Re: Kan ipfw få en port til at se lukket ud?

From: Morten Winther (none@mw--mwi.dk.lh.bsd-dk.dk)
Date: Wed 04 Oct 2006 - 22:05:56 CEST

Next message: Peter Mortensen: "Re: postfix"
Previous message: Christian Laursen: "Re: Kan ipfw få en port til at se lukket ud?"
In reply to: Christian Laursen: "Re: Kan ipfw få en port til at se lukket ud?"
Next in thread: Christian Laursen: "Re: Kan ipfw få en port til at se lukket ud?"
Reply: Christian Laursen: "Re: Kan ipfw få en port til at se lukket ud?"
Reply: Phil Regnauld: "Re: Kan ipfw få en port til at se lukket ud?"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

Date: Wed, 04 Oct 2006 22:05:56 +0200
From: Morten Winther <none@mw--mwi.dk.lh.bsd-dk.dk>
To:  bsd-dk@bsd-dk.dk
Subject: Re: Kan ipfw få en port til at se lukket ud?

>> ipfw add xxx reject tcp from any to me 3306
>>
>>
>
>ipfw add xxx reset tcp from any to me 3306
>er nok bedre.
>
>
>
Nej, det lyder forkert, så sendes der jo netop en tcp reset pakke
tilbage så en "hacker" kan se der er noget på porten.

drop skal give "stealth mode"

søgte lidt på google, men linket virker desværre ikke:

Ved design af en netfilter (firewall), skal man
træffe et svært og vigtigt valg når en IP pakke
skal frafiltreres. Skal der sendes en ICMP
fejlmeddelelse tilbage (REJECT) til afsenderen
eller skal netfilteren lade være med det (DROP)?

Hver valgmulighed indebærer et antal fordele og
skaber samtidig forskellige potentielle problemer.
Fordelen ved at vælge at sende en ICMP fejlmeddelelse
til afsenderen er, at spoofing af firewallens IP adresse
besværliggøres. Ulemperne ved dette er dels, at
portscanning af firewallen gøres let og firewallen
kan bruges til DoS angreb af flooding typen.
Fordelen ved ikke at sende en fejlmeddelelse er,
at portscanning af firewallen besværliggøres,
firewall-maskinen belastes mindre og fejlmeddelelserne
lægger ikke beslag på udgående båndbredde.
Ulempen er, at firewallens IP adresse lettere
kan spoofes af en cracker når et et system angribes.
Crackeren får således et lettere spil til at lyve
om sin IP adresse.

Læs en dybdegående diskussion om emnet:
http://www.securityportal.com/closet/closet20010523.html

Fordelene kan fastholdes og problemerne reduceres ved
brug af de nye designmuligheder i kerne 2.4 og iptables.
En af disse designmuliheder er, at lade firewallen
reagere på trafikkens intensitet, dvs antal IP pakker
pr tidsenhed - det såkaldte limit.

Som eksempel vises del af et firewall script der
har denne opførsel. Firewallen svarer på ping så længe
trafikken er lav men fyrer IP pakkerne på gråt papir,
hvis den angribes med et ICMP flood (smurf er en kendt
type af ICMP flood).
Disse pakker registreres dog ikke i logfilerne, før
trafikken har nået en vis intensitet og er vedvarende.
Derpå begynder systemet een gang i minuttet at registrere
pakkerne som "ICMP-flood" og ellers bare droppe dem
uden videre.

-- Best regards

Morten Winther System & Application Architect

Next message: Peter Mortensen: "Re: postfix"
Previous message: Christian Laursen: "Re: Kan ipfw få en port til at se lukket ud?"
In reply to: Christian Laursen: "Re: Kan ipfw få en port til at se lukket ud?"
Next in thread: Christian Laursen: "Re: Kan ipfw få en port til at se lukket ud?"
Reply: Christian Laursen: "Re: Kan ipfw få en port til at se lukket ud?"
Reply: Phil Regnauld: "Re: Kan ipfw få en port til at se lukket ud?"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:25:05 CET