How to become an author
Search
Write a publication
Pull to refresh

Comments 44

За размер лога не боитесь? Думаю крупный ботнет быстро заполнит свободное место на венике.
Rating is hidden
Само собой.
Я имел ввиду что не целесообразно писать в лог. Будет достаточно DROP'a.
Rating is hidden
файервол без логов — практически бесполезная вещь. Уж то, что запрещает файервол, должно логироваться однозначно. Разрешенный трафик не нужно логировать, это да.
Rating is hidden
последний deny all тоже логируете? Если логировать, то правилами
Rating is hidden
Да, логи обязательны, разумеется. И на каждый портскан — несимметричный ответ от своего собственного ботнета.
Rating is hidden
Это верно,

iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -m limit --limit 5/min -j LOG --log-prefix «Stealth scan»
iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -m limit --limit 5/min -j DROP
Rating is hidden
Извиняюсь за ошибки так как нерусский я. Такая вероятнось ничтожна, никто небудет тратить время на забивание места на харде.К тому же для етого существуют более оригинальные способы.
Rating is hidden
Ух ты, Украинцы забыли русский?
Rating is hidden
Кто говорит что я с Украины? Вы до сих пор верите всему что пишут в анкетах?
Rating is hidden
По крайней мере на хабре — да.
Rating is hidden
Никогда не понимал практики параноидальных фаирволов. Некоторые вообще любят ICMP блокировать.
Rating is hidden
А зачем нужны ICMP кроме type 8 и type 13 при типичной сети? Можно ещё и type 30 использовать (чисто для traceroute), но далеко не обязательно — tracepath или mtr используют type 8
Rating is hidden
я думаю, человек имел в виду, что многие запрещают echo-request/reply, а это да, гадская привычка.
Rating is hidden
Ну это всё равно, что сказать «запрещают TCP-трафик», имея в виду только веб и почту.
Rating is hidden
UFO just landed and posted this here
а мне-то откуда знать? проверьте сами, мне негде, не пользуюсь. Если так — передайте Баллмеру горячий удар в печень. Два раза.
Хотя на десктопах это не так уж страшно, плохо когда на маршрутизаторах и серверах так делают.
Rating is hidden
UFO just landed and posted this here
И все же живой человек сможет ваши порты просканировать незаметно =). Вы закрыли только одну из некоторого количества лазеек ;). Наверняка в ваш лог не упадет запись про сканирование с флагами -sS -sN и некоторых других видов скана =).

В жизни довольно мало ситуаций, когда требуется подобные меры.
Rating is hidden
Неспорю с вами ето так… но я показал самую распостраненную лазейку.Сканирование же с флагами -sS -sN, да их пишут не все системы журналирования.Но это отнюдь не означает, что их невозможно отследить!
Но вообще конечно подобные меры крайне редки.
Rating is hidden
Заголовок статьи говорит, о том, что вы расскажете как же защититься совсем. А на деле же оказывается, что тема не раскрыта даже на 30%.
Rating is hidden
Для всех сканеров есть 1 правило — стук ниже 20 порта — бан, на определённое время.
Rating is hidden
а какой идиот сканит порты ниже 20го?
Rating is hidden
Коментируем граждане что ненравится в заметке моей, ато вижу минуса лупят непонятно за что… то у вас за мода такая, поставил так прокоментируй!
Rating is hidden
Андрей, нужно ещё наклепать и правил, как недопустить упомянутые сканы при -sS -sN. ну и не совсем понятно / плохо описанно, что означают поставленые в примере флаги. особенно замудренно и запутанно предложение «Первый список состояний (ACK,FIN) перечисляет тестируемые флаги, второй (FIN) – те из них, что установлены.»
Rating is hidden
Я думаю, уже можно перенести в тематический блог =)
Rating is hidden
У вас недостаточно кармы… пока немогу)
Rating is hidden
UFO just landed and posted this here
Ну к fail2ban'у можно и своих фильтров, при желании, понарисовывать. По своей сути очень неплохая тулза.
Rating is hidden
Автору: а ещё есть
-A bad-packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP 
-A bad-packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP 
-A bad-packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP 
-A bad-packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP 
-A bad-packets -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP 
-A bad-packets -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
Параноидально-же настроенным гражданам можно ещё про recent и connlimit почитать.
Не мешает где-то в самом начале ещё и
-A INPUT -m conntrack --ctstate INVALID -j DROP
нарисовать.
А вообще паранойи должно быть в меру, не стоит слишком уж переусердствовать.
Rating is hidden
параноидальным гражданам стоит сразу кабель отрезать и быть в безопаности ^__^
Rating is hidden
А что плохого такого опасного в сканировании портов? Это безопасность через незнание или что-то еще?
Rating is hidden
может и опасности никакой, шутник просто, а может кто то проверяет твои порты для того что бы подключится к тебе для незаконных целей и кражи инфы.
Rating is hidden
Ну вот открыт у меня порт ssh. И авторизация по ключу =). Есть ли смысл от того, что вы узнаете, что у меня открыт 22 порт?
Rating is hidden
А почему бы не сделать просто
-A INPUT -m conntrack --ctstate NEW -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP (или -j logdrop, если нравится)?
Rating is hidden
Если кто-то с вашего сервера делает сканирование портов, отличное от nmap -sT, то ваша идея с фильтром идёт лесом, поскольку для stealth (SYN) и прочих экзотических видов сканирования уже требуются права рута. Got root — значит могут «поиметь» и всё остальное, включая правила фаерволла.
Rating is hidden
UFO just landed and posted this here
Sign up to leave a comment.

Articles

Your account

Sections

Information

Services

Support
© 2006–2024, Habr