Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2007-06-30 13:14:26
szewczyk - 
Stary wyjadacz :P
- szewczyk
- Stary wyjadacz :P
- Zarejestrowany: 2006-12-03
ochrona przed skanowaniem nmap'a
jak zapobiec skanowaniu przez nmap i inne skanery swojego serwera
wiem ze istnieją portsentry itp. ,w win. 2003 jest rozwiązane tak ze podczas jakiego kolwiek skanowania ,serwer nieodpowiada ,wszystkie porty są poblokowane ,niemozna rozpoznać systemu OS (usługi na serwerze maja wyjscie na swiat)
Offline
#2 2007-06-30 13:25:35
BiExi - matka przelozona
Re: ochrona przed skanowaniem nmap'a
pytanie jest czy hesz blokowac tych co skanuja czy tylko ubiknac zbierani informacji o pracujacych uslugach?
Co do portsentry to nie jest za bespieczny, wiec lepiej inaczej tozrobic....
na sam poczatek proponuje
Kod:
/bin/echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts /bin/echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j DROP iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j DROP iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -j DROP iptables -A INPUT -m conntrack --ctstate INVALID -p tcp --tcp-flags ! SYN,RST,ACK,FIN,PSH,URG SYN,RS T,ACK,FIN,PSH,URG -j DROP
Dodatkowo wiekszosc programow ktorych uzywasz pozawala zablokowac bannery ktorymi przedstawia sie uslug'a, ewentualnie pozwala na zmiae tych bannerow.....
jesli np z ssh laczysz sie z wiadomoych IP to mozesz skonfigurowac system tak by zezwalal na polaczenia tylko z okreslonych IP np stosujac odpowednie reguly w firewallu lub przez wpisy do [b]/etc/hotst.deny /etc/hosts/allow[/b]
[url=http://dug.net.pl][b]DUG[/b][/url]
Offline
#3 2007-06-30 13:31:33
szewczyk - Stary wyjadacz :P
- szewczyk
- Stary wyjadacz :P
- Zarejestrowany: 2006-12-03
Re: ochrona przed skanowaniem nmap'a
chce uniknąc zbierania info o portach na serwerq ,regułki które podałaś znam mniej wiecej u mnie wygląda to tak:
Kod:
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH SYN -j DROP
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j DROP
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j DROP
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -j DROP
iptables -A INPUT -m conntrack --ctstate INVALID -p tcp --tcp-flags ! SYN,RST,ACK,FIN,PSH,URG SYN,RST,ACK,FIN,PSH,URG -j DROPale dalej widac porty skanując maszyne z zewnątrz :(
Offline
#4 2007-07-01 22:23:44
TBH - Członek DUG
Re: ochrona przed skanowaniem nmap'a
portsentry i w razie skanowania > ban na zawsze
dziala . . .
http://tbhthelolmaker.wordpress.com/kontakt/
<TBH> Gentoo!
<X-dos> cóz, sa ludzie ktorzy nie wiedza co robic ze swoim wolnym czasem :)
Offline
#5 2007-07-02 17:46:21
szewczyk - Stary wyjadacz :P
- szewczyk
- Stary wyjadacz :P
- Zarejestrowany: 2006-12-03
Re: ochrona przed skanowaniem nmap'a
portsentry i w razie skanowania > ban na zawsze
dziala . . .[/quote]
banowania chce uniknąc ,moze to wzbudzić wiekszą ciekawość ;)
Offline
#6 2007-07-02 19:26:55
szewczyk - Stary wyjadacz :P
- szewczyk
- Stary wyjadacz :P
- Zarejestrowany: 2006-12-03
Re: ochrona przed skanowaniem nmap'a
załadowałem taką regułke :
Kod:
iptables -A INPUT -m stealth -i $WAN -j DROP
zmodyfikowałęm ttl wychodzące z serwera do 55 :D ,nmap zgłupiał
i ograniczyłem ping do 10/min
i załatwiło sprawę :) ,nmap niewiec co z tą promocją zrobic
Offline
#7 2007-07-02 20:39:08
lordvader20 - Członek DUG
- lordvader20
- Członek DUG
- Skąd: /home/kuba
- Zarejestrowany: 2007-04-09
- Serwis
Re: ochrona przed skanowaniem nmap'a
Co daje opcja -m stealth ? Moze wykorzystam w swoim firewallu
Powered by Debian and Gentoo
[img]http://img.userbars.pl/79/15642.jpg[/img]
[img]http://img.userbars.pl/99/19689.png[/img]
Offline
#8 2007-07-02 21:24:52
TBH - Członek DUG
Re: ochrona przed skanowaniem nmap'a
fuck, ja tez chce uniknąć banowania
miałem SSH wpuszczone tylko przez swoje IP i dla jaj poskanowałem nmapem
DZIAŁA, banuje aż miło.
teraz musze lecieć na serwer. Super.
http://tbhthelolmaker.wordpress.com/kontakt/
<TBH> Gentoo!
<X-dos> cóz, sa ludzie ktorzy nie wiedza co robic ze swoim wolnym czasem :)
Offline
#9 2007-07-19 00:03:19
grzebyk - sierściuch
- grzebyk
- sierściuch
- Skąd: Szczerców
- Zarejestrowany: 2005-10-08
Re: ochrona przed skanowaniem nmap'a
A ten moduł stealth to z tego co wyczytałem to dostepny jes po spatchowaniu kelnera łatką grsecurity. Zrobiłem sobie więc takiego spatchowanego kernela i nadal po zapodaniu regółki:
Kod:
iptables -A INPUT -m stealth -i $WAN -j DROP
mam:
Kod:
iptables v1.3.6: Couldn't load match `stealth':/lib/iptables/libipt_stealth.so: cannot open shared object file: No such file or directory Try `iptables -h' or 'iptables --help' for more information.iptables v1.3.6:
choć moduł jest zrobiony i tkwi w /lib/modules/2.6.19.2-grsec/kernel/net/ipv4/netfilter pod nazwą ipt_stealth.ko
ale w /lib/iptables/ nic o podobnej nazwie niema
jaka jes zależnośc pomiędzy tymi dwoma lokalizacjami modułów do iptables?
apt-get install browar-tyskie
Czytanie list pakietów... Gotowe
Budowanie drzewa zależności... Gotowe
Sugerowane pakiety: kufel walety-light
Offline
#10 2007-07-19 08:43:08
kayo - Członek DUG
- kayo
- Członek DUG
- Zarejestrowany: 2007-05-20
Re: ochrona przed skanowaniem nmap'a
fuck, ja tez chce uniknąć banowania
miałem SSH wpuszczone tylko przez swoje IP i dla jaj poskanowałem nmapem
DZIAŁA, banuje aż miło.
teraz musze lecieć na serwer. Super.[/quote]
W pliku portsentry.conf jest opcja by wykluczyć odpowiednie ip-ki z regułek portsentry
Having a Windows 95 box hooked to the internet is akin to walking naked into a prison carrying a carton of cigarettes.
-----------------
jid: kayo77//gmail.com gg #1046710
Offline
#11 2007-07-19 10:49:09
szewczyk - Stary wyjadacz :P
- szewczyk
- Stary wyjadacz :P
- Zarejestrowany: 2006-12-03
Re: ochrona przed skanowaniem nmap'a
grzebyk >>>
po spachowaniu kenrela przez łatke z grsecurity ,przekompiluj ponownie iptables aby pobrał moduł z kernela ;)
Offline
#12 2007-07-22 23:36:21
Szczur[R] - Użytkownik
- Szczur[R]
- Użytkownik
- Skąd: Czestochowa
- Zarejestrowany: 2006-03-29
Re: ochrona przed skanowaniem nmap'a
banowania chce uniknąc ,moze to wzbudzić wiekszą ciekawość ;)
[/quote]
nie bardzo rozumiem...
odpalasz i konfigurujesz odpowiednio portsentry, dodatkowo zapodajesz -j DROP dla icmp na eth ktory chcesz zabezpieczyc.
gosc zapodaje nmap xxx.xxx.xxx.xxx
wywala muKod:
Note: Host seems down. If it is really up, but blocking our ping probes, try -P0hmmm no dobra to nmap -P0 xxx.xxx.xxx.xxx
i co ? no i wlasnie nic :) nie ma takiego serwera, albo nie jest on w tej chwili uruchomiony.
wiem ze istnieją portsentry itp
[/quote]
no skoro wiesz to chyba sam sobie odpowiedziales na zadane pytanie.
w win. 2003 jest rozwiązane tak ze podczas jakiego kolwiek skanowania ,serwer nieodpowiada ,wszystkie porty są poblokowane ,niemozna rozpoznać systemu OS (usługi na serwerze maja wyjscie na swiat)
[/quote]
efekt dla agresora niemalze identyczny jak z portsentry, zapewne realizowany w nieco inny sposob.
pozdr
[url=http://dziecineo.prv.pl][img]http://sopot.i365.pl/neo/i/us4.jpg[/img][/url]Offline
#13 2007-07-23 11:34:50
BiExi - matka przelozona
Re: ochrona przed skanowaniem nmap'a
nie weim dalczego wszyscy uparli sie na to portsentry ktore samo w sobie stanowi dziure :] (poniewaz otwiera porty)
Ja osobiscie polecam uzywanie snort'a, iestety wymaga poswiecenia duzo czasu na jego konfiguracje za to efek ejst naprawde dobry :]
Uzywajac snorta mozna uzyskac podobny efekt jak przy uzywaniu portsentry
[url=http://dug.net.pl][b]DUG[/b][/url]
Offline
#14 2007-07-23 11:55:46
Szczur[R] - Użytkownik
- Szczur[R]
- Użytkownik
- Skąd: Czestochowa
- Zarejestrowany: 2006-03-29
Re: ochrona przed skanowaniem nmap'a
Zgadzam sie z Toba, niestety snort to juz faktycznie wysza szkola jazdy i moim zdaniem dla malych domowych routerkow, sieci osiedlowych, malych ISP itd. wystarcza dobrze skonfigurowane portsentry. no chyba ze mamy zamiar zabezpieczac jakies powazne maszyny bankowe, wazne strategicznie serwery firmowe itp.
[url=http://dziecineo.prv.pl][img]http://sopot.i365.pl/neo/i/us4.jpg[/img][/url]
Offline
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00012 | SET CHARSET latin2 |
| 0.00004 | SET NAMES latin2 |
| 0.00126 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.147.54.6' WHERE u.id=1 |
| 0.00090 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.147.54.6', 1714609124) |
| 0.00056 | SELECT * FROM punbb_online WHERE logged<1714608824 |
| 0.00084 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=8466 AND t.moved_to IS NULL |
| 0.00006 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00281 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=8466 ORDER BY p.id LIMIT 0,25 |
| 0.00080 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=8466 |
| Total query time: 0.00739 s | |