vedekezes portscan ellen

1999. Jan. 8., P, 11:43:25 CET

Sziasztok!

> >Kovetkezo lenne a kerdes/feladat:
> >
> >Vannak azon portok, amelyekre a kutya sem figyel, ha pl "ratelnetelek" az
> >1111 portra akkor "Unable to connect to remote host: Connection refused"
> >uzenetet kapok. Azokon a portokon, melyekre viszont figyelnek, ha
> >ramegyek, felepul a socket es az aktualis program elbeszelget velem...
> >
> >A portscan ezekre vadaszik....
> >
> >ha valaki portscanneli a gepemet, akkor vele is elkezd beszelgeti az sshd,
> >aztan rajon, hogy onnan nem is szabad bejonni es elkuldi a csavot
> >en viszont azt szeretnem, hogy ha ramegy az 1234 portra, akkor pont ugy
> >ne kapjon semmit, mintha ott tenyleg nem is figyelne senki...

Ha mar itt tartunk, kerdes mivel portscanneli, merthogy nekem az nmap 2.0
hatasara oly gyonyoruen latszott, hogy mi van a gepen, de a kutya nem szolt
hogy portscan volt, pedig be van allitva a sysctl net.inet.tcp.log_in_vain
es a net.inet.udp.log_in_vain is egyre.  Csak a kozonseges, normal connect
scan-re nyekergett, de arra aztan rendesen.  Az altalam kiprobalt par
stealth (vagy hogy is kene irni) lopakodo scan-nek nem latszottak.  De ha
valaki okosabb, es tud olyan lehetosegeket a ...log_in_vain-en kivul, amivel
a BSD-n lehet ilyeneket figyeltetni (es nem valami csodarouteren), akkor
orulnek.

> >
> >a tcp wrapper az nem tunik erre jonak :(((

No ket kerdesem van (ami tobb is lehet)
1) nem vagyok otthon tcpd-ben, ugyhogy nem tudom, de tenyleg nincs olyan
lehetoseg ra, hogy ha nem te vagy akkor "drop" legyen (a lenti szohasznalat
szerint)?

> Szerintem az ipfw jo megoldas lehet erre. Ott le tudod
> szabalyozni, hogy kivel beszelgessen es kivel ne. Azt is
> be tudod allitani, hogy mi menjen vissza:
> - deny 
> - drop (semmi)
> 
> A drop peldaul eleg jo mert egyaltalan nem derul ki, hogy
> azon a porton figyelnek.

2) Az elozo hozzaszolo milyen verzioju BSD-t hasznal?  Es ez valakinel
tenyleg igy megy?  Nekem 2.2.7-en az ipfw man-ja szerint: drop is an alias
to deny.  Annyira, hogy kiprobaltam, es tok mindegy, hogy 
ipfw delete 1
ipfw add 1 deny tcp from egyikgep to any smtp
vagy akar
ipfw delete 1
ipfw add 1 drop tcp from egyikgep to any smtp
mindket esetben ugyanazt irja ki:
00001 deny tcp from X.Y.U.V to any 25
es raadasul ugyanugy is mukodik :-(, permission denied, nem pedig az a
bizonyos connection refused.  Nomost ha ez az enyemnel ujabb verziokban is
igy van, akkor van egy tippem, Darren Reed ipfiltere tudtommal _tenyleg_ tud
deny/drop konstrukciot.  (Bar nem szerettem nagyon a szintaxisat amikor
utoljara lattam.)

ZGabor at CoDe dot HU

Ui: es mi van a HUMBUG-gal?  Mintha tavaly egy kicsit elmaradt volna

-- 
#!/bin/ksh
Z='21N16I25C25E30, 40M30E33E25T15U!' ;IFS=' ABCDEFGHIJKLMNOPQRSTUVWXYZ ';set $Z ;for i { [[ $i = ? ]]&&print $i&&break;[[ $i = ??? ]]&&j=$i&&i=${i%?};typeset -i40 i=8#$i;print -n ${i#???};[[ "$j" = ??? ]]&&print -n "${j#??} "&&j=;typeset +i i;};IFS=' 0123456789 ';set $Z;X=;for i { [[ $i = , ]]&&i=2;[[ $i = ?? ]]||typeset -l i;X="$X $i";typeset +l i;};print "$X"