LINUX.ORG.RU

Открытые порты


0

0

Недавно сканил свою домашнюю сеть (в том числе свой комп), и был неприятно удивлён количеством (около 10) открытых и нефильтруемых портов. При этом в настройках iptables задал высокий уровень безопасности без всяких доверенных устройств (с помощью графической утилиты - я ещё только осваиваю консоль). Также стоит (и запущен) portsentry, который по идее должен блокировать сканирование, но почему-то мне удалось нормально себя просканить... У меня вообще-то не сервер (пока что) а просто "клиентская" машина, и я в общем-то не параноик, но в нашей локалке есть несколько молодых кулхацкеров, и мне не хотелось бы, что б кто-то из них шарился в моей системе. Скажите пожалуйста - есть ли в iptabes-Howto информация о том, какие сервисы слушают какие порты, что-б определиться какие из них можно закрыть? Хватит ли мне вообще инфы, содержащейся в этом хауту, чтоб обеспечить себе приемлемый уровень безопасности, или нужно сразу искать дополнительную инфу? И ещё - почему же не сработал portsentry, и графическая утилита управления iptables?

anonymous

Re: Открытые порты

Вообще-то nmap строит предположение о службах на портах.<br> # nmap -v -sS -O my.host<br>Если хочешь, скажи, какие это 10 портов, а мы попытаемся сказать, что за службы и нужны ли они. А правила iptables лучше добавлять вручную (я еще ни одной нормальной графической утилиты по работе с ним не видел), не такие уж они сложные.

Trustmaster ()

Re: Открытые порты

2 Trustmaster: спасибо. Когда приду с работы домой попробую предложенные тобой опции nmap'a, а также сообщу номера открытых портов. И всё-же: почему portsentry не сработал?

anonymous ()

Re: Открытые порты

Все пакеты на локальную машину идут по интерфейсу lo, а он, как правило, всегда полностью открыт - поэтому порты не прикрыты. Сканировать нужно с другой машины. Кстати, неправильно (например простым DROP) закрытые порты то же сканируются, в смысле можно определить что на них что то есть. Если желаешь защитится от сканирования, то нужно запретить практически все ICMP, за исключением нескольких. Оставить нужно на входе 0/0,3/4,11/0; на выходе 8/0. Инфа пролетала на www.securityfocus.org.

ЗЫ: Рекомендую попробовать nessus он еше и дыры ищет

infinite@inetcomm.ru

login ()

Re: Открытые порты

Хорошо, попробую просканить свой комп с другой машины.К нашей сетке подключен компьютерный клуб, правда не знаю, позволят ли они мне загрузиться с Blin'а. В клубе этом почти наверняка машины под виндами, и сетевых сканеров у них скорее всего нет.

anonymous ()

Re: Открытые порты

10 открытых портов это в общем-то нормально. Особенно если открыты порты 12345, 12346, 31337 и 54320. Не волнуйтесь, это не netbus и не back orifice.

anonymous ()

дядя, нахрена вам линукс?

поставьте винду и успокойтесь. только почаще на windowsupdate заглядывайте (включите автоматические обновления.)

anonymous ()

Re: Открытые порты

to anonymous (*) (2003-08-15 05:40:27.712641)

Спасибо за совет, но винда у меня уже была. И в высшей стапени сомнительно, что я поставлю её когда-либо ещё. Так что воспользуйтесь своим советом сами.

anonymous ()

Re: Открытые порты

Ну и где же обещанные порты?

Trustmaster ()

Re: Открытые порты

2 Trustmaster : Обещанные порты здесь (их даже больше десяти). Вот лог SYN Steals скана:

Host Hedin (192.168.14.15) appears to be up ... good. Initiating SYN Stealth Scan against Hedin (192.168.14.15) at 20:24 Adding open port 119/tcp Adding open port 12345/tcp Adding open port 2000/tcp Adding open port 635/tcp Adding open port 11/tcp Adding open port 22/tcp Adding open port 12346/tcp Adding open port 31337/tcp Adding open port 54320/tcp Adding open port 32772/tcp Adding open port 6667/tcp Adding open port 15/tcp Adding open port 79/tcp Adding open port 1524/tcp Adding open port 32774/tcp Adding open port 111/tcp Adding open port 32773/tcp Adding open port 6000/tcp Adding open port 1080/tcp Adding open port 540/tcp Adding open port 1/tcp Adding open port 27665/tcp Adding open port 143/tcp Adding open port 32771/tcp The SYN Stealth Scan took 3 seconds to scan 1620 ports. For OSScan assuming that port 1 is open and port 2 is closed and neither are firewalled Interesting ports on Hedin (192.168.14.15): (The 1596 ports scanned but not shown below are in state: closed) Port State Service 1/tcp open tcpmux 11/tcp open systat 15/tcp open netstat 22/tcp open ssh 79/tcp open finger 111/tcp open sunrpc 119/tcp open nntp 143/tcp open imap2 540/tcp open uucp 635/tcp open unknown 1080/tcp open socks 1524/tcp open ingreslock 2000/tcp open callbook 6000/tcp open X11 6667/tcp open irc 12345/tcp open NetBus 12346/tcp open NetBus 27665/tcp open Trinoo_Master 31337/tcp open Elite 32771/tcp open sometimes-rpc5 32772/tcp open sometimes-rpc7 32773/tcp open sometimes-rpc9 32774/tcp open sometimes-rpc11 54320/tcp open bo2k Remote operating system guess: Linux Kernel 2.4.0 - 2.5.20 Uptime 0.020 days (since Fri Aug 15 19:56:21 2003) TCP Sequence Prediction: Class=random positive increments Difficulty=4234210 (Good luck!) IPID Sequence Generation: All zeros

А вот лог TCP скана:

Starting nmap 3.25 ( www.insecure.org/nmap/ ) at 2003-08-15 20:32 EEST Host Hedin (192.168.14.15) appears to be up ... good. Initiating Connect() Scan against Hedin (192.168.14.15) at 20:32 Adding open port 32772/tcp Adding open port 6000/tcp Adding open port 1524/tcp Adding open port 79/tcp Adding open port 2000/tcp Adding open port 119/tcp Adding open port 32773/tcp Adding open port 540/tcp Adding open port 32774/tcp Adding open port 11/tcp Adding open port 27665/tcp Adding open port 22/tcp Adding open port 12345/tcp Adding open port 1/tcp Adding open port 12346/tcp Adding open port 111/tcp Adding open port 54320/tcp Adding open port 6667/tcp Adding open port 143/tcp Adding open port 1080/tcp Adding open port 31337/tcp Adding open port 15/tcp Adding open port 32771/tcp Adding open port 635/tcp The Connect() Scan took 1 second to scan 1620 ports. For OSScan assuming that port 1 is open and port 2 is closed and neither are firewalled Interesting ports on Hedin (192.168.14.15): (The 1596 ports scanned but not shown below are in state: closed) Port State Service 1/tcp open tcpmux 11/tcp open systat 15/tcp open netstat 22/tcp open ssh 79/tcp open finger 111/tcp open sunrpc 119/tcp open nntp 143/tcp open imap2 540/tcp open uucp 635/tcp open unknown 1080/tcp open socks 1524/tcp open ingreslock 2000/tcp open callbook 6000/tcp open X11 6667/tcp open irc 12345/tcp open NetBus 12346/tcp open NetBus 27665/tcp open Trinoo_Master 31337/tcp open Elite 32771/tcp open sometimes-rpc5 32772/tcp open sometimes-rpc7 32773/tcp open sometimes-rpc9 32774/tcp open sometimes-rpc11 54320/tcp open bo2k Remote operating system guess: Linux Kernel 2.4.0 - 2.5.20 Uptime 0.025 days (since Fri Aug 15 19:56:20 2003) TCP Sequence Prediction: Class=random positive increments Difficulty=2135941 (Good luck!) IPID Sequence Generation: All zeros

Вот такая вот загогулина...

bsh ★★★ ()

Re: Открытые порты

Кстати я сканировал свой комп не с чужой машины, а с своей. Так что? Прав Login насчёт loopback интерфейса - или нет?

И ещё - сорри за неразборчивый лог - мож так будет легче читать:

Port State Service

1/tcp open tcpmux

11/tcp open systat

15/tcp open netstat

22/tcp open ssh

79/tcp open finger

111/tcp open sunrpc

119/tcp open nntp

143/tcp open imap2

540/tcp open uucp

635/tcp open unknown

1080/tcp open socks

1524/tcp open ingreslock

2000/tcp open callbook

6000/tcp open X11

6667/tcp open irc

12345/tcp open NetBus

12346/tcp open NetBus

27665/tcp open Trinoo_Master

31337/tcp open Elite

32771/tcp open sometimes-rpc5

32772/tcp open sometimes-rpc7

32773/tcp open sometimes-rpc9

32774/tcp open sometimes-rpc11

54320/tcp open bo2k

Вот так вот.

bsh ★★★ ()

Re: Открытые порты

Ничего страшного я не вижу. При желании просто отключите соответствующие сервисы. Порты и закроются. Напишите какие порты нужно закрыть, мы подскажем как это лучше сделать. Или сконфигурируйте iptables. (Например, iptables -A INPUT -p tcp --destination-port 0:1023 -j DROP закроет все привилегированные порты)

anonymous ()

Re: Открытые порты

ничего страшного нет, это просто порты, которые слушает portsentry
кстати, скорее всего он у тебя не настроен нифига

anonymous ()

Re: Открытые порты

А как он, portsentry, настраивается, кстати?

bsh ★★★ ()

Re: Открытые порты

Добрый день. Вообще-то если Вам действительно не нужен сервер - почти все можно позакрывать, да и если нужно предоставлять услуги только своим машинам придется понастраивать :). Очень рекомендую почитать Securety How-to. Что касается portsentry - то смысл его работы - слушать определенные порты, и предпринемать действия при соединении с ними (например с его помощью можно запретить все входящие пакеты с xxx.xxx.xxx.xxx если он обнаружит скан. открытых у Вас портов), управляется он с помощью конф. файла portsentry.conf, в нем TCP_PORTS - список TCP портов, которые нужно мониторить, UDP_PORTS - аналогично для UDP ADVANSED_TCP_PORTS="xxxx" - мониторить все порты с ном. меньше чем xxxx, ADVANSED_EXCLUDE_PTC="xxx,yyy" - исключить из мониторинга порты с номером, BLOCK_TCP="1" - блокировать порты. Подробнее в документации и ком. в конфиг. файле. Теперь о том как закрыть порты или обезопасить. Для того чтобы закрыть порт необходимо откл. соответствующий сервис командой (для RH,MDK,ASP,ALT,Suse и мн. других) service назв_сервиса stop, правда это отключит сервис лишь до след. закрузки, отменить же его запуск можно выполнив hkconfig [--level <уровни>] <имя сервиса> off, где уровни - уровень выполнения, в Вашем случае 5. Кроме того можно для откл. воспользоваться граф. программой настройки (drakconf в Mandrake,Alt, Yast - в сусе,tksysv и псевдограв. ntsysv в RH,webmin). Таким образом следует отключить fingerd - дает внешним компам инф. о пользов., netstatd - мон. сети, sysstatd - сттат. инф как и пред не нужна Вам, я думаю Часть программ не запускается непоср., а делегирует listen суперсервису xinetd (который слушает все указанные порты запуская соответствующий сервис), ему можно указать слушать лишь определенные IP, для чего в его конфигурационном файле /etc/winetd.conf определите строку interface=xxx.xxx.xxx.xxx, например interface=127.0.0.1 - слушать только "себя сюбимого " :). Кроме того многие программы управляются файлами host.allow и host.deny, в них указывайте какие хосты имею /не имеют доступ к вашим службам. xinetd тоже можно отключить, если Вы не запускаете программ через него. portmap - не нужен если Вы не используете nfs (что при подкл. к инету не совсем хор. идея). nntpd - сервер новостей, убирайте - если не хотите органисовать у себя сервер новостей (а это гигантский трафик). imap2 -> наверное всетаки imap4 - почтовый сервер, если вы не хотите даленно забирать почту с своего сервера - смело убирайте. ssh - позволяет удаленно заходить на сервер, при этом вся передаваемая информация шифруется, обладает и другими возможностями, можно оставить, правда надо следить за обновлениями. Для безопасности ограничте слушаемые адреса в файле /etc/ssh/sshd_config установив ListenAdress=xxx.xxx.xxx.xxx:port Порт 6000 - ето ваша оконная (граф.) система. Идея-то очень неплохая - иметь возможность запустить программу на одном компе, отображая результаты на другом (факт. удаленный рабоч. стол)., лучше отключить, запуская ее с опцией -nolisten tcp (во всяком случае если Вы используете XFree86 - в боьшинстве случаев это так), или указав данную опцию в конф. файде xdm, gdm, kdm (в зависимости от того, что Вы юзаете), для kdm (и xdm и mdm) добавте в файл /etc/X11/xdm/Xservers -nolisten tcp к определению X сервера, должно получится что-то вроде :0 local /usr/X11R6/bin/X -nolisten tcp Кроме того можно закрыть доступ всему миру на установления с вами соединений, в прим. случае достаточно запретить пакеты с уст. флагом SYN (и сброш. другими), это можно сделать , например с помощью iptables, с помощью него также можно построить очень неплохой файрв., в часности из вне я бы запретил 1) icmp - в принципе ненужно, сделав это к Вам не смогут обратится с помощью ping 2) Отклонял бы все пакеты из вне, которые говорят, что идут из внутренних интервейсов (127.0.0.1,192.168.x.x,10.x.x.x) и подобное: злоум. может изменить адресс источника (а он наход. в IP пакете), установив его не дов. Вами и напр., вызвать перегр. 3)Разрешить UDP только с DNS (лучше только с DNS провайдера) и многое другое. Кроме того сделать "общеукр." действия с системой - удалить ненужное ПО (особенно если оно постоянно запущено), установить неоюх. патчи, удалить неис. пользователей. Очень рекомендую производить мон. системы, в часности очень советую установить и настроить программу tripwire - она создаст хеш - коды для указанных файлов и Вы всегда узнаете, если кто-то (что-то)подменит их - например установив троянское обеспечение, кстати такое ПО для win32 стоит достаточно дорого. Кстати очень хорошая утилита по граф. настройке - webmin, правда она работает через web интерфейс (т.е. доступ с пом. броузера,работает организуя веб сервер), но его можно заставить слушать внутренний интерфейс... Удачи.

gdn ()

Re: Открытые порты

Большое спасибо, gdn, за столь подробный ответ (я вообще-то ожидал только ссылок на то, где находятся ответы на мои вопросы). Обязательно воспользуюсь Вашими советами.

bsh ★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.