Κανονες iptables. Ζητειται σωστη συνταξη.

[xinetd]

Μμμ.. δεν ειμαι σιγουρος γι'αυτο αλλα για να το λες εσυ, κατι ξερεις περισσοτερο.

 

Οπως και να εχει, οι κανονες που αφησες ειναι χρησιμοι ετσι κι'αλλιως στην περιπτωση που μιλαμε για μια "κανονικη" εγκατασταση linux σε PC, και σ'ευχαριστω και παλι γι'αυτο.

 

Οπότε, ΑΝ:

Κοψεις το ICMP απο παντου.

Κοψεις το UDP απο παντου εκτος απο τους DNS.

Θεσεις τους TCP κανονες που αφησες (εννοειται πως δεν πρεπει να εχεις κανενα ανοιχτο port.)

 

Τοτε:

Το PC ειναι πρακτικως... STEALTH. Σωστα?

 

To IGMP κοβεται?

[imitheos]

To IGMP κοβεται?

Το igmp όπως και τα υπόλοιπα πρωτόκολλα φυσικά κόβεται.

 

Οπότε, ΑΝ:

Κοψεις το ICMP απο παντου.

Κοψεις το UDP απο παντου εκτος απο τους DNS.

Θεσεις τους TCP κανονες που αφησες (εννοειται πως δεν πρεπει να εχεις κανενα ανοιχτο port.)

 

Τοτε:

Το PC ειναι πρακτικως... STEALTH. Σωστα?

Ανάλογα με το πόσο θέλει να σε βρει αυτός που σε ψάχνει. Εντελώς stealth ποτέ δεν μπορείς να είσαι. Επίσης συνήθως βλέπω άτομα να θέλουν να κάνουν το αντίθετο από εσένα. Φαίνονται οι πόρτες filtered λόγω drop και θέλουν να τις κάνουν reject ώστε να μην φαίνεται τι τρέχει και που.

 

Όπως και να έχει κόβοντας διάφορα πρωτόκολλα, δεν κερδίζεις σε "stealthiness" και εν δυνάμει δημιουργείς προβλήματα στο δίκτυό σου και στο debugging αυτών των προβλημάτων που θα προκύψουν.

 

Ας πιάσουμε το icmp και ας πούμε τα πιο απλά και κατανοητά παραδείγματα που μου έρχονται στο μυαλό. Κόβοντας τα echo-request, echo-reply δεν θα παίζει το ping το οποίο μπορεί να ακούγεται χαζό αλλά είναι χρήσιμο ως πρώτη εντολή για να δεις αν ένα μηχάνημα είναι σηκωμένο. Κόβοντας το time-exceeded δεν θα λειτουργεί το traceroute (μία τουλάχιστον μορφή του traceroute). Κόβοντας το destination-unreachable δεν θα μπορείς να λαμβάνεις χρήσιμα μηνύματα όταν κάτι πηδηχτεί. Επίσης το destination-unreachable όπως και το parameter-problem χρησιμεύουν στο path mtu discovery οπότε αν τα κόβεις δεν ξέρεις ότι χρειάζεται να μειώσεις το mtu.

 

Κλασικό παράδειγμα είναι να μπορείς να κάνεις ssh σε κάποιο host αλλά να μην μπορείς να κάνεις sftp γιατί τα πακέτα είναι μεγαλύτερα από όσο επιτρέπει κάποιος ενδιάμεσος router οπότε και κόβονται και να ψάχνεις γιατί κολλάει και δεν παίζει.

 

Ανάλογα τι δουλειές κάνεις και με ποιους hosts επικοινωνείς, μπορεί κόβοντας το Χ πρωτόκολλο να περάσουν μήνες και να μην αντιμετωπίσεις κανένα πρόβλημα και όλα να παίζουν τέλεια αλλά μπορεί και να αντιμετωπίσεις ένα κάρο προβλήματα.

[xinetd]

Επίσης συνήθως βλέπω άτομα να θέλουν να κάνουν το αντίθετο από εσένα. Φαίνονται οι πόρτες filtered λόγω drop και θέλουν να τις κάνουν reject ώστε να μην φαίνεται τι τρέχει και που.

Δεν το καταλαβα αυτο.

 

Βασικα η λογικη η δικη μου ειναι πως με το reject, το αποτελεσμα ειναι closed/non closed. Αν το nmap για παραδειγμα βρει ενα port ανοιχτο και ενα κλειστο, θα δουλεψει σωστα και θα σου κανει και OS detection. Αν ειναι filtered ομως ολα τα ports, δεν μπορει να δουλεψει σωστα το nmap ή καποιο αλλο παρομοιο εργαλειο, και ο επιτιθεμενος δεν θα μαθει ποτε τι OS τρεχει το router (ή ο host τεσπα).

 

Σκεφτομαι λαθος?

[imitheos]

Δεν το καταλαβα αυτο.

 

Βασικα η λογικη η δικη μου ειναι πως με το reject, το αποτελεσμα ειναι closed/non closed. Αν το nmap για παραδειγμα βρει ενα port ανοιχτο και ενα κλειστο, θα δουλεψει σωστα και θα σου κανει και OS detection. Αν ειναι filtered ομως ολα τα ports, δεν μπορει να δουλεψει σωστα το nmap ή καποιο αλλο παρομοιο εργαλειο, και ο επιτιθεμενος δεν θα μαθει ποτε τι OS τρεχει το router (ή ο host τεσπα).

 

Σκεφτομαι λαθος?

Αν θέλεις να μπερδέψεις το os detection υπάρχουν και άλλοι τρόποι από το να γίνουν drop τα πάντα αλλά και πάλι είναι το ίδιο άσκοπο. Θεωρητικά έχεις δίκιο ότι με το drop δεν θα το δει. Πρακτικά υπάρχουν 50 τρόποι να μάθει κάποιος τι OS τρέχεις. Και μόνο τον browser να λάβουμε υπόψη, στέλνεις ένα κάρο πληροφορίες.

 

Εγκυκλοπαιδικά μιλάμε φυσικά. Για να μην παρεξηγηθώ, δεν προσπαθώ να στην πω. Καλά κάνεις και θέλεις να φαίνονται stealth και χαίρομαι που έπαιξε.