Forum Debian Users Gang

szewczyk · 2007-06-30 13:14:26

jak zapobiec skanowaniu przez nmap i inne skanery swojego serwera

wiem ze istnieją portsentry itp. ,w win. 2003 jest rozwiązane tak ze podczas jakiego kolwiek skanowania ,serwer nieodpowiada ,wszystkie porty są poblokowane ,niemozna rozpoznać systemu OS (usługi na serwerze maja wyjscie na swiat)

BiExi · 2007-06-30 13:25:35

pytanie jest czy hesz blokowac tych co skanuja czy tylko ubiknac zbierani informacji o pracujacych uslugach?

Co do portsentry to nie jest za bespieczny, wiec lepiej inaczej tozrobic....

na sam poczatek proponuje

Kod:

/bin/echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
/bin/echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j DROP
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j DROP
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH
-j DROP
iptables -A INPUT -m conntrack --ctstate INVALID -p tcp --tcp-flags ! SYN,RST,ACK,FIN,PSH,URG SYN,RS
T,ACK,FIN,PSH,URG -j DROP

Dodatkowo wiekszosc programow ktorych uzywasz pozawala zablokowac bannery ktorymi przedstawia sie uslug'a, ewentualnie pozwala na zmiae tych bannerow.....

jesli np z ssh laczysz sie z wiadomoych IP to mozesz skonfigurowac system tak by zezwalal na polaczenia tylko z okreslonych IP np stosujac odpowednie reguly w firewallu lub przez wpisy do /etc/hotst.deny /etc/hosts/allow

szewczyk · 2007-06-30 13:31:33

chce uniknąc zbierania info o portach na serwerq ,regułki które podałaś znam mniej wiecej u mnie wygląda to tak:

Kod:

   iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
    iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH SYN -j DROP
    iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j DROP
    iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j DROP
    iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -j DROP
    iptables -A INPUT -m conntrack --ctstate INVALID -p tcp --tcp-flags ! SYN,RST,ACK,FIN,PSH,URG SYN,RST,ACK,FIN,PSH,URG -j DROP

ale dalej widac porty skanując maszyne z zewnątrz :(

TBH · 2007-07-01 22:23:44

portsentry i w razie skanowania > ban na zawsze

dziala . . .

szewczyk · 2007-07-02 17:46:21

portsentry i w razie skanowania > ban na zawsze

dziala . . .

banowania chce uniknąc ,moze to wzbudzić wiekszą ciekawość ;)

szewczyk · 2007-07-02 19:26:55

załadowałem taką regułke :

Kod:

iptables -A INPUT -m stealth -i $WAN -j DROP

zmodyfikowałęm ttl wychodzące z serwera do 55 :D ,nmap zgłupiał

i ograniczyłem ping do 10/min

i załatwiło sprawę :) ,nmap niewiec co z tą promocją zrobic

lordvader20 · 2007-07-02 20:39:08

Co daje opcja -m stealth ? Moze wykorzystam w swoim firewallu

TBH · 2007-07-02 21:24:52

fuck, ja tez chce uniknąć banowania

miałem SSH wpuszczone tylko przez swoje IP i dla jaj poskanowałem nmapem

DZIAŁA, banuje aż miło.
teraz musze lecieć na serwer. Super.

grzebyk · 2007-07-19 00:03:19

A ten moduł stealth to z tego co wyczytałem to dostepny jes po spatchowaniu kelnera łatką grsecurity. Zrobiłem sobie więc takiego spatchowanego kernela i nadal po zapodaniu regółki:

Kod:

iptables -A INPUT -m stealth -i $WAN -j DROP

mam:

Kod:

iptables v1.3.6: Couldn't load match `stealth':/lib/iptables/libipt_stealth.so: cannot open shared object file: No such file or directory
Try `iptables -h' or 'iptables --help' for more information.iptables v1.3.6:

choć moduł jest zrobiony i tkwi w /lib/modules/2.6.19.2-grsec/kernel/net/ipv4/netfilter pod nazwą ipt_stealth.ko

ale w /lib/iptables/ nic o podobnej nazwie niema

jaka jes zależnośc pomiędzy tymi dwoma lokalizacjami modułów do iptables?

kayo · 2007-07-19 08:43:08

fuck, ja tez chce uniknąć banowania

miałem SSH wpuszczone tylko przez swoje IP i dla jaj poskanowałem nmapem

DZIAŁA, banuje aż miło.
teraz musze lecieć na serwer. Super.

W pliku portsentry.conf jest opcja by wykluczyć odpowiednie ip-ki z regułek portsentry

szewczyk · 2007-07-19 10:49:09

grzebyk >>>

po spachowaniu kenrela przez łatke z grsecurity ,przekompiluj ponownie iptables aby pobrał moduł z kernela ;)

Szczur[R] · 2007-07-22 23:36:21

banowania chce uniknąc ,moze to wzbudzić wiekszą ciekawość ;)

nie bardzo rozumiem...
odpalasz i konfigurujesz odpowiednio portsentry, dodatkowo zapodajesz -j DROP dla icmp na eth ktory chcesz zabezpieczyc.

gosc zapodaje nmap xxx.xxx.xxx.xxx
wywala mu

Kod:

Note: Host seems down. If it is really up, but blocking our ping probes, try -P0

hmmm no dobra to nmap -P0 xxx.xxx.xxx.xxx
i co ? no i wlasnie nic :) nie ma takiego serwera, albo nie jest on w tej chwili uruchomiony.

wiem ze istnieją portsentry itp

no skoro wiesz to chyba sam sobie odpowiedziales na zadane pytanie.

w win. 2003 jest rozwiązane tak ze podczas jakiego kolwiek skanowania ,serwer nieodpowiada ,wszystkie porty są poblokowane ,niemozna rozpoznać systemu OS (usługi na serwerze maja wyjscie na swiat)

efekt dla agresora niemalze identyczny jak z portsentry, zapewne realizowany w nieco inny sposob.

pozdr

BiExi · 2007-07-23 11:34:50

nie weim dalczego wszyscy uparli sie na to portsentry ktore samo w sobie stanowi dziure :] (poniewaz otwiera porty)

Ja osobiscie polecam uzywanie snort'a, iestety wymaga poswiecenia duzo czasu na jego konfiguracje za to efek ejst naprawde dobry :]

Uzywajac snorta mozna uzyskac podobny efekt jak przy uzywaniu portsentry

Szczur[R] · 2007-07-23 11:55:46

Zgadzam sie z Toba, niestety snort to juz faktycznie wysza szkola jazdy i moim zdaniem dla malych domowych routerkow, sieci osiedlowych, malych ISP itd. wystarcza dobrze skonfigurowane portsentry. no chyba ze mamy zamiar zabezpieczac jakies powazne maszyny bankowe, wazne strategicznie serwery firmowe itp.

Forum Debian Users Gang

Ogłoszenie

#1 2007-06-30 13:14:26

szewczyk - Stary wyjadacz :P

ochrona przed skanowaniem nmap'a

#2 2007-06-30 13:25:35

BiExi - matka przelozona

Re: ochrona przed skanowaniem nmap'a

Kod:

#3 2007-06-30 13:31:33

szewczyk - Stary wyjadacz :P

Re: ochrona przed skanowaniem nmap'a

Kod:

#4 2007-07-01 22:23:44

TBH - Członek DUG

Re: ochrona przed skanowaniem nmap'a

#5 2007-07-02 17:46:21

szewczyk - Stary wyjadacz :P

Re: ochrona przed skanowaniem nmap'a

#6 2007-07-02 19:26:55

szewczyk - Stary wyjadacz :P

Re: ochrona przed skanowaniem nmap'a

Kod:

#7 2007-07-02 20:39:08

lordvader20 - Członek DUG

Re: ochrona przed skanowaniem nmap'a

#8 2007-07-02 21:24:52

TBH - Członek DUG

Re: ochrona przed skanowaniem nmap'a

#9 2007-07-19 00:03:19

grzebyk - sierściuch

Re: ochrona przed skanowaniem nmap'a

Kod:

Kod:

#10 2007-07-19 08:43:08

kayo - Członek DUG

Re: ochrona przed skanowaniem nmap'a

#11 2007-07-19 10:49:09

szewczyk - Stary wyjadacz :P

Re: ochrona przed skanowaniem nmap'a

#12 2007-07-22 23:36:21

Szczur[R] - Użytkownik

Re: ochrona przed skanowaniem nmap'a

Kod:

#13 2007-07-23 11:34:50

BiExi - matka przelozona

Re: ochrona przed skanowaniem nmap'a

#14 2007-07-23 11:55:46

Szczur[R] - Użytkownik

Re: ochrona przed skanowaniem nmap'a

Stopka forum