Re: Barrar port scans iptables - Não Resolvido

To: Pedro Debian <pedro_debian@yahoo.com.br>
Cc: debian-portuguese <debian-user-portuguese@lists.debian.org>
Subject: Re: Barrar port scans iptables - Não Resolvido
From: Rondineli Gama Saad <rsaad@gelre.com.br>
Date: Thu, 31 Jan 2008 10:13:59 -0200
Message-id: <[🔎] 47A1BB87.2080003@gelre.com.br>
In-reply-to: <[🔎] 47A0C5AB.4040407@yahoo.com.br>
References: <[🔎] 47A08262.3000803@yahoo.com.br> <[🔎] 47A0A7E5.4030700@gelre.com.br> <[🔎] 47A0C5AB.4040407@yahoo.com.br>

Pedro Debian wrote:

Rondineli Gama Saad escreveu:
Pedro Debian wrote:
Olá Pessoal,
Estou fazendo algumas implementações no firewall e uma dasfuncionalidade que gostaria de inserir é uma regra para barrartentativas de escaneamento de portas externas. Fiz alguns testesusando módulo recent do iptables mas não tive muito sucesso paradetectar a varredura para todas as portas.
Alguém já fez algum implementação neste sentido?

Obrigado


Abraços


Pedro
Olá Pedro,
Basta colocar no inicio do script as seguintes regras:

# Negar pacotes com bad flags
iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j LOG--log-level alert --log-prefix "FIREWALL: Pkt Invalido! L1: "
iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH         -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j LOG--log-level alert --log-prefix "FIREWALL: Pkt Invalido! L2: "
iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j LOG--log-level alert --log-prefix "FIREWALL: Pkt Invalido! L3: "
iptables -A INPUT -p tcp --tcp-flags ALL NONE                -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j LOG--log-level alert --log-prefix "FIREWALL: Pkt Invalido! L4: "
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST         -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j LOG--log-level alert --log-prefix "FIREWALL: Pkt Invalido! L5: "
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN         -j DROP
Ou seja, estas regras vai barrar todas as tentativas de escaneamentode portas usando as combinações de flags do TCP e ainda vai criarlogs das tentativas com seus respectivos supostos ips atacantes.
Espero ter ajudado.

Rondineli Saad
Olá,
Por algum motivo, aqui não funcionou. Todos os testes que fiz com onmap ele conseguiu detectar as portas abertas. Exceto o momento queDropei as tabelas INPUT e FORWARD mas neste caso mesmo sem qualquerregra ele bloqueou o acesso à máquina.
Tem algum script que consegue detectar o escaneamento da portabloqueia por certo tempo qualquer tentativa deste ip acessar amáquina? Um artigo a Linux Magazine comentou que é possuivel fazerisso com o módulo recent do iptables mas não estou conseguindo montar.
Alguém pode dar um luz?


Obrigado

Pedro

Olá Pedro,

As regras citadas acima refere-se a tentativas de escaneamento de portascom flags anormais, ou seja quando o nmap usa combinações de flags quenão seja SYN --> SYN+ACK --> SYN (three handshake) ele irá criar um loge dropar os pacotes. Quando vc configura um firewall onde no INPUT éliberado por exemplo as porta 22 e 80 vc esta dizdo que existe umservidor ssh e um servidor http, ou seja, se alguém tentar escanearusando as flags do three handshake as portas que foram liberadas (22 e80) serão indicadas que estão abertas. Então imaginemos que alguém tenteacessar via ssh, o invasor pode usar um script com varias senha que vaitentar acessar o seu servidor, ou seja, ela vai usar de tentativa broteforce para invadir o seu servidor. Neste caso eu posso usar o modulorecent para bloquear todos os ips que tentou x vezes em um intervalo detempo acessar o seu servidor. Sendo mais explicito: o firewall bloquearáo ip se em um intervalo de 60 seg tentou acessar 3 vezes. Abaixo umasregras que podem ser adicionadas no seu firewall:

# Regras Iptables para Bloquear ataques Brute Force no SSH
# copia da Dicas-L
# http://www.dicas-l.com.br/dicas-l/20060724.php
iptables -A INPUT -p tcp --syn --dport 22 -m recent --name sshattack --set

iptables -A INPUT -p tcp --dport 22 --syn -m recent --name sshattack--rcheck --seconds 60 --hitcount 3 -j LOG --log-prefix 'SSH REJECT: '

iptables -A INPUT -p tcp --dport 22 --syn -m recent --name sshattack--rcheck --seconds 60 --hitcount 3 -j REJECT --reject-with tcp-reset


iptables -A FORWARD -p tcp --syn --dport 22 -m recent --name sshattack --set

iptables -A FORWARD -p tcp --dport 22 --syn -m recent --name sshattack--rcheck --seconds 60 --hitcount 3 -j LOG --log-prefix 'SSH REJECT: '

iptables -A FORWARD -p tcp --dport 22 --syn -m recent --name sshattack--rcheck --seconds 60 --hitcount 3 -j REJECT --reject-with tcp-reset



Para entender melhor o modulo recent acesse o link abaixo:
http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=5551

Espero ter ajudado.

Rondineli Saad

Reply to:

References:
- Barrar port scans iptables
  - From: Pedro Debian <pedro_debian@yahoo.com.br>
- Re: Barrar port scans iptables
  - From: Rondineli Gama Saad <rsaad@gelre.com.br>
- Re: Barrar port scans iptables - Não Resolvido
  - From: Pedro Debian <pedro_debian@yahoo.com.br>

Prev by Date: Duvida na customização de pacotes
Next by Date: Re: servidor win + estações linux+programas win no server como?
Previous by thread: Re: Barrar port scans iptables - Não Resolvido
Next by thread: amarok e players de musica paraguai
Index(es):
- Date
- Thread