URL: https://ssl.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 933
[ Назад ]

Исходное сообщение
"Защита от сканирования"
Отправлено kily , 10-Окт-03 00:38

Сабж состоит в том,чтобы максимально эффективно защитится от сканирования.
Что-то вроде того что : процессы "играют" а сканер бы сказал "а ничего из портов не открыто" . И поскольку стандартом де-факто как-то стал nmap,то вот хотелось защиту конкретно про него.
Спасибо.

Содержание

Защита от сканирования,kily, 00:43 , 10-Окт-03
- Защита от сканирования,lubeg, 12:42 , 22-Окт-03
Защита от сканирования,Xela, 10:42 , 13-Окт-03
Защита от сканирования,graf, 15:58 , 13-Окт-03
- Защита от сканирования,kily, 21:58 , 13-Окт-03
  - Защита от сканирования,Артем, 09:03 , 17-Окт-03
Защита от сканирования,denn, 10:24 , 17-Окт-03
- Защита от сканирования,kily, 22:09 , 19-Окт-03
  - Защита от сканирования,devnull, 15:14 , 21-Окт-03

Сообщения в этом обсуждении

"Защита от сканирования"
Отправлено kily , 10-Окт-03 00:43

>Сабж состоит в том,чтобы максимально эффективно защитится от сканирования.
>Что-то вроде того что : процессы "играют" а сканер бы сказал "а
>ничего из портов не открыто" . И поскольку стандартом де-факто как-то
>стал nmap,то вот хотелось защиту конкретно про него.
>Спасибо.

Забыл уточнить система FreeBSD ,на тот случай если будут системозависимые советы .

"Защита от сканирования"
Отправлено lubeg , 22-Окт-03 12:42

от скана TCP может помочь следующее, по крайней мере, nmap (ver 3.30)ничего не находит:
100 allow tcp from any to any established
200 allow tcp from ${myhost} to any setup
300 allow tcp from ${some_hosts} to ${myhost} [ports_list] setup
400 deny tcp from any to any
строка 300, если необходим доступ из вне. Соответственно с ${some_hosts} довольно успешно сканить все равно можно будет.
Как другой вариант, поставить snort (или аналог), добавить скрипт к нему, который бы при обнаружении скана делал deny в правила ipfw. Только тут проблемы могут возникнуть.

"Защита от сканирования"
Отправлено Xela , 13-Окт-03 10:42

ну как минимум настроить файрвол...

"Защита от сканирования"
Отправлено graf , 13-Окт-03 15:58

От самого процесса сканирования ты не закроешься, так и будут засирать твой канал. А от последствий файрволом. Под фрю: ipfw %)

"Защита от сканирования"
Отправлено kily , 13-Окт-03 21:58

>От самого процесса сканирования ты не закроешься, так и будут засирать твой
>канал. А от последствий файрволом. Под фрю: ipfw %)

Про файрвол ,это ясно и как бы даже не обсуждается. Но к сожалению нмап всё же выдаёт список прослушиваемых портов,а вот именно с этим я и борюсь(хотя я уже добился того,что win32 сканер LanGuard ,и многие примерно такие вываливаются по таймауту и говорят Host seems to be down %))).
Вот и хотелось бы,чтобы то же самое говорил нмап (хотя он и сейчас уже достаточно долго сканирует). По возможности хотелось бы обойтись возможностями тюнинга самой системы , а всякий софт во вторую очередь.
Ещё хотелось бы уточнить что защищаемый сервер не является каким-то роутером или ещё чем-то очень "суперважным" (всего лишь фтп,сквид,хттп,почта) , просто встала задача максимально
"плотно" защитить сервер.
Спасибо

"Защита от сканирования"
Отправлено Артем , 17-Окт-03 09:03

>ещё чем-то очень "суперважным" (всего лишь фтп,сквид,хттп,почта) , просто встала задача
>максимально
>"плотно" защитить сервер.
IMHO
потрать время на ревизию серверного софта на предмет дыр в безопасности-так ты реально повысишь безопасность сервера и пусть сканируют на здоровье

"Защита от сканирования"
Отправлено denn , 17-Окт-03 10:24

net.inet.tcp.blackhole:1
net.inet.udp.blackhole:1
nmap не любит.

"Защита от сканирования"
Отправлено kily , 19-Окт-03 22:09

>net.inet.tcp.blackhole:1
>net.inet.udp.blackhole:1
>nmap не любит.

стоит :) первым делом выставлено.

"Защита от сканирования"
Отправлено devnull , 21-Окт-03 15:14

вот есть оригинальное решение
http://www.securityfocus.com/infocus/1723