Repository 32bit  Forum
Repository 64bit  Wiki

IPTables & NMAP

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

IPTables & NMAP

Messaggioda Kalel » lun apr 24, 2006 10:48

Salve a tutti,
ho installati nella mia macchina un Server Web, Server Mail e SSH.
Vorrei sapere se esiste un modo per "occultare" ad uno scanning sul mio host la presenza di tali servizi attivi, senza comprometterne l'utilizzo.

Pensavo di utilizzare iptables, ho letto numerosi how-to, fatti svariati tentativi,
ma se riesco ad "occultare" le porte, rendo inutilizzabile i servizi.

Sapete dirmi come fare?
Avatar utente
Kalel
Linux 1.0
Linux 1.0
 
Messaggi: 25
Iscritto il: gio mar 02, 2006 17:27

Messaggioda bruno82 » lun apr 24, 2006 10:54

Se c'è un demone in ascolto, le porte sono aperte. Al limite le puoi filtrare per IP particolari...
io ho fatto così per filtrare le connessioni DNS, samba e CUPS provenienti da internet (e non dalla LAN):

Codice: Seleziona tutto
        iptables -A INPUT -i ppp0 -p tcp --dport 53 -j DROP
        iptables -A INPUT -i ppp0 -p udp --dport 53 -j DROP
        iptables -A INPUT -i ppp0 -p tcp --dport 137:139 -j DROP
        iptables -A INPUT -i ppp0 -p udp --dport 137:139 -j DROP
        iptables -A INPUT -i ppp0 -p tcp --dport 445 -j DROP
        iptables -A INPUT -i ppp0 -p udp --dport 445 -j DROP
        iptables -A INPUT -i ppp0 -p tcp --dport 631 -j DROP
        iptables -A INPUT -i ppp0 -p udp --dport 631 -j DROP
Avatar utente
bruno82
Linux 2.0
Linux 2.0
 
Messaggi: 148
Iscritto il: dom mag 15, 2005 23:00
Località: Palemmmo

Messaggioda Kalel » lun apr 24, 2006 11:06

Quello che mi suggerisci tu è corretto, in quanto i servizi che hai filtrato sarebbe inutile utilizzarli da remoto.

Ma se io applico la tua stessa regola per ssh, non saro' piu in grado di usufruire tale servizio da remoto.
Avatar utente
Kalel
Linux 1.0
Linux 1.0
 
Messaggi: 25
Iscritto il: gio mar 02, 2006 17:27

Messaggioda bruno82 » lun apr 24, 2006 11:19

Per SSH potresti utilizzare l'autenticazione RSA... c'è un semplice tutorial qua:
http://wiki.infopa.net/LoginAutomatico

la porta non sarà invisibile, ma almeno si potrà effettuare il login solo da postazioni "affidabili".
Avatar utente
bruno82
Linux 2.0
Linux 2.0
 
Messaggi: 148
Iscritto il: dom mag 15, 2005 23:00
Località: Palemmmo

Messaggioda Kalel » lun apr 24, 2006 11:23

Proprio non esiste un modo per rendere la porta "invisibile"?
Avatar utente
Kalel
Linux 1.0
Linux 1.0
 
Messaggi: 25
Iscritto il: gio mar 02, 2006 17:27

Messaggioda sid77 » lun apr 24, 2006 13:26

"portknocking"
ci sono un paio di daemon e manuali in giro, in pratica è una specie di inetd che lancia i servizi non alla richiesta diretta ma solo dopo una serie corretta di pacchetti inviati a porte specifiche.
certo, nel momento che sei connesso a ssh la porta è visibile, ma prima e dopo non più.

ciao
Avatar utente
sid77
Linux 2.6
Linux 2.6
 
Messaggi: 568
Iscritto il: mar mag 31, 2005 23:00
Località: PowerPC
Slackware: 12.0/12.1/curr (ppc)

Messaggioda albatros » lun apr 24, 2006 13:39

Potresti utilizzare la tecnica del "port knocking"...
C'era un articolo di Marco Ortisi sul numero di febbraio di Linux Pro...
Detto in parole povere e senza pretesa di rigore, tentando delle connessioni su una sequenza di porte dalle quali non ottieni risposta, ma i cui tentativi di accesso vengono visti dal server, ottieni l'apertura di una porta ad hoc che prima era chiusa...
C'è anche un articolo di Ortisi su un'altra tecnica, reverse shell, sul numero di marzo della stessa rivista, che ha articoli che spaziano dal banale all'avanzato...
Ho letto articoli di Ortisi anche su Linux & C. e sinceramente, come Panichi, mi pare molto preparato nel campo della sicurezza...
Gli articoli poi, pur non esaustivi, sono scritti in maniera abbastanza chiara e più che sufficiente per un primo approccio a queste tecniche...
Di questo settore me ne intendo poco, forse altri amici del forum potranno esserti di maggiore aiuto...
Comunque, se non hai la possibilità di reperire la rivista, prova a cercare in rete, sicuramente trovi qualcosa...
Avatar utente
albatros
Iper Master
Iper Master
 
Messaggi: 2056
Iscritto il: sab feb 04, 2006 13:59
Località: 43°52' N 11°32' E
Slackware: current 64bit
Kernel: 3.8.4
Distribuzione: ubuntu 12.04

Messaggioda bruno82 » lun apr 24, 2006 13:53

wow.. che bella idea il port-knocking!! ho colto l'occasione per cercare qualcosa a riguardo!

swaret --install knock

e vi ritrovate un server (knockd) e un client (knock).

per farvi capire quanto è semplice la configurazione, vi posto il contenuto di default di /etc/knockd.conf...

Codice: Seleziona tutto
[options]
        logfile = /var/log/knockd.log

[openSSH]
        sequence    = 7000,8000,9000
        seq_timeout = 5
        command     = /usr/sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
        tcpflags    = syn

[closeSSH]
        sequence    = 9000,8000,7000
        seq_timeout = 5
        command     = /usr/sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j DROP
        tcpflags    = syn


semplice, no? con il client si "bussa" in sequenza alle porte 7000 8000 e 9000 e si apre SSH... per chiudere si fa il procedimento contrario :D

Ovviamente al boot si deve impostare iptables con politica di DROP sulle porte da proteggere con questa tecnica.
Avatar utente
bruno82
Linux 2.0
Linux 2.0
 
Messaggi: 148
Iscritto il: dom mag 15, 2005 23:00
Località: Palemmmo

Messaggioda kobaiachi » lun apr 24, 2006 20:41

non pensavo che gia ci fosse un tool installabile con swaret ...
ottima notizia :D :D :D :D
kobaiachi
Linux 3.x
Linux 3.x
 
Messaggi: 1368
Iscritto il: mer lug 13, 2005 23:00
Località: roma

Messaggioda Emdel » sab lug 29, 2006 16:03

non so se fa al caso tuo ma per rendere una porta invisibile ad uno scan informati sul wrapper :)
Emdel
Linux 1.0
Linux 1.0
 
Messaggi: 56
Iscritto il: sab apr 29, 2006 17:01
Località: Torino
Slackware: 12.1


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: GeraldCync e 1 ospite