[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[linux] Re: SuSEfirewall2 - Episode II





On Mon, Feb 25, 2002 at 12:29:59PM, Pascal Bleser wrote:
> >= nmap vk01.mine.nu
> >= Le scan, pareil: c'est pas ce qu'on voit de l'extérieur ;-)
> >Et... comment je fais alors moi pour m'auto-nmaper? Une application à 
> >conseiller?
> 
> 
> C'est pas un problème de nmap.
> C'est un problème parce que le kernel optimise les accès réseaux, ça ne
> sort même pas sur le réseau en fait.
> 
> Mais tout ça dépend de la façon dont tes démons sont configurés: la plupart
> permettent de faire un bind sur une adresse IP bien précise => en les 
> mettant
> sur 127.0.0.1, le service en question reste utilisable pour toi et pas pour
> les machine à l'extérieur.
> Ca dépend du service et de ce que tu veux en faire ;-)
> 
> Note que je suis p'têt en train de raconter des couilles, je suis un peu
> dans le gaz aujourd'hui (gastro-entérite is your friend... not!) mais il
> ne me semble pas ;-))
> Qqn va me corriger si c'est des bêtises, de toute manière ;-)
> 
> >= Comment empêcher que quelqu'un puisse scanner mes ports?
> >= Impossible
> >
> >|:=( Très fâché!
> 
> 
> Aaah, ben ça...
> 
> C'est normal: les port-scanners (les bons, du moins) font un connect TCP
> sur les ports et ils voient bien s'ils savent se connecter ou non.
> Impossible à éviter puisqu'ils ne se distinguent pas, p.ex., d'un browser
> ou d'un client IMAP ou POP...
> 
> Par contre, il y a des softs (notamment snort, PSAD, ...) qui permettent
> de détecter des port-scans et d'automatiquement black-lister les machines
> (donc les bannir totalement de ta machine/ton firewall).

Oui c'est une bonne idée. Surtout si le gars venait à scanner la machine
en spoofant l'adresse de son serveur DNS ou de sa passerelle etc...

Il faut être prudent avec ce genre de mesure même si elles sont bien
pratique.

> 
> >Maintenant que j'y pense... Existe-t-il alors des solutions pour leurrer 
> >les scanners? Si non, cela peut être cool à développer [si c'est possible, 
> >je parle un peu dans le vide en fait...], non?
> 
> 
> il y a certainement déjà un truc comme ça qqe part ;-)
> 
Je pense que certains patchs kernel perturbent la détection d'OS
associée aux scannerus récents en modifiant certains comportis mal
définis de TCP/IP dans les rfc (genre valeur du ttl,...)

Pour ce qui est de leurrer un scanner. Là le FW et klaxxon (ou
portsentry) sont tes
amis. Le premier va permettre de dropper les paquets que tu ne désires
pas. C'est-à-dire de ne même pas répondre du tout au paquet. La machine
est comme inexistante sur ce port. Le deuxième simule des ports ouverts.
En fait il reçoit et bloque les paquets sur les ports qu'il écoute. Quel
intérêt? Encore une fois embrouillé la détection d'OS. En effet, qui a
le plus souvent ses port netbios ouverts? C'est M$ donc c'est surprenant
qu'un linux les laisse lui ouvert.

Voilà j'espère ne pas dire de conneries et être plus ou moins clairs.

A+


Benoit

> -- 
>   -o) Pascal Bleser   ATOS Origin/Aachen(DE) |
>   /\\         <pascal.bleser@atosorigin.com> |
>  _\_v <guru@linuxbe.org>                     |
> ---------------------------------------------|
> Jesus saves,Buddha makes incremental backups :
> ---------------------------------------------'
> 
> _______________________________________________
> Linux Mailing List
> Archives: http://unixtech.be/mailman/listinfo/linux
---end quoted text---

-- 

Benoit JOSEPH 
Manex SPRL: benoit.joseph@manex.be
Perso: joker@baby-linux.net
       benoit.joseph@teledisnet.be

Attachment: pgp00958.pgp
Description: PGP signature