---

Hej NG!

Jeg har en server med MDK9.2. Fedt nok, men hvis jeg i min log kan se en
IP/IP-range som jeg ønsker at blokere, fx. en som besøger min server
hele tiden og prøver diverse ting for, at kompromitere den, hvordan kan
jeg så nemmest blokere totalt for den IP uden at andet bliver berørt?

Alt skal klares via cli over ssh.

--
Martin Johansen [6000]
http://tuxx.dk - "Carpe Aptenodytes!"
Mandrake Linux 9.2 med Fluxbox 0.9.6devel
Registered Linux User # 301406 (http://counter.li.org)

---

Martin Johansen [6000] wrote:
> Hej NG!
>
> Jeg har en server med MDK9.2. Fedt nok, men hvis jeg i min log kan se en
> IP/IP-range som jeg ønsker at blokere, fx. en som besøger min server
> hele tiden og prøver diverse ting for, at kompromitere den, hvordan kan
> jeg så nemmest blokere totalt for den IP uden at andet bliver berørt?
>
> Alt skal klares via cli over ssh.

Den hurtige:
iptables -A INPUT -s net/maske -j DROP

Den lidt længere:
Ret Shorewall, som din Mandrake sikkert bruger til at droppe bøllerne.

Se i /etc/shorewall. Læs også om "shorewall try <dir>" (kopier den nye
konfiguration til et tmp-dir og kør try-kommandoen...)

--
Steen Suder
Prøv at forestille dig, at du er en anden, og læs så din artikel igennem
inden du sender den. Alle har interesse i, at du staver og formulerer
dig, så godt du kan. På den måde forstås det lettere, hvad du skriver.

---

Steen Suder, privat skrev:

> Den hurtige:
> iptables -A INPUT -s net/maske -j DROP

And that's it? Ingen ekstra ting der skal skrives, startes, vedligeholdes?

Det lyder nemt

> Den lidt længere:
> Ret Shorewall, som din Mandrake sikkert bruger til at droppe bøllerne.

Shorewall har jeg meget dårlige erfaringer med. Har oplevet ikke at kunne
printe så snart den var startet uanset om den lod alt komme ind eller ej.

--
Martin Johansen [6000]
http://tuxx.dk - "Carpe Aptenodytes!"
Mandrake Linux 9.2 med Fluxbox 0.9.6devel
Registered Linux User # 301406 (http://counter.li.org)

---

Martin Johansen [6000] wrote:
> Steen Suder, privat skrev:
>
>
>>Den hurtige:
>>iptables -A INPUT -s net/maske -j DROP
>
>
> And that's it? Ingen ekstra ting der skal skrives, startes, vedligeholdes?

Du kan evt. ændre -A (append, tilføjer reglen i enden af INPUT-kæden)
til -I (insert, tilføjer reglen som den første i INPUT-kæden). Så er du
sikker på at pakkerne droppes.

-s er for source og når dén matcher, -j(umper) den til DROP, som betyder
at pakken smides væk.

> Det lyder nemt

Tjah...

>>Den lidt længere:
>>Ret Shorewall, som din Mandrake sikkert bruger til at droppe bøllerne.
>
>
> Shorewall har jeg meget dårlige erfaringer med. Har oplevet ikke at kunne
> printe så snart den var startet uanset om den lod alt komme ind eller ej.

Det kræver viden at have muligheder

Hvis du kan slippe afsted med det, er Shorewall version 2.x at
foretrække fremfor tidligere versioner.

Jeg bruger selv Shorewall og synes at det er fint.

--
Steen Suder
Prøv at forestille dig, at du er en anden, og læs så din artikel igennem
inden du sender den. Alle har interesse i, at du staver og formulerer
dig, så godt du kan. På den måde forstås det lettere, hvad du skriver.

---

Steen Suder, privat skrev:

> Du kan evt. ændre -A (append, tilføjer reglen i enden af INPUT-kæden)
> til -I (insert, tilføjer reglen som den første i INPUT-kæden). Så er
> du sikker på at pakkerne droppes.

Skal det forståes som at den ikke er helt sikker med -A ?

> -s er for source og når dén matcher, -j(umper) den til DROP, som betyder
> at pakken smides væk.

Sejt. Tak for forklaring.

> Det kræver viden at have muligheder

Jep - jeg aner bare hat om filtering

Er det 'iptables -D ip' som skal bruges hvis jeg skal slette en ip igen?

--
Martin Johansen [6000]
http://tuxx.dk - "Carpe Aptenodytes!"
Mandrake Linux 9.2 med Fluxbox 0.9.6devel
Registered Linux User # 301406 (http://counter.li.org)

---

Den Wed, 14 Jul 2004 20:29:59 +0200 skrev Martin Johansen [6000]:
> Steen Suder, privat skrev:
>
>> Du kan evt. ændre -A (append, tilføjer reglen i enden af INPUT-kæden)
>> til -I (insert, tilføjer reglen som den første i INPUT-kæden). Så er
>> du sikker på at pakkerne droppes.
>
> Skal det forståes som at den ikke er helt sikker med -A ?

Den er slet ikke sikker med -A.

Hvis man kører med policy=DROP, vil dem der når slutningen af listen
(hvor -A placerer den nye regel) alligevel blive drop'et. Altså dem
der ikke allerede har matchet en ACCEPT-regel.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis skrev:

> Den er slet ikke sikker med -A.

Dvs. iptables -A INPUT -s net/maske -j DROP skal erstattes med iptables -I
INPUT -s net/maske -j DROP ?

> Hvis man kører med policy=DROP, vil dem der når slutningen af listen
> (hvor -A placerer den nye regel) alligevel blive drop'et. Altså dem der
> ikke allerede har matchet en ACCEPT-regel.

OK det giver mening.

--
Martin Johansen [6000]
http://tuxx.dk - "Carpe Aptenodytes!"
Mandrake Linux 9.2 med Fluxbox 0.9.6devel
Registered Linux User # 301406 (http://counter.li.org)

---

Den Wed, 14 Jul 2004 20:50:08 +0200 skrev Martin Johansen [6000]:
> Kent Friis skrev:
>
>> Den er slet ikke sikker med -A.
>
> Dvs. iptables -A INPUT -s net/maske -j DROP skal erstattes med iptables -I
> INPUT -s net/maske -j DROP ?

Jeg mener det er -I INPUT 1, men ellers ja.

(Indsæt som nummer 1 (først) i røkken).

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis skrev:

> Jeg mener det er -I INPUT 1, men ellers ja.
>
> (Indsæt som nummer 1 (først) i røkken).

OK tak - nu har jeg fat i det

Nu mangler jeg bare noget at blokere.

Kan man sige der findes noget som er "standard" at blokere for en maskine
der altid er på nettet?

--
Martin Johansen [6000]
http://tuxx.dk - "Carpe Aptenodytes!"
Mandrake Linux 9.2 med Fluxbox 0.9.6devel
Registered Linux User # 301406 (http://counter.li.org)

---

Den Wed, 14 Jul 2004 21:27:22 +0200 skrev Martin Johansen [6000]:
> Kent Friis skrev:
>
>> Jeg mener det er -I INPUT 1, men ellers ja.
>>
>> (Indsæt som nummer 1 (først) i røkken).
>
> OK tak - nu har jeg fat i det
>
> Nu mangler jeg bare noget at blokere.
>
> Kan man sige der findes noget som er "standard" at blokere for en maskine
> der altid er på nettet?

En IP-range som er standard at blokere?

Det skulle da lige være 192.168.0.0/16 eller lignende, men hvad vil
du opnå med det?

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis skrev:

> En IP-range som er standard at blokere?

Nja mere fx. porte osv.

Men har tænkt mig at blokere for alt pånær de porte jeg tillader og så
lade min router om at NAT'en dem videre.

Kan det lade sig gøre at blokere alle pånær xx ?

Det må vel give en høj sikkerhed eller er jeg helt galt afmarcheret her?

--
Martin Johansen [6000]
http://tuxx.dk - "Carpe Aptenodytes!"
Mandrake Linux 9.2 med Fluxbox 0.9.6devel
Registered Linux User # 301406 (http://counter.li.org)

---

Den Wed, 14 Jul 2004 21:47:24 +0200 skrev Martin Johansen [6000]:
> Kent Friis skrev:
>
>> En IP-range som er standard at blokere?
>
> Nja mere fx. porte osv.
>
> Men har tænkt mig at blokere for alt pånær de porte jeg tillader og så
> lade min router om at NAT'en dem videre.
>
> Kan det lade sig gøre at blokere alle pånær xx ?
>
> Det må vel give en høj sikkerhed eller er jeg helt galt afmarcheret her?

Det er her fidusen er i at sætte policy til DROP. Så bliver alt droppet,
medmindre andet er angivet.

Man tilføjer så blot en række regler om hvad man ikke ønsker at
droppe.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis skrev:

> Det er her fidusen er i at sætte policy til DROP. Så bliver alt droppet,
> medmindre andet er angivet.

Der prøvede jeg lige:
iptables -P INPUT DROP (mener jeg det var)

.....mistede al kontakt til serveren

> Man tilføjer så blot en række regler om hvad man ikke ønsker at
> droppe.

Lyder fair - men hvordan gør jeg det smartest så jeg undgår en hård
genstart som ovenover?

--
Martin Johansen [6000]
http://tuxx.dk - "Carpe Aptenodytes!"
Mandrake Linux 9.2 med Fluxbox 0.9.6devel
Registered Linux User # 301406 (http://counter.li.org)

---

Martin Johansen [6000] wrote:
> Kent Friis skrev:
>
>
>>Det er her fidusen er i at sætte policy til DROP. Så bliver alt droppet,
>>medmindre andet er angivet.
>
>
> Der prøvede jeg lige:
> iptables -P INPUT DROP (mener jeg det var)
>
> ....mistede al kontakt til serveren

Sikkert fordi du ikke har åbent for ssh eller hvad du nu bruger til at
fjernbetjene med.

Det er vist lige omkring *nu* at du læser
<http://www.linuxbog.dk/?b=sikkerhed>

Læs også (kommando) "man iptables"

>>Man tilføjer så blot en række regler om hvad man ikke ønsker at
>>droppe.
>
>
> Lyder fair - men hvordan gør jeg det smartest så jeg undgår en hård
> genstart som ovenover?

Laver et script, bruger /etc/init.d/iptables save|restore, bruger
Shorewall etc.

--
Steen Suder
Prøv at forestille dig, at du er en anden, og læs så din artikel igennem
inden du sender den. Alle har interesse i, at du staver og formulerer
dig, så godt du kan. På den måde forstås det lettere, hvad du skriver.

---

Steen Suder, privat skrev:

> Sikkert fordi du ikke har åbent for ssh eller hvad du nu bruger til at
> fjernbetjene med.

Det er det nok - jeg blokkede jo alt med den kommando...

> Det er vist lige omkring *nu* at du læser
> <http://www.linuxbog.dk/?b=sikkerhed>

/me læser..

> Laver et script, bruger /etc/init.d/iptables save|restore, bruger
> Shorewall etc.

Jo jo så langt var jeg kommet og det resulterede jo i alt blev
blokket.

Det jeg søger er hvordan jeg blokker alt pånær de porte jeg bruger uden
at ende i førnævnte situation.

--
Martin Johansen [6000]
http://tuxx.dk - "Carpe Aptenodytes!"
Mandrake Linux 9.2 med Fluxbox 0.9.6devel
Registered Linux User # 301406 (http://counter.li.org)

---

Den Wed, 14 Jul 2004 22:22:53 +0200 skrev Martin Johansen [6000]:
> Steen Suder, privat skrev:
>
>> Sikkert fordi du ikke har åbent for ssh eller hvad du nu bruger til at
>> fjernbetjene med.
>
> Det er det nok - jeg blokkede jo alt med den kommando...
>
>> Det er vist lige omkring *nu* at du læser
>> <http://www.linuxbog.dk/?b=sikkerhed>
>
> /me læser..
>
>> Laver et script, bruger /etc/init.d/iptables save|restore, bruger
>> Shorewall etc.
>
> Jo jo så langt var jeg kommet og det resulterede jo i alt blev
> blokket.
>
> Det jeg søger er hvordan jeg blokker alt pånær de porte jeg bruger uden
> at ende i førnævnte situation.

Du starter naturligvis med at åbne de porte du bruger, inden du ændrer
policy'en til drop.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis skrev:

> Du starter naturligvis med at åbne de porte du bruger, inden du ændrer
> policy'en til drop.

Det må være der filmen knækkede for mig. Jeg tænkte at det blev
overskrevet når jeg ændrede policy'en..

Takker

--
Martin Johansen [6000]
http://tuxx.dk - "Carpe Aptenodytes!"
Mandrake Linux 9.2 med Fluxbox 0.9.6devel
Registered Linux User # 301406 (http://counter.li.org)

---

Den Thu, 15 Jul 2004 00:03:56 +0200 skrev Martin Johansen [6000]:
> Kent Friis skrev:
>
>> Du starter naturligvis med at åbne de porte du bruger, inden du ændrer
>> policy'en til drop.
>
> Det må være der filmen knækkede for mig. Jeg tænkte at det blev
> overskrevet når jeg ændrede policy'en..
>
> Takker

Nej, policy er hvad der skal ske med "alt det andet".

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis skrev:

> Nej, policy er hvad der skal ske med "alt det andet".

Okay så fik jeg fat i det 100%.

Så jeg åbner for port xx og skifter policy til DROP ?

--
Martin Johansen [6000]
http://tuxx.dk - "Carpe Aptenodytes!"
Mandrake Linux 9.2 med Fluxbox 0.9.6devel
Registered Linux User # 301406 (http://counter.li.org)

---

Den Thu, 15 Jul 2004 00:53:09 +0200 skrev Martin Johansen [6000]:
> Kent Friis skrev:
>
>> Nej, policy er hvad der skal ske med "alt det andet".
>
> Okay så fik jeg fat i det 100%.
>
> Så jeg åbner for port xx og skifter policy til DROP ?

Det kan nok anbefales at lave nogle LOG regler, og teste inden du
ændrer policy.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis skrev:

> Det kan nok anbefales at lave nogle LOG regler, og teste inden du ændrer
> policy.

Jeg prøver

--
Martin Johansen [6000]
http://tuxx.dk - "Carpe Aptenodytes!"
Mandrake Linux 9.2 med Fluxbox 0.9.6devel
Registered Linux User # 301406 (http://counter.li.org)

---

Kent Friis skrev:

> Det er her fidusen er i at sætte policy til DROP. Så bliver alt droppet,
> medmindre andet er angivet.
>
> Man tilføjer så blot en række regler om hvad man ikke ønsker at
> droppe.

Kan jeg antage at min router som forwarder de nødvendige porte er
sikkerhed nok i sig selv?

For så er der vel i bund og grund ingen grund til at blokere noget der i
forvejen ikke kommer frem til serveren...

--
Martin Johansen [6000]
http://tuxx.dk - "Carpe Aptenodytes!"
Mandrake Linux 9.2 med Fluxbox 0.9.6devel
Registered Linux User # 301406 (http://counter.li.org)

---

On 2004-07-14, Martin Johansen [6000] <visit_my@website.invalid> wrote:
> Kent Friis skrev:
>
>> Det er her fidusen er i at sætte policy til DROP. Så bliver alt droppet,
>> medmindre andet er angivet.
>>
>> Man tilføjer så blot en række regler om hvad man ikke ønsker at
>> droppe.
>
> Kan jeg antage at min router som forwarder de nødvendige porte er
> sikkerhed nok i sig selv?

Afhænger vel af hvad du vil beskytte. Hvis det er din egen lille hjemme
server, så vil jeg mene at din routeres "firewall" er fin nok. Hvis det er
bankernes edb central og en linksys router til ~300,- så NEJ!

Skal vi portscanne dig og sende dig resultatet, eller kan du selv klare det
udefra? Så kan du jo se hvad der findes af åbne porte udefra.

Thomas

---

Thomas S. Iversen skrev:

> Afhænger vel af hvad du vil beskytte. Hvis det er din egen lille hjemme
> server, så vil jeg mene at din routeres "firewall" er fin nok. Hvis det
> er bankernes edb central og en linksys router til ~300,- så NEJ!

Det er min egen lille hjemmeserver og en linksys til ~500,-

Men da den indeholder fortrolige oplysninger er det i min store interesse
at holde så meget ude som muligt.

Jeg har det sidste stykke tid læst en del omkring sikkerhed (synes jeg
selv) men bliver ikke så meget klogere.

Skal jeg blokke porte?
Skal jeg blokke IP'er?
Eller hvad skal jeg?

> Skal vi portscanne dig og sende dig resultatet, eller kan du selv klare
> det udefra? Så kan du jo se hvad der findes af åbne porte udefra.

Du må gerne prøve.

Port 20+21+80+50000-->50100+22+10000 skulle gerne være åbne.

80 til web
20+21+50000-50100 til FTP
22 til ssh
10000 til webmin

--
Martin Johansen [6000]
http://tuxx.dk - "Carpe Aptenodytes!"
Mandrake Linux 9.2 med Fluxbox 0.9.6devel
Registered Linux User # 301406 (http://counter.li.org)

---

On 2004-07-14, Martin Johansen [6000] <visit_my@website.invalid> wrote:

> Skal jeg blokke porte?

Ja

> Skal jeg blokke IP'er?

Nej, men du kan overveje at blokere for adgang til ssh fra visse ip'er (dem
du logger ind via). Webmin ligeså.

> Eller hvad skal jeg?

Jeg sælger tinfoil hats som en bibeskæftigelse

Nej pjat. Din status ser ud som (kun til og med 1023):

www# nmap -P0 -p1-1023 80.165.164.36

Starting nmap 3.50 ( http://www.insecure.org/nmap/ ) at 2004-07-14 23:42 CEST
Interesting ports on 0x50a5a424.kd4nxx17.adsl-dhcp.tele.dk (80.165.164.36):
(The 1018 ports scanned but not shown below are in state: filtered)
PORT STATE SERVICE
20/tcp closed ftp-data
21/tcp open ftp
22/tcp open ssh
80/tcp open http
113/tcp closed auth

Mvh Thomas

---

Thomas S. Iversen skrev:

>> Skal jeg blokke porte?
>
> Ja

Også selvom min router kun forwarder det nødvendige?

Der er vel ikke megen idé i at blokke det som alligevel ikke når frem..
eller tager jeg fejl?

> Nej, men du kan overveje at blokere for adgang til ssh fra visse ip'er
> (dem du logger ind via). Webmin ligeså.

Det har jeg tænkt på men hvilke IP's skal jeg blokke fra? Det svinger jo
meget fra hvor jeg connecter..

> Jeg sælger tinfoil hats som en bibeskæftigelse



> Starting nmap 3.50 ( http://www.insecure.org/nmap/ ) at 2004-07-14 23:42
> CEST Interesting ports on 0x50a5a424.kd4nxx17.adsl-dhcp.tele.dk
> (80.165.164.36): (The 1018 ports scanned but not shown below are in state:
> filtered) PORT STATE SERVICE
> 20/tcp closed ftp-data
> 21/tcp open ftp
> 22/tcp open ssh
> 80/tcp open http
> 113/tcp closed auth

OK - det er også hvad jeg fandt frem til.

Alt pånær port 113 er hvad jeg har ønsket.

--
Martin Johansen [6000]
http://tuxx.dk - "Carpe Aptenodytes!"
Mandrake Linux 9.2 med Fluxbox 0.9.6devel
Registered Linux User # 301406 (http://counter.li.org)

---

Den Wed, 14 Jul 2004 23:57:06 +0200 skrev Martin Johansen [6000]:
> Thomas S. Iversen skrev:
>
>> 113/tcp closed auth
>
> OK - det er også hvad jeg fandt frem til.
>
> Alt pånær port 113 er hvad jeg har ønsket.

Ønsker du ikke at 113 skal være lukket (closed)?

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis skrev:

> Ønsker du ikke at 113 skal være lukket (closed)?

Joh men vil hellere have den totalt blokeret ligesom de andre der ikke er
åbnet op for.

Jeg kan ikke lige gennemskue hvorfor den kun er closed når min router
ikke forwarder den.

Den burde jo være stealth.

--
Martin Johansen [6000]
http://tuxx.dk - "Carpe Aptenodytes!"
Mandrake Linux 9.2 med Fluxbox 0.9.6devel
Registered Linux User # 301406 (http://counter.li.org)

---

Den Thu, 15 Jul 2004 00:04:52 +0200 skrev Martin Johansen [6000]:
> Kent Friis skrev:
>
>> Ønsker du ikke at 113 skal være lukket (closed)?
>
> Joh men vil hellere have den totalt blokeret ligesom de andre der ikke er
> åbnet op for.
>
> Jeg kan ikke lige gennemskue hvorfor den kun er closed når min router
> ikke forwarder den.
>
> Den burde jo være stealth.

Prøv lige at læse lidt ovre i dk.edb.sikkerhed. Stealth er noget
US Airforce har, og det har INTET med TCP/IP at gøre. En lukket port
er en port hvor maskinen i den anden ende får at vide "der er ikke
noget at komme efter her, go away". Det er det svar man får, når man
connecter til en port der ikke er i brug på en maskine uden firewall.

En port der ikke svarer sender et signal om "jeg har noget at skjule",
for ellers var den vel lukket. Hvis formålet er ikke at give angriberen
nogen informationer, så er det fejlet. Han har nemlig allerede fået
tre interessante oplysninger:

- Her er en der har noget at skjule.
- Han har en firewall.
- Han ved ikke hvordan man sætter firewall'en op til at svare "closed".

Derudover: Lige så snart vi er ovre i UDP, så er "open" og "svarer ikke"
det samme. Der er ikke nogen acknowledge (medmindre et ovenliggende
protokollag implementer en form for acknowledge), og derfor er en pakke
enten modtaget eller gået tabt, og det kan portscanneren ikke se forskel
på. Så hvis din router er sat op til at smide pakker væk i stedet for
at afvise dem, vil du få "svarer ikke" på samtlige UDP-porte. Den dag
nogen knækker din router, og installerer en backdoor på udp, vil
portscanneren vise "svarer ikke". Du kan altså ikke se forskel.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis skrev:

> Prøv lige at læse lidt ovre i dk.edb.sikkerhed. Stealth er noget US
> Airforce har, og det har INTET med TCP/IP at gøre. En lukket port er en
> port hvor maskinen i den anden ende får at vide "der er ikke noget at
> komme efter her, go away". Det er det svar man får, når man connecter
> til en port der ikke er i brug på en maskine uden firewall.

Med Stealth mener jeg det som https://www.grc.com/x/ne.dll?bh0bkyd2
snakker om, altså en port der er non-existant.

Closed så kan porten ses men er lukket. Stealth så kan den ikke ses
overhovedet.

> En port der ikke svarer sender et signal om "jeg har noget at skjule", for
> ellers var den vel lukket. Hvis formålet er ikke at give angriberen nogen
> informationer, så er det fejlet. Han har nemlig allerede fået tre
> interessante oplysninger:

Omvendt hvis han får svar på at der er en port men den er lukket så vil
han bryde den.

Ligesom indbrudstyven der ser den låste dør og så bryder den op. Hvis
han ingen dør ser så bryder han ind hos naboen som har en dør.

>
> - Her er en der har noget at skjule.

Jep - vil gerne skjule mine data

> - Han har en firewall.

Nope - kun router med NAT

> - Han ved ikke hvordan man sætter firewall'en op til at svare "closed".

Min router har bare ikke forwardet resten.

> Derudover: Lige så snart vi er ovre i UDP, så er "open" og "svarer ikke"
> det samme. Der er ikke nogen acknowledge (medmindre et ovenliggende
> protokollag implementer en form for acknowledge), og derfor er en pakke
> enten modtaget eller gået tabt, og det kan portscanneren ikke se forskel
> på. Så hvis din router er sat op til at smide pakker væk i stedet for
> at afvise dem, vil du få "svarer ikke" på samtlige UDP-porte. Den dag
> nogen knækker din router, og installerer en backdoor på udp, vil
> portscanneren vise "svarer ikke". Du kan altså ikke se forskel.

Jeg ved ikke om den svarer eller smider væk. Den er sat op med NAT så de
relevante porte føres videre. Intet andet - ingen filterering.

--
Martin Johansen [6000]
http://tuxx.dk - "Carpe Aptenodytes!"
Mandrake Linux 9.2 med Fluxbox 0.9.6devel
Registered Linux User # 301406 (http://counter.li.org)

---

Den Thu, 15 Jul 2004 00:58:45 +0200 skrev Martin Johansen [6000]:
> Kent Friis skrev:
>
>> Prøv lige at læse lidt ovre i dk.edb.sikkerhed. Stealth er noget US
>> Airforce har, og det har INTET med TCP/IP at gøre. En lukket port er en
>> port hvor maskinen i den anden ende får at vide "der er ikke noget at
>> komme efter her, go away". Det er det svar man får, når man connecter
>> til en port der ikke er i brug på en maskine uden firewall.
>
> Med Stealth mener jeg det som https://www.grc.com/x/ne.dll?bh0bkyd2
> snakker om,

http://www.grcsucks.com/

> altså en port der er non-existant.

Port 65536, 65537, 65538 og op er non-existants.

> Closed så kan porten ses men er lukket. Stealth så kan den ikke ses
> overhovedet.

Men man ved den er der. Altså, manden har noget at skjule.

>> En port der ikke svarer sender et signal om "jeg har noget at skjule", for
>> ellers var den vel lukket. Hvis formålet er ikke at give angriberen nogen
>> informationer, så er det fejlet. Han har nemlig allerede fået tre
>> interessante oplysninger:
>
> Omvendt hvis han får svar på at der er en port men den er lukket så vil
> han bryde den.

Lukket betyder normalt at der ikke er noget der lytter i den anden
ende. Hvad vil du bryde?

> Ligesom indbrudstyven der ser den låste dør og så bryder den op. Hvis
> han ingen dør ser så bryder han ind hos naboen som har en dør.
>
>>
>> - Her er en der har noget at skjule.
>
> Jep - vil gerne skjule mine data
>
>> - Han har en firewall.
>
> Nope - kun router med NAT

Så skal den sg* også svare "closed" til alt det der ikke er forwardet.

>> - Han ved ikke hvordan man sætter firewall'en op til at svare "closed".
>
> Min router har bare ikke forwardet resten.

Altså modtager den dem selv, og svarer closed. Medmindre den er sat
op til at lege firewall, eller den er defekt.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis skrev:

> http://www.grcsucks.com/

Hvem har så "ret" ? Vi har den ene lejr som er for grc og den som er
imod.. jeg aner det ikke.

> Men man ved den er der. Altså, manden har noget at skjule.

Det har han jo også når den er lukket.

> Lukket betyder normalt at der ikke er noget der lytter i den anden ende.
> Hvad vil du bryde?

Ved ikke - jeg er ikke hacker/cracker

> Så skal den sg* også svare "closed" til alt det der ikke er forwardet.

OK

> Altså modtager den dem selv, og svarer closed. Medmindre den er sat op
> til at lege firewall, eller den er defekt.

OK så ved jeg det. Den har nemlig ikke firewall indbygget kun
NAT-funktion. Alt ok.

Sådan var det også på den gamle Cisco677 samt min vens 677'er.

--
Martin Johansen [6000]
http://tuxx.dk - "Carpe Aptenodytes!"
Mandrake Linux 9.2 med Fluxbox 0.9.6devel
Registered Linux User # 301406 (http://counter.li.org)

---

Den Thu, 15 Jul 2004 01:27:44 +0200 skrev Martin Johansen [6000]:
> Kent Friis skrev:
>
>> http://www.grcsucks.com/
>
> Hvem har så "ret" ? Vi har den ene lejr som er for grc og den som er
> imod.. jeg aner det ikke.

Nej, vi har GRC som er for GRC, og samtlige sikkerhedsfolk jeg har
snakket med der er imod.

>> Men man ved den er der. Altså, manden har noget at skjule.
>
> Det har han jo også når den er lukket.

Nej, det er den som standard. Tag en nyinstalleret Win98 (patches ikke
nødvendigt) og check. Alle de porte der ikke er noget der lytter på,
og som derfor ikke kan angribes står som lukket.

>> Lukket betyder normalt at der ikke er noget der lytter i den anden ende.
>> Hvad vil du bryde?
>
> Ved ikke - jeg er ikke hacker/cracker

Der er ikke noget at angribe.

>> Så skal den sg* også svare "closed" til alt det der ikke er forwardet.
>
> OK
>
>> Altså modtager den dem selv, og svarer closed. Medmindre den er sat op
>> til at lege firewall, eller den er defekt.
>
> OK så ved jeg det. Den har nemlig ikke firewall indbygget kun
> NAT-funktion. Alt ok.
>
> Sådan var det også på den gamle Cisco677 samt min vens 677'er.

Cisco kalder det vist "filter", der skal lidt mere til for at være en
komplet firewall. Men NAT er tættere på at være en ren firewall end
et filter er, da den faktisk har brug for noget af det samme
funktionalitet - nemlig connection tracking.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis skrev:

> Nej, vi har GRC som er for GRC, og samtlige sikkerhedsfolk jeg har snakket
> med der er imod.

Okay.. ja hvad ved jeg. Det GRC skriver lyder rigtigt og det andre skriver
lyder rigtigt. I mine ører.

> Cisco kalder det vist "filter", der skal lidt mere til for at være en
> komplet firewall. Men NAT er tættere på at være en ren firewall end et
> filter er, da den faktisk har brug for noget af det samme funktionalitet -
> nemlig connection tracking.

Okay så lærte jeg det.

--
Martin Johansen [6000]
http://tuxx.dk - "Carpe Aptenodytes!"
Mandrake Linux 9.2 med Fluxbox 0.9.6devel
Registered Linux User # 301406 (http://counter.li.org)

---

Martin Johansen [6000] <visit_my@website.invalid> wrote:

> Okay.. ja hvad ved jeg. Det GRC skriver lyder rigtigt og det andre
> skriver lyder rigtigt. I mine ?rer.

Og _det_ er problemet. Steven Gibson, der driver GRC, har opfundet hans
egen terminologi naar han kalder en port for "stealth". Det giver det
problem at vi faar noget begrebsforvirring vi godt kunne vaere foruden.

Af andre termer han har opfundet er hans "nanoprobe" teknologi, hans
genopfindelse af "syn-cookies" (Med tilhoerende designfejl) og hans ret
staerke PR-udfoldelser.

Er det saa mere rigtigt? Ofte finder jeg at hans "magiske" loesninger
bare er ganske simple tricks pakket godt ind i noget varm luft. Og det
er synd, fordi det saa er svaerere for mennesker at saette sig ind i
teknologierne og styre gennem begrebsforvirringen.

TCP-standarden siger at naar der laves forbindelse til en port der ikke
er i LISTEN tilstand (dvs, intet program lytter paa den) saa skal der
returneres en pakke der fortaeller modparten at han ikke kan opnaa
forbindelse.

Mange, der skriver firewall-regelsaet vaelger derimod at droppe en
saadan pakke paa jorden og glemme alt om den. Resultatet er at
maskinen opfoerer sig anderledes end det er tiltaenkt. Der er
forskellige grunde til at man ikke er interesseret i at sende en pakke
retur

; Rate-limiting. FreeBSD implementerer RST-limiting, saa der er en
graense for hvor mange RST-pakker der svares paa i sekundet. Det kan
hjaelpe med til at begraense belastningen i netvaerket.

; Undgaa detektion. Dette er nok det, der goer at GRCs "stealth"
betegnelse er saa populaer. Hvis der ikke modtages en pakke fra den
anden ende overhovedet, saa er der enten ikke nogen maskine, eller
ogsaa er den slukket. Der er dog ikke megen mening i det hvis man
gladeligt svarer paa ICMP echo-request og port 80, www, men dropper
pakker paa port 23. Her har Kent ret i at det kun er med til at
oege informationsniveauet for en eventuel angriber.

; Sloevning af portscan. Hvis man ikke faar en RST-pakke tilbage ved
man ikke om det var fordi man overbelastede forbindelsen at man ikke
kunne finde nogle aabne porte (porte i LISTEN tilstand). Derfor er
man noedt til at vaere konservativ i sin soegehastighed og det goer
potentielt at man er nemmere at opdage.

Jeg er selv af den overbevisning at det bedst kan betale sig at sende
en RST-pakke den anden vej og goere opmaerksom paa den lukkede
forbindelse. Det kan ikke betale sig at faa graa haar i hovedet over
portscans og lignende. Hvis man er traet af daarlige virus forsoeg paa
at overtage ens apacheservers logfiler kan det derimod give mening.

Jeg har haft megen succes med et script der vader en apache-log igennem,
finder samtlige forsoeg af den kedelige slags og smider dem ind i en
<table> i PF (OpenBSDs firewall). En <table> er et radix-tree og saa er
opslag dejligt hurtigt. Jeg plejer saa bare at give dem en RST-pakke
tilbage naar de laver forbindelsesforsoeg. Formaalet er at fjerne
stoejen i min logfil. Ikke at sove bedre om natten (min webserver er
patchet anyway).

Scriptet kan koeres en gang i doegnet og derved opdatere ens <table> med
data. Denne kan placeres i en separat fil (PF styrer som
firewall/nat-translation/load-balancer/QoS-shaper) og saa loades ind i
regelsaettet en gang i doegnet efter endt opdatering. Simpelt, effektivt
og automagisk slipper man saa for stoej efter et par dage ;)

Man kan endda lave ens table saadan at et kommentarfelt indeholder
datoen hvor man smed serverlogspammeren i. Saa kan man fjerne dem
efter en maaned eller 2 for a trimme lidt paa tabellen. Ikke at det
betyder det store for performance med et radix-tree dog.




--
j.

---

Jesper Louis Andersen skrev:

> Og _det_ er problemet. Steven Gibson, der driver GRC, har opfundet hans
> egen terminologi naar han kalder en port for "stealth". Det giver det
> problem at vi faar noget begrebsforvirring vi godt kunne vaere foruden.

Jo tak.

> Er det saa mere rigtigt? Ofte finder jeg at hans "magiske" loesninger bare
> er ganske simple tricks pakket godt ind i noget varm luft. Og det er synd,
> fordi det saa er svaerere for mennesker at saette sig ind i teknologierne
> og styre gennem begrebsforvirringen.

Jeg er ihvertfald forvirret. Hvem har ret og hvem har ikke?

[snip en masse god læsning]

Tak for dit indlæg!

--
Martin Johansen [6000]
http://tuxx.dk - "Carpe Aptenodytes!"
Mandrake Linux 9.2 med Fluxbox 0.9.6devel
Registered Linux User # 301406 (http://counter.li.org)

---

Den Thu, 15 Jul 2004 22:44:21 +0200 skrev Martin Johansen [6000]:
> Jesper Louis Andersen skrev:
>
>> Og _det_ er problemet. Steven Gibson, der driver GRC, har opfundet hans
>> egen terminologi naar han kalder en port for "stealth". Det giver det
>> problem at vi faar noget begrebsforvirring vi godt kunne vaere foruden.
>
> Jo tak.
>
>> Er det saa mere rigtigt? Ofte finder jeg at hans "magiske" loesninger bare
>> er ganske simple tricks pakket godt ind i noget varm luft. Og det er synd,
>> fordi det saa er svaerere for mennesker at saette sig ind i teknologierne
>> og styre gennem begrebsforvirringen.
>
> Jeg er ihvertfald forvirret. Hvem har ret og hvem har ikke?

Jeg vil anbefale at lytte efter sikkerhedsfolkene, og ignorere
marketing-manden.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis skrev:

> Jeg vil anbefale at lytte efter sikkerhedsfolkene, og ignorere
> marketing-manden.

OK

--
Martin Johansen [6000]
http://tuxx.dk - "Carpe Aptenodytes!"
Mandrake Linux 9.2 med Fluxbox 0.9.6devel
Registered Linux User # 301406 (http://counter.li.org)

---

Jesper Louis Andersen <dtqis1-otf.ln1@miracle.mongers.org>:

> Jeg er selv af den overbevisning at det bedst kan betale sig at sende
> en RST-pakke den anden vej og goere opmaerksom paa den lukkede
> forbindelse. Det kan ikke betale sig at faa graa haar i hovedet over
> portscans og lignende. Hvis man er traet af daarlige virus forsoeg paa
> at overtage ens apacheservers logfiler kan det derimod give mening.
>
> Jeg har haft megen succes med et script der vader en apache-log
> igennem, finder samtlige forsoeg af den kedelige slags og smider dem
> ind i en <table> i PF (OpenBSDs firewall). En <table> er et radix-tree
> og saa er opslag dejligt hurtigt. Jeg plejer saa bare at give dem en
> RST-pakke tilbage naar de laver forbindelsesforsoeg. Formaalet er at
> fjerne stoejen i min logfil. Ikke at sove bedre om natten (min
> webserver er patchet anyway).

Det er en udemærket ide.
Man kan slippe for en del støj ved, at have en junk virtual host som
den første i listen, altså den der vil svare når der laves request på IP
nummer og ikke domænenavnet, de fleste af den slags virus requester på
IP og ikke domænenavn, gør de ikke ?

--
D. Johnson