vedekezes portscan ellen

Zahemszky Gabor zgabor at CoDe.hu
1999. Feb. 26., P, 14:01:52 CET


Szevasztok!

Egy kicsit keson valaszolok egy talan mar regen befejezett thread-re, de talan
meg nem keso.  Kiprobalva a dolgot, nekem ugy tunik van megoldas (gyengebbek
kedveert, az volt a kerdes, ki lehet-e jatszani egy portscannert ugy, hogy noha
van a gepen ssh, ugy nezzen ki, mintha nem lenne).  Szoval egyre inkabb ugy
tunik, ipfw reset a megoldas, valami ilyen formaban:

ipfw add X allow tcp from ismert_gep_1 to lokalisgep ssh
ipfw add X+1 allow tcp from ismert_gep_2 to lokalisgep ssh
ipfw add X+2 reset tcp from any to lokalisgep ssh

Esetleg nem allow, hanem skipto mondjuk X+3-ra, hatha mas szabalyokkal is bele
akarsz szolni az eletebe.  (De akkor kesobb engedelyezni is kell valamivel.)
Erdekes modon, ha lokalisan probaltam meg, akkor a nemletezo portnal
connection refused, a fw-vel levedett portnal meg permission denied
a valasz.  Ha masik geprol probaltam a nagyvilagbol, akkor ugyanaz lett az
eredmeny: refused.

Es meg valami: emlegettem, hogy a stealth scan technikakat hasznalo modszerek
sajnos sysctl net.inet.tcp|udp.log_in_vain 1-be allitasa eseten sem jelennek meg
a logokban.  Meglepo modon a kinti sec. listarol kapott levelek kozott talaltam
egyet (alig szept. 20-i), Jan B. Koum-tol, amiben van egy picike patch,
amitol ezek a scan technikak is eszrevehetoek.  Ha esetleg 2.2.7-nel ujabb
rendszerekben ez a patch mar benne van, akkor bocsanat, meg nem kaptam meg
azt a 3.1-es cd-t.

-- 
#!/bin/ksh
Z='21N16I25C25E30, 40M30E33E25T15U!';IFS=' ABCDEFGHIJKLMNOPQRSTUVWXYZ ';set $Z;for i { [[ $i = ? ]]&&print $i&&break;[[ $i = ??? ]]&&j=$i&&i=${i%?};typeset -i40 i=8#$i;print -n ${i#???};[[ "$j" = ??? ]]&&print -n "${j#??} "&&j=;typeset +i i;};IFS=' 0123456789 ';set $Z;X=;for i { [[ $i = , ]]&&i=2;[[ $i = ?? ]]||typeset -l i;X="$X $i";typeset +l i;};print "$X"



További információk a(z) BSD levelezőlistáról