Re: [mdk-re] âÅÚÏÐÁÓÎÏÓÔØ

Re: [mdk-re] âÅÚÏÐÁÓÎÏÓÔØ

[Roman S]

Цитирую Michael Bykov <mediacom@capital.ru>:

> Господа,
> 
> подскажите, пожалуйста, как закрыть эти порты, и что 
такое iad 1,2,3? И
> зачем
> они открыты по-умолчанию? Опасно ли это?
А хрен, его знает, кто такие эти IAD-ы.
Запусти netstat с указанием процесса, который их 
держит.

> 111/tcp    open        sunrpc
Должно быть ещё и по UDP, обычно нафиг не нужно.
> 113/tcp    open        auth
identd лучше вообще выключить, если он явно не нужен.
> 515/tcp    open        printer
Если не надо раздавать принтер всем :)
> 617/tcp    open        unknown
Посмотрите, кто держит порт
> 1024/tcp   open        kdm
> 1025/tcp   open        listen
> 1026/tcp   open        nterm
> 1030/tcp   open        iad1
> 1031/tcp   open        iad2
> 1032/tcp   open        iad3
> 3306/tcp   open        mysql

В общем, как поступаю я:
По непонятным причинам (или я дурак) в Mandrake нет 
скрипта, инициирующего правила ipchains по умолчанию.
Есть конечно linuxconf, но как-то гаденько там всё, к 
тому же linuxconf активируется после поднятия сетевого 
интерфейса - а это дыра.

1) Выдираем скрипт инициализации правил из документации
2) Помещаем его в /etc/rc.d/init.d
3) делаем сим. ссылки SNN<скрипт> на этот скрипт в 
каталогах с нужными runlevel, NN должен быть меньше, 
чем у network.
4) Внимательно читаем документацию по ручной настройке 
и тут же её забываем нафиг, ибо оно неудобно и 
ненаглядно.
5) запускаем gfcc (Gnome Firewall Control Center) если 
нет - ставим его (с 3-го диска или со свежего мяса)
6) Определяем в gfcc, что есть localhost.
7) В нашем случае критичны закладки input и output - 
соотв. для входящего и исходящего трафика.
Делаем такого вида:
input:
from (!localhost) ports (0-65535) to localhost (порты, 
которые прикрываем) протокол (tcp|udp) действие REJECT
output:
from (localhost) ports (какой-не-надо) to !
localhost ... REJECT

Сформируем таким образом правила блокировок (какие они 
должны быть - песня отдельная, достаточно нудная и 
индивидуальная)
Шмякаем пимпочку apply to system.
Проверяем результат.
Если понравилось - выполняем ipchains-save 
>/etc/ipchains.rules.
При загрузке его подхватит скрипт инициализации 
брандмауэра.

Ну, естественно, внесите поправку на то, что 
закрываете - это может быть не localhost, а ваша 
сетка...

Roman Savelyev

[mdk-re] Re: [mdk-re] Безопасность

[Michael Bykov]

Скажите,

можно ли ? Точно можно, вижу своими глазами. Посылать запрос серверу с
монотонно увеличивающегося IP адреса. Как они это делают? 62.xxx.xxx.xxx -
64.xxx.xxx.xxx. Что, всю сетку 6x. закрыть? 

Емейлы суки собирают.


M.

E-Mail: Michael Bykov <mediacom@capital.ru>
Date: 09-Jan-2001 Time: 22:26:19

Re: [mdk-re] Re: [mdk-re] âÅÚÏÐÁÓÎÏÓÔØ

[Roman S]

On Tue, 09 Jan 2001 22:30:11 +0300 (MSK)
Michael Bykov <mediacom@capital.ru> wrote:

> Скажите,
> 
> можно ли ? Точно можно, вижу своими глазами. Посылать запрос серверу с
> монотонно увеличивающегося IP адреса. Как они это делают? 62.xxx.xxx.xxx
-
> 64.xxx.xxx.xxx. Что, всю сетку 6x. закрыть? 
> 
> Емейлы суки собирают.
Блин! Или это тот же кул кацкер, что нашу контору пытался похоже замучить
(как-то в обед наши сетевики показывали нечто похожее в логах) или это
какая-то программа, или статейка в журнале "Хакер"...
Пускай собирают. Они же именам пользователей|станков у вас не
соответствуют?
Впрочем, соблюдайте осторожность. Если эти придурки наступят на реальный
внутрисетевой e-mail, то следующий логичный ход в случае попытки взлома -
перебор паролей на это имя сначала на бесплатных почтовых серверах
(<имя>@mail.ru и т.п.), с попыткой входа к вам с таким паролем (в случае
успеха), либо перебор паролей напрямки у Вас.
А возможно это просто спамерячий робот....

Вот что у меня работает с тех пор, как подключение к интернету стало
постоянным (из каких-то рекомендаций):
Как я допёр? А по ламерски, задал вопрос поисковой системе, по поводу
защиты от спуфинга!!!!!!
##################################################
# Включаем Проверку Адреса Отправителя и получаем
# защиту от спуфинга на всех существующих и будущих интерфейсах
echo -n "Setting up IP spoofing protection..."
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
      echo 1 > $f
done
echo "done."
#####################################################
Т.е. у меня порядок такой:
1) Поднимается брандмауэр
2) Поднимается eth0
3) отрабатывает вышеприведённая хрюнотка, ибо не хрена...
Есть ещё финт ушами в камышах - от особо назойливых прикрываться не
REJECT, а простым DENY (пущай не отлуп получает, а тайм-аута подождёт
каждый раз!!!) но тут главное - не переусердствовать, ибо такой подход
тоже чреват боком...

Rgds!
Roman Savelyev

[mdk-re] Re: [mdk-re] Re: [mdk-re] Безопасность

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 2070 bytes --]

On Wed, Jan 10, 2001 at 01:01:01AM +0300, Roman S wrote:
> Вот что у меня работает с тех пор, как подключение к интернету стало
> постоянным (из каких-то рекомендаций):
> Как я допёр? А по ламерски, задал вопрос поисковой системе, по поводу
> защиты от спуфинга!!!!!!
> ##################################################
> # Включаем Проверку Адреса Отправителя и получаем
> # защиту от спуфинга на всех существующих и будущих интерфейсах
> echo -n "Setting up IP spoofing protection..."
> for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
>       echo 1 > $f
> done
> echo "done."
> #####################################################

На самом деле принято делать так:
# Enables source route verification
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.all.rp_filter = 1

этих строчек в /etc/sysctl.conf достаточно, чтобы получить тот же самый
эффект, но стандартными средствами initscripts. При этом "source route
verification" включается еще до поднятия интерфейсов:

# Configure kernel parameters
action "Configuring kernel parameters: " sysctl -p /etc/sysctl.conf
(эти строки я взял из /etc/rc.d/rc.sysinit).

Это все есть по умолчанию в Sisyphus, причем давольно давно.

> Т.е. у меня порядок такой:
> 1) Поднимается брандмауэр
> 2) Поднимается eth0
> 3) отрабатывает вышеприведённая хрюнотка, ибо не хрена...
> Есть ещё финт ушами в камышах - от особо назойливых прикрываться не
> REJECT, а простым DENY (пущай не отлуп получает, а тайм-аута подождёт
> каждый раз!!!) но тут главное - не переусердствовать, ибо такой подход
> тоже чреват боком...

Если Вы используете REJECT - рано или поздно получите DoS.


Regards,
	Dmitry

+-------------------------------------------------------------------------+
Dmitry V. Levin     mailto://ldv@fandra.org
Software Engineer   PGP pubkey http://www.fandra.org/users/ldv/pgpkeys.html
IPLabs Linux Team   http://linux.iplabs.ru
Fandra Project      http://www.fandra.org
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.

[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]