Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2007-06-30 13:14:26

  szewczyk - Stary wyjadacz :P

szewczyk
Stary wyjadacz :P
Zarejestrowany: 2006-12-03

ochrona przed skanowaniem nmap'a

jak zapobiec skanowaniu przez nmap i inne skanery swojego serwera

wiem ze istnieją portsentry itp. ,w win. 2003 jest rozwiązane tak ze podczas jakiego kolwiek skanowania ,serwer nieodpowiada ,wszystkie porty są poblokowane ,niemozna rozpoznać systemu OS (usługi na serwerze maja wyjscie na swiat)

Offline

 

#2  2007-06-30 13:25:35

  BiExi - matka przelozona

BiExi
matka przelozona
Skąd: Gorlice
Zarejestrowany: 2004-04-16
Serwis

Re: ochrona przed skanowaniem nmap'a

pytanie jest czy hesz blokowac tych co skanuja czy tylko ubiknac zbierani informacji o pracujacych uslugach?

Co do portsentry to nie jest za bespieczny, wiec lepiej inaczej tozrobic....

na sam poczatek proponuje

Kod:

/bin/echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
/bin/echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j DROP
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j DROP
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH
-j DROP
iptables -A INPUT -m conntrack --ctstate INVALID -p tcp --tcp-flags ! SYN,RST,ACK,FIN,PSH,URG SYN,RS
T,ACK,FIN,PSH,URG -j DROP

Dodatkowo wiekszosc programow ktorych uzywasz pozawala zablokowac bannery ktorymi przedstawia sie uslug'a, ewentualnie pozwala na zmiae tych bannerow.....

jesli np z ssh laczysz sie z wiadomoych IP to mozesz skonfigurowac system tak by zezwalal na polaczenia tylko z okreslonych IP np stosujac odpowednie reguly w firewallu lub przez wpisy do [b]/etc/hotst.deny /etc/hosts/allow[/b]


[url=http://dug.net.pl][b]DUG[/b][/url]

Offline

 

#3  2007-06-30 13:31:33

  szewczyk - Stary wyjadacz :P

szewczyk
Stary wyjadacz :P
Zarejestrowany: 2006-12-03

Re: ochrona przed skanowaniem nmap'a

chce uniknąc zbierania info o portach na serwerq ,regułki które podałaś znam mniej wiecej u mnie wygląda to tak:

Kod:

   iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
    iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH SYN -j DROP
    iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j DROP
    iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j DROP
    iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -j DROP
    iptables -A INPUT -m conntrack --ctstate INVALID -p tcp --tcp-flags ! SYN,RST,ACK,FIN,PSH,URG SYN,RST,ACK,FIN,PSH,URG -j DROP

ale dalej widac porty skanując maszyne z zewnątrz :(

Offline

 

#4  2007-07-01 22:23:44

  TBH - Członek DUG

TBH
Członek DUG
Skąd: Ruda Śląska
Zarejestrowany: 2006-03-07
Serwis

Re: ochrona przed skanowaniem nmap'a

portsentry i w razie skanowania > ban na zawsze

dziala . . .


http://tbhthelolmaker.wordpress.com/kontakt/
<TBH> Gentoo!
<X-dos> cóz, sa ludzie ktorzy nie wiedza co robic ze swoim wolnym czasem :)

Offline

 

#5  2007-07-02 17:46:21

  szewczyk - Stary wyjadacz :P

szewczyk
Stary wyjadacz :P
Zarejestrowany: 2006-12-03

Re: ochrona przed skanowaniem nmap'a

portsentry i w razie skanowania > ban na zawsze

dziala . . .[/quote]

banowania chce uniknąc ,moze to wzbudzić wiekszą ciekawość ;)

Offline

 

#6  2007-07-02 19:26:55

  szewczyk - Stary wyjadacz :P

szewczyk
Stary wyjadacz :P
Zarejestrowany: 2006-12-03

Re: ochrona przed skanowaniem nmap'a

załadowałem taką regułke :

Kod:

iptables -A INPUT -m stealth -i $WAN -j DROP 

zmodyfikowałęm ttl wychodzące z serwera do 55 :D ,nmap zgłupiał

i ograniczyłem ping do 10/min

i załatwiło sprawę :) ,nmap niewiec co z tą promocją zrobic

Offline

 

#7  2007-07-02 20:39:08

  lordvader20 - Członek DUG

lordvader20
Członek DUG
Skąd: /home/kuba
Zarejestrowany: 2007-04-09
Serwis

Re: ochrona przed skanowaniem nmap'a

Co daje opcja -m stealth ? Moze wykorzystam w swoim firewallu


Powered by Debian and Gentoo
[img]http://img.userbars.pl/79/15642.jpg[/img]
[img]http://img.userbars.pl/99/19689.png[/img]

Offline

 

#8  2007-07-02 21:24:52

  TBH - Członek DUG

TBH
Członek DUG
Skąd: Ruda Śląska
Zarejestrowany: 2006-03-07
Serwis

Re: ochrona przed skanowaniem nmap'a

fuck, ja tez chce uniknąć banowania

miałem SSH wpuszczone tylko przez swoje IP i dla jaj poskanowałem nmapem


DZIAŁA, banuje aż miło.
teraz musze lecieć na serwer. Super.


http://tbhthelolmaker.wordpress.com/kontakt/
<TBH> Gentoo!
<X-dos> cóz, sa ludzie ktorzy nie wiedza co robic ze swoim wolnym czasem :)

Offline

 

#9  2007-07-19 00:03:19

  grzebyk - sierściuch

grzebyk
sierściuch
Skąd: Szczerców
Zarejestrowany: 2005-10-08

Re: ochrona przed skanowaniem nmap'a

A ten moduł stealth to z tego co wyczytałem to dostepny jes po spatchowaniu kelnera łatką grsecurity. Zrobiłem sobie więc takiego spatchowanego kernela i nadal po zapodaniu regółki:

Kod:

iptables -A INPUT -m stealth -i $WAN -j DROP

mam:

Kod:

iptables v1.3.6: Couldn't load match `stealth':/lib/iptables/libipt_stealth.so: cannot open shared object file: No such file or directory
Try `iptables -h' or 'iptables --help' for more information.iptables v1.3.6: 

choć moduł jest zrobiony i tkwi w /lib/modules/2.6.19.2-grsec/kernel/net/ipv4/netfilter pod nazwą ipt_stealth.ko

ale w /lib/iptables/ nic o podobnej nazwie niema

jaka jes zależnośc pomiędzy tymi dwoma lokalizacjami modułów do iptables?


apt-get install browar-tyskie
Czytanie list pakietów... Gotowe
Budowanie drzewa zależności... Gotowe
Sugerowane pakiety: kufel walety-light

Offline

 

#10  2007-07-19 08:43:08

  kayo - Członek DUG

kayo
Członek DUG
Zarejestrowany: 2007-05-20

Re: ochrona przed skanowaniem nmap'a

fuck, ja tez chce uniknąć banowania

miałem SSH wpuszczone tylko przez swoje IP i dla jaj poskanowałem nmapem


DZIAŁA, banuje aż miło.
teraz musze lecieć na serwer. Super.[/quote]
W pliku portsentry.conf jest opcja by wykluczyć odpowiednie ip-ki z regułek portsentry


Having a Windows 95 box hooked to the internet is akin to walking naked into a prison carrying a carton of cigarettes.
-----------------
jid: kayo77//gmail.com  gg #1046710

Offline

 

#11  2007-07-19 10:49:09

  szewczyk - Stary wyjadacz :P

szewczyk
Stary wyjadacz :P
Zarejestrowany: 2006-12-03

Re: ochrona przed skanowaniem nmap'a

grzebyk >>>

po spachowaniu kenrela przez łatke z grsecurity ,przekompiluj ponownie iptables aby pobrał moduł z kernela ;)

Offline

 

#12  2007-07-22 23:36:21

  Szczur[R] - Użytkownik

Szczur[R]
Użytkownik
Skąd: Czestochowa
Zarejestrowany: 2006-03-29

Re: ochrona przed skanowaniem nmap'a


banowania chce uniknąc ,moze to wzbudzić wiekszą ciekawość ;)
[/quote]
nie bardzo rozumiem...
odpalasz i konfigurujesz odpowiednio portsentry, dodatkowo zapodajesz -j DROP dla icmp na eth ktory chcesz zabezpieczyc.

gosc zapodaje nmap xxx.xxx.xxx.xxx
wywala mu

Kod:

Note: Host seems down. If it is really up, but blocking our ping probes, try -P0

hmmm no dobra to nmap -P0 xxx.xxx.xxx.xxx
i co ? no i wlasnie nic :) nie ma takiego serwera, albo nie jest on w tej chwili uruchomiony.



wiem ze istnieją portsentry itp
[/quote]
no skoro wiesz to chyba sam sobie odpowiedziales na zadane pytanie.


w win. 2003 jest rozwiązane tak ze podczas jakiego kolwiek skanowania ,serwer nieodpowiada ,wszystkie porty są poblokowane ,niemozna rozpoznać systemu OS (usługi na serwerze maja wyjscie na swiat)
[/quote]
efekt dla agresora niemalze identyczny jak z portsentry, zapewne realizowany w nieco inny sposob.


pozdr


[url=http://dziecineo.prv.pl][img]http://sopot.i365.pl/neo/i/us4.jpg[/img][/url]

Offline

 

#13  2007-07-23 11:34:50

  BiExi - matka przelozona

BiExi
matka przelozona
Skąd: Gorlice
Zarejestrowany: 2004-04-16
Serwis

Re: ochrona przed skanowaniem nmap'a

nie weim dalczego wszyscy uparli sie na to portsentry ktore samo w sobie stanowi dziure :] (poniewaz otwiera porty)

Ja osobiscie polecam uzywanie snort'a, iestety wymaga poswiecenia duzo czasu na jego konfiguracje za to efek ejst naprawde dobry :]

Uzywajac snorta mozna uzyskac podobny efekt jak przy uzywaniu portsentry


[url=http://dug.net.pl][b]DUG[/b][/url]

Offline

 

#14  2007-07-23 11:55:46

  Szczur[R] - Użytkownik

Szczur[R]
Użytkownik
Skąd: Czestochowa
Zarejestrowany: 2006-03-29

Re: ochrona przed skanowaniem nmap'a

Zgadzam sie z Toba, niestety snort to juz faktycznie wysza szkola jazdy i moim zdaniem dla malych domowych routerkow, sieci osiedlowych, malych  ISP itd. wystarcza dobrze skonfigurowane portsentry. no chyba ze mamy zamiar zabezpieczac jakies powazne maszyny bankowe, wazne strategicznie serwery firmowe itp.


[url=http://dziecineo.prv.pl][img]http://sopot.i365.pl/neo/i/us4.jpg[/img][/url]

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)

[ Generated in 0.009 seconds, 11 queries executed ]

Informacje debugowania

Time (s) Query
0.00010 SET CHARSET latin2
0.00004 SET NAMES latin2
0.00103 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.147.80.39' WHERE u.id=1
0.00093 UPDATE punbb_online SET logged=1733365191 WHERE ident='3.147.80.39'
0.00054 SELECT * FROM punbb_online WHERE logged<1733364891
0.00059 SELECT topic_id FROM punbb_posts WHERE id=65670
0.00005 SELECT id FROM punbb_posts WHERE topic_id=8466 ORDER BY posted
0.00056 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=8466 AND t.moved_to IS NULL
0.00006 SELECT search_for, replace_with FROM punbb_censoring
0.00167 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=8466 ORDER BY p.id LIMIT 0,25
0.00090 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=8466
Total query time: 0.00647 s