Предотвращение скрытого Nmap сканирования в Linux

[Tisse]

ефективним — одно слово, три ошибки

[GriGor1Z]

Хорошо хоть не «душ»

[AddRemover]

у автора ник говорящий

[fozzy]

За размер лога не боитесь? Думаю крупный ботнет быстро заполнит свободное место на венике.

[bondbig]

logrotate?

[fozzy]

Само собой.
Я имел ввиду что не целесообразно писать в лог. Будет достаточно DROP'a.

[bondbig]

файервол без логов — практически бесполезная вещь. Уж то, что запрещает файервол, должно логироваться однозначно. Разрешенный трафик не нужно логировать, это да.

[kegf]

последний deny all тоже логируете? Если логировать, то правилами

[snp]

Да, логи обязательны, разумеется. И на каждый портскан — несимметричный ответ от своего собственного ботнета.

[megadoizer]

Это верно,

iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -m limit --limit 5/min -j LOG --log-prefix «Stealth scan»
iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -m limit --limit 5/min -j DROP

[SLEPOI]

Извиняюсь за ошибки так как нерусский я. Такая вероятнось ничтожна, никто небудет тратить время на забивание места на харде.К тому же для етого существуют более оригинальные способы.

[Arceny]

Ух ты, Украинцы забыли русский?

[SLEPOI]

Кто говорит что я с Украины? Вы до сих пор верите всему что пишут в анкетах?

[Arceny]

По крайней мере на хабре — да.

[mgyk]

Никогда не понимал практики параноидальных фаирволов. Некоторые вообще любят ICMP блокировать.

[StamPit]

А зачем нужны ICMP кроме type 8 и type 13 при типичной сети? Можно ещё и type 30 использовать (чисто для traceroute), но далеко не обязательно — tracepath или mtr используют type 8

[bondbig]

я думаю, человек имел в виду, что многие запрещают echo-request/reply, а это да, гадская привычка.

[StamPit]

Ну это всё равно, что сказать «запрещают TCP-трафик», имея в виду только веб и почту.

[bondbig]

увы, для многих пинг == icmp

[bondbig]

а мне-то откуда знать? проверьте сами, мне негде, не пользуюсь. Если так — передайте Баллмеру горячий удар в печень. Два раза.
Хотя на десктопах это не так уж страшно, плохо когда на маршрутизаторах и серверах так делают.

[elve]

И все же живой человек сможет ваши порты просканировать незаметно =). Вы закрыли только одну из некоторого количества лазеек ;). Наверняка в ваш лог не упадет запись про сканирование с флагами -sS -sN и некоторых других видов скана =).

В жизни довольно мало ситуаций, когда требуется подобные меры.

[SLEPOI]

Неспорю с вами ето так… но я показал самую распостраненную лазейку.Сканирование же с флагами -sS -sN, да их пишут не все системы журналирования.Но это отнюдь не означает, что их невозможно отследить!
Но вообще конечно подобные меры крайне редки.

[elve]

Заголовок статьи говорит, о том, что вы расскажете как же защититься совсем. А на деле же оказывается, что тема не раскрыта даже на 30%.

[kegf]

Для всех сканеров есть 1 правило — стук ниже 20 порта — бан, на определённое время.

[stampoon]

а какой идиот сканит порты ниже 20го?

[SLEPOI]

Коментируем граждане что ненравится в заметке моей, ато вижу минуса лупят непонятно за что… то у вас за мода такая, поставил так прокоментируй!

[ekzo]

Андрей, нужно ещё наклепать и правил, как недопустить упомянутые сканы при -sS -sN. ну и не совсем понятно / плохо описанно, что означают поставленые в примере флаги. особенно замудренно и запутанно предложение «Первый список состояний (ACK,FIN) перечисляет тестируемые флаги, второй (FIN) – те из них, что установлены.»

[Quiz]

Я думаю, уже можно перенести в тематический блог =)

[SLEPOI]

У вас недостаточно кармы… пока немогу)

[oldengremlin]

Ну к fail2ban'у можно и своих фильтров, при желании, понарисовывать. По своей сути очень неплохая тулза.

[oldengremlin]

Автору: а ещё есть

-A bad-packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP 
-A bad-packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP 
-A bad-packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP 
-A bad-packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP 
-A bad-packets -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP 
-A bad-packets -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP 

Параноидально-же настроенным гражданам можно ещё про recent и connlimit почитать.
Не мешает где-то в самом начале ещё и

-A INPUT -m conntrack --ctstate INVALID -j DROP

нарисовать.
А вообще паранойи должно быть в меру, не стоит слишком уж переусердствовать.

[parta]

параноидальным гражданам стоит сразу кабель отрезать и быть в безопаности ^__^

[jean]

А что плохого такого опасного в сканировании портов? Это безопасность через незнание или что-то еще?

[SLEPOI]

может и опасности никакой, шутник просто, а может кто то проверяет твои порты для того что бы подключится к тебе для незаконных целей и кражи инфы.

[elve]

Ну вот открыт у меня порт ssh. И авторизация по ключу =). Есть ли смысл от того, что вы узнаете, что у меня открыт 22 порт?

[Power]

А почему бы не сделать просто
-A INPUT -m conntrack --ctstate NEW -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP (или -j logdrop, если нравится)?

[impass]

Если кто-то с вашего сервера делает сканирование портов, отличное от nmap -sT, то ваша идея с фильтром идёт лесом, поскольку для stealth (SYN) и прочих экзотических видов сканирования уже требуются права рута. Got root — значит могут «поиметь» и всё остальное, включая правила фаерволла.

[Olcha_Tihiro]

очень интерисует аналогичное для ipfw

[SLEPOI]

написал бы… да уже немогу)

[rgb000]

Можно использовать psd xtables-addons — sysadm.pp.ua/linux/xtables-addons.html