Сабж состоит в том,чтобы максимально эффективно защитится от сканирования.
Что-то вроде того что : процессы "играют" а сканер бы сказал "а ничего из портов не открыто" . И поскольку стандартом де-факто как-то стал nmap,то вот хотелось защиту конкретно про него.
Спасибо.
>Сабж состоит в том,чтобы максимально эффективно защитится от сканирования.
>Что-то вроде того что : процессы "играют" а сканер бы сказал "а
>ничего из портов не открыто" . И поскольку стандартом де-факто как-то
>стал nmap,то вот хотелось защиту конкретно про него.
>Спасибо.
Забыл уточнить система FreeBSD ,на тот случай если будут системозависимые советы .
от скана TCP может помочь следующее, по крайней мере, nmap (ver 3.30)ничего не находит:
100 allow tcp from any to any established
200 allow tcp from ${myhost} to any setup
300 allow tcp from ${some_hosts} to ${myhost} [ports_list] setup
400 deny tcp from any to anyстрока 300, если необходим доступ из вне. Соответственно с ${some_hosts} довольно успешно сканить все равно можно будет.
Как другой вариант, поставить snort (или аналог), добавить скрипт к нему, который бы при обнаружении скана делал deny в правила ipfw. Только тут проблемы могут возникнуть.
ну как минимум настроить файрвол...
От самого процесса сканирования ты не закроешься, так и будут засирать твой канал. А от последствий файрволом. Под фрю: ipfw %)
>От самого процесса сканирования ты не закроешься, так и будут засирать твой
>канал. А от последствий файрволом. Под фрю: ipfw %)
Про файрвол ,это ясно и как бы даже не обсуждается. Но к сожалению нмап всё же выдаёт список прослушиваемых портов,а вот именно с этим я и борюсь(хотя я уже добился того,что win32 сканер LanGuard ,и многие примерно такие вываливаются по таймауту и говорят Host seems to be down %))).Вот и хотелось бы,чтобы то же самое говорил нмап (хотя он и сейчас уже достаточно долго сканирует). По возможности хотелось бы обойтись возможностями тюнинга самой системы , а всякий софт во вторую очередь.
Ещё хотелось бы уточнить что защищаемый сервер не является каким-то роутером или ещё чем-то очень "суперважным" (всего лишь фтп,сквид,хттп,почта) , просто встала задача максимально
"плотно" защитить сервер.
Спасибо
>ещё чем-то очень "суперважным" (всего лишь фтп,сквид,хттп,почта) , просто встала задача
>максимально
>"плотно" защитить сервер.
IMHO
потрать время на ревизию серверного софта на предмет дыр в безопасности-так ты реально повысишь безопасность сервера и пусть сканируют на здоровье
net.inet.tcp.blackhole:1
net.inet.udp.blackhole:1
nmap не любит.
>net.inet.tcp.blackhole:1
>net.inet.udp.blackhole:1
>nmap не любит.
стоит :) первым делом выставлено.
вот есть оригинальное решение
http://www.securityfocus.com/infocus/1723