Nowe posty

xx Debian 9 Stretch, linuxcnc i restart przy uruchamianiu (2)
Wczoraj o 21:54:36
xx Zakup sprzętu bez preinstalowanego windowsa (8)
2019-10-17, 16:50:51
xx Problem z pocztą Dovecot+Postfix+MySQL (3)
2019-10-16, 14:43:41
xx Instalacja Debian10 problem z instalacją GRUBa na RAID5 (5)
2019-10-15, 17:58:57
xx AMD Ryzen 5 3500U (11)
2019-10-14, 18:29:46
xx Konfiguracja directadmina (0)
2019-10-13, 03:18:36
xx Problem z instalacją sterowników TL-WN821N (4)
2019-10-11, 23:15:00
xx Sprzet z Linuxem (1)
2019-10-11, 10:06:24
xx nadpisanie partycji domowej (6)
2019-10-03, 03:27:28
xx Screen flickering Deepin (4)
2019-10-02, 20:32:56

Autor Wątek: iptables  (Przeczytany 213 razy)

Offline 1709

  • Users
  • Guru
  • *****
  • Wiadomości: 2211
  • 1709
    • Zobacz profil
iptables
« dnia: 2019-09-02, 23:54:29 »
Nie bardzo potrafię znaleść "złotego środka" jak należałoby skonfigurować zaporę iptables dla serwera.

Problemem jest choćby  "XMAS TREE SCAN" np.
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH PSH -j LOG --log-prefix "Xmas scan: "
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -j DROP
# https://pl.wikibooks.org/wiki/Debian_-_uniwersalna_instalacja/Konfigurowanie_iptables

iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
# https://www.cyberciti.biz/tips/linux-iptables-10-how-to-block-common-attack.html

Gdy skanuje przy pomocy nmap okazało się ze ochrona nie działa.
Jak doczytałem
Cytuj
A Christmas tree packet is a packet in which all the flags in any protocol are set.
# https://linoxide.com/firewall/block-common-attacks-iptables/

Natomiast nmap używa
Cytuj
metoda Xmas Tree (nmap -sX) – wykorzystuje pakiety z bitami FIN, URG i PUSH
# https://pl.wikipedia.org/wiki/Nmap

Czyli żeby to naprawdę działało to chyba bym musiał wymienić wszystkie możliwe kombinacje wszystkich flag.
1. Czy napisanie skryptu w nmap to dobry pomysł, czy można przetestować zaporę w prostszy sposób ?

2. Wydaje sie tam https://nmap.org/book/scan-methods-null-fin-xmas-scan.html
nie pisze zbyt wiele o atakach, oprócz paru szczegółów np.
Cytuj
will result in a returned RST
Czy są jakieś strony bardziej techniczne ?
3. A może wystarczy zablokować flagę  RST na wyjściu ?
4. A może powinienem zrezygnować z blokowania lub zainstalowac jakis "network intrusion detection system (NIDS) ?

Pochwal się swoją kartą graficzną w tym wątku-->
http://forum.linux.pl/index.php/topic,19841.msg121122.html#msg121122

Offline Robert75

  • Users
  • Stały bywalec
  • ***
  • Wiadomości: 137
    • Zobacz profil
Arch Linux Xfce+compiz - 64Bit Linux User #621110https://www.anarchylinux.org/