Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
jak zapobiec skanowaniu przez nmap i inne skanery swojego serwera
wiem ze istnieją portsentry itp. ,w win. 2003 jest rozwiązane tak ze podczas jakiego kolwiek skanowania ,serwer nieodpowiada ,wszystkie porty są poblokowane ,niemozna rozpoznać systemu OS (usługi na serwerze maja wyjscie na swiat)
Offline
pytanie jest czy hesz blokowac tych co skanuja czy tylko ubiknac zbierani informacji o pracujacych uslugach?
Co do portsentry to nie jest za bespieczny, wiec lepiej inaczej tozrobic....
na sam poczatek proponuje
/bin/echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts /bin/echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j DROP iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j DROP iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -j DROP iptables -A INPUT -m conntrack --ctstate INVALID -p tcp --tcp-flags ! SYN,RST,ACK,FIN,PSH,URG SYN,RS T,ACK,FIN,PSH,URG -j DROP
Dodatkowo wiekszosc programow ktorych uzywasz pozawala zablokowac bannery ktorymi przedstawia sie uslug'a, ewentualnie pozwala na zmiae tych bannerow.....
jesli np z ssh laczysz sie z wiadomoych IP to mozesz skonfigurowac system tak by zezwalal na polaczenia tylko z okreslonych IP np stosujac odpowednie reguly w firewallu lub przez wpisy do [b]/etc/hotst.deny /etc/hosts/allow[/b]
Offline
chce uniknąc zbierania info o portach na serwerq ,regułki które podałaś znam mniej wiecej u mnie wygląda to tak:
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH SYN -j DROP iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j DROP iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j DROP iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -j DROP iptables -A INPUT -m conntrack --ctstate INVALID -p tcp --tcp-flags ! SYN,RST,ACK,FIN,PSH,URG SYN,RST,ACK,FIN,PSH,URG -j DROP
ale dalej widac porty skanując maszyne z zewnątrz :(
Offline
portsentry i w razie skanowania > ban na zawsze
dziala . . .
Offline
portsentry i w razie skanowania > ban na zawsze
dziala . . .[/quote]
banowania chce uniknąc ,moze to wzbudzić wiekszą ciekawość ;)
Offline
załadowałem taką regułke :
iptables -A INPUT -m stealth -i $WAN -j DROP
zmodyfikowałęm ttl wychodzące z serwera do 55 :D ,nmap zgłupiał
i ograniczyłem ping do 10/min
i załatwiło sprawę :) ,nmap niewiec co z tą promocją zrobic
Offline
Co daje opcja -m stealth ? Moze wykorzystam w swoim firewallu
Offline
fuck, ja tez chce uniknąć banowania
miałem SSH wpuszczone tylko przez swoje IP i dla jaj poskanowałem nmapem
DZIAŁA, banuje aż miło.
teraz musze lecieć na serwer. Super.
Offline
A ten moduł stealth to z tego co wyczytałem to dostepny jes po spatchowaniu kelnera łatką grsecurity. Zrobiłem sobie więc takiego spatchowanego kernela i nadal po zapodaniu regółki:
iptables -A INPUT -m stealth -i $WAN -j DROP
mam:
iptables v1.3.6: Couldn't load match `stealth':/lib/iptables/libipt_stealth.so: cannot open shared object file: No such file or directory Try `iptables -h' or 'iptables --help' for more information.iptables v1.3.6:
choć moduł jest zrobiony i tkwi w /lib/modules/2.6.19.2-grsec/kernel/net/ipv4/netfilter pod nazwą ipt_stealth.ko
ale w /lib/iptables/ nic o podobnej nazwie niema
jaka jes zależnośc pomiędzy tymi dwoma lokalizacjami modułów do iptables?
Offline
fuck, ja tez chce uniknąć banowania
miałem SSH wpuszczone tylko przez swoje IP i dla jaj poskanowałem nmapem
DZIAŁA, banuje aż miło.
teraz musze lecieć na serwer. Super.[/quote]
W pliku portsentry.conf jest opcja by wykluczyć odpowiednie ip-ki z regułek portsentry
Having a Windows 95 box hooked to the internet is akin to walking naked into a prison carrying a carton of cigarettes.
-----------------
jid: kayo77//gmail.com gg #1046710
Offline
grzebyk >>>
po spachowaniu kenrela przez łatke z grsecurity ,przekompiluj ponownie iptables aby pobrał moduł z kernela ;)
Offline
banowania chce uniknąc ,moze to wzbudzić wiekszą ciekawość ;)
[/quote]
nie bardzo rozumiem...
odpalasz i konfigurujesz odpowiednio portsentry, dodatkowo zapodajesz -j DROP dla icmp na eth ktory chcesz zabezpieczyc.
gosc zapodaje nmap xxx.xxx.xxx.xxx
wywala muKod:
Note: Host seems down. If it is really up, but blocking our ping probes, try -P0hmmm no dobra to nmap -P0 xxx.xxx.xxx.xxx
i co ? no i wlasnie nic :) nie ma takiego serwera, albo nie jest on w tej chwili uruchomiony.
wiem ze istnieją portsentry itp
[/quote]
no skoro wiesz to chyba sam sobie odpowiedziales na zadane pytanie.
w win. 2003 jest rozwiązane tak ze podczas jakiego kolwiek skanowania ,serwer nieodpowiada ,wszystkie porty są poblokowane ,niemozna rozpoznać systemu OS (usługi na serwerze maja wyjscie na swiat)
[/quote]
efekt dla agresora niemalze identyczny jak z portsentry, zapewne realizowany w nieco inny sposob.
pozdr
[url=http://dziecineo.prv.pl][img]http://sopot.i365.pl/neo/i/us4.jpg[/img][/url]Offline
nie weim dalczego wszyscy uparli sie na to portsentry ktore samo w sobie stanowi dziure :] (poniewaz otwiera porty)
Ja osobiscie polecam uzywanie snort'a, iestety wymaga poswiecenia duzo czasu na jego konfiguracje za to efek ejst naprawde dobry :]
Uzywajac snorta mozna uzyskac podobny efekt jak przy uzywaniu portsentry
Offline
Zgadzam sie z Toba, niestety snort to juz faktycznie wysza szkola jazdy i moim zdaniem dla malych domowych routerkow, sieci osiedlowych, malych ISP itd. wystarcza dobrze skonfigurowane portsentry. no chyba ze mamy zamiar zabezpieczac jakies powazne maszyny bankowe, wazne strategicznie serwery firmowe itp.
Offline
Time (s) | Query |
---|---|
0.00013 | SET CHARSET latin2 |
0.00008 | SET NAMES latin2 |
0.00159 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.216.174.32' WHERE u.id=1 |
0.00108 | UPDATE punbb_online SET logged=1733365559 WHERE ident='18.216.174.32' |
0.00038 | SELECT * FROM punbb_online WHERE logged<1733365259 |
0.00060 | SELECT topic_id FROM punbb_posts WHERE id=65491 |
0.00005 | SELECT id FROM punbb_posts WHERE topic_id=8466 ORDER BY posted |
0.00054 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=8466 AND t.moved_to IS NULL |
0.00006 | SELECT search_for, replace_with FROM punbb_censoring |
0.00092 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=8466 ORDER BY p.id LIMIT 0,25 |
0.00081 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=8466 |
Total query time: 0.00624 s |