The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

Активное противодействие сканированию портов
Имеется сервер на нем ssh и web. Ниже приведён простой пример правил для
блокирования на определенное время IP, обратившегося по неактивному номеру порта.

   iptables -P INPUT DROP
   iptables -P OUTPUT DROP
   iptables -P FORWARD DROP

   iptables -A INPUT -p all -i lo -j ACCEPT
   iptables -A OUTPUT -p all -o lo -j ACCEPT

   # любой пакет идущий на не 22,80 порт блокируется с ip адресом отправившим его на 120 секунд, 
   # на 120 секунд блокируется все пакеты с этого ip, тем самым предотвращается сканирование портов
   iptables -A INPUT -m recent --rcheck --seconds 120 --name FUCKOFF -j DROP
   iptables -A INPUT -p tcp -m multiport ! --dports 22,80 -m recent --set --name FUCKOFF -j DROP

   iptables -A INPUT -p tcp --syn --dport 22 -j ACCEPT
   iptables -A INPUT -p tcp --syn --dport 80 -j ACCEPT
   iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
   iptables -A OUTPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT


Теперь nmap -sV ip не выдаст ничего и  если какой нибудь демон повесить на
нестандартный порт, его будет не так просто обнаружить.
 
18.01.2010 , Автор: Владимир , Источник: http://linux-online-ru.blogspot.com...
Ключи: iptables, linux, port, firewall, block, security / Лицензия: CC-BY
Раздел:    Корень / Администратору / Сетевая подсистема, маршрутизация / Пакетные фильтры и фаерволы / Пакетные фильтры в Linux: iptables, ipchains

Обсуждение [ Линейный режим | Показать все | RSS ]
 
  • 1.1, фейри (?), 12:08, 18/01/2010 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    Таким же образом защищаем сеть за роутером.
     
  • 1.2, Новодворская (?), 12:16, 18/01/2010 [ответить] [показать ветку] [···]    [к модератору]
  • +/
       iptables -P INPUT DROP
       iptables -P OUTPUT DROP
       iptables -P FORWARD DROP

    это просто фееричный пинцет...

     
     
  • 2.12, Andrey Mitrofanov (?), 20:38, 18/01/2010 [^] [ответить]    [к модератору]
  • +/
    Вас очень смущает http:/openforum/vsluhforumID10/4466.html#7 то, что вы чего-то http:/openforum/vsluhforumID10/4466.html#11 не понимаете, и Вы хотите об этом пого^Wвсем нам рассказать?
     
     
  • 3.31, що (?), 02:41, 15/06/2010 [^] [ответить]    [к модератору]
  • +/
    ну какбэ и школьник понимает что остальные правила просто не будут отрабатыватсья после пинцета
     
  • 1.3, adm (??), 12:39, 18/01/2010 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    спасибо пригодится
     
  • 1.4, Pahanivo (ok), 14:05, 18/01/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    ...
    и пареллельно ГЛУШИМ ВЕСЬ АКТИВНЫЙ FTP, и спустя пару месяцев сильно и долго удивляемся почему глючит эфтипишник ))
    некоторые типы ICMP надо бы тоже пропускать чтобы не разводить тараканов на пустом месте ...
     
     
  • 2.5, Аноним (-), 14:15, 18/01/2010 [^] [ответить]    [к модератору]  
  • +/
    в каком году уважаемый видел последний раз фтп сервер в активном режиме?
     
     
  • 3.7, Pahanivo (ok), 15:35, 18/01/2010 [^] [ответить]    [к модератору]  
  • +/
    >в каком году уважаемый видел последний раз фтп сервер в активном режиме?
    >

    ежедневно, просто щас много народу торчит в сеть напрямую с паблик айпи и проблема не такая явная, но она сеть )

     
     
  • 4.9, KdF (??), 16:59, 18/01/2010 [^] [ответить]    [к модератору]  
  • +/
    Да-да, особенно если учесть дыру в хелпере активного FTP в netfilter и других stateful-фильтрах, приводящую к пробросу портов во внутреннюю сеть, можно пожелать удачи в использовании активного FTP и дальше.
     
     
  • 5.13, Andrey Mitrofanov (?), 20:49, 18/01/2010 [^] [ответить]    [к модератору]  
  • +/
    >FTP в netfilter и других stateful-фильтрах, приводящую к пробросу портов во внутреннюю сеть

    Не просветите ссылочкой? Желательно с рецензией кого из авторой netfilter (ну, на худой какого "другого stateful-фильтра") -- мол, признаю, да, есть, работает при таких-то условиях. Статья на LWN, kernelnewbies, обсуждениев LKML - тоже подойдёт. Прошу! Желательно не из прошлого :> века, не "сенсационные результаты британских учёных"?

     
     
  • 6.19, pavlinux (ok), 15:12, 19/01/2010 [^] [ответить]    [к модератору]  
  • +/
    >>FTP в netfilter и других stateful-фильтрах, приводящую к пробросу портов во внутреннюю сеть
    >
    >Не просветите ссылочкой? Желательно с рецензией кого из авторой netfilter (ну, на худой какого "другого stateful-фильтра") -- мол, признаю, да, есть, работает при таких-то условиях. Статья на LWN, kernelnewbies, обсуждениев LKML - тоже подойдёт. Прошу! Желательно не из прошлого :> века, не "сенсационные результаты британских учёных"?

    Ты чаво, такую тему пропустил!!! Пред Новым годом было

    http://www.opennet.ru/opennews/art.shtml?num=24832

     
     
  • 7.21, Andrey Mitrofanov (?), 19:22, 19/01/2010 [^] [ответить]    [к модератору]  
  • +/
    >Ты чаво, такую тему пропустил!!! Пред Новым годом было

    Угу, прощёлкал... Видимо принял за британских учёных с фороникса. :/

     
  • 2.10, User294 (ok), 18:46, 18/01/2010 [^] [ответить]    [к модератору]  
  • +/
    >и пареллельно ГЛУШИМ ВЕСЬ АКТИВНЫЙ FTP,

    И весь софт динамически использующий порты, типа SIPов всяких. Guide забавен но чреват побочными эффектами, при том еще большой вопрос от кого будет хуже - от этих спецэффектов или от сканов портов (а собственно какой от них вред, по большому счетй?).

     
     
  • 3.17, Pahanivo (ok), 14:46, 19/01/2010 [^] [ответить]    [к модератору]  
  • +/
    >>и пареллельно ГЛУШИМ ВЕСЬ АКТИВНЫЙ FTP,
    >
    >И весь софт динамически использующий порты, типа SIPов всяких. Guide забавен но
    >чреват побочными эффектами, при том еще большой вопрос от кого будет
    >хуже - от этих спецэффектов или от сканов портов (а собственно
    >какой от них вред, по большому счетй?).

    ны дык я привел самый распространненый и злободневный пример ))
    изначально понятно что данный метод параноя на гране маразма ...

     
  • 1.6, pavlinux (ok), 15:29, 18/01/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > iptables -P OUTPUT DROP

    Угу...

     
  • 1.8, pavlinux (ok), 16:35, 18/01/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    nmap -f -sSV 192.168.20.1 -e eth1 -P0 -p 109-112  -S 192.168.20.2 --ip-options "\x44\x24\x05\x03\192\168\20\1\x00*4\127\0\0\1\x00*4\127\0\0\1\x00*4\127\0\0\1\x00*4" --send-eth;

    Interesting ports on 192.168.20.1:
    PORT    STATE    SERVICE VERSION
    109/tcp closed   pop2
    110/tcp closed   pop3
    111/tcp [b]filtered[/b] rpcbind
    112/tcp closed   mcidas
    MAC Address: 00:A0:D1:53:B0:EA (Inventec)

    Опа, фильтрует...

     
  • 1.11, Square (ok), 20:04, 18/01/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    # любой пакет идущий на не 22,80 порт блокируется с ip адресом отправившим его на 120 секунд,
       # на 120 секунд блокируется все пакеты с этого ip, тем самым предотвращается сканирование портов
      
    и отправив пакет от имени этого адреса - легко организуем DOS для него
     
  • 1.14, Egenius (??), 12:21, 19/01/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Не понимаю зачем так изощряться, а не сделать проще - сначала открыть все необходимые порты, а затем последним правилом отбрасывать всё, что не разрешено, например таким правилом: [code]-A INPUT -j REJECT --reject-with icmp-host-prohibited
    "[/code]
     
  • 1.15, ffsdmad (ok), 12:32, 19/01/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Интересный пример, с точки зрения применения модуля -m recent --rcheck --seconds 120 --name FUCKOFF

    но как смысл в блокировании на 120 секунд того кто ломится на не открытый порт?

     
     
  • 2.16, Andrey Mitrofanov (?), 13:29, 19/01/2010 [^] [ответить]    [к модератору]  
  • +/
    >Интересный пример
    >но как смысл в

    Если Вы почитаете страничку (google.ru + "-m recent") модуля recent, то с удивлением узнаете, что:
    1/ это штатное его применение описанное автором---
    2/ смысл не в "блокировании" просто абы кого, а блокировании тех, кто, типа, ломился (более трёх раз за 120с)+++

     
     
  • 3.18, pavlinux (ok), 14:56, 19/01/2010 [^] [ответить]    [к модератору]  
  • +/
    > (более трёх раз за 120с)

    1. А где написано про "более трёх раз"?
    2.   --hitcount 3 надо добавлять
    3. И не раз, а не более x TCP пакетов c флагом NEW

    А при сканировании можно ведь и не указывать NEW  

    А так же есть ip spoofing  указав, например

    for ((i=192; i < 224; i++)); do for ((j=1; i < 255; i++)); do nmap -sSRV 77.234.201.242 -p 1-35 -S 77.234.$i.$j -e eth0 -P0 --send-eth -mtu 8 -f; done; done;

    Повесим opennet и за компанию весь Saint-Petersburg State University of Information Technologies.

     
     
  • 4.20, Аноним (-), 17:35, 19/01/2010 [^] [ответить]     [к модератору]  
  • +/
    Вам для этого нужно быть в одной подсети с ними, либо надеяться на тупость всех ... весь текст скрыт [показать]
     
     
  • 5.24, syd (?), 11:36, 20/01/2010 [^] [ответить]    [к модератору]  
  • +/
    Ха! Это вам надо надеяться на вменяемость всех транзитных провайдеров, что они не пропустят пакеты с подложными адресами.
    По сабжу - параноидальный бред, который рождает кучу гемороя.
     
  • 2.23, adm (??), 21:56, 19/01/2010 [^] [ответить]    [к модератору]  
  • +/
    Смысл в сокрытии демона, статья помечена такой меткой в блоге :)
    альтернативный пример использования описаного метода
    sshd вешаем на нестандартный порт 5173
    прописываем такие правила
    iptables -A INPUT -m recent --rcheck --seconds 180 --name FUCKOFF -j DROP
    iptables -A INPUT -p tcp ! --dports 5173 -m recent --set --name FUCKOFF -j DROP

    теперь почти не реально узнать есть ли на удаленной хосте что  нибудь или нет

     
     
  • 3.26, reminux (?), 23:22, 20/01/2010 [^] [ответить]    [к модератору]  
  • +/
    Хорошо придумано.
    Но по-моему можно еще проще: вторую строку записать как

    iptables -A INPUT -m recent --set --name FUCKOFF -j DROP

    и поставить в самом конце цепочки INPUT. Тогда все пакеты, которые не были пойманы ни одним вышестоящим правилом, будут попадать на нее. И не надо будет возиться с исключениями вида "! --dport 5173".

     
  • 3.28, OSO (ok), 22:20, 21/01/2010 [^] [ответить]    [к модератору]  
  • +/
    Вам же сказали про пинцет под названием REJECT
     
  • 1.22, Basiley (ok), 21:27, 19/01/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    изобретаем PSAD ?
    или что-то типа FWSnort ?
    автору - поставьте задачу ТОЧНЕЕ, пожалуйста.
     
     
  • 2.25, koffu (??), 22:39, 20/01/2010 [^] [ответить]    [к модератору]  
  • +/
    >изобретаем PSAD ?
    >или что-то типа FWSnort ?
    >автору - поставьте задачу ТОЧНЕЕ, пожалуйста.

    У себя так делаю, только на 22м порту с MaxAuthTries 1 и --syn --hitcount 2 --seconds 500 -j DROP
    а перед ним --state ESTABLISHED,RELATED -j ACCEPT

    А еще можно поизвращаться в виде сброса 60% пакетов.

    Есть также есть технология port knocking.

     
     
  • 3.29, Basiley (ok), 22:46, 21/01/2010 [^] [ответить]    [к модератору]  
  • +/
    IMHO, агрессивно(не в смысле включения контратак(поддерживается но не рекомендуется и это ТруЪ), а в смысле чувствительности)настроенный PSAD - закрывает 80% ниболее зло..х проблем.
    вместе с блэклистами сетей из известных ресурсов и proxy-файрволом(внумчиво настроив анализ содержимого(!!)пакетов в последних) - нешуточно облегчает жизнь.

    про "поизвращаться" - если есть ресурсы(хотя бы 1(один прописью)ненужный неновый ПК), можно редиректить все в "песочницу" отдельного хоста с лютой эмуляцией "прогиба" внутри и генерацией(заведомо интересных)ресурсво "на лету".
    как опция - в песочницу QEMU/EMC VMWare чтонить подобное бросить.

     
     
  • 4.30, Аноним (-), 02:00, 23/01/2010 [^] [ответить]    [к модератору]  
  • +/
    Мсье знает толк в извращениях...
     
  • 1.32, Аноним (32), 17:30, 25/07/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Можно использовать аддон - http://sysadm.pp.ua/linux/xtables-addons.html
     
  • 1.33, agubernatorov (?), 20:34, 11/09/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Так же можно использовать psad (http://sysadm.pp.ua/linux/xtables-addons.html) или же это — http://sysadm.pp.ua/linux/iptables-antiscan.html
     

    Ваш комментарий
    Имя:         
    E-Mail:      
    Заголовок:
    Текст:



      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor