutzt
ss zur Ermittlung offener Ports.
- Windows: Nutzt
netstat oder PowerShell-Cmdlets.