Титла: config na firewall?!
Публикувано от: thc в Dec 22, 2003, 21:46
niakoi moje li da dade syvet kakvo da napravia za da se predpazia ot nepozvoleni pronikvania?v lokalna mreja sum s 9 pc-ta i edinia user postoianno se opitva da mi probie linux-a(Slackware 9.1) ot logovete vijdam che e tursil dupki v apacheto kato naprimer proslovutite ".." kato se e opitval da mi chete faila s parolite.pak chrez apache-to se e opitval da izpulniava niakakvi CGI scriptove kakvito za shtastie niamam.vijdam che e otvarial niakakvi ftp sesii pri polojenie che ne sum puskal ftp server.imam samba no v neinia config sum mu slojil ip-to na hosts deny no tova e pochti nishto.kak moga da mu blokiram ip-to da niama izobshto dostup do men?opitah sushto v /etc/hosts.allow i hosts.deny no kato chetoh loga na tcpd mi kazva che tam sum imal greshka "lipsvasht ":" separator"-ne znam kakuv e formata na redovete v tezi dva faila.koi ot vsichkite nachini za zashtita da izpolzvam pri podobni ataki?iskam prosto suvet a ne da mi go napravite nagotovo.btw,ot gledna tochka na sigurnostta razumno li e i apacheto i sambata da rabotiat s edin i susht user - nobody?toi si e addnat po default i edva li ako az addna niakoi nov guest user shte go napravia po neprobivaem?!
blagodaria vi predvaritelno za help-a i vi pojelavam da ne vi se nalaga da se zanimavate s problemi kato moite
peace
blagodaria vi predvaritelno za help-a i vi pojelavam da ne vi se nalaga da se zanimavate s problemi kato moite
peace
Титла: config na firewall?!
Публикувано от: PAIN1 в Dec 22, 2003, 22:27
за да отрежеш тотално трафика на това "лошо" ип ти трябват точно 2 реда във скрипта на iptables
а за по финно и инилигентно решение малко повече в зависимост какви възможности за трансфер искаш да си оставиш с него.Тъй като каза че искаш съвет а не решение
от дистрото на slack-a има доста подробен manual на iptables успех
а за по финно и инилигентно решение малко повече в зависимост какви възможности за трансфер искаш да си оставиш с него.Тъй като каза че искаш съвет а не решение
от дистрото на slack-a има доста подробен manual на iptables
успехТитла: config na firewall?!
Публикувано от: zazzko в Dec 22, 2003, 23:18
iptables -A INPUT -s losho.ip.za.bokluka.now -j DROP
Това ще спре завинаги всякакъв достъп на "хакера" до теб (ако не се лъжа с дейстивето, синтаксиса е верен).
Това ще спре завинаги всякакъв достъп на "хакера" до теб (ако не се лъжа с дейстивето, синтаксиса е верен).
Титла: config na firewall?!
Публикувано от: в Dec 22, 2003, 23:22
Отскоро съм Линукс потребител, така че съветите, които мога да ти дам ги приеми по-скоро като насочващи.
Дистрибуцията, която ползвам е Debian, но мисля, че в основни линии няма разлика, по отношение настройките на една защитна стена.
Конфигурирането на Линукс, като защитна стена става с инструмента iptables, който се поддържа от ядра > 2.3.15. Iptables филтлира IP трафика, като разрешава, кои типове дейтаграми да преминат през даден интерфейс. Има различни видове критерий за филтриране:
Тип протокол, номер гнездо, тип дейтаграма, адрес на получателя и адрес на изпращача. Последното е особено ценно за теб, т.е отговора на въпроса ти "Може ли да блокирам дадено ip?" е положителен.
Да кажем, че неговото IP e 196.233.223.126, примерно, а твоето 196.233.233.120. Тогава синтаксиса на iptables за блокирането на адреса е:
iptables -A INPUT -s 196.233.233.126 -d 196.233.233.120 -ј DROP
По правилния подход обаче доколкото съм запознат при изграждането на защитна стена е първо да забраниш всичко и всички, а след това да разрешиш само това, което наистина ти трябва.
Виж:
http://www.hackinglinuxexposed.com/articles/20030703.html
Отностно host.allow и host.deny ще ти спомена първо /etc/inetd.conf.
В този файл са описани стартирани на машината ти мрежови услуги. Активирани са тези без "#" в началото на реда. Съветвам те да прегледаш файла и да спреш тези услуги, които не са ти нужни.(Можеш примерно да спреш ftp демона). Номерата на мрежовите услуги и портовете по стандарт може да разгледаш в /etc/services и /etc/protocols.(Не променяй тези файлове).
Inetd е Интернет демона, който инициира съответна Интернет услуга.(ftp,telnet...). Около него е обвит демона TCP Wrappe, който контролира достъпа да дадена услуга чрез фаловета host.allow и host.deny.
При опит на отдалечена машина да се върже към теб, tcpd първо сканира host.allow и след това host.deny. Ако първият файл е празен, то е важно какво пише във втория. Тук може да напишеш:
ALL:ALL
Това означава, че достъпът до всички услуги се отказва на всички машини. Тази конфигурация е сигурна, но може да ти създаде проблиме, при опит хост машината ти да се свърже към теб самия. Ако искаш да позволиш достъп до машината през localhost, то напиши в host.allow:
ALL:127.0.0.1
Надявам се тези насоки да ти свършат някаква работа. Успех.
Дистрибуцията, която ползвам е Debian, но мисля, че в основни линии няма разлика, по отношение настройките на една защитна стена.
Конфигурирането на Линукс, като защитна стена става с инструмента iptables, който се поддържа от ядра > 2.3.15. Iptables филтлира IP трафика, като разрешава, кои типове дейтаграми да преминат през даден интерфейс. Има различни видове критерий за филтриране:
Тип протокол, номер гнездо, тип дейтаграма, адрес на получателя и адрес на изпращача. Последното е особено ценно за теб, т.е отговора на въпроса ти "Може ли да блокирам дадено ip?" е положителен.
Да кажем, че неговото IP e 196.233.223.126, примерно, а твоето 196.233.233.120. Тогава синтаксиса на iptables за блокирането на адреса е:
iptables -A INPUT -s 196.233.233.126 -d 196.233.233.120 -ј DROP
По правилния подход обаче доколкото съм запознат при изграждането на защитна стена е първо да забраниш всичко и всички, а след това да разрешиш само това, което наистина ти трябва.
Виж:
http://www.hackinglinuxexposed.com/articles/20030703.html
Отностно host.allow и host.deny ще ти спомена първо /etc/inetd.conf.
В този файл са описани стартирани на машината ти мрежови услуги. Активирани са тези без "#" в началото на реда. Съветвам те да прегледаш файла и да спреш тези услуги, които не са ти нужни.(Можеш примерно да спреш ftp демона). Номерата на мрежовите услуги и портовете по стандарт може да разгледаш в /etc/services и /etc/protocols.(Не променяй тези файлове).
Inetd е Интернет демона, който инициира съответна Интернет услуга.(ftp,telnet...). Около него е обвит демона TCP Wrappe, който контролира достъпа да дадена услуга чрез фаловета host.allow и host.deny.
При опит на отдалечена машина да се върже към теб, tcpd първо сканира host.allow и след това host.deny. Ако първият файл е празен, то е важно какво пише във втория. Тук може да напишеш:
ALL:ALL
Това означава, че достъпът до всички услуги се отказва на всички машини. Тази конфигурация е сигурна, но може да ти създаде проблиме, при опит хост машината ти да се свърже към теб самия. Ако искаш да позволиш достъп до машината през localhost, то напиши в host.allow:
ALL:127.0.0.1
Надявам се тези насоки да ти свършат някаква работа. Успех.
Титла: config na firewall?!
Публикувано от: thc в Dec 22, 2003, 23:32
mersi na vsichki poluchih poveche ot kolkoto ochakvah i pak iskam da pitam dali niakoi znae programa koiato da testva sigurnostta na edna linux sistema? i ako znae da kaje ot kude moga da si ia drupna?
poluchih poveche ot kolkoto ochakvah i pak iskam da pitam dali niakoi znae programa koiato da testva sigurnostta na edna linux sistema? i ako znae da kaje ot kude moga da si ia drupna?Титла: config na firewall?!
Публикувано от: melwin в Dec 23, 2003, 08:54
nessus -> nessus.org
Титла: config na firewall?!
Публикувано от: zazzko в Dec 23, 2003, 08:55
http://www.insecure.org/tools.html
На този адрес ще намериш много програми за тестване и повишаване на сигурността.
На този адрес ще намериш много програми за тестване и повишаване на сигурността.
Титла: config na firewall?!
Публикувано от: n_antonov в Dec 23, 2003, 09:14
Препоръчвам ти сериозна и професионална система за мрежова защита - Shorewall.
Титла: config na firewall?!
Публикувано от: mrvoland в Dec 23, 2003, 09:47
хм... аз ако съм на него веднага си сменям IP-то и ти оставаш с пръст в устата
сега за да избегнеш нещо подобно си пусни в ядрото ARP daemon support също ще ти трябват ARP tools
примерно за да избегнеш sniff тип man_in_the_middle ( класика в жанра и страшно ефективен метод ) можеш да добавиш там където ти се init iptables няколко реда
arp -s twoeto_ip mac_na_twoiata_lan
arp -s negowoto_ip mac_na_negowata_lancard
какво става всъщност -s опцията е static и ако въпросния пич си смени IP-то то няма да съвпадне с MAC адреса и arp daemon-a ще му бие шута още преди да е стигнало до iptables
и за това има начин да се заобиколи но... ако седнеш и опишеш всички MAC адресе в мрежата ти ( включително и на hub или switch ) и си поиграеш малко да напишеш скрипт който да отхвърля макове които не са в описаните мисля че този пич няма да има никакви шансове
всъщност цялата идея е да прикачиш към всеки MAC съответното IP и всичко различно от описаното да се drop, е разбира се трябва и да го дропиш и през iptables... само не забравяй да го дроп не само по TCP а и по UDP
сега за да избегнеш нещо подобно си пусни в ядрото ARP daemon support също ще ти трябват ARP tools
примерно за да избегнеш sniff тип man_in_the_middle ( класика в жанра и страшно ефективен метод ) можеш да добавиш там където ти се init iptables няколко реда
arp -s twoeto_ip mac_na_twoiata_lan
arp -s negowoto_ip mac_na_negowata_lancard
какво става всъщност -s опцията е static и ако въпросния пич си смени IP-то то няма да съвпадне с MAC адреса и arp daemon-a ще му бие шута още преди да е стигнало до iptables
и за това има начин да се заобиколи но... ако седнеш и опишеш всички MAC адресе в мрежата ти ( включително и на hub или switch ) и си поиграеш малко да напишеш скрипт който да отхвърля макове които не са в описаните мисля че този пич няма да има никакви шансове
всъщност цялата идея е да прикачиш към всеки MAC съответното IP и всичко различно от описаното да се drop, е разбира се трябва и да го дропиш и през iptables... само не забравяй да го дроп не само по TCP а и по UDP
Титла: config na firewall?!
Публикувано от: thc в Dec 24, 2003, 14:05
reshih da opitam s iptables i kato nachalo zabranih vsichko vhodiashto s iptables -P INPUT -j DROP.trafika mi izchezna i sled tova zapochnah da si otvariam tova koeto mi triabva.
purvo:
iptables -A INPUT -s 0/0 -d 0/0 -p tcp --dport ssh -j ACCEPT i iptables -A INPUT -s 0/0 -d 0/0 -p tcp --dport www -j ACCEPT sled tova vidiah che moga da si vliaza prez SSH no niamam internet?scannah se s nmap - mi kaza che tcp/22 e open a tcp/80 e closed?!?kakvo po tochno triabva da otvoria za da si pusna interneta?ima li znachenie koi portove sa otvoreni na rutera?nego kato go scanirah mi dade che 25,110 i 587 sa filtered,tova ima li niakvo znachenie?
purvo:
iptables -A INPUT -s 0/0 -d 0/0 -p tcp --dport ssh -j ACCEPT i iptables -A INPUT -s 0/0 -d 0/0 -p tcp --dport www -j ACCEPT sled tova vidiah che moga da si vliaza prez SSH no niamam internet?scannah se s nmap - mi kaza che tcp/22 e open a tcp/80 e closed?!?kakvo po tochno triabva da otvoria za da si pusna interneta?ima li znachenie koi portove sa otvoreni na rutera?nego kato go scanirah mi dade che 25,110 i 587 sa filtered,tova ima li niakvo znachenie?
Титла: config na firewall?!
Публикувано от: n_antonov в Dec 24, 2003, 15:26
Сам си си блокирал нета с това DROP на всичко входящо. Т.е. то е правилно, но не и оставено така. Трябва да разрешиш входящите пакети за връзки със статус ESTABLISHED и RELATED. За тази цел се ползва stateful firewalling. Примерно нещо такова:
Освен това, трябва да си разрешиш входящите конекции за lo най-малкото, а и въобще за интерфейсите, различни от външния, който блокираш. Примерно, ако външния ти интерфейс е eth0, пишеш така:
Забележка! Под външен интерфейс имам предвид интерфейса, който ограничаваш, въобще, на който нямаш доверие Доверените интерфейси или най-малкото lo (loopback) можеш да освободиш от тези правила чрез последната команда, която ти дадох. Иначе, просто ползвай:
| Примерен код |
| iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT |
Освен това, трябва да си разрешиш входящите конекции за lo най-малкото, а и въобще за интерфейсите, различни от външния, който блокираш. Примерно, ако външния ти интерфейс е eth0, пишеш така:
| Примерен код |
| iptables -A INPUT -m state --state NEW -i ! eth0 -j ACCEPT |
Забележка! Под външен интерфейс имам предвид интерфейса, който ограничаваш, въобще, на който нямаш доверие
Доверените интерфейси или най-малкото lo (loopback) можеш да освободиш от тези правила чрез последната команда, която ти дадох. Иначе, просто ползвай:| Примерен код |
| iptables -A INPUT -m state --state NEW -i lo -j ACCEPT |
Титла: config na firewall?!
Публикувано от: thc в Dec 24, 2003, 18:45
niki antonov,thank you
sled kato izpulnih tova:
neta mi trugna obache ne sum mnogo dovolen zashtoto ne znam kakvo tochno napravih s tazi komanda.po konkretno ne mi e iasno za ESTABLISHED i RELATED,dokolkoto shvashtam tova sa statusi na konekcii no samo tolkova.v manovete pishe li neshto po konkretno i kude da gledam?shte sum blagodaren i ako dadesh ideia kak da si dam dostup do samba sharingite
sled kato izpulnih tova:
| Цитат |
| iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT |
Титла: config na firewall?!
Публикувано от: n_antonov в Dec 24, 2003, 20:01
Какво на практика става ли?
Една връзка, отворена отвътре навън, т.е. от програма зад твоя firewall, се нуждае от двупосочен канал. Т.е., не можеш само да изпращаш данни и да не получаваш нищо. Затова оставаш без нет.
Ядрото разпознава пакетите от връзки, които вече са установени (ESTABLISHED) и свързани (RELATED), и ги пуска. Входящите пакети от връзки, които не попадат в това правило и се отнасят до нови връзки (NEW), направени отвън навътре, т.е. неустановени, вече се обработват от подразбиращата се входяща политика, т.е. DROP.
Така че, точно сега защитната ти стена функционира правилно
Една връзка, отворена отвътре навън, т.е. от програма зад твоя firewall, се нуждае от двупосочен канал. Т.е., не можеш само да изпращаш данни и да не получаваш нищо. Затова оставаш без нет.
Ядрото разпознава пакетите от връзки, които вече са установени (ESTABLISHED) и свързани (RELATED), и ги пуска. Входящите пакети от връзки, които не попадат в това правило и се отнасят до нови връзки (NEW), направени отвън навътре, т.е. неустановени, вече се обработват от подразбиращата се входяща политика, т.е. DROP.
Така че, точно сега защитната ти стена функционира правилно
Титла: config na firewall?!
Публикувано от: the_real_maniac в Dec 31, 2003, 15:48
| Цитат (thc @ Дек. 24 2003,15:05) |
| reshih da opitam s iptables i kato nachalo zabranih vsichko vhodiashto s iptables -P INPUT -j DROP.trafika mi izchezna i sled tova zapochnah da si otvariam tova koeto mi triabva. purvo: iptables -A INPUT -s 0/0 -d 0/0 -p tcp --dport ssh -j ACCEPT i iptables -A INPUT -s 0/0 -d 0/0 -p tcp --dport www -j ACCEPT sled tova vidiah che moga da si vliaza prez SSH no niamam internet?scannah se s nmap - mi kaza che tcp/22 e open a tcp/80 e closed?!?kakvo po tochno triabva da otvoria za da si pusna interneta?ima li znachenie koi portove sa otvoreni na rutera?nego kato go scanirah mi dade che 25,110 i 587 sa filtered,tova ima li niakvo znachenie? |
Поскоро нещо не си направил както трябва , защото .:
iptables -P INPUT DROP
iptables -A INPUT -s 0/0 -d 0/0 -p tcp --dport ssh -j ACCEPT iptables -A INPUT -s 0/0 -d 0/0 -p tcp --dport www -j ACCEPT
си отваря точно и само порт 22 -> ssh и порт 80 -> www(http) , просто си виж/погледни /etc/services , така че нещо не си написъл както трябва , а и ти си писъл
iptables -P INPUT -j DROP
-Р подразбира .: iptables -P chain action
Това е от мен , а темата наистина е полезна , а и това което е написъл г-н АНТОНОВ
за нови връзки и такива , които вече са установени е много хубаво , и важно Особено , добре си го обяснил ! Много полезно , ще го използвам във Firewall-a си за допълнителна защита , защото дефакто няма основателан причина някой от вънка да прави връзка към теб , освен при активен режим на фтп или някоя игра , ако си сървър и подобни изключения като случей За ФТП-то -> пасивен режим , а за игрите , еми виждаш кой порти ти е играта и си играеш малко с него в защитната стена Това е , голяма игра си е това firewall-а , докато го направиш , както ти се иска ... особено като наблъскаш повече усуги и става страшничко ....