IPTables & NMAP

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Rispondi
Avatar utente
Kalel
Linux 0.x
Linux 0.x
Messaggi: 25
Iscritto il: gio 2 mar 2006, 17:27

IPTables & NMAP

Messaggio da Kalel »

Salve a tutti,
ho installati nella mia macchina un Server Web, Server Mail e SSH.
Vorrei sapere se esiste un modo per "occultare" ad uno scanning sul mio host la presenza di tali servizi attivi, senza comprometterne l'utilizzo.

Pensavo di utilizzare iptables, ho letto numerosi how-to, fatti svariati tentativi,
ma se riesco ad "occultare" le porte, rendo inutilizzabile i servizi.

Sapete dirmi come fare?

Avatar utente
bruno82
Linux 1.x
Linux 1.x
Messaggi: 148
Iscritto il: lun 16 mag 2005, 0:00
Località: Palemmmo
Contatta:

Messaggio da bruno82 »

Se c'è un demone in ascolto, le porte sono aperte. Al limite le puoi filtrare per IP particolari...
io ho fatto così per filtrare le connessioni DNS, samba e CUPS provenienti da internet (e non dalla LAN):

Codice: Seleziona tutto

        iptables -A INPUT -i ppp0 -p tcp --dport 53 -j DROP
        iptables -A INPUT -i ppp0 -p udp --dport 53 -j DROP
        iptables -A INPUT -i ppp0 -p tcp --dport 137:139 -j DROP
        iptables -A INPUT -i ppp0 -p udp --dport 137:139 -j DROP
        iptables -A INPUT -i ppp0 -p tcp --dport 445 -j DROP
        iptables -A INPUT -i ppp0 -p udp --dport 445 -j DROP
        iptables -A INPUT -i ppp0 -p tcp --dport 631 -j DROP
        iptables -A INPUT -i ppp0 -p udp --dport 631 -j DROP

Avatar utente
Kalel
Linux 0.x
Linux 0.x
Messaggi: 25
Iscritto il: gio 2 mar 2006, 17:27

Messaggio da Kalel »

Quello che mi suggerisci tu è corretto, in quanto i servizi che hai filtrato sarebbe inutile utilizzarli da remoto.

Ma se io applico la tua stessa regola per ssh, non saro' piu in grado di usufruire tale servizio da remoto.

Avatar utente
bruno82
Linux 1.x
Linux 1.x
Messaggi: 148
Iscritto il: lun 16 mag 2005, 0:00
Località: Palemmmo
Contatta:

Messaggio da bruno82 »

Per SSH potresti utilizzare l'autenticazione RSA... c'è un semplice tutorial qua:
http://wiki.infopa.net/LoginAutomatico

la porta non sarà invisibile, ma almeno si potrà effettuare il login solo da postazioni "affidabili".

Avatar utente
Kalel
Linux 0.x
Linux 0.x
Messaggi: 25
Iscritto il: gio 2 mar 2006, 17:27

Messaggio da Kalel »

Proprio non esiste un modo per rendere la porta "invisibile"?

Avatar utente
sid77
Linux 3.x
Linux 3.x
Messaggi: 568
Iscritto il: mer 1 giu 2005, 0:00
Slackware: 12.0/12.1/curr (ppc)
Località: PowerPC
Contatta:

Messaggio da sid77 »

"portknocking"
ci sono un paio di daemon e manuali in giro, in pratica è una specie di inetd che lancia i servizi non alla richiesta diretta ma solo dopo una serie corretta di pacchetti inviati a porte specifiche.
certo, nel momento che sei connesso a ssh la porta è visibile, ma prima e dopo non più.

ciao

Avatar utente
albatros
Iper Master
Iper Master
Messaggi: 2093
Iscritto il: sab 4 feb 2006, 13:59
Kernel: 5.19.0
Desktop: gnome and lxqt
Distribuzione: ubuntu 22.04
Località: Darmstadt - Germania

Messaggio da albatros »

Potresti utilizzare la tecnica del "port knocking"...
C'era un articolo di Marco Ortisi sul numero di febbraio di Linux Pro...
Detto in parole povere e senza pretesa di rigore, tentando delle connessioni su una sequenza di porte dalle quali non ottieni risposta, ma i cui tentativi di accesso vengono visti dal server, ottieni l'apertura di una porta ad hoc che prima era chiusa...
C'è anche un articolo di Ortisi su un'altra tecnica, reverse shell, sul numero di marzo della stessa rivista, che ha articoli che spaziano dal banale all'avanzato...
Ho letto articoli di Ortisi anche su Linux & C. e sinceramente, come Panichi, mi pare molto preparato nel campo della sicurezza...
Gli articoli poi, pur non esaustivi, sono scritti in maniera abbastanza chiara e più che sufficiente per un primo approccio a queste tecniche...
Di questo settore me ne intendo poco, forse altri amici del forum potranno esserti di maggiore aiuto...
Comunque, se non hai la possibilità di reperire la rivista, prova a cercare in rete, sicuramente trovi qualcosa...

Avatar utente
bruno82
Linux 1.x
Linux 1.x
Messaggi: 148
Iscritto il: lun 16 mag 2005, 0:00
Località: Palemmmo
Contatta:

Messaggio da bruno82 »

wow.. che bella idea il port-knocking!! ho colto l'occasione per cercare qualcosa a riguardo!

swaret --install knock

e vi ritrovate un server (knockd) e un client (knock).

per farvi capire quanto è semplice la configurazione, vi posto il contenuto di default di /etc/knockd.conf...

Codice: Seleziona tutto

[options]
        logfile = /var/log/knockd.log

[openSSH]
        sequence    = 7000,8000,9000
        seq_timeout = 5
        command     = /usr/sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
        tcpflags    = syn

[closeSSH]
        sequence    = 9000,8000,7000
        seq_timeout = 5
        command     = /usr/sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j DROP
        tcpflags    = syn
semplice, no? con il client si "bussa" in sequenza alle porte 7000 8000 e 9000 e si apre SSH... per chiudere si fa il procedimento contrario :D

Ovviamente al boot si deve impostare iptables con politica di DROP sulle porte da proteggere con questa tecnica.

kobaiachi
Linux 4.x
Linux 4.x
Messaggi: 1368
Iscritto il: gio 14 lug 2005, 0:00
Località: roma
Contatta:

Messaggio da kobaiachi »

non pensavo che gia ci fosse un tool installabile con swaret ...
ottima notizia :D :D :D :D

Emdel
Linux 0.x
Linux 0.x
Messaggi: 56
Iscritto il: sab 29 apr 2006, 18:01
Slackware: 12.1
Località: Torino

Messaggio da Emdel »

non so se fa al caso tuo ma per rendere una porta invisibile ad uno scan informati sul wrapper :)

Rispondi