On Mon, Feb 25, 2002 at 12:29:59PM, Pascal Bleser wrote: > >= nmap vk01.mine.nu > >= Le scan, pareil: c'est pas ce qu'on voit de l'extérieur ;-) > >Et... comment je fais alors moi pour m'auto-nmaper? Une application à > >conseiller? > > > C'est pas un problème de nmap. > C'est un problème parce que le kernel optimise les accès réseaux, ça ne > sort même pas sur le réseau en fait. > > Mais tout ça dépend de la façon dont tes démons sont configurés: la plupart > permettent de faire un bind sur une adresse IP bien précise => en les > mettant > sur 127.0.0.1, le service en question reste utilisable pour toi et pas pour > les machine à l'extérieur. > Ca dépend du service et de ce que tu veux en faire ;-) > > Note que je suis p'têt en train de raconter des couilles, je suis un peu > dans le gaz aujourd'hui (gastro-entérite is your friend... not!) mais il > ne me semble pas ;-)) > Qqn va me corriger si c'est des bêtises, de toute manière ;-) > > >= Comment empêcher que quelqu'un puisse scanner mes ports? > >= Impossible > > > >|:=( Très fâché! > > > Aaah, ben ça... > > C'est normal: les port-scanners (les bons, du moins) font un connect TCP > sur les ports et ils voient bien s'ils savent se connecter ou non. > Impossible à éviter puisqu'ils ne se distinguent pas, p.ex., d'un browser > ou d'un client IMAP ou POP... > > Par contre, il y a des softs (notamment snort, PSAD, ...) qui permettent > de détecter des port-scans et d'automatiquement black-lister les machines > (donc les bannir totalement de ta machine/ton firewall). Oui c'est une bonne idée. Surtout si le gars venait à scanner la machine en spoofant l'adresse de son serveur DNS ou de sa passerelle etc... Il faut être prudent avec ce genre de mesure même si elles sont bien pratique. > > >Maintenant que j'y pense... Existe-t-il alors des solutions pour leurrer > >les scanners? Si non, cela peut être cool à développer [si c'est possible, > >je parle un peu dans le vide en fait...], non? > > > il y a certainement déjà un truc comme ça qqe part ;-) > Je pense que certains patchs kernel perturbent la détection d'OS associée aux scannerus récents en modifiant certains comportis mal définis de TCP/IP dans les rfc (genre valeur du ttl,...) Pour ce qui est de leurrer un scanner. Là le FW et klaxxon (ou portsentry) sont tes amis. Le premier va permettre de dropper les paquets que tu ne désires pas. C'est-à-dire de ne même pas répondre du tout au paquet. La machine est comme inexistante sur ce port. Le deuxième simule des ports ouverts. En fait il reçoit et bloque les paquets sur les ports qu'il écoute. Quel intérêt? Encore une fois embrouillé la détection d'OS. En effet, qui a le plus souvent ses port netbios ouverts? C'est M$ donc c'est surprenant qu'un linux les laisse lui ouvert. Voilà j'espère ne pas dire de conneries et être plus ou moins clairs. A+ Benoit > -- > -o) Pascal Bleser ATOS Origin/Aachen(DE) | > /\\ <pascal.bleser@atosorigin.com> | > _\_v <guru@linuxbe.org> | > ---------------------------------------------| > Jesus saves,Buddha makes incremental backups : > ---------------------------------------------' > > _______________________________________________ > Linux Mailing List > Archives: http://unixtech.be/mailman/listinfo/linux ---end quoted text--- -- Benoit JOSEPH Manex SPRL: benoit.joseph@manex.be Perso: joker@baby-linux.net benoit.joseph@teledisnet.be
Attachment:
pgp00958.pgp
Description: PGP signature