[Rozw.]Zapezpieczenie przed skanowaniem portów

Serwery i sieci oparte na Slackware, wszelkiego rodzaju usługi, troubleshooting.

Moderatorzy: Moderatorzy, Administratorzy

gothye
Użytkownik
Posty: 60
Rejestracja: 2007-02-17, 12:36
Lokalizacja: Płock

[Rozw.]Zapezpieczenie przed skanowaniem portów

Post autor: gothye »

Jak zabezpieczyć system przed skanowaniem portów przez np. nmap itp.?

dodam ze regułki w firewall :

Kod: Zaznacz cały

iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j DROP 
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j DROP 
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH 
-j DROP 
iptables -A INPUT -m conntrack --ctstate INVALID -p tcp --tcp-flags ! SYN,RST,ACK,FIN,PSH,URG SYN,RS 
T,ACK,FIN,PSH,URG -j DROP
nic niedają ,nmap nadal pokazuje porty dostępne z serwera

cel:

całkowite ukrycie serwera w sieci ( ping wyłaczyłem )

pytanie nr.2

jak nałożyć patch psd na kernel 2.6.xx ??
Ostatnio zmieniony 2007-10-25, 21:32 przez gothye, łącznie zmieniany 2 razy.
Awatar użytkownika
myuser
Użytkownik
Posty: 442
Rejestracja: 2006-02-09, 17:44
Lokalizacja: Warszawa
Kontakt:

Re: [Rozw.]Zapezpieczenie przed skanowaniem portów

Post autor: myuser »

gothye
Użytkownik
Posty: 60
Rejestracja: 2007-02-17, 12:36
Lokalizacja: Płock

Re: [Rozw.]Zapezpieczenie przed skanowaniem portów

Post autor: gothye »

znam pakiet ,ale nieche banować userów ,( mozę to wzbudzić ciekawość :))
edi
Użytkownik
Posty: 52
Rejestracja: 2007-05-09, 13:08

Re: [Rozw.]Zapezpieczenie przed skanowaniem portów

Post autor: edi »

dobre pytanie ;D
tez sie podczepie :)
monk
Użytkownik
Posty: 64
Rejestracja: 2004-06-16, 12:48
Lokalizacja: Kalisz
Kontakt:

Re: [Rozw.]Zapezpieczenie przed skanowaniem portów

Post autor: monk »

Ja mam coś takiego i jak na razie działa to skutecznie
PS. to tylko część dotycząca skanowania.

Kod: Zaznacz cały

iptables -t filter -P FORWARD DROP


#Tworzymy nowe Lancuchy bad_packets oraz tcp_inbound
iptables -N bad_packets
iptables -N bad_tcp_inbound


#########################################
#Definiowanie regul w lancuchu bad_packet
#########################################

# Logujemy i Odrzucamy pakiety niepoprawne
iptables -A bad_packets -p ALL -m state --state INVALID -j LOG \
    --log-prefix "Pakiet niepoprawny: "

iptables -A bad_packets -p ALL -m state --state INVALID -j DROP

iptables -A bad_packets -p ALL -j RETURN


##########################################
#Definiowanie regul w lancuchu tcp_inbound
##########################################

#Wszystkie wchodzace pakiety TCP przechodza przez ten lancuch.
#Każda próba nawiazania nowego polaczenia przychodzacego powinna
#sie rozpoczac pakietem z ustawiona flaga SYN, jezli nie jest
#moĹźe to oznaczac skanowanie portów. W lancuchu tym beda odrzucane
#pakiety w stanie NEW bez ustawionej flagi SYN.

iptables -A bad_tcp_inbound -p tcp ! --syn -m state --state NEW -j LOG \
        --log-prefix "New bez flagi syn: "
iptables -A bad_tcp_inbound -p tcp ! --syn -m state --state NEW -j DROP

iptables -A bad_tcp_inbound -p tcp --tcp-flags ALL NONE -j LOG \
        --log-prefix "Skanowanie: "
iptables -A bad_tcp_inbound -p tcp --tcp-flags ALL NONE -j DROP

iptables -A bad_tcp_inbound -p tcp --tcp-flags ALL ALL -j LOG \
        --log-prefix "Skanowanie: "
iptables -A bad_tcp_inbound -p tcp --tcp-flags ALL ALL -j DROP

iptables -A bad_tcp_inbound -p tcp --tcp-flags ALL FIN,URG,PSH -j LOG \
        --log-prefix "Skanowanie: "
iptables -A bad_tcp_inbound -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP

iptables -A bad_tcp_inbound -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j LOG \
        --log-prefix "Skanowanie: "
iptables -A bad_tcp_inbound -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP

iptables -A bad_tcp_inbound -p tcp --tcp-flags SYN,RST SYN,RST -j LOG \
        --log-prefix "Skanowanie: "
iptables -A bad_tcp_inbound -p tcp --tcp-flags SYN,RST SYN,RST -j DROP

iptables -A bad_tcp_inbound -p tcp --tcp-flags SYN,FIN SYN,FIN -j LOG \
        --log-prefix "Skanowanie: "
iptables -A bad_tcp_inbound -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

# Wszystko w porzadku, powroc
iptables -A bad_tcp_inbound -p tcp -j RETURN
..:: SlackWARe ::..
BLOG: http://motologer.blogspot.com
gothye
Użytkownik
Posty: 60
Rejestracja: 2007-02-17, 12:36
Lokalizacja: Płock

Re: [Rozw.]Zapezpieczenie przed skanowaniem portów

Post autor: gothye »

uzyłem twoich wipisów w firewall ,ale nic niedały :(

Kod: Zaznacz cały

nmap IP_moje
wykrywa porty a mi zalezy na ukryciu tych wiadomosci
Awatar użytkownika
intosh
Użytkownik
Posty: 243
Rejestracja: 2006-07-04, 13:34
Lokalizacja: Łódź
Kontakt:

Re: [Rozw.]Zapezpieczenie przed skanowaniem portów

Post autor: intosh »

Co jest złego w tym, że ktoś bedzie wiedział jakie usługi masz uruchomione?

Jeśli dana osoba i/lub adres IP nie powinien mieć do danej usługi dostępu to może trzeba dostęp do tej usługi ograniczyć?

Jak masz źle skonfigurowane usługi takie zabezpieczenie nic ci nie daje, może kilku ciekawskim nie pokaże co tam u ciebie działa ale to są raczej osoby skanujące z czystej ciekawości a nie po to aby się włamać.

Atakujący przeważnie wiedzą czego szukają i szukają wybranej usługi tylko na jednym interesujacym ich porcie i mogą tylko raz nawiązć połączenie do tego portu w czasie swoich poszukiwań nowych celów.

Próbujesz osiągnać jakiś magiczny stan, w którym twoje regółki, magicznie rozpoznają intencje, łączącego się z twoim, systemu i zakwalifikują je jako agresywne albo klienckie.

Tylko jak to sobie wyobrażasz osiągnąć na poziomie sesji TCP/IP? Czym się będzie różnić połączenie z telnetu do serwera apache, od połączenia z Opery albo Firefoxa?

Moim zdaniem tracisz czas, który możesz wykorzystać na odpowiednie skonfigurowanie swoich usług, wprowadzenie odpowiednich polityk bezpieczeństwa (rozróżnienie kto ma mieć dostęp do czego i w jaki sposób, skąd), poszukanie aplikacji które są firewallami działającymi na poziomie aplikacji (rozumiejącymi zapytania jakie ma obsłużyć wybrana przez ciebie usługa -> dla apache to może być mod security dla poczty tcpserver i rblsmtpd, jest więcej takich rozwiązań...).

Sam firewall i wymyślne regółki zaciemniające przeznaczenie serwera w żaden sposób jego bezpieczeństwa nie podnoszą, pomogą ci się co najwyżej upewnić w mylnym przeświadczeniu, że twój system jest bezpieczny bo ma firewalla.

PS. Firewall to chyba najbardziej przereklamowany wytwór sprzedawców oprogramowania. W systemach typu Windows może i jest potrzebny ale i tam jest to już system filtrowania działający na poziomie aplikacji a nie jak w linuksie, zwykły filtr pakietów.
:: everyone in the world is doing something without me ::
gothye
Użytkownik
Posty: 60
Rejestracja: 2007-02-17, 12:36
Lokalizacja: Płock

Re: [Rozw.]Zapezpieczenie przed skanowaniem portów

Post autor: gothye »

poprostu chce ukryć serwer w sieci ,przed skanowaniem portów pingiem a całosć zapewniła mi jedna prosta regułka :

Kod: Zaznacz cały

    iptables -A INPUT -p tcp -i $WAN -m stealth -j DROP
    iptables -A INPUT -p udp -i $WAN -m stealth -j DROP
patch grsecurite nałozony na kernel oraz iptables :) polecam
largo3
Moderator
Posty: 1302
Rejestracja: 2006-06-11, 11:08

Re: [Rozw.]Zapezpieczenie przed skanowaniem portów

Post autor: largo3 »

Regulamin serwisu forum.slackware.pl pisze: 9. Jeśli Twój problem został rozwiązany, wyedytuj tytuł wątku (edycja pierwszego posta w wątku) i poprzedź temat tagiem [Rozw.]. Nie pisz [SOLVED], aby uniknąć niejednoznaczności. Oznacz temat jako rozwiązany w sytuacji, w której rozwiązany został problem podany w temacie wątku. Jeśli w wątku poruszane są też inne kwestie nie związane bezpośrednio z tematem wątku, to należy umieścić taga [Rozw.] w momencie, w którym został rozwiązany "główny" problem, a nie wszystkie pozostałe problemy.
Tag do poprawy!
UNIX is basically a simple operating system, but you have to be a genius to understand the simplicity.
-- Dennis Ritchie
Linux Registered User #419452
topdolar
Użytkownik
Posty: 389
Rejestracja: 2006-10-05, 18:35

Re: [Rozw.]Zapezpieczenie przed skanowaniem portów

Post autor: topdolar »

ale mozna maszyne odciac od swiata za pomoca /etc/hosts.deny, dodajac do niego ALL:ALL@ALL, PARANOID

chyba ze sie myle to niech ktos mnie poprawi
Awatar użytkownika
intosh
Użytkownik
Posty: 243
Rejestracja: 2006-07-04, 13:34
Lokalizacja: Łódź
Kontakt:

Re: [Rozw.]Zapezpieczenie przed skanowaniem portów

Post autor: intosh »

topdolar pisze:ale mozna maszyne odciac od swiata za pomoca /etc/hosts.deny, dodajac do niego ALL:ALL@ALL, PARANOID
- w ten sposób możesz odciąć dostęp do programów korzystających z tcp_wrappers i tylko do tych programów.
:: everyone in the world is doing something without me ::
ODPOWIEDZ