Re: skan portow
Witam, Dnia Thu, May 08, 2003 at 11:49:01PM CEST, Mirek Grochowski napisał: : On Thu, 8 May 2003, Tomasz T. Ciaszczyk wrote: : : : Oj chyba nie wiesz o co chodzi. portsentry potrafi zablokowac zgodnie z : : regolami jakie sobie zazyczysz w przypadku wykrycia skanowania : Ty nie rozumiesz. portsentry blokuje PO WYKRYCIU skanowania, a nie : PRZED. : : Nie PO nie PRZED ale PODCZAS. : Wiec nie mow mi, ze nie rozumie, bo chyba sam nie rozumiesz. To musialbys udostepniac niskie porty. Poza tym po co skanowac wszystkie porty, skoro najczesciej dziury sa w standardowych. No chyba, ze np. udostepnisz portsentry na porcie fingerd, imap2/3, mysqld. To wtedy w trakcie skanowaniwa bedzie blokowac. Jezeli mowisz o serwie wspinaczka.net to wlasnie portsentry nie zareagowal na moje skanowanie. exim 3.36 Apache/1.3.26 (Unix) Debian GNU/Linux PHP/4.1.2 ProFTPD 1.2.6 Server (Pierwszy Serwer ftp na kompie grocha) [wspinaczka.net] SSH-1.99-OpenSSH_3.6.1p1 Debian 1:3.6.1p1-1 popa nie udostepniasz. cos wiecej potrzeba wiedziec? Pozdrawiam, Tomasz T. Ciaszczyk -- .: ciachoatciacho.pl ciachoatjabber.org http://ciacho.pl :. .:Press any key to continue... No, no, NOT *THAT* ONE! :. pgpeXOoTXahOC.pgp Description: PGP signature
Re: skan portow
On Fri, 9 May 2003, Tomasz T. Ciaszczyk wrote: Witam, Dnia Thu, May 08, 2003 at 11:49:01PM CEST, Mirek Grochowski napisał: : On Thu, 8 May 2003, Tomasz T. Ciaszczyk wrote: : : : Oj chyba nie wiesz o co chodzi. portsentry potrafi zablokowac zgodnie z : : regolami jakie sobie zazyczysz w przypadku wykrycia skanowania : Ty nie rozumiesz. portsentry blokuje PO WYKRYCIU skanowania, a nie : PRZED. : : Nie PO nie PRZED ale PODCZAS. : Wiec nie mow mi, ze nie rozumie, bo chyba sam nie rozumiesz. To musialbys udostepniac niskie porty. Poza tym po co skanowac wszystkie porty, skoro najczesciej dziury sa w standardowych. No chyba, ze np. udostepnisz portsentry na porcie fingerd, imap2/3, mysqld. To wtedy w trakcie skanowaniwa bedzie blokowac. Jezeli mowisz o serwie wspinaczka.net to wlasnie portsentry nie zareagowal na moje skanowanie. Pytanie brzmi czy mial reagowac? Odpowiedz brzmi: Nie. Ja tylko mowilem jak to dziala, a nie jak to dziala u mnie. Ja jestem zwolennikiem odcinania wszystkiego co trzeba na firewallu i tyle. Zreszta portsentry nie odcina w czasie wyslania zapytania na port na, ktorym jest jakas usluga tylko w przypadku wyslania zapytania na port zabroniony. Mozna oczywiscie zrobic tak jak mowisz, to znaczy kazac nasluchiwac na portach standardowych uslug, ktorych sie nie uzywa, ale szczerze mowiac nie bardzo widze sens. Dla mnie takie rozwiazanie jest niepraktyczne a to glownie lateko, ze ja nie chce nikogo automatycznie blokowac. pozdrawiam -- mirek
Re: skan portow
Witam, Dnia Fri, May 09, 2003 at 02:15:02PM CEST, Mirek Grochowski napisał: : On Fri, 9 May 2003, Tomasz T. Ciaszczyk wrote: : : Jezeli mowisz o serwie wspinaczka.net to wlasnie portsentry nie : zareagowal na moje skanowanie. : : Pytanie brzmi czy mial reagowac? Odpowiedz brzmi: Nie. : Ja tylko mowilem jak to dziala, a nie jak to dziala u mnie. Ja jestem : zwolennikiem odcinania wszystkiego co trzeba na firewallu i tyle. : Zreszta portsentry nie odcina w czasie wyslania zapytania na port na, : ktorym jest jakas usluga tylko w przypadku wyslania zapytania na port : zabroniony. : Mozna oczywiscie zrobic tak jak mowisz, to znaczy kazac nasluchiwac na : portach standardowych uslug, ktorych sie nie uzywa, ale szczerze mowiac : nie bardzo widze sens. Dla mnie takie rozwiazanie jest niepraktyczne a to : glownie lateko, ze ja nie chce nikogo automatycznie blokowac. : Proponuje eot, bo mowimy o tym samym tylko innymi slowami. Pozdrawiam, Tomasz T. Ciaszczyk -- .: ciachoatciacho.pl ][Ciebie wołam, ale cisza i pustka dookoła :. .: http://ciacho.pl][-- Universe :. .: ciachoatjabber.org][ :. pgpvJCB7Kv4uj.pgp Description: PGP signature
Re: skan portow
On Thu, May 08, 2003 at 09:47:39PM +0200, Mirek Grochowski wrote: Oj chyba nie wiesz o co chodzi. portsentry potrafi zablokowac zgodnie z regolami jakie sobie zazyczysz w przypadku wykrycia skanowania Oj wiem o co chodzi medrcze, teraz sobie przypomnialem ze skanujac server z portsentry otrzymalem porty z kosmosu. -- /name loju
Re: skan portow
On Wed, May 07, 2003 at 10:33:15PM +0200, Bartosz Feński aka fEnIo wrote: On Wed, May 07, 2003 at 06:19:52PM +0200, Łukasz Szymański wrote: jak mozna za pomoca iptables zablokowac skanowanie portow maszyny? do blokowania skanow mozesz uzyc portsentry. tylko musisz otworzyc na firewallu porty na ktorych nasluchuje. Dobrze od czasu do czasu zobaczyć zabawne wypowiedzi ;) pozdr, fEnIo a mozesz napisac co jest takie zabawne? mozliwe ze zle rozumuje... mam filtr pakietow na iptables. generalnie blokuje wszystko oprocz kilku portow, na ktorych mam rozne uslugi(ssh,smtp,pop3,www),oraz tych na ktorych nasluchuje portsentry. aby uchronic sie przed skanowaniem portow zrobilem take cos: portsentry.conf: [...] TCP_PORTS=1,11,15,111,143,540,1243,1524,3128,8080,12345,12346,32773,49724,54320 UDP_PORTS=1,7,9,69,161,162,513,640,700,32770,32771,32772,32773,32774,54321 [...] KILL_ROUTE=/sbin/iptables -I dropped -s $TARGET$ -j DROP [...] rc.firewall: [...] TCP_PORTS=1,11,15,111,143,540,1243,1524,3128,8080,12345,12346,32773,49724,54320 UDP_PORTS=1,7,9,69,161,162,513,640,700,32770,32771,32772,32773,32774,54321 [...] $IPT -t filter -A blocked_tcp_ports -p tcp -s 0/0 -m multiport \ --destination-ports $TCP_PORTS -j ACCEPT $IPT -t filter -A blocked_udp_ports -p udp -s 0/0 -m multiport \ --destination-ports $UDP_PORTS -j ACCEPT [...] $IPT -t filter -A INPUT -p tcp -j dropped $IPT -t filter -A INPUT -p tcp -j blocked_tcp_ports $IPT -t filter -A INPUT -p udp -j blocked_udp_ports [...] jak widac skany sa udaremniane za pomoca iptables, chocaz regulki dodaje portsentry. wydaje mi sie ze jest to dobry sposob na wykrywanie prob skanowania, ale jesli sie myle to prosZe o korekte. pozdr szuman
Re: skan portow
On Thu, May 08, 2003 at 04:42:04PM +0200, Łukasz Szymański wrote: jak widac skany sa udaremniane za pomoca iptables, chocaz regulki dodaje portsentry. uchronić się przed skanem to jedno a wykryć skan to drugie. Tobie da się skanować porty. Portsentry Ci pokaze jedynie, że taki skan miał miejsce. -- /name loju
Re: skan portow
Jak podają anonimowe źródła, przepowiedziano, że Wiesław Ruszowski napisze: jak widac skany sa udaremniane za pomoca iptables, chocaz regulki dodaje portsentry. uchronić się przed skanem to jedno a wykryć skan to drugie. Tobie da się skanować porty. Portsentry Ci pokaze jedynie, że taki skan miał miejsce. A ten skan chodzi i zabija czy co? Pozdrawiam -- Jacek Kawa **You are unique, like everyone else...**
Re: skan portow
On Thu, 8 May 2003, [utf-8] WiesĹaw Ruszowski wrote: On Thu, May 08, 2003 at 04:42:04PM +0200, Ĺukasz SzymaĹski wrote: jak widac skany sa udaremniane za pomoca iptables, chocaz regulki dodaje portsentry. uchroniÄ siÄ przed skanem to jedno a wykryÄ skan to drugie. Tobie da siÄ skanowaÄ porty. Portsentry Ci pokaze jedynie, Ĺźe taki skan miaĹ miejsce. Oj chyba nie wiesz o co chodzi. portsentry potrafi zablokowac zgodnie z regolami jakie sobie zazyczysz w przypadku wykrycia skanowania pozdr -- mirek
Re: skan portow
Witam, Dnia czw, maj 08, 2003 at 09:47:39 CEST, Mirek Grochowski napisał: : uchroniÄ siÄ przed skanem to jedno a wykryÄ skan to drugie. : Tobie da siÄ skanowaÄ porty. : Portsentry Ci pokaze jedynie, Ĺźe taki skan miaĹ miejsce. : : Oj chyba nie wiesz o co chodzi. portsentry potrafi zablokowac zgodnie z : regolami jakie sobie zazyczysz w przypadku wykrycia skanowania Ty nie rozumiesz. portsentry blokuje PO WYKRYCIU skanowania, a nie PRZED. Pozdrawiam, Tomasz T. Ciaszczyk -- .: ciachoatciacho.pl ][ The squeaky wheel doesn't always get :. .: http://ciacho.pl][ the grease. Sometimes it gets replaced. :. .: ciachoatjabber.org][ :. pgptR9Etn1nKw.pgp Description: PGP signature
Re: skan portow
On Thu, 8 May 2003 16:42:04 +0200 Łukasz Szymański [EMAIL PROTECTED] wrote: mam filtr pakietow na iptables. generalnie blokuje wszystko oprocz kilku portow, na ktorych mam rozne uslugi(ssh,smtp,pop3,www),oraz tych na ktorych nasluchuje portsentry. Nie bardzo rozumiem, odblokowujesz na firewallu jakieś porty oprócz tych używanych przez usługi? To przepis na firewall a'la ser szwajcarski? ;-) -- Pozdrawiam, Michał Byrecki /* Play me online? Well, you know that I'll beat you If I ever meet you I'll control-alt-delete you */
Re: skan portow
On Thu, 8 May 2003, Tomasz T. Ciaszczyk wrote: Witam, Dnia czw, maj 08, 2003 at 09:47:39 CEST, Mirek Grochowski napisał: : uchroniÄ siÄ przed skanem to jedno a wykryÄ skan to drugie. : Tobie da siÄ skanowaÄ porty. : Portsentry Ci pokaze jedynie, Ĺźe taki skan miaĹ miejsce. : : Oj chyba nie wiesz o co chodzi. portsentry potrafi zablokowac zgodnie z : regolami jakie sobie zazyczysz w przypadku wykrycia skanowania Ty nie rozumiesz. portsentry blokuje PO WYKRYCIU skanowania, a nie PRZED. Nie PO nie PRZED ale PODCZAS. Wiec nie mow mi, ze nie rozumie, bo chyba sam nie rozumiesz. -- mirek
Re: skan portow
On Thu, May 08, 2003 at 10:44:33PM +0200, Michał Byrecki wrote: On Thu, 8 May 2003 16:42:04 +0200 Łukasz Szymański [EMAIL PROTECTED] wrote: mam filtr pakietow na iptables. generalnie blokuje wszystko oprocz kilku portow, na ktorych mam rozne uslugi(ssh,smtp,pop3,www),oraz tych na ktorych nasluchuje portsentry. Nie bardzo rozumiem, odblokowujesz na firewallu jakieś porty oprócz tych używanych przez usługi? To przepis na firewall a'la ser szwajcarski? ;-) no dobrze ale przeciez i tak na tych portach nic nie postawisz dopuki portsentry na nich nasluchuje... pozdr
Re: skan portow
On Fri, 9 May 2003 00:38:00 +0200 Łukasz Szymański [EMAIL PROTECTED] wrote: On Thu, May 08, 2003 at 10:44:33PM +0200, Michał Byrecki wrote: On Thu, 8 May 2003 16:42:04 +0200 Łukasz Szymański [EMAIL PROTECTED] wrote: mam filtr pakietow na iptables. generalnie blokuje wszystko oprocz kilku portow, na ktorych mam rozne uslugi(ssh,smtp,pop3,www),oraz tych na ktorych nasluchuje portsentry. Nie bardzo rozumiem, odblokowujesz na firewallu jakieś porty oprócz tych używanych przez usługi? To przepis na firewall a'la ser szwajcarski? ;-) no dobrze ale przeciez i tak na tych portach nic nie postawisz dopuki portsentry na nich nasluchuje... Ale w przypadku błędu w portsentry narażasz w ten sposób system :-) Dobra zasada jest taka, żeby nie udostępniać na zewnątrz nic, co nie jest konieczne. Nasłuchiwanie na dziwnych portach nie jest konieczne i nie widze uzasadnienia żey robić inaczej. -- Pozdrawiam, Michał Byrecki /* Play me online? Well, you know that I'll beat you If I ever meet you I'll control-alt-delete you */
Re: skan portow
On Fri, May 09, 2003 at 02:37:48AM +0200, Michał Byrecki wrote: mam filtr pakietow na iptables. generalnie blokuje wszystko oprocz kilku portow, na ktorych mam rozne uslugi(ssh,smtp,pop3,www),oraz tych na ktorych nasluchuje portsentry. Nie bardzo rozumiem, odblokowujesz na firewallu jakieś porty oprócz tych używanych przez usługi? To przepis na firewall a'la ser szwajcarski? ;-) no dobrze ale przeciez i tak na tych portach nic nie postawisz dopuki portsentry na nich nasluchuje... Ale w przypadku błędu w portsentry narażasz w ten sposób system :-) Dobra zasada jest taka, żeby nie udostępniać na zewnątrz nic, co nie jest konieczne. Nasłuchiwanie na dziwnych portach nie jest konieczne i nie widze uzasadnienia żey robić inaczej. dziekuje za sprostowanie, teraz wiem ze nie byl zbyt dobry pomysl. pozdr szuman
skan portow
czesc, jak mozna za pomoca iptables zablokowac skanowanie portow maszyny? Pz, Maciej
Re: skan portow
Dnia Wed, May 07, 2003 at 02:59:44PM +0200 Maciej Bobrowski napisał/a: czesc, jak mozna za pomoca iptables zablokowac skanowanie portow maszyny? Nie da sie!!! Sprecyzuj pytanie to moze cos sie da zrobic... Przeczytaj sobie tez moja stopke i :%s /systemie DNS/iptables/ ;) pzdr yanek -- ,,Weź przeczytaj chociaż jeden dokument o systemie DNS. Bo odnoszę wrażenie, że wiesz o tym tyle co ja o hodowli świń.'' - Bartosz Feński aka fEnIo (@ debian-user-polish@lists.debian.org)
Re: skan portow
On Wed, May 07, 2003 at 02:59:44PM +0200, Maciej Bobrowski wrote: czesc, jak mozna za pomoca iptables zablokowac skanowanie portow maszyny? Pz, Maciej do blokowania skanow mozesz uzyc portsentry. tylko musisz otworzyc na firewallu porty na ktorych nasluchuje. pozdr szuman
Re: skan portow
Witam, Dnia Wed, May 07, 2003 at 03:28:09PM CEST, Andrzej Dalasinski napisał: : Dnia Wed, May 07, 2003 at 02:59:44PM +0200 Maciej Bobrowski napisał/a: : : czesc, : : jak mozna za pomoca iptables zablokowac skanowanie portow maszyny? : Nie da sie!!! : Sprecyzuj pytanie to moze cos sie da zrobic... Skanowanie typu SynScan mozna, nie mozna tylko iptabletkami zablokowac skanowanie zwykle - bo przeciez fizycznie porty musi system otwierac. Pozdrawiam, Tomasz T. Ciaszczyk -- .: ciachoatciacho.pl ciachoatjabber.org http://ciacho.pl :. .:Press any key to continue... No, no, NOT *THAT* ONE! :. pgpvE0GIZNPpr.pgp Description: PGP signature
Re: skan portow
On Wed, May 07, 2003 at 06:19:52PM +0200, Łukasz Szymański wrote: jak mozna za pomoca iptables zablokowac skanowanie portow maszyny? do blokowania skanow mozesz uzyc portsentry. tylko musisz otworzyc na firewallu porty na ktorych nasluchuje. Dobrze od czasu do czasu zobaczyć zabawne wypowiedzi ;) pozdr, fEnIo -- _ Bartosz Feński aka fEnIo | tlen/mailto:[EMAIL PROTECTED] | pgp:0x13fefc40 _|_|_ 32-050 Skawina - Głowackiego 3/15 - w. małopolskie - Polska (0 0) phone:+48501608340 | ICQ:46704720 | GG:726362 | IRC:fEnIo ooO--(_)--Ooo http://skawina.eu.org | JID:[EMAIL PROTECTED] | RLU:172001 pgp0THJsgJZyU.pgp Description: PGP signature
Re: skan portow
Dnia Wed, May 07, 2003 at 06:27:41PM +0200 Tomasz T. Ciaszczyk napisał/a: : jak mozna za pomoca iptables zablokowac skanowanie portow maszyny? : Nie da sie!!! : Sprecyzuj pytanie to moze cos sie da zrobic... Skanowanie typu SynScan mozna, nie mozna tylko iptabletkami zablokowac skanowanie zwykle - bo przeciez fizycznie porty musi system otwierac. no jak zablokuje przeciez porty beda nadal skanowane, tylko ze skanujacy nic w ten sposob nie osiagnie. pzdr yanek -- ,,Weź przeczytaj chociaż jeden dokument o systemie DNS. Bo odnoszę wrażenie, że wiesz o tym tyle co ja o hodowli świń.'' - Bartosz Feński aka fEnIo (@ debian-user-polish@lists.debian.org)