Logo Море(!) аналитической информации!
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware
Архив форумов ЦИТФорума
Море(!) вопросов - Море(!) ответов
 
 FAQFAQ   ПоискПоиск   ПользователиПользователи   ГруппыГруппы   РегистрацияРегистрация 
 ПрофильПрофиль   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 
Как правильно задавать вопросы

защита от сканирования портов

 
Перейти:  
Этот форум закрыт, вы не можете писать новые сообщения и редактировать старые.   Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов Архив форумов ЦИТФорума -> Unix
Предыдущая тема :: Следующая тема  
Автор Сообщение
tatlink



Зарегистрирован: 19.05.2005
Сообщения: 361
Откуда: Уфа

СообщениеДобавлено: Чт Ноя 16 2006 13:12    Заголовок сообщения: защита от сканирования портов Ответить с цитатой

как можно запретить сканирование портов моего шлюза из вне?
ASPLinux10
firestarter
_________________
Хочешь знать правду? Читай таблицу умножения.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
Andrew Grekhov



Зарегистрирован: 29.06.2005
Сообщения: 200

СообщениеДобавлено: Чт Ноя 16 2006 15:57    Заголовок сообщения: Ответить с цитатой

offtopik:Может я чего то не понимаю, но по моему это не возможно.Если я не прав меня поправят.

1.Договорится с провайдером об открытых к тебе сервисах.
2.Закрыть все порты кроме необходимых для конектов снаружи файерволом.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
tatlink



Зарегистрирован: 19.05.2005
Сообщения: 361
Откуда: Уфа

СообщениеДобавлено: Чт Ноя 16 2006 16:02    Заголовок сообщения: Ответить с цитатой

Andrew Grekhov писал(а):
offtopik:Может я чего то не понимаю, но по моему это не возможно.Если я не прав меня поправят.

1.Договорится с провайдером об открытых к тебе сервисах.
2.Закрыть все порты кроме необходимых для конектов снаружи файерволом.

да все я закрыл что надо, просто я не хочу что бы ктонить пытался тестить меня на открытые порты
_________________
Хочешь знать правду? Читай таблицу умножения.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
Denjs



Зарегистрирован: 29.08.2003
Сообщения: 137

СообщениеДобавлено: Чт Ноя 16 2006 16:20    Заголовок сообщения: Ответить с цитатой

давайте для начала разберемся - что автор понимает под "запретить сканирование портов".
Например - пусть приведет сценарий - того что он хочет видеть в идеале.
- действия удаленной машины и наши действия.


Последний раз редактировалось: Denjs (Чт Ноя 16 2006 16:32), всего редактировалось 1 раз
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
tatlink



Зарегистрирован: 19.05.2005
Сообщения: 361
Откуда: Уфа

СообщениеДобавлено: Чт Ноя 16 2006 16:25    Заголовок сообщения: Ответить с цитатой

Denjs писал(а):
давайте для начала разберемся - что автор понимает под сканированием.
Например - пусть приведет сценарий - того что он хочет видеть в идеале.
- действия удаленной машины и наши действия.

злоумышленник: открываю програму для сканирования открытых портов нужного мне ip адреса. запускаю но она не смогла это сделать
т.к я со своей стороны заблокировал любую возсожность сканирования портов моих
и тем самым не дал злоумышленнику воспользоваться слабыми местами в моей защите..
идея понята?
_________________
Хочешь знать правду? Читай таблицу умножения.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
Denjs



Зарегистрирован: 29.08.2003
Сообщения: 137

СообщениеДобавлено: Чт Ноя 16 2006 16:38    Заголовок сообщения: Ответить с цитатой

tatlink писал(а):

идея понята?

нет). вернее да, но это "утопия" - что-то запретить на удаленной машине мы не можем по определению.

(PS: также возникает вопрос - что значит "не смогла это сделать?")

ну.. т.е. с моей точки зрения ваш пост звучит примерно так : "Как на месте красивой девушки запретить смотреть на её попку?" если она идет по улице в купальнике? а даже если в плаще - вы не запретите смотреть на неё. Вопрос в том - как реагировать на тот или иной взгляд направленный на то или иное место. в идеале можно например при начале осмотра снизу-вверх - кидать в направлении смотрящего дымовую шашку. )))

Запретить сканировать вашу системы вы не сможете - вопрос в том как будет отвечать ваша система на то, если она выявит факт сканирования . блокироватть все пакеты ? но если это прокси за которым целая сеть? вы же не должны прекращать обслуживания на нужных вам портах?
( (!!!) опять вопрос: "какие действия или какие последовательности пакетов понимать под сканированием?")

Я хотел чтобы вы привели сценарий поведения ВАШЕЙ системы, когда ей присылают какие-то пакеты-запросы соединения на какието порты. потому как будем считать за аксиому что вашу машину все равно будут сканировать.

вот тогда уже можно будет думать о подборе конкретной программы или понять что она просто не нужна.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
and3008



Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород

СообщениеДобавлено: Чт Ноя 16 2006 18:26    Заголовок сообщения: Ответить с цитатой

Я знаю один отличный способ!
Надо отключить вашу систему от сети. Совсем!

Только эта... Наверно вам это не понравится.

Ваш вопрос проистекает от непонимания механизмов работы сетевых протоколов. Про попку очень точное сравнение.
Если ваша система подключена к Интернет, вы не сможете запретить послать запрос за обслуживание. По любому протоколу, по любому порту.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Dimasm



Зарегистрирован: 25.04.2005
Сообщения: 454

СообщениеДобавлено: Пт Ноя 17 2006 00:08    Заголовок сообщения: Ответить с цитатой

вероятно автор топика хочет некую програмулину, которая работает аналогично Outpost Firewall...
...если с одного адреса за короткий промежуток времени проверяются определённые порты (запрос на обслуживание), то такая ситуация расценивается как "сканирование" и все пакеты (например по IP) этого бармалея блокируются на 10 минут...
для внутренней сети отлично прокатывает...вот только на сколько это применимо для интернета... сканирующий может быть из вашей же сети (например NAT)... и если представить, что она начинает сканить ваш внешний IP Laughing, наверное будет забавно, или например заблокировав мой IP, к вашему шлюзу не сможет обратиться весь мой город, если я ошибаюсь наши гуру поправят меня

слыхал, есть системы, которые на портах, при сканировании "эмулируют" другую систему... например у вас шлюз на линухе, вас просканили, и какой-нить LanGuard показал, что это win 2000...ещё и SQL сервром без патча... и пускай переберают уязвимости... а вы в это время уже звоните в отдел "К"
_________________
С уважением Dimasm
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
and3008



Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород

СообщениеДобавлено: Пт Ноя 17 2006 02:23    Заголовок сообщения: Ответить с цитатой

Snort вам в руки, ежели вам нужна система обнаружения атак.

Если бы было магическое средство предотвращения атак, то рынок систем сетевой безопасности не оценивался бы милиардами долларов, а цисковские PIX-ы, чекпоинтные FireWall-1, джуниперовские NetScreen выкинули бы на помойку. Smile
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Denjs



Зарегистрирован: 29.08.2003
Сообщения: 137

СообщениеДобавлено: Пт Ноя 17 2006 02:39    Заголовок сообщения: Ответить с цитатой

Dimasm писал(а):

слыхал, есть системы, которые на портах, при сканировании "эмулируют" другую систему... например у вас шлюз на линухе, вас просканили, и какой-нить LanGuard показал, что это win 2000...ещё и SQL сервром без патча... и пускай переберают уязвимости...

вот это уже тема ))) продолжая моделировать ситуацию с "попкой" предполагаю - начинаешь с красивых ножек на каблучках.. все-выше-и-выше-и-выше...и заканчивается бородатой мужской щетиной ))) нефига смотреть на девущек сканируя )))

на самом деле, мое мнение на этот вопрос таково: возможно! имеет смысл "блокировать сканирование" если есть пара сервисов на каких-то там портах которые мы хотим скрыть. Вот тогда _наверное_ и есть смысл делать "временный бан по айпишнику". а в остальных случаях - вполне достаточно настройки iptables - на то что-бы оно просто блокировало без ответа все что "не разрешено" . потому как конечный результат будет один и тотже - удаленная машина не получчит ответ на свой запрос.

свети фонариком не свети,..смотри не смотри на девушку - а уж если она в плаше и сама тебе попку не покажет - ничего не выйдет. имхо.

Вообще, кажется мне "блокирование сканирования" - это коммерческий (читай рекламный) и практически никак не обоснованный термин, пришедший из виндоус; термин, который на самом деле не имеет никакой смысловой нагрузки а в пеервую очередь предназначен для повышения продаж антивирусных средств. Возможно "сам факт обнаружения процесса сканирования" - он конечно интересен - типа "возможная подготовка к атаке". но не более. поделать-то с этим ВСЕ РАВНО НИЧЕГО НЕВОЗМОЖНО!!!!
даже с касперским, который радостно рапортует об очередном подвиге - и забанненом навсегда любителе КС (машина которого полезла в локалку и поискала сервера кс на 3-х портах)

не стоит слишком заморачиваться о том то что же за дурь придумали коммерсанты для "творения-из-редмонда" чтобы лучше продаваться.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
tatlink



Зарегистрирован: 19.05.2005
Сообщения: 361
Откуда: Уфа

СообщениеДобавлено: Пт Ноя 17 2006 07:33    Заголовок сообщения: Ответить с цитатой

я рад что моя тема породила такую дискуссию.. пусть даже Вы обрушались в основном с критикой на меня. это все учит и заставляет меня быть сильнее и искать пути решения моих проблем еще с большим напором.

По поводу блокирования атакующего(т.е сканирующего мои порты) когда я еще работал с виндами у меня был аппратный фаервол типа dlink который определял сканирование портов как атаку и блокировал ip атакующего такое дело на самом деле было.

and3008 писал(а):
Ваш вопрос проистекает от непонимания механизмов работы сетевых протоколов. Про попку очень точное сравнение.
согласен, я много еще не знаю плохо разбираюсь, но именно поэтому я нахожусь на этом сайте и прошу помощи профессионалов в этом деле..
and3008 писал(а):
Snort вам в руки, ежели вам нужна система обнаружения атак.
уже сижу и разбираюсь
_________________
Хочешь знать правду? Читай таблицу умножения.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
Pingvinenok



Зарегистрирован: 30.06.2005
Сообщения: 171

СообщениеДобавлено: Пт Ноя 17 2006 12:54    Заголовок сообщения: Ответить с цитатой

Цитата:
По поводу блокирования атакующего(т.е сканирующего мои порты) когда я еще работал с виндами у меня был аппратный фаервол типа dlink который определял сканирование портов как атаку и блокировал ip атакующего такое дело на самом деле было.

Дело не в том (не столько в том), что ваш брандмауэр умеет динамично блокировать IP, доступ с которых прежде был разрешен. Дело в том (ну, еще раз оговорюсь, для меня лично), что трафик-то все равно входящий будет! Хоть наглухо закройтесь! Пример: с месяц назад обнаружил резкий скачок входящего трафика на 80 порт. Настолько резкий, что пара дней такой работы - и 20% бесплатного входящего лимита - на ветер! Просто тупо кто-то беспрерывно ломился, не обращая внимания, что ему никто не отвечает!
Попытался схитрить, перетер с провайдером на тему закрыться на уровне его сервера, но не удалось. Провайдер тоже не дурак и понимает, что если я не буду платить за ненужный глупый входящий трафик, то платить придется ему!
_________________
Съешь еще мягких французских булок,да выпей чаю!
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Denjs



Зарегистрирован: 29.08.2003
Сообщения: 137

СообщениеДобавлено: Пт Ноя 17 2006 15:19    Заголовок сообщения: Ответить с цитатой

tatlink писал(а):
я рад что моя тема породила такую дискуссию.. пусть даже Вы обрушались в основном с критикой на меня. это все учит и заставляет меня быть сильнее и искать пути решения моих проблем еще с большим напором.

мы-ж не со зла )))
а вообще - добро пожаловать на linuxforum.ru , молодой падаван... т.е. тукс..тфу... ну ты понял )))
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Dimasm



Зарегистрирован: 25.04.2005
Сообщения: 454

СообщениеДобавлено: Пт Ноя 17 2006 15:33    Заголовок сообщения: Ответить с цитатой

Pingvinenok писал(а):
...Пример: с месяц назад обнаружил резкий скачок входящего трафика на 80 порт. Настолько резкий, что пара дней такой работы - и 20% бесплатного входящего лимита - на ветер!...

... "пример" как можно хорошо напакастить Confused зная особенности траифного плана и расположения сервера
_________________
С уважением Dimasm
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Показать сообщения:   
Этот форум закрыт, вы не можете писать новые сообщения и редактировать старые.   Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов Архив форумов ЦИТФорума -> Unix Часовой пояс: GMT + 3
Страница 1 из 1

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах


Powered by phpBB © 2001, 2002 phpBB Group
Русская поддержка phpBB

 

IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

Информация для рекламодателей PR-акции, размещение рекламы — adv@citforum.ru,
тел. +7 495 6608306, ICQ 232284597
Пресс-релизы — pr@citforum.ru
Послать комментарий
Информация для авторов
This Web server launched on February 24, 1997
Copyright © 1997-2000 CIT, © 2001-2006 CIT Forum
Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...