Pagina 1 di 1

IPTables & NMAP

Inviato: lun apr 24, 2006 11:48
da Kalel
Salve a tutti,
ho installati nella mia macchina un Server Web, Server Mail e SSH.
Vorrei sapere se esiste un modo per "occultare" ad uno scanning sul mio host la presenza di tali servizi attivi, senza comprometterne l'utilizzo.

Pensavo di utilizzare iptables, ho letto numerosi how-to, fatti svariati tentativi,
ma se riesco ad "occultare" le porte, rendo inutilizzabile i servizi.

Sapete dirmi come fare?

Inviato: lun apr 24, 2006 11:54
da bruno82
Se c'è un demone in ascolto, le porte sono aperte. Al limite le puoi filtrare per IP particolari...
io ho fatto così per filtrare le connessioni DNS, samba e CUPS provenienti da internet (e non dalla LAN):

Codice: Seleziona tutto

        iptables -A INPUT -i ppp0 -p tcp --dport 53 -j DROP
        iptables -A INPUT -i ppp0 -p udp --dport 53 -j DROP
        iptables -A INPUT -i ppp0 -p tcp --dport 137:139 -j DROP
        iptables -A INPUT -i ppp0 -p udp --dport 137:139 -j DROP
        iptables -A INPUT -i ppp0 -p tcp --dport 445 -j DROP
        iptables -A INPUT -i ppp0 -p udp --dport 445 -j DROP
        iptables -A INPUT -i ppp0 -p tcp --dport 631 -j DROP
        iptables -A INPUT -i ppp0 -p udp --dport 631 -j DROP

Inviato: lun apr 24, 2006 12:06
da Kalel
Quello che mi suggerisci tu è corretto, in quanto i servizi che hai filtrato sarebbe inutile utilizzarli da remoto.

Ma se io applico la tua stessa regola per ssh, non saro' piu in grado di usufruire tale servizio da remoto.

Inviato: lun apr 24, 2006 12:19
da bruno82
Per SSH potresti utilizzare l'autenticazione RSA... c'è un semplice tutorial qua:
http://wiki.infopa.net/LoginAutomatico

la porta non sarà invisibile, ma almeno si potrà effettuare il login solo da postazioni "affidabili".

Inviato: lun apr 24, 2006 12:23
da Kalel
Proprio non esiste un modo per rendere la porta "invisibile"?

Inviato: lun apr 24, 2006 14:26
da sid77
"portknocking"
ci sono un paio di daemon e manuali in giro, in pratica è una specie di inetd che lancia i servizi non alla richiesta diretta ma solo dopo una serie corretta di pacchetti inviati a porte specifiche.
certo, nel momento che sei connesso a ssh la porta è visibile, ma prima e dopo non più.

ciao

Inviato: lun apr 24, 2006 14:39
da albatros
Potresti utilizzare la tecnica del "port knocking"...
C'era un articolo di Marco Ortisi sul numero di febbraio di Linux Pro...
Detto in parole povere e senza pretesa di rigore, tentando delle connessioni su una sequenza di porte dalle quali non ottieni risposta, ma i cui tentativi di accesso vengono visti dal server, ottieni l'apertura di una porta ad hoc che prima era chiusa...
C'è anche un articolo di Ortisi su un'altra tecnica, reverse shell, sul numero di marzo della stessa rivista, che ha articoli che spaziano dal banale all'avanzato...
Ho letto articoli di Ortisi anche su Linux & C. e sinceramente, come Panichi, mi pare molto preparato nel campo della sicurezza...
Gli articoli poi, pur non esaustivi, sono scritti in maniera abbastanza chiara e più che sufficiente per un primo approccio a queste tecniche...
Di questo settore me ne intendo poco, forse altri amici del forum potranno esserti di maggiore aiuto...
Comunque, se non hai la possibilità di reperire la rivista, prova a cercare in rete, sicuramente trovi qualcosa...

Inviato: lun apr 24, 2006 14:53
da bruno82
wow.. che bella idea il port-knocking!! ho colto l'occasione per cercare qualcosa a riguardo!

swaret --install knock

e vi ritrovate un server (knockd) e un client (knock).

per farvi capire quanto è semplice la configurazione, vi posto il contenuto di default di /etc/knockd.conf...

Codice: Seleziona tutto

[options]
        logfile = /var/log/knockd.log

[openSSH]
        sequence    = 7000,8000,9000
        seq_timeout = 5
        command     = /usr/sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
        tcpflags    = syn

[closeSSH]
        sequence    = 9000,8000,7000
        seq_timeout = 5
        command     = /usr/sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j DROP
        tcpflags    = syn


semplice, no? con il client si "bussa" in sequenza alle porte 7000 8000 e 9000 e si apre SSH... per chiudere si fa il procedimento contrario :D

Ovviamente al boot si deve impostare iptables con politica di DROP sulle porte da proteggere con questa tecnica.

Inviato: lun apr 24, 2006 21:41
da kobaiachi
non pensavo che gia ci fosse un tool installabile con swaret ...
ottima notizia :D :D :D :D

Inviato: sab lug 29, 2006 17:03
da Emdel
non so se fa al caso tuo ma per rendere una porta invisibile ad uno scan informati sul wrapper :)