Re: Scan de Puertos e iptables
Creo recordar que habia un programa llamado scanlogd, pero no se si es lo que estas buscando, echale un vistazo a ver que tal. Un saludo El mar, 05-07-2005 a las 17:59 -0400, Luis Vega escribió: ok gracias.. tema cerrado saludos. -- Luis Vega M. Linux Registered User #356394 http://es.geocities.com/gdfod -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Scan de Puertos e iptables
Ya te aconsejaron:si queres que ciertas personas accedan mete un firewall y filtra por ip Hay otra opción que no se ha comentado. No se si te servirá, pero me pareció en su día interesante, aunque no la he puesto en marcha por falta de tiempo. Se trata de guardian. Lo que hace es que cuando detecta un scaneo de la red, bloquea esa ip poniendo una regla en iptables. Yo lo estoy haciendo de modo mas cutre-artesanal. Cuando veo los logs de snort, cojo las ips que han escaneado, las meto en un archivo y luego creo un bucle for para que cree una regla para cada ip que la bloquee. Posiblemente se podría mejorar usando snort y mysql, pero todavía no lo he probado. -- Saludos. Pablo Fingerprint 5607 40CF 45EF D490 B794 5056 D7B2 C3DC ABF1 CE49 Jabber: [EMAIL PROTECTED] http://aldiagestion.com pgpbxpIUxp06H.pgp Description: PGP signature
Re: Scan de Puertos e iptables
Perdon que me meta, pero ese laburito que estas haciendo sirve solo si la IP es fija... poniendome como ejemplo, si quiero escanear tu maquina y vos me filtras la IP, simplemente me desconecto de internet, me reconecto y ya tengo otra IP. En ese caso, se diria que estas trabajando duro y gratis... por decirlo de alguna manera :) Y tene en cuenta que la gran mayoria usamos IPs dinamicas. 2005/7/6, Pablo Braulio [EMAIL PROTECTED]: Yo lo estoy haciendo de modo mas cutre-artesanal. Cuando veo los logs desnort, cojo las ips que han escaneado, las meto en un archivo y luego creo un bucle for para que cree una regla para cada ip que la bloquee.Posiblemente se podría mejorar usando snort y mysql, pero todavía no lo heprobado.-- Saludos.Martin C.
Re: Scan de Puertos e iptables
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Martin C. wrote: Perdon que me meta, pero ese laburito que estas haciendo sirve solo si la IP es fija... poniendome como ejemplo, si quiero escanear tu maquina y vos me filtras la IP, simplemente me desconecto de internet, me reconecto y ya tengo otra IP. En ese caso, se diria que estas trabajando duro y gratis... por decirlo de alguna manera :) Y tene en cuenta que la gran mayoria usamos IPs dinamicas. Puedes tener un dominio con IP dinámica. zoneedit.com, dynds.org u otros 2005/7/6, Pablo Braulio [EMAIL PROTECTED] mailto:[EMAIL PROTECTED]: Yo lo estoy haciendo de modo mas cutre-artesanal. Cuando veo los logs de snort, cojo las ips que han escaneado, las meto en un archivo y luego creo un bucle for para que cree una regla para cada ip que la bloquee. Posiblemente se podría mejorar usando snort y mysql, pero todavía no lo he probado. -- Saludos. Martin C. - -- Ricardo A.Frydman Consultor en Tecnología Open Source - Administrador de Sistemas jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar SIP # 1-747-667-9534 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFCy9fEkw12RhFuGy4RAvSaAJ9PZuLBOq6U/Trb5QGQRwVZJszZLwCeLFQc H3ZKcW108f8rjIprOxerU0Y= =2dZj -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Scan de Puertos e iptables
Y eso en que afecta a lo que dije? :) O la respuesta no era para mi? jeje. Puedes tener un dominio con IP dinámica. zoneedit.com, dynds.org u otros-- Saludos.Martin C.
Re: Scan de Puertos e iptables
El Miércoles, 6 de Julio de 2005 15:08, Ricardo Frydman escribió: Perdon que me meta, pero ese laburito que estas haciendo sirve solo si la IP es fija... poniendome como ejemplo, si quiero escanear tu maquina y vos me filtras la IP, simplemente me desconecto de internet, me reconecto y ya tengo otra IP. En ese caso, se diria que estas trabajando Eso depende de tu ISP, yo tengo la misma ip durante mucho tiempo. Hay veces que al apagar la red me cambia, y otras no. -- Saludos. Pablo Fingerprint 5607 40CF 45EF D490 B794 5056 D7B2 C3DC ABF1 CE49 Jabber: [EMAIL PROTECTED] http://aldiagestion.com pgpOK6IBJgs7S.pgp Description: PGP signature
Re: Scan de Puertos e iptables
Precisamente... a mi en un tiempo me cambiaba cada 24hs, despues en cada reconexion... pero para el caso es lo mismo, ya que la mayoria de los ISP utilizan IP dinamica por muchas razones. Incluso muchos de los ISP que conozco comenzaron dando IP fija y con el tiempo, debido principalmente a la cantidad creciente de usuarios que utilizaban sus servicios, cambiaron y comenzaron a ofrecer IP dinamica, dando IP fija si se quiere, pero por otro precio... ;) Eso depende de tu ISP, yo tengo la misma ip durante mucho tiempo. Hay vecesque al apagar la red me cambia, y otras no. --Saludos.PabloFingerprint 5607 40CF 45EF D490 B794 5056 D7B2 C3DC ABF1 CE49Jabber: [EMAIL PROTECTED] http://aldiagestion.com -- Saludos. Martin C.
Re: Scan de Puertos e iptables
El Miércoles, 6 de Julio de 2005 18:10, Martin C. escribió: Precisamente... a mi en un tiempo me cambiaba cada 24hs, despues en cada reconexion... pero para el caso es lo mismo, ya que la mayoria de los ISP utilizan IP dinamica por muchas razones. Incluso muchos de los ISP que conozco comenzaron dando IP fija y con el tiempo, debido principalmente a la cantidad creciente de usuarios que utilizaban sus servicios, cambiaron y comenzaron a ofrecer IP dinamica, dando IP fija si se quiere, pero por otro precio... ;) Lo que está claro es que no hay una solución eficaz y definitiva a la vez. Pues si uno tiene un poco de cabeza, antes que intentar un ataque desde su propia ip, sobretodo si esta es estática, lo intentará desde otro sitio (ciber, casa de colega, etc), para evitar ser detectado y restringido. Lo que yo he puesto es una alternativa, como muchas son un parche para evitar males mayores. Evidentemente, en un tiempo desbloquearé esas ips, para que no la paguen gente inocente. -- Saludos. Pablo Fingerprint 5607 40CF 45EF D490 B794 5056 D7B2 C3DC ABF1 CE49 Jabber: [EMAIL PROTECTED] http://aldiagestion.com pgpPE1qmaGxgz.pgp Description: PGP signature
Re: Scan de Puertos e iptables
Efectivamente el tema de las IPs dinamicas es complicado, ya que uno no deberia estar bloqueando ips que en algun momento le pertenecen a una persona y en otro momento las tiene otra, seria una tarea bastante tediosa.Ademas cada ISP tiene su forma de dar servicios. Por otro lado, el problema que yo plantie, hasta el momento segun lo que ustedes han dicho, no tiene una solucion, mas que ir por el lado de sistemas de deteccion de intrusos (SNORT, ACID, etc). Algo que encontre interesante fue el uso de scanlogd, si bien no resulve el problema, es de gran ayuda. Si alguien tiene mas ideas, pues si las dice, seria mucho mejor. Saludos. -- Luis Vega M.Linux Registered User #356394http://es.geocities.com/gdfod
Re: Scan de Puertos e iptables
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Luis Vega wrote: Efectivamente el tema de las IPs dinamicas es complicado, ya que uno no deberia estar bloqueando ips que en algun momento le pertenecen a una persona y en otro momento las tiene otra, seria una tarea bastante tediosa. Ademas cada ISP tiene su forma de dar servicios. Por otro lado, el problema que yo plantie, hasta el momento segun lo que ustedes han dicho, no tiene una solucion, mas que ir por el lado de Cual era? Si puedes ocultar tus puertos? AFAICS no, no puedes. Lo maximo que puedes hacer es configurarlos de manera segura y usar alguna de las herramientas de deteccion-accion. sistemas de deteccion de intrusos (SNORT, ACID, etc). Algo que encontre interesante fue el uso de scanlogd, si bien no resulve el problema, es de gran ayuda. Cual seria, segun tu punto de vista el problema? Si alguien tiene mas ideas, pues si las dice, seria mucho mejor. Saludos. -- Luis Vega M. Linux Registered User #356394 http://es.geocities.com/gdfod http://es.geocities.com/gdfod - -- Ricardo A.Frydman Consultor en Tecnología Open Source - Administrador de Sistemas jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar SIP # 1-747-667-9534 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFCzECGkw12RhFuGy4RApB4AJ9RlTdtRDc2tU5gqoqt9gw4uaYWCQCfQR0S dSEZKW/DlRss2Pd3vWsc9d0= =UZVO -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Scan de Puertos e iptables
Hola amigos. No se si será un problema, pero lo veo como una proteccionmas para mi red. resulta que si hago un nmap desde mi LAN o desde internet a mi servidor, me muestra lo siguiente. PORT STATE SERVICE21/tcp open ftp22/tcp open ssh80/tcp open http443/tcp open https5432/tcp open postgres es decir la lista de puertos que tengo escuchando en los distintos servicios. me gustaria saber como lo hago para que cuando alguien haga un escaneo de puertos a mi maquina, no muestre esta lista o que muestre solo algunos servicios, de manera que solo el administrador y las personas correspondientes sepan que servicios estan activos. P.D. - El servidor tiene in firewall con iptables funcionado. - Andube buscando sobre syn scan, pero no encontre mucho. - cualquier informacion adicional, la hare saber. gracias de antemano y saludos.-- Luis Vega M.Linux Registered User #356394http://es.geocities.com/gdfod
Re: Scan de Puertos e iptables
si no se pudiera saber que tu ordenador tiene abierto el puerto 80, ningun cliente se podria conectar, y si quieres que se conecte alguien, pues ese ya sabe que esta abierto. un nmap hace intentos de conexion simplemente. lo unico que oí es que se puede dehabilitar la respuesta a un ping, con lo que el servidor parecera inexistente para alguien que quiera entrar y tal... pero vamos, tenerlos abiertos y que no se vean es imposible. si es incierto que me digan, acepto observaciones... Luis Vega escribió: Hola amigos. No se si será un problema, pero lo veo como una proteccion mas para mi red. resulta que si hago un nmap desde mi LAN o desde internet a mi servidor, me muestra lo siguiente. PORT STATE SERVICE 21/tcp open ftp 22/tcp open ssh 80/tcp open http 443/tcp open https 5432/tcp open postgres es decir la lista de puertos que tengo escuchando en los distintos servicios. me gustaria saber como lo hago para que cuando alguien haga un escaneo de puertos a mi maquina, no muestre esta lista o que muestre solo algunos servicios, de manera que solo el administrador y las personas correspondientes sepan que servicios estan activos. P.D. - El servidor tiene in firewall con iptables funcionado. - Andube buscando sobre syn scan, pero no encontre mucho. - cualquier informacion adicional, la hare saber. gracias de antemano y saludos. -- Luis Vega M. Linux Registered User #356394 http://es.geocities.com/gdfod -- -- Rober Morales Chaparro http://roberinworld.blogspot.com -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Scan de Puertos e iptables
Rober Morales wrote: si no se pudiera saber que tu ordenador tiene abierto el puerto 80, ningun cliente se podria conectar, y si quieres que se conecte alguien, pues ese ya sabe que esta abierto. un nmap hace intentos de conexion simplemente. lo unico que oí es que se puede dehabilitar la respuesta a un ping, con lo que el servidor parecera inexistente para alguien que quiera entrar y tal... pero vamos, tenerlos abiertos y que no se vean es imposible. si es incierto que me digan, acepto observaciones... Luis Vega escribió: Hola amigos. No se si será un problema, pero lo veo como una proteccion mas para mi red. resulta que si hago un nmap desde mi LAN o desde internet a mi servidor, me muestra lo siguiente. PORT STATE SERVICE 21/tcp open ftp 22/tcp open ssh 80/tcp open http 443/tcp open https 5432/tcp open postgres es decir la lista de puertos que tengo escuchando en los distintos servicios. me gustaria saber como lo hago para que cuando alguien haga un escaneo de puertos a mi maquina, no muestre esta lista o que muestre solo algunos servicios, de manera que solo el administrador y las personas correspondientes sepan que servicios estan activos. P.D. - El servidor tiene in firewall con iptables funcionado. - Andube buscando sobre syn scan, pero no encontre mucho. - cualquier informacion adicional, la hare saber. gracias de antemano y saludos. -- Luis Vega M. Linux Registered User #356394 http://es.geocities.com/gdfod Si alguien tiene tiempo ganas (como minimo) te va a pillar de todas formas, pero si solo va a ser un numero limitado de gente que ya conoces quien se conecte puedes cambiar los puertos. Si el nmap encuentra el puerto 21 abierto te dice que tienes el servidor ftp abierto, pero no tiene porque ser asi. El ftp usa el puerto 21 por defecto y si esta abierto da por supuesto que es ftp lo que hay detras. Lo mismo pasa con http, cuadno escribes una url va implicito que lo vas a pedir al puerto 80 del servidor, y si se te encuentra abierto el puerto 80 se por supuesto que tiene un servidor web. ¿adonde quiero llegar? Que lo puertos del 1024 para arriba son de padres poco conocidos, es decir casi ninguno tiene cosas asignadas por defecto y esto es mas cierto cuanto mayor es el numero del puerto. Puedes poner el servidor web en el puerto 23456 (por ejemplo) y que tengan que poner al final de tu url :23456 para conectarse. Asi no te quitaras a alguien que vaya a por ti, pero te quitaras unos cuanto s de encima y en principio no se sabra que servicio tienes en cada puerto. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Scan de Puertos e iptables
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Fernando wrote: Rober Morales wrote: si no se pudiera saber que tu ordenador tiene abierto el puerto 80, ningun cliente se podria conectar, y si quieres que se conecte alguien, pues ese ya sabe que esta abierto. un nmap hace intentos de conexion simplemente. lo unico que oí es que se puede dehabilitar la respuesta a un ping, con lo que el servidor parecera inexistente para alguien que quiera entrar y tal... pero vamos, tenerlos abiertos y que no se vean es imposible. si es incierto que me digan, acepto observaciones... Luis Vega escribió: Hola amigos. No se si será un problema, pero lo veo como una proteccion mas para mi red. resulta que si hago un nmap desde mi LAN o desde internet a mi servidor, me muestra lo siguiente. PORT STATE SERVICE 21/tcp open ftp 22/tcp open ssh 80/tcp open http 443/tcp open https 5432/tcp open postgres es decir la lista de puertos que tengo escuchando en los distintos servicios. me gustaria saber como lo hago para que cuando alguien haga un escaneo de puertos a mi maquina, no muestre esta lista o que muestre solo algunos servicios, de manera que solo el administrador y las personas correspondientes sepan que servicios estan activos. P.D. - El servidor tiene in firewall con iptables funcionado. - Andube buscando sobre syn scan, pero no encontre mucho. - cualquier informacion adicional, la hare saber. gracias de antemano y saludos. -- Luis Vega M. Linux Registered User #356394 http://es.geocities.com/gdfod Si alguien tiene tiempo ganas (como minimo) te va a pillar de todas formas, pero si solo va a ser un numero limitado de gente que ya conoces quien se conecte puedes cambiar los puertos. Si el nmap encuentra el puerto 21 abierto te dice que tienes el servidor ftp abierto, pero no tiene porque ser asi. El ftp usa el puerto 21 por defecto y si esta abierto da por supuesto que es ftp lo que hay detras. Lo mismo pasa con http, cuadno escribes una url va implicito que lo vas a pedir al puerto 80 del servidor, y si se te encuentra abierto el puerto 80 se por supuesto que tiene un servidor web. ¿adonde quiero llegar? Que lo puertos del 1024 para arriba son de padres poco conocidos, es decir casi ninguno tiene cosas asignadas por defecto y esto es mas cierto cuanto mayor es el numero del puerto. Puedes poner el servidor web en el puerto 23456 (por ejemplo) y que tengan que poner al final de tu url :23456 para conectarse. Asi no te quitaras a alguien que vaya a por ti, pero te quitaras unos cuanto s de encima y en principio no se sabra que servicio tienes en cada puerto. ACa lo que interesa no es que te vean o no desde fuera. (seguridad por oscuridad) sino que lo que tengas expuesto al exterior sea lo minimo indispensable y lo suficientemente protejido/actualizado/acotado/controlado. Sin duda tener todo open como veo alli no es una buena solucion. Por otro lado, seria una buena alternativa, ya que te preocupa la seguridad, conseguirte un tarrito lo mas viejo posible (lo que consigas) y lo pongas como firewall como cara externa. - -- Ricardo A.Frydman Consultor en Tecnología Open Source - Administrador de Sistemas jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar SIP # 1-747-667-9534 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFCyurGkw12RhFuGy4RAnK8AJ9WuMA9QBSJ8d5rpRbHarrqjFg83ACfcu0O iLHtbsehWwDXw1oMXLayIwg= =7eaF -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Scan de Puertos e iptables
Gracias por los comentarios. Todo lo que se planteó anteriormente ya se habia pensado como soluciones, que de verdad, son buenas alternativas. Pero no creo que sea imposible hacer lo que busco. Yo he visto que algunas personas tienen abiertos por ejemplo el puerto 5000, 5001, etc y haciendo un scan no muestran ese puerto, solo algunos como ftp. web, ssh. Es por eso que aun me sigue esa duda. Saludos.-- Luis Vega M.Linux Registered User #356394http://es.geocities.com/gdfod
Re: Scan de Puertos e iptables
Luis Vega wrote: Gracias por los comentarios. Todo lo que se planteó anteriormente ya se habia pensado como soluciones, que de verdad, son buenas alternativas. Pero no creo que sea imposible hacer lo que busco. Yo he visto que algunas personas tienen abiertos por ejemplo el puerto 5000, 5001, etc y haciendo un scan no muestran ese puerto, solo algunos como ftp. web, ssh. Es por eso que aun me sigue esa duda. Saludos. -- Luis Vega M. Linux Registered User #356394 http://es.geocities.com/gdfod Puedes practicamente lo que quieras con iptables, mirate un manual. El que hay en es.tldp.org esta bien, echale un ojo. Un saludo. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Scan de Puertos e iptables
ok gracias.. tema cerrado saludos. -- Luis Vega M.Linux Registered User #356394http://es.geocities.com/gdfod
Re: Scan de Puertos e iptables
El mar, 05-07-2005 a las 17:37 -0400, Luis Vega escribió: Gracias por los comentarios. Todo lo que se planteó anteriormente ya se habia pensado como soluciones, que de verdad, son buenas alternativas. Pero no creo que sea imposible hacer lo que busco. Yo he visto que algunas personas tienen abiertos por ejemplo el puerto 5000, 5001, etc y haciendo un scan no muestran ese puerto, solo algunos como ftp. web, ssh. Eso es un problema de la persona, que no sabe hacer el scan, no de la maquina Ya te aconsejaron:si queres que ciertas personas accedan mete un firewall y filtra por ip Es por eso que aun me sigue esa duda. Saludos. -- Luis Vega M. Linux Registered User #356394 http://es.geocities.com/gdfod -- Angel Claudio Alvarez Usuario Linux Registrado 143466 GPG Public Key en http://pgp.mit.edu key fingerprint = 3AED D95B 7E2D E954 61C8 F505 1884 473C FC8C 8AC4 signature.asc Description: This is a digitally signed message part