Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://www.debian.pl/

Blokowanie portów, firewall, uzyskiwanie IP - Lenny

https://www.debian.pl/viewtopic.php?t=17108

Strona 1 z 1

Blokowanie portów, firewall, uzyskiwanie IP - Lenny

: 15 stycznia 2010, 23:45
autor: nighttrain
Witam.

Mam kilka pytań dotyczących kwestii sieciowych:
  1. Posiadam odblokowane przez admina sieci kilka portów- do gier/ftp/serwera www etc..
    Więc porty są jak najbardziej otwarte. Moje pytanie brzmi jak zablokować te porty, aby nikt niepowołany nie wszedł sobie za pomocą ssh na mój komputer i nie podpiął jakiegoś narzędzia bo porty są otwarte?
  2. Chciałbym zainstalować sobie jakiegoś firewalla - słyszałem o czymś takim jak IPtables - czy jest to jakiś rodzaj firewalla?
  3. Na tym forum znalazłem, gdzieś opcje, które blokują żądania odpowiedzi na pingi z sieci:

    Kod: Zaznacz cały

    iptables -A INPUT -p icmp -j DROP
iptables -A OUTPUT -p icmp --icmp -type echo-reply -i DROP
    Chodzi tu o to, że jak uaktywnię te opcje to nikt nie będzie mógł mnie pingowac? Nawet nmapem (-sS). Czy dobrze rozumiem? Ewentualnie proszę mi wyjaśnić dokładniej te linijki.
  4. Jeżeli mam programik Kadu/pidgin i widzę u niektórych, przy pseudonimach adresy IP (dziwnym trafem IP typu: 192.168.100.2, 192.168.134.54), a innych nie widzę, domyśliłem się, że widzę jedynie IP tych osób, które mają podpisaną umowę z tą samą kablówką? Jak uzyskać IP reszty ludzi z komunikatotra? Czy jest jakiś sposób? Może tcpdumpem jakoś ustawić na nasłuch na porcie gg i napisać do kogoś, wtedy wychwyci od kogo przychodzi wiadomość?
Proszę o odpowiedzi.
Pozdrawiam.

: 16 stycznia 2010, 01:14
autor: KeFaS
1. Wyłączyć serwer SSH, a jeżeli chcesz z niego korzystać to np. ogranicz adresy IP, które mogą się z nim łączyć, zamiast haseł stosuj klucze, itp (jest dużo rozwiązań w tej kwestii bezpieczeństwa.

2. iptables jest domyślnie w Debianie, wystarczy utworzyć skrypt z regułkami i dodać go do startu systemu. W Internecie jest pełno poradników na ten temat i gotowych skryptów.

3. Tak (jednak warto przetestować). W kwestii wyjaśnień odsyłam do http://www.google.pl bo wszystko już zostało wytłumaczone, wystarczy poszukać.

4. To IP można sobie dowolnie ustawić w komunikatorze (a standardowo ustawia się wewnętrzny adres, jeżeli ktoś jest za NAT-em), więc nie sugeruj się tym.

: 16 stycznia 2010, 01:26
autor: nighttrain
  1. Dobrze, załóżmy tylko ja z localhosta chcę się z nim łączyć to jak i gdzie powinienem to skonfigurować?
  2. Tak.
  3. Tak.
  4. Dobrze, ale dalej pozostaje pytanie jak uzyskać IP ludzi?

: 16 stycznia 2010, 01:29
autor: KeFaS
Po co chcesz się łączyć po SSH z własnego komputera do... własnego komputera? :-P
Poza tym pisz dokładnie, tak żeby dało się zrozumieć.

A po co Ci IP "ludzi", z którymi rozmawiasz?

: 16 stycznia 2010, 01:57
autor: nighttrain
Dobrze, inaczej.

Czasami łącze się poprzez ssh z komputerami, których nie znam, załóżmy w tej chwili, to nie dodam ich do wyjątków, chodzi mi o to, aby zablokować łączenie się przez ssh z moim komputerem, załóżmy jak ktoś będzie próbował.

Potrzebuje do testów, czy jest jakiś sposób na wyłowienie tych IP?

: 16 stycznia 2010, 02:24
autor: KeFaS
To poczytaj trochę jak działają usługi Internetowe i że rozróżnia się serwery od klientów.
Możesz używasz klienta SSH (i łączyć się ze zdalnymi komputerami) bez konieczności uruchamiania u siebie serwera SSH. A jeżeli chcesz co jakiś czas uruchamiać u siebie serwer, ale nie cały czas to wyłącz demona SSH ze startu systemu i po prostu uruchamiaj go tylko, jeżeli zajdzie taka potrzeba.

Co do tego IP, nigdy tak nie próbowałem, ale możesz to zrobić np. podczas przesyłania z kimś pliku poprzez ten komunikator (jeżeli to będzie połączenie P2P, a nie za pośrednictwem innego serwera), odpalasz netstat lub coś innego w trakcie takiego przesyłania i powinno Ci pokazać aktywne połączenie z IP drugiej osoby.

: 16 stycznia 2010, 13:34
autor: grzesiek
KeFaS pisze:3. Tak (jednak warto przetestować). W kwestii wyjaśnień odsyłam do http://www.google.pl bo wszystko już zostało wytłumaczone, wystarczy poszukać.
NIE! Nmap nie działa tak jak ping, jest wiele metod skanowania. Jeżeli masz standardowo zainstalowany system bez zapory - a z tego co piszesz to tak jest - to nmap pokaże "wszystko". Nmap wykorzystuje głównie TCP.

Co do sshd - jeżeli chcesz mieć dostęp tylko czasami, tylko z niektórych komputerów to może port knocking.

Aby być niewidocznym po drodze do czegoś to musisz mieć system jako most, tylko i wyłącznie.

: 16 stycznia 2010, 17:13
autor: nighttrain
Słyszałem, że iptables to typ firewalla wbudowanego. Nie wiem w takim razie już w tej chwili, czy wystarczy dodać reguly, czy dodatkowo zainstalować jakiegoś firewalla?

Co byś w takim razie radził z tymi otwartymi portami?

: 17 stycznia 2010, 01:55
autor: KeFaS
Wystarczy dodać do startu systemu skrypt z regułkami iptables.
Skonfiguruj sobie domyślne polityki działania tak, żeby każdy port był standardowo zamknięty.

grzesiek, dlatego napisałem, że warto przetestować, bo nie miałem pewności co do tego.

: 17 stycznia 2010, 11:09
autor: grzesiek
nighttrain, zobacz ile tego jest:
http://www.netfilter.org/documentation/ ... r-faq.html
http://zsk.wsti.pl/publikacje/iptables_przystepnie.htm

iptables od wersji 2.4x jest standardową częścią jądra, nie musisz go instalować. Niektóre Linuksy, takiej jak Fedora mają już skonfigurowany domyślny firewall, w takich jak Debian nie. Musisz sam to zrobić.
Przede wszystkim zapoznaj się ze: http://linux.die.net/man/8/iptables

Jeżeli chcesz zabezpieczyć system będziesz musiał dysponować dobrą wiedzą na temat protokołów internetowych - nie przepisuj bezmyślnie regułek, które znajdziesz w Internecie, bo tam pisało, że to ochrona przed atakiem typu... Sam sprawdź co to za atak, jak działa, jakie są konsekwencje przykładowej obrony i co najważniejsze czy rzeczywiście potrzebujesz obrony przed tego typu atakami ;-)
Często jest tak, że ludzie przepisują te reguły bo myślą, że im więcej ich mają tym ich serwer jest bezpieczniejszy, a to nieprawda. Np. dodają obronę przed atakiem na DNS, a nie mają takiego serwera zainstalowanego. Dobre reguły to takie, które rekurencyjnie się wykluczają, np. blokuje ruch, który wyklucza kilka niepożądanych połączeń.
Podstawową zasadą jest ustawienie domyślnej polityki na DROP a przepuszczanie tylko tego co niezbędne.
Pamiętaj, że iptables to nie byle badyle - to zapora ogniowa z pamięcią stanu, to znaczy, że nie musi filtrować wszystkich pakietów, może je filtrować ze względu na kontekst (śledzi połączenia).
Możesz filtrować pakiety, nie tylko pod kontem nagłówków ale również pod kontem zawartości (ang. payload) dzięki dodatkowym modułom np. takim jak string.
W końcu ukrycie serwera a zapora to nie dokładnie to samo, już o tym pisałem co trzeba zrobić aby naprawdę ukryć system w sieci.

Więc proponuje, poczytać, spróbować coś samemu zrobić - jak będziesz miał z czymś konkretnie problem opisz go na forum, odpowiemy. Być może jeżeli poważnie myślisz o iptables powinieneś kupić sobie książkę do tego, byś może nie jedną :-D

Pozdrawiam
Strefa czasowa UTC+01:00
Strona 1 z 1

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl