| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
tatlink
Зарегистрирован: 19.05.2005
Сообщения: 361
Откуда: Уфа
|
 Добавлено: Чт Ноя 16 2006 13:12 Заголовок сообщения: защита от сканирования портов |
 |
|
как можно запретить сканирование портов моего шлюза из вне?
ASPLinux10
firestarter
_________________
Хочешь знать правду? Читай таблицу умножения. |
|
| Вернуться к началу |
|
 |
Andrew Grekhov
Зарегистрирован: 29.06.2005
Сообщения: 200
|
| Добавлено: Чт Ноя 16 2006 15:57 Заголовок сообщения: |
|
|
offtopik:Может я чего то не понимаю, но по моему это не возможно.Если я не прав меня поправят.
1.Договорится с провайдером об открытых к тебе сервисах.
2.Закрыть все порты кроме необходимых для конектов снаружи файерволом. |
|
| Вернуться к началу |
|
|
tatlink
Зарегистрирован: 19.05.2005
Сообщения: 361
Откуда: Уфа
|
| Добавлено: Чт Ноя 16 2006 16:02 Заголовок сообщения: |
|
|
| Andrew Grekhov писал(а): | offtopik:Может я чего то не понимаю, но по моему это не возможно.Если я не прав меня поправят.
1.Договорится с провайдером об открытых к тебе сервисах.
2.Закрыть все порты кроме необходимых для конектов снаружи файерволом. |
да все я закрыл что надо, просто я не хочу что бы ктонить пытался тестить меня на открытые порты
_________________
Хочешь знать правду? Читай таблицу умножения. |
|
| Вернуться к началу |
|
|
Denjs
Зарегистрирован: 29.08.2003
Сообщения: 137
|
| Добавлено: Чт Ноя 16 2006 16:20 Заголовок сообщения: |
|
|
давайте для начала разберемся - что автор понимает под "запретить сканирование портов".
Например - пусть приведет сценарий - того что он хочет видеть в идеале.
- действия удаленной машины и наши действия.
Последний раз редактировалось: Denjs (Чт Ноя 16 2006 16:32), всего редактировалось 1 раз |
|
| Вернуться к началу |
|
|
tatlink
Зарегистрирован: 19.05.2005
Сообщения: 361
Откуда: Уфа
|
| Добавлено: Чт Ноя 16 2006 16:25 Заголовок сообщения: |
|
|
| Denjs писал(а): | давайте для начала разберемся - что автор понимает под сканированием.
Например - пусть приведет сценарий - того что он хочет видеть в идеале.
- действия удаленной машины и наши действия. |
злоумышленник: открываю програму для сканирования открытых портов нужного мне ip адреса. запускаю но она не смогла это сделать
т.к я со своей стороны заблокировал любую возсожность сканирования портов моих
и тем самым не дал злоумышленнику воспользоваться слабыми местами в моей защите..
идея понята?
_________________
Хочешь знать правду? Читай таблицу умножения. |
|
| Вернуться к началу |
|
|
Denjs
Зарегистрирован: 29.08.2003
Сообщения: 137
|
| Добавлено: Чт Ноя 16 2006 16:38 Заголовок сообщения: |
|
|
| tatlink писал(а): |
идея понята? |
нет). вернее да, но это "утопия" - что-то запретить на удаленной машине мы не можем по определению.
(PS: также возникает вопрос - что значит "не смогла это сделать?")
ну.. т.е. с моей точки зрения ваш пост звучит примерно так : "Как на месте красивой девушки запретить смотреть на её попку?" если она идет по улице в купальнике? а даже если в плаще - вы не запретите смотреть на неё. Вопрос в том - как реагировать на тот или иной взгляд направленный на то или иное место. в идеале можно например при начале осмотра снизу-вверх - кидать в направлении смотрящего дымовую шашку. )))
Запретить сканировать вашу системы вы не сможете - вопрос в том как будет отвечать ваша система на то, если она выявит факт сканирования . блокироватть все пакеты ? но если это прокси за которым целая сеть? вы же не должны прекращать обслуживания на нужных вам портах?
( (!!!) опять вопрос: "какие действия или какие последовательности пакетов понимать под сканированием?")
Я хотел чтобы вы привели сценарий поведения ВАШЕЙ системы, когда ей присылают какие-то пакеты-запросы соединения на какието порты. потому как будем считать за аксиому что вашу машину все равно будут сканировать.
вот тогда уже можно будет думать о подборе конкретной программы или понять что она просто не нужна. |
|
| Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Чт Ноя 16 2006 18:26 Заголовок сообщения: |
|
|
Я знаю один отличный способ!
Надо отключить вашу систему от сети. Совсем!
Только эта... Наверно вам это не понравится.
Ваш вопрос проистекает от непонимания механизмов работы сетевых протоколов. Про попку очень точное сравнение.
Если ваша система подключена к Интернет, вы не сможете запретить послать запрос за обслуживание. По любому протоколу, по любому порту. |
|
| Вернуться к началу |
|
|
Dimasm
Зарегистрирован: 25.04.2005
Сообщения: 454
|
| Добавлено: Пт Ноя 17 2006 00:08 Заголовок сообщения: |
|
|
вероятно автор топика хочет некую програмулину, которая работает аналогично Outpost Firewall...
...если с одного адреса за короткий промежуток времени проверяются определённые порты (запрос на обслуживание), то такая ситуация расценивается как "сканирование" и все пакеты (например по IP) этого бармалея блокируются на 10 минут...
для внутренней сети отлично прокатывает...вот только на сколько это применимо для интернета... сканирующий может быть из вашей же сети (например NAT)... и если представить, что она начинает сканить ваш внешний IP  , наверное будет забавно, или например заблокировав мой IP, к вашему шлюзу не сможет обратиться весь мой город, если я ошибаюсь наши гуру поправят меня
слыхал, есть системы, которые на портах, при сканировании "эмулируют" другую систему... например у вас шлюз на линухе, вас просканили, и какой-нить LanGuard показал, что это win 2000...ещё и SQL сервром без патча... и пускай переберают уязвимости... а вы в это время уже звоните в отдел "К"
_________________
С уважением Dimasm |
|
| Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Пт Ноя 17 2006 02:23 Заголовок сообщения: |
|
|
Snort вам в руки, ежели вам нужна система обнаружения атак.
Если бы было магическое средство предотвращения атак, то рынок систем сетевой безопасности не оценивался бы милиардами долларов, а цисковские PIX-ы, чекпоинтные FireWall-1, джуниперовские NetScreen выкинули бы на помойку.  |
|
| Вернуться к началу |
|
|
Denjs
Зарегистрирован: 29.08.2003
Сообщения: 137
|
| Добавлено: Пт Ноя 17 2006 02:39 Заголовок сообщения: |
|
|
| Dimasm писал(а): |
слыхал, есть системы, которые на портах, при сканировании "эмулируют" другую систему... например у вас шлюз на линухе, вас просканили, и какой-нить LanGuard показал, что это win 2000...ещё и SQL сервром без патча... и пускай переберают уязвимости... |
вот это уже тема ))) продолжая моделировать ситуацию с "попкой" предполагаю - начинаешь с красивых ножек на каблучках.. все-выше-и-выше-и-выше...и заканчивается бородатой мужской щетиной ))) нефига смотреть на девущек сканируя )))
на самом деле, мое мнение на этот вопрос таково: возможно! имеет смысл "блокировать сканирование" если есть пара сервисов на каких-то там портах которые мы хотим скрыть. Вот тогда _наверное_ и есть смысл делать "временный бан по айпишнику". а в остальных случаях - вполне достаточно настройки iptables - на то что-бы оно просто блокировало без ответа все что "не разрешено" . потому как конечный результат будет один и тотже - удаленная машина не получчит ответ на свой запрос.
свети фонариком не свети,..смотри не смотри на девушку - а уж если она в плаше и сама тебе попку не покажет - ничего не выйдет. имхо.
Вообще, кажется мне "блокирование сканирования" - это коммерческий (читай рекламный) и практически никак не обоснованный термин, пришедший из виндоус; термин, который на самом деле не имеет никакой смысловой нагрузки а в пеервую очередь предназначен для повышения продаж антивирусных средств. Возможно "сам факт обнаружения процесса сканирования" - он конечно интересен - типа "возможная подготовка к атаке". но не более. поделать-то с этим ВСЕ РАВНО НИЧЕГО НЕВОЗМОЖНО!!!!
даже с касперским, который радостно рапортует об очередном подвиге - и забанненом навсегда любителе КС (машина которого полезла в локалку и поискала сервера кс на 3-х портах)
не стоит слишком заморачиваться о том то что же за дурь придумали коммерсанты для "творения-из-редмонда" чтобы лучше продаваться. |
|
| Вернуться к началу |
|
|
tatlink
Зарегистрирован: 19.05.2005
Сообщения: 361
Откуда: Уфа
|
| Добавлено: Пт Ноя 17 2006 07:33 Заголовок сообщения: |
|
|
я рад что моя тема породила такую дискуссию.. пусть даже Вы обрушались в основном с критикой на меня. это все учит и заставляет меня быть сильнее и искать пути решения моих проблем еще с большим напором.
По поводу блокирования атакующего(т.е сканирующего мои порты) когда я еще работал с виндами у меня был аппратный фаервол типа dlink который определял сканирование портов как атаку и блокировал ip атакующего такое дело на самом деле было.
| and3008 писал(а): | Ваш вопрос проистекает от непонимания механизмов работы сетевых протоколов. Про попку очень точное сравнение.
|
согласен, я много еще не знаю плохо разбираюсь, но именно поэтому я нахожусь на этом сайте и прошу помощи профессионалов в этом деле..
| and3008 писал(а): | Snort вам в руки, ежели вам нужна система обнаружения атак.
|
уже сижу и разбираюсь
_________________
Хочешь знать правду? Читай таблицу умножения. |
|
| Вернуться к началу |
|
|
Pingvinenok
Зарегистрирован: 30.06.2005
Сообщения: 171
|
| Добавлено: Пт Ноя 17 2006 12:54 Заголовок сообщения: |
|
|
| Цитата: | | По поводу блокирования атакующего(т.е сканирующего мои порты) когда я еще работал с виндами у меня был аппратный фаервол типа dlink который определял сканирование портов как атаку и блокировал ip атакующего такое дело на самом деле было. |
Дело не в том (не столько в том), что ваш брандмауэр умеет динамично блокировать IP, доступ с которых прежде был разрешен. Дело в том (ну, еще раз оговорюсь, для меня лично), что трафик-то все равно входящий будет! Хоть наглухо закройтесь! Пример: с месяц назад обнаружил резкий скачок входящего трафика на 80 порт. Настолько резкий, что пара дней такой работы - и 20% бесплатного входящего лимита - на ветер! Просто тупо кто-то беспрерывно ломился, не обращая внимания, что ему никто не отвечает!
Попытался схитрить, перетер с провайдером на тему закрыться на уровне его сервера, но не удалось. Провайдер тоже не дурак и понимает, что если я не буду платить за ненужный глупый входящий трафик, то платить придется ему!
_________________
Съешь еще мягких французских булок,да выпей чаю! |
|
| Вернуться к началу |
|
|
Denjs
Зарегистрирован: 29.08.2003
Сообщения: 137
|
| Добавлено: Пт Ноя 17 2006 15:19 Заголовок сообщения: |
|
|
| tatlink писал(а): | | я рад что моя тема породила такую дискуссию.. пусть даже Вы обрушались в основном с критикой на меня. это все учит и заставляет меня быть сильнее и искать пути решения моих проблем еще с большим напором. |
мы-ж не со зла )))
а вообще - добро пожаловать на linuxforum.ru , молодой падаван... т.е. тукс..тфу... ну ты понял ))) |
|
| Вернуться к началу |
|
|
Dimasm
Зарегистрирован: 25.04.2005
Сообщения: 454
|
| Добавлено: Пт Ноя 17 2006 15:33 Заголовок сообщения: |
|
|
| Pingvinenok писал(а): | | ...Пример: с месяц назад обнаружил резкий скачок входящего трафика на 80 порт. Настолько резкий, что пара дней такой работы - и 20% бесплатного входящего лимита - на ветер!... |
... "пример" как можно хорошо напакастить  зная особенности траифного плана и расположения сервера
_________________
С уважением Dimasm |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
