Re: Scan de Puertos e iptables
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Fernando wrote:
> Rober Morales wrote:
>
>> si no se pudiera saber que tu ordenador tiene abierto el puerto 80,
>> ningun cliente se podria conectar, y si quieres que se conecte
>> alguien, pues ese ya sabe que esta abierto. un nmap hace intentos de
>> conexion simplemente. lo unico que oí es que se puede dehabilitar la
>> respuesta a un ping, con lo que el servidor parecera inexistente para
>> alguien que quiera entrar y tal...
>>
>> pero vamos, tenerlos abiertos y que no se vean es imposible. si es
>> incierto que me digan, acepto observaciones...
>>
>> Luis Vega escribió:
>>
>>> Hola amigos.
>>>
>>> No se si será un problema, pero lo veo como una proteccion mas para
>>> mi red. resulta que si hago un nmap desde mi LAN o desde internet a
>>> mi servidor, me muestra lo siguiente.
>>>
>>> PORT STATE SERVICE
>>> 21/tcp open ftp
>>> 22/tcp open ssh
>>> 80/tcp open http
>>> 443/tcp open https
>>> 5432/tcp open postgres
>>>
>>> es decir la lista de puertos que tengo escuchando en los distintos
>>> servicios.
>>>
>>> me gustaria saber como lo hago para que cuando alguien haga un
>>> escaneo de puertos a mi maquina, no muestre esta lista o que muestre
>>> solo algunos servicios, de manera que solo el administrador y las
>>> personas correspondientes sepan que servicios estan activos.
>>>
>>> P.D. - El servidor tiene in firewall con iptables funcionado.
>>> - Andube buscando sobre "syn scan", pero no encontre mucho.
>>> - cualquier informacion adicional, la hare saber.
>>>
>>> gracias de antemano y saludos.
>>>
>>> --
>>> Luis Vega M.
>>> Linux Registered User #356394
>>> http://es.geocities.com/gdfod
>>
>>
>>
> Si alguien tiene tiempo ganas (como minimo) te va a pillar de todas
> formas, pero si solo va a ser un numero limitado de gente que ya conoces
> quien se conecte puedes cambiar los puertos. Si el nmap encuentra el
> puerto 21 abierto te dice que tienes el servidor ftp abierto, pero no
> tiene porque ser asi. El ftp usa el puerto 21 por defecto y si esta
> abierto da por supuesto que es ftp lo que hay detras. Lo mismo pasa con
> http, cuadno escribes una url va implicito que lo vas a pedir al puerto
> 80 del servidor, y si se te encuentra abierto el puerto 80 se por
> supuesto que tiene un servidor web.
> ¿adonde quiero llegar? Que lo puertos del 1024 para arriba son de padres
> poco conocidos, es decir casi ninguno tiene cosas asignadas por defecto
> y esto es mas cierto cuanto mayor es el numero del puerto. Puedes poner
> el servidor web en el puerto 23456 (por ejemplo) y que tengan que poner
> al final de tu url :23456 para conectarse. Asi no te quitaras a alguien
> que vaya a por ti, pero te quitaras unos cuanto s de encima y en
> principio no se sabra que servicio tienes en cada puerto.
ACa lo que interesa no es que te vean o no desde fuera. (seguridad por
oscuridad) sino que lo que tengas expuesto al exterior sea lo minimo
indispensable y lo suficientemente protejido/actualizado/acotado/controlado.
Sin duda tener todo "open" como veo alli no es una buena solucion.
Por otro lado, seria una buena alternativa, ya que te preocupa la
seguridad, conseguirte un tarrito lo mas viejo posible (lo que consigas)
y lo pongas como firewall como cara externa.
>
>
- --
Ricardo A.Frydman
Consultor en Tecnología Open Source - Administrador de Sistemas
jabber: eureka@jabber.sk - http://www.eureka-linux.com.ar
SIP # 1-747-667-9534
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (GNU/Linux)
iD8DBQFCyurGkw12RhFuGy4RAnK8AJ9WuMA9QBSJ8d5rpRbHarrqjFg83ACfcu0O
iLHtbsehWwDXw1oMXLayIwg=
=7eaF
-----END PGP SIGNATURE-----
Reply to: