xinetd Δημοσ. 1 Νοεμβρίου 2013 Share Δημοσ. 1 Νοεμβρίου 2013 Hi κοινοτητα. Θελω να φτιαξω τρεις κανονες που να λενε: - Ολες οι εισερχομενες συνδεσεις με flags "ALL NONE" απο το port 1 εως το port 65535 να γινονται drop.- Ολες οι εισερχομενες συνδεσεις με flags "FIN,SYN FIN" απο το port 1 εως το port 65535 να γινονται drop.- Ολες οι εισερχομενες συνδεσεις με flags "ALL URG,PSH,FIN" απο το port 1 εως το port 65535 να γινονται drop. Μπορει καποιος να με βοηθησει να τις συνταξω σωστα γιατι εχω... χαθει?Μερσί. Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
warlock9_0 Δημοσ. 1 Νοεμβρίου 2013 Share Δημοσ. 1 Νοεμβρίου 2013 δες εδώ παρόμοιο http://security.stackexchange.com/questions/4603/tips-for-a-secure-iptables-config-to-defend-from-attacks-client-side port range δεν χρειάζεσαι γιατί είναι όλα τα ports Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
xinetd Δημοσ. 2 Νοεμβρίου 2013 Μέλος Share Δημοσ. 2 Νοεμβρίου 2013 (επεξεργασμένο) Σ'ευχαριστω, ισως να βοηθησει και το δικο σου link για να βγαλω μια ακρη. Αλλα για να μην σας παιδευω, να εξηγησω: Προσπαθω να κανω STEALTH, ολα τα ports του router. Αλλα δεν ξερω με πιο τροπο να φτιαξω τα rules για να γινει stealth και οχι αυτο το πραγμα που βλεπω στο "Shields Up!".... Μεχρι στιγμης, το config μου ειναι αυτο: ########################################################################## # PORTSCAN DETECTION AND LOGGING # # use REJECT option to make port look closed. Use drop for open/stealth. # ########################################################################## ### TCP Null Scan ### #iptables -I INPUT -p tcp --tcp-flags ALL NONE -j REJECT --reject-with tcp-reset #iptables -I FORWARD -p tcp --tcp-flags ALL NONE -j REJECT --reject-with tcp-reset iptables -I INPUT -p tcp --tcp-flags ALL NONE -j DROP #iptables -I FORWARD -p tcp --tcp-flags ALL NONE -j DROP #Detect and log iptables -I INPUT -p tcp --tcp-flags ALL NONE -j LOG --log-prefix "TCP Null Scan" #iptables -I FORWARD -p tcp --tcp-flags ALL NONE -j LOG --log-prefix "TCP Null Scan" ### TCP Fin Scan ### #iptables -I INPUT -p tcp --tcp-flags FIN,SYN FIN -m state --state NEW,INVALID -j REJECT --reject-with tcp-reset #iptables -I FORWARD -p tcp --tcp-flags FIN,SYN FIN -m state --state NEW,INVALID -j REJECT --reject-with tcp-reset iptables -I INPUT -p tcp --tcp-flags FIN,SYN FIN -m state --state NEW,INVALID -j DROP #iptables -I FORWARD -p tcp --tcp-flags FIN,SYN FIN -m state --state NEW,INVALID -j DROP #Detect and Log iptables -I INPUT -p tcp --tcp-flags FIN,SYN FIN -m state --state NEW,INVALID -j LOG --log-prefix "TCP FIN Scan" #iptables -I FORWARD -p tcp --tcp-flags FIN,SYN FIN -m state --state NEW,INVALID -j LOG --log-prefix "TCP FIN Scan" ### TCP Xmas Tree Scan ### #iptables -I INPUT -p tcp --tcp-flags ALL URG,PSH,FIN -j REJECT --reject-with tcp-reset #iptables -I FORWARD -p tcp --tcp-flags ALL URG,PSH,FIN -j REJECT --reject-with tcp-reset iptables -I INPUT -p tcp --tcp-flags ALL URG,PSH,FIN -j DROP #iptables -I FORWARD -p tcp --tcp-flags ALL URG,PSH,FIN -j DROP #Detect and Log iptables -I INPUT -p tcp --tcp-flags ALL URG,PSH,FIN -j LOG --log-prefix "Xmas Tree Scan" #iptables -I FORWARD -p tcp --tcp-flags ALL URG,PSH,FIN -j LOG --log-prefix "Xmas Tree Scan" Και στο syslog βλεπω αυτα: (Tα XXX.XXX.XXX.XXX ειναι η IP μου) Nov 2 01:02:17 OpenWrt kern.warn kernel: [ 167.792000] TCP Null ScanIN=pppoe-wan OUT= MAC= SRC=4.79.142.206 DST=XXX.XXX.XXX.XXX LEN=44 TOS=0x00 PREC=0x00 TTL=224 ID=61440 PROTO=TCP SPT=47991 DPT=0 WINDOW=8192 RES=0x00 URGP=0 MARK=0x10 Nov 2 01:02:17 OpenWrt kern.warn kernel: [ 167.812000] TCP Null ScanIN=pppoe-wan OUT= MAC= SRC=4.79.142.206 DST=XXX.XXX.XXX.XXX LEN=44 TOS=0x00 PREC=0x00 TTL=224 ID=61440 PROTO=TCP SPT=47991 DPT=1 WINDOW=8192 RES=0x00 URGP=0 MARK=0x10 Μηπως ξερει κανεις τι μαγικα πρεπει να γινουν και τι γραμμες πρεπει να γραφτουν στο iptables για να εχω ΟΛΑ τα ports... STEALTH KAI OXI CLOSED? Επεξ/σία 2 Νοεμβρίου 2013 από xinetd Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
warlock9_0 Δημοσ. 2 Νοεμβρίου 2013 Share Δημοσ. 2 Νοεμβρίου 2013 μήπως πρέπει να κρατήσεις μόνο τα drop? Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
xinetd Δημοσ. 2 Νοεμβρίου 2013 Μέλος Share Δημοσ. 2 Νοεμβρίου 2013 Σορρυ, απο κεκτειμενη ταχυτητα εχω αφησει τα tcp-reset χωρις καγκελα. Παω να το διορθωσω. Παντως ουτε ετσι μου τα βγαζει stealth. Εχω φαει το Internet για να βρω πως γινεται αυτο το πραγμα ρε γαμωτο, και δεν βγαζω ακρη. Τεσπα, αυριο με ηρεμια. Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
imitheos Δημοσ. 4 Νοεμβρίου 2013 Share Δημοσ. 4 Νοεμβρίου 2013 Hi κοινοτητα. Θελω να φτιαξω τρεις κανονες που να λενε: - Ολες οι εισερχομενες συνδεσεις με flags "ALL NONE" απο το port 1 εως το port 65535 να γινονται drop. - Ολες οι εισερχομενες συνδεσεις με flags "FIN,SYN FIN" απο το port 1 εως το port 65535 να γινονται drop. - Ολες οι εισερχομενες συνδεσεις με flags "ALL URG,PSH,FIN" απο το port 1 εως το port 65535 να γινονται drop. Μπορει καποιος να με βοηθησει να τις συνταξω σωστα γιατι εχω... χαθει? Μερσί. Η πλειοψηφία των πακέτων με λάθος σημαίες (πολλά είδη scan) μπορεί να μπλοκαριστεί κατευθείαν με ένα μόνο κανόνα. Σ'ευχαριστω, ισως να βοηθησει και το δικο σου link για να βγαλω μια ακρη. Αλλα για να μην σας παιδευω, να εξηγησω: Προσπαθω να κανω STEALTH, ολα τα ports του router. Αλλα δεν ξερω με πιο τροπο να φτιαξω τα rules για να γινει stealth και οχι αυτο το πραγμα που βλεπω στο "Shields Up!".... Γιατί θέλεις να το κάνεις αυτό ? Τι θα κερδίσεις κάνοντάς το ? Όπως και να έχει για να γίνει αυτό πρέπει να κάνεις drop όλα τα εισερχόμενα πακέτα όπως σου είπε ο warlock. Μηπως ξερει κανεις τι μαγικα πρεπει να γινουν και τι γραμμες πρεπει να γραφτουν στο iptables για να εχω ΟΛΑ τα ports... STEALTH KAI OXI CLOSED? Ας φτιάξουμε σιγά σιγά ένα απλό ruleset που να μπλοκάρει τα πάντα IPT="/usr/sbin/iptables" # Όποιο πακέτο δεν διέπεται από κάποιο κανόνα, η τύχη του καθορίζεται από την πολιτική $IPT -P INPUT DROP $IPT -P OUTPUT ACCEPT $IPT -P FORWARD DROP # Όλες οι εγχώριες συνδέσεις επιτρέπονται $IPT -A INPUT -i lo -j ACCEPT # Αυτός ο κανόνας αφαιρεί από την αρχή όλα τα άκυρα πακέτα # δηλαδή περιλαμβάνει όλους του κανόνες που είχες πριν και άλλους τόσους. $IPT -A INPUT -m conntrack --ctstate INVALID -j DROP # Όλα τα πακέτα νέων συνδέσεων που όμως δεν έχουν την σημαία SYN όπως θα έπρεπε. $IPT -A INPUT -p tcp -m conntrack --ctstate NEW ! --syn -j DROP # Αποδοχή όλων των πακέτων που σχετίζονται με υπάρχουσες συνδέσεις # Επειδή η πολιτική της OUTPUT είναι ACCEPT, μπορείς να ανοίγεις νέες συνδέσεις παντού # και τα εισερχόμενα πακέτα που σχετίζονται με αυτές γίνονται αυτόματα accept # λόγω της κατάστασης ESTABLISHED $IPT -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT # Αποδοχή κάποιας TCP πόρτας στην οποία θέλεις να συνδέονται οι έξω $IPT -A INPUT -p tcp --dport τάδε -j ACCEPT # Όποιο πακέτο έφτασε ως εδώ μπλοκάρεται με DROP λόγω της πολιτικής της INPUT Το ruleset δεν είναι πλήρες φυσικά αλλά θα πρέπει να στις εμφανίζει ως stealth. Πάντως δεν είναι καλό στήσιμο αυτό που ζητάς. 2 Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
xinetd Δημοσ. 4 Νοεμβρίου 2013 Μέλος Share Δημοσ. 4 Νοεμβρίου 2013 Σ'ευχαριστω πολυ ημιθεε που ασχοληθηκες. Δοκιμασα τα rules που ορισες, αλλα παλι τα ports δεν ειναι stealth. Eκατσα κιέφτιαξα from scratch καποια rules, και μονο ετσι βγαινω εξω stealth: ########################################################################## # PORTSCAN DETECTION AND LOGGING # # use REJECT option to make port look closed. Use drop for open/stealth. # ########################################################################## # RULES # iptables -I INPUT -p tcp --tcp-flags SYN,RST,ACK SYN -m state --state NEW,INVALID -j DROP iptables -I INPUT -s 127.0.0.0/8 -p tcp --tcp-flags SYN,RST,ACK SYN -m state --state NEW,INVALID -j ACCEPT iptables -I INPUT -s 192.168.1.0/24 -p tcp --tcp-flags SYN,RST,ACK SYN -m state --state NEW,INVALID -j ACCEPT iptables -I INPUT -p tcp --tcp-flags FIN,SYN,RST,ACK RST -m state --state NEW,INVALID -j DROP iptables -I INPUT -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -m state --state NEW,INVALID -j DROP iptables -I INPUT -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -m state --state NEW,INVALID -j DROP iptables -I INPUT -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -m state --state NEW,INVALID -j DROP iptables -I INPUT -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -m state --state NEW,INVALID -j DROP iptables -I INPUT -p tcp --tcp-flags SYN,RST SYN,RST -m state --state NEW,INVALID -j DROP iptables -I INPUT -p tcp --tcp-flags FIN,SYN FIN,SYN -m state --state NEW,INVALID -j DROP # LOGGING # iptables -I INPUT -p tcp --tcp-flags SYN,RST,ACK SYN -m state --state NEW,INVALID -j LOG --log-prefix "SYN Flood Attack " iptables -I INPUT -p tcp --tcp-flags FIN,SYN,RST,ACK RST -m state --state NEW,INVALID -j LOG --log-prefix "TCP Reset Attack " iptables -I INPUT -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -m state --state NEW,INVALID -j LOG --log-prefix "FIN/URG/PSH Attack " iptables -I INPUT -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -m state --state NEW,INVALID -j LOG --log-prefix "X-Mass Attack " iptables -I INPUT -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -m state --state NEW,INVALID -j LOG --log-prefix "X-Mass Attack " iptables -I INPUT -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -m state --state NEW,INVALID -j LOG --log-prefix "Null Scan Attack " iptables -I INPUT -p tcp --tcp-flags SYN,RST SYN,RST -m state --state NEW,INVALID -j LOG --log-prefix "SYN/RST SYN/FIN Attack " iptables -I INPUT -p tcp --tcp-flags FIN,SYN FIN,SYN -m state --state NEW,INVALID -j LOG --log-prefix "SYN/RST SYN/FIN Attack " To θεμα ειναι πως παρα πολλα πακετα απο το LAN, χαρακτηριζονται και αυτα ως "SYN Flood", και δεν ξερω τι να κανω με αυτο το θεμα. Εντοπιζεις πουθενα λαθος? Για ποιο λογο λες πως δεν ειναι καλο στησιμο? Και κατι αλλο. Θελω να κοψω ΟΛΑ ΤΑ UDP πακετα, εκτος απο την επικοινωνια με τους DNS φυσικα. Τα παρακατω rules ειναι αρκετα? Και ποια η διαφορα μεταξυ "iptables -A" και "iptables -I". Το ενα εκτελειται απο πανω προς τα κατω, και το αλλο απο κατω προς τα πανω? ########################################################################## # Close all UDP Ports except DNS # ########################################################################## iptables -A INPUT -p udp -j DROP iptables -A OUTPUT -p udp -j DROP iptables -A INPUT -p udp --sport 53 -j ACCEPT iptables -A INPUT -p udp --dport 53 -j ACCEPT iptables -A OUTPUT -p udp --sport 53 -j ACCEPT iptables -A OUTPUT -p udp --dport 53 -j ACCEPT Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
warlock9_0 Δημοσ. 4 Νοεμβρίου 2013 Share Δημοσ. 4 Νοεμβρίου 2013 έκανες flush και έβαλες αυτά του ημίθεου και δεν έπαιξε? με σχεδόν ίδιο conf stealth μου τα βγάζει Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
xinetd Δημοσ. 4 Νοεμβρίου 2013 Μέλος Share Δημοσ. 4 Νοεμβρίου 2013 Το θεμα ειναι πως στο openwrt υπαρχει ενα αρχειο με τις ρυθμισεις του firewall, και απο εκει και περα, ο ιδιος ο χρηστης μπορει να φτιαξει και ενα δικο του firewall.user αρχειο το οποιο γινεται include στο ηδη υπαρχον αρχειο. Ειναι λιγο μπερδεμα με λιγα λογια. Π.χ το αρχειο του firewall, εχει αυτα μεσα: root@OpenWrt:/etc/config# cat firewall config defaults option input 'ACCEPT' option output 'ACCEPT' option forward 'REJECT' config zone option name 'lan' option network 'lan' option input 'ACCEPT' option output 'ACCEPT' option forward 'REJECT' config zone option name 'wan' option network 'wan' option input 'REJECT' option output 'ACCEPT' option forward 'REJECT' option masq '1' option mtu_fix '1' config forwarding option src 'lan' option dest 'wan' config rule option name 'Allow-DHCP-Renew' option src 'wan' option proto 'udp' option dest_port '68' option target 'ACCEPT' option family 'ipv4' config rule option src 'wan' option proto 'icmp' option family 'ipv4' option name 'Disallow-Ping' option target 'DROP' config rule option name 'Allow-DHCPv6' option src 'wan' option proto 'udp' option src_ip 'fe80::/10' option src_port '547' option dest_ip 'fe80::/10' option dest_port '546' option family 'ipv6' option target 'ACCEPT' config rule option name 'Allow-ICMPv6-Input' option src 'wan' option proto 'icmp' list icmp_type 'echo-request' list icmp_type 'echo-reply' list icmp_type 'destination-unreachable' list icmp_type 'packet-too-big' list icmp_type 'time-exceeded' list icmp_type 'bad-header' list icmp_type 'unknown-header-type' list icmp_type 'router-solicitation' list icmp_type 'neighbour-solicitation' list icmp_type 'router-advertisement' list icmp_type 'neighbour-advertisement' option limit '1000/sec' option family 'ipv6' option target 'ACCEPT' config rule option name 'Allow-ICMPv6-Forward' option src 'wan' option dest '*' option proto 'icmp' list icmp_type 'echo-request' list icmp_type 'echo-reply' list icmp_type 'destination-unreachable' list icmp_type 'packet-too-big' list icmp_type 'time-exceeded' list icmp_type 'bad-header' list icmp_type 'unknown-header-type' option limit '1000/sec' option family 'ipv6' option target 'ACCEPT' config include option path '/etc/firewall.user' config zone option name 'wan2' option input 'ACCEPT' option forward 'REJECT' option output 'ACCEPT' option network 'wan2' root@OpenWrt:/etc/config# Οποτε προσπαθω μεσω του /etc/firewall.user να κανω stealth τα ports... Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
warlock9_0 Δημοσ. 4 Νοεμβρίου 2013 Share Δημοσ. 4 Νοεμβρίου 2013 στο config zone του wan θες drop όχι reject Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
imitheos Δημοσ. 4 Νοεμβρίου 2013 Share Δημοσ. 4 Νοεμβρίου 2013 Και ποια η διαφορα μεταξυ "iptables -A" και "iptables -I". Το ενα εκτελειται απο πανω προς τα κατω, και το αλλο απο κατω προς τα πανω? Το -A κάνει append δηλαδή οι κανόνες μπαίνουν στο τέλος της αλυσίδας. Αυτό έχει το καλό ότι η σειρά που βλέπεις στο script σου είναι και η σειρά των κανόνων. Αντίθετα το -I βάζει τον κανόνα στην αρχή (αν δεν επιλέξεις γραμμή) οπότε η σειρά που βλέπεις ουσιαστικά είναι ανάποδα. Το θεμα ειναι πως στο openwrt υπαρχει ενα αρχειο με τις ρυθμισεις του firewall, και απο εκει και περα, ο ιδιος ο χρηστης μπορει να φτιαξει και ενα δικο του firewall.user αρχειο το οποιο γινεται include στο ηδη υπαρχον αρχειο.Ανάλογα με το που εισάγονται οι κανόνες του user αρχείου μπορεί και να μην έχουν καθόλου ισχύ. στο config zone του wan θες drop όχι rejectΑυτό. Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
xinetd Δημοσ. 4 Νοεμβρίου 2013 Μέλος Share Δημοσ. 4 Νοεμβρίου 2013 Ειστε θεοι. Αυτο ειναι, δοκιμασα τους κανονες του ημιθεου με drop στο wan, και ειναι σχεδον ολα stealth. Υπαρχει καποια εξηγηση για το port 135 και γιατι "ξεφευγει"? Αν μπορειτε να με βοηθησετε να φτιαξω εναν κανονα μονο για το port 135 για να γινει και αυτο stealth και επισης πως μπορω να ορισω logging στα rules του ημιθεου, για να βλεπω ποιος προσπαθει να συνδεθει και που (σε ποιο port), θα σας ημουν υποχρεος. Εκατσα τοσες μερες και παλευα με τα TCP FLAGS και ηταν πιο απλο τελικα... Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
warlock9_0 Δημοσ. 4 Νοεμβρίου 2013 Share Δημοσ. 4 Νοεμβρίου 2013 στο zone που θες αν βάλεις option log '1' γράφει στο syslog ό,τι γίνει reject ή drop Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
xinetd Δημοσ. 4 Νοεμβρίου 2013 Μέλος Share Δημοσ. 4 Νοεμβρίου 2013 Ωραιος. Παει και αυτο. Τωρα μου βγαζει stealth το 135 αλλα closed το 445. Δεν μπορω να καταλαβω γιατι γινεται αυτο με τα 135 και 445. Αλλα δεν με πειραζει και πολυ. Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
imitheos Δημοσ. 4 Νοεμβρίου 2013 Share Δημοσ. 4 Νοεμβρίου 2013 Ειστε θεοι. Αυτο ειναι, δοκιμασα τους κανονες του ημιθεου με drop στο wan, και ειναι σχεδον ολα stealth. Η αλλαγή στην πολιτική που σου είπε ο warlock έκανε την διαφορά. Οι κανόνες που έδωσα μάλλον δεν εφαρμόζονται καθόλου επειδή τα πακέτα γίνονται match από κάποιον μανίσιο κανόνα οπότε δεν φτάνει στους δικούς μου στο user αρχείο. Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
Προτεινόμενες αναρτήσεις
Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε
Πρέπει να είστε μέλος για να αφήσετε σχόλιο
Δημιουργία λογαριασμού
Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!
Δημιουργία νέου λογαριασμούΣύνδεση
Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.
Συνδεθείτε τώρα