Salve a tutti,
ho installati nella mia macchina un Server Web, Server Mail e SSH.
Vorrei sapere se esiste un modo per "occultare" ad uno scanning sul mio host la presenza di tali servizi attivi, senza comprometterne l'utilizzo.
Pensavo di utilizzare iptables, ho letto numerosi how-to, fatti svariati tentativi,
ma se riesco ad "occultare" le porte, rendo inutilizzabile i servizi.
Sapete dirmi come fare?
IPTables & NMAP
Moderatore: Staff
Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Citare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza dell'ultima regola porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Citare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza dell'ultima regola porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
10 messaggi
• Pagina 1 di 1
IPTables & NMAP
da Kalel » lun apr 24, 2006 11:48
-
Kalel - Linux 1.0
- Messaggi: 25
- Iscritto il: gio mar 02, 2006 18:27
da bruno82 » lun apr 24, 2006 11:54
Se c'è un demone in ascolto, le porte sono aperte. Al limite le puoi filtrare per IP particolari...
io ho fatto così per filtrare le connessioni DNS, samba e CUPS provenienti da internet (e non dalla LAN):
io ho fatto così per filtrare le connessioni DNS, samba e CUPS provenienti da internet (e non dalla LAN):
- Codice: Seleziona tutto
iptables -A INPUT -i ppp0 -p tcp --dport 53 -j DROP
iptables -A INPUT -i ppp0 -p udp --dport 53 -j DROP
iptables -A INPUT -i ppp0 -p tcp --dport 137:139 -j DROP
iptables -A INPUT -i ppp0 -p udp --dport 137:139 -j DROP
iptables -A INPUT -i ppp0 -p tcp --dport 445 -j DROP
iptables -A INPUT -i ppp0 -p udp --dport 445 -j DROP
iptables -A INPUT -i ppp0 -p tcp --dport 631 -j DROP
iptables -A INPUT -i ppp0 -p udp --dport 631 -j DROP
-
bruno82 - Linux 2.0
- Messaggi: 148
- Iscritto il: lun mag 16, 2005 0:00
- Località: Palemmmo
da Kalel » lun apr 24, 2006 12:06
Quello che mi suggerisci tu è corretto, in quanto i servizi che hai filtrato sarebbe inutile utilizzarli da remoto.
Ma se io applico la tua stessa regola per ssh, non saro' piu in grado di usufruire tale servizio da remoto.
Ma se io applico la tua stessa regola per ssh, non saro' piu in grado di usufruire tale servizio da remoto.
-
Kalel - Linux 1.0
- Messaggi: 25
- Iscritto il: gio mar 02, 2006 18:27
da bruno82 » lun apr 24, 2006 12:19
Per SSH potresti utilizzare l'autenticazione RSA... c'è un semplice tutorial qua:
http://wiki.infopa.net/LoginAutomatico
la porta non sarà invisibile, ma almeno si potrà effettuare il login solo da postazioni "affidabili".
http://wiki.infopa.net/LoginAutomatico
la porta non sarà invisibile, ma almeno si potrà effettuare il login solo da postazioni "affidabili".
-
bruno82 - Linux 2.0
- Messaggi: 148
- Iscritto il: lun mag 16, 2005 0:00
- Località: Palemmmo
da sid77 » lun apr 24, 2006 14:26
"portknocking"
ci sono un paio di daemon e manuali in giro, in pratica è una specie di inetd che lancia i servizi non alla richiesta diretta ma solo dopo una serie corretta di pacchetti inviati a porte specifiche.
certo, nel momento che sei connesso a ssh la porta è visibile, ma prima e dopo non più.
ciao
ci sono un paio di daemon e manuali in giro, in pratica è una specie di inetd che lancia i servizi non alla richiesta diretta ma solo dopo una serie corretta di pacchetti inviati a porte specifiche.
certo, nel momento che sei connesso a ssh la porta è visibile, ma prima e dopo non più.
ciao
-
sid77 - Linux 2.6
- Messaggi: 568
- Iscritto il: mer giu 01, 2005 0:00
- Località: PowerPC
- Slackware: 12.0/12.1/curr (ppc)
da albatros » lun apr 24, 2006 14:39
Potresti utilizzare la tecnica del "port knocking"...
C'era un articolo di Marco Ortisi sul numero di febbraio di Linux Pro...
Detto in parole povere e senza pretesa di rigore, tentando delle connessioni su una sequenza di porte dalle quali non ottieni risposta, ma i cui tentativi di accesso vengono visti dal server, ottieni l'apertura di una porta ad hoc che prima era chiusa...
C'è anche un articolo di Ortisi su un'altra tecnica, reverse shell, sul numero di marzo della stessa rivista, che ha articoli che spaziano dal banale all'avanzato...
Ho letto articoli di Ortisi anche su Linux & C. e sinceramente, come Panichi, mi pare molto preparato nel campo della sicurezza...
Gli articoli poi, pur non esaustivi, sono scritti in maniera abbastanza chiara e più che sufficiente per un primo approccio a queste tecniche...
Di questo settore me ne intendo poco, forse altri amici del forum potranno esserti di maggiore aiuto...
Comunque, se non hai la possibilità di reperire la rivista, prova a cercare in rete, sicuramente trovi qualcosa...
C'era un articolo di Marco Ortisi sul numero di febbraio di Linux Pro...
Detto in parole povere e senza pretesa di rigore, tentando delle connessioni su una sequenza di porte dalle quali non ottieni risposta, ma i cui tentativi di accesso vengono visti dal server, ottieni l'apertura di una porta ad hoc che prima era chiusa...
C'è anche un articolo di Ortisi su un'altra tecnica, reverse shell, sul numero di marzo della stessa rivista, che ha articoli che spaziano dal banale all'avanzato...
Ho letto articoli di Ortisi anche su Linux & C. e sinceramente, come Panichi, mi pare molto preparato nel campo della sicurezza...
Gli articoli poi, pur non esaustivi, sono scritti in maniera abbastanza chiara e più che sufficiente per un primo approccio a queste tecniche...
Di questo settore me ne intendo poco, forse altri amici del forum potranno esserti di maggiore aiuto...
Comunque, se non hai la possibilità di reperire la rivista, prova a cercare in rete, sicuramente trovi qualcosa...
-
albatros - Iper Master
- Messaggi: 2050
- Iscritto il: sab feb 04, 2006 14:59
- Località: 43°52' N 11°32' E
- Slackware: current 64bit
- Kernel: 3.8.4
- Distribuzione: ubuntu 12.04
da bruno82 » lun apr 24, 2006 14:53
wow.. che bella idea il port-knocking!! ho colto l'occasione per cercare qualcosa a riguardo!
swaret --install knock
e vi ritrovate un server (knockd) e un client (knock).
per farvi capire quanto è semplice la configurazione, vi posto il contenuto di default di /etc/knockd.conf...
semplice, no? con il client si "bussa" in sequenza alle porte 7000 8000 e 9000 e si apre SSH... per chiudere si fa il procedimento contrario
Ovviamente al boot si deve impostare iptables con politica di DROP sulle porte da proteggere con questa tecnica.
swaret --install knock
e vi ritrovate un server (knockd) e un client (knock).
per farvi capire quanto è semplice la configurazione, vi posto il contenuto di default di /etc/knockd.conf...
- Codice: Seleziona tutto
[options]
logfile = /var/log/knockd.log
[openSSH]
sequence = 7000,8000,9000
seq_timeout = 5
command = /usr/sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
tcpflags = syn
[closeSSH]
sequence = 9000,8000,7000
seq_timeout = 5
command = /usr/sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j DROP
tcpflags = syn
semplice, no? con il client si "bussa" in sequenza alle porte 7000 8000 e 9000 e si apre SSH... per chiudere si fa il procedimento contrario
Ovviamente al boot si deve impostare iptables con politica di DROP sulle porte da proteggere con questa tecnica.
-
bruno82 - Linux 2.0
- Messaggi: 148
- Iscritto il: lun mag 16, 2005 0:00
- Località: Palemmmo
10 messaggi
• Pagina 1 di 1
Chi c’è in linea
Visitano il forum: Nessuno e 1 ospite