[rlug] Re: nmap FIN portscaning - SECURITY

Octavian Popescu Tue, 23 Jan 2001 04:51:18 -0800

moshule...io cred ca n-ai verificat asa bine raspunsul...
in momentul in care pui un policy DENY pe tot,la portul respectiv nu
mai ajunge nimic (in afara poate de fragmente, la unele firewalluri)
in cazul tau (ipchains),singura problema ar fi ca nu se pot filtra
exclusiv FIN-urile ( ! -y match tot ce nu e SYN,inclusiv ACK-urile si
PSH care fac parte din traficul normal) Daca tot te arde pe tine grija ca
te scaneaza cineva cu FIN-uri, pune-ti un 2.4.0 cu iptablesul si ti-ai
rezolvat problema sau treci pe FreeBSD (ipfilter)
Cu ipchains-ul poti sa faci ceva de genul (desi nu-ti
recomand,pt ca e cea mai proasta solutie - singura totusi):

ipchains -A input --dport 25 -p tcp -j ACCEPT -l
ipchains -A input --dport 53 -p tcp -j ACCEPT -l
ipchains -A input --dport 80 -p tcp -j ACCEPT -l
ipchains -A input -j DENY --dport 0:1024 -l

Am presupus ca serviciile tale publice sunt pe 25,53,80 (smtp,dns,http)
In cazul in care ai servicii peste 1024,faci reguli separate pentru ele.
Unele programe gen ssh care incearca sa deschida porturi sub 1024,n-or sa
mearga asa ca o sa faci reguli separate si pt ele. (ipchains
-I input --sport 22 -j ACCEPT)
In felul asta la un nmap -sF <host> or sa apara absolut toate porturile
deschise.

Port    State       Protocol  Service
1       open        tcp        tcpmux
2       open        tcp        compressnet
3       open        tcp        compressnet
4       open        tcp        unknown
5       open        tcp        rje
6       open        tcp        unknown
7       open        tcp        echo
...

happy now?


On Tue, 23 Jan 2001, George Serban wrote:

> 
> Salut am o intrebare de securitate pe care am mai pus-o am verificat 
> raspunsul si nu mi se pare adevarat...
> 
> Daca scanez un host linux RedHat 7.0 cu nmap pe FIN (nmap -sF IP ) 
> rezultatul e ca imi arata ca pe FIN am toate porturile deschise. pe SYN 
> ( e in regula) am cautat pe web si din toata documentatia am inteles ca 
> unele Firewall lasa pachete FIN eu folosesc clasicul IPCHAINS. Mi sa 
> spus ca daca am politica DENY all by default pe IPCHANS nu imi vede 
> nimeni FIN ( am verificat si nu e asa ) Ce pot sa fac ca portscanerul sa 
> nu imi detecteze porturile pe FIN ( o idee ?)
> am si un CISCO in fata serverului cu IPCHAINS ( la CISCO pot sa fac 
> ceva? am cautat pe web si nimic...)
> 
> 
> 
> Multumesc
> George
> 
> 
> 
> ---
> Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to 
> unsubscribe from this list.
> 


--
Octavian Popescu
http://hideout.art.ro


---
Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to 
unsubscribe from this list.
[rlug] Re: nmap FIN portscaning - SECURITY

Raspunde prin e-mail lui
