Re: Kan ipfw få en port til at se lukket ud?

From: Henrik Kramshøj (none@hlk--kramse.dk.lh.bsd-dk.dk)
Date: Thu 05 Oct 2006 - 11:44:58 CEST

Next message: Uffe R. B. Andersen: "Re: spamassassin får postfix til at loope"
Previous message: Kim Nielsen: "Re: spamassassin får postfix til at loope"
In reply to: Claus Rasmussen: "Re: Kan ipfw få en port til at se lukket ud?"
Next in thread: Christian Laursen: "Re: Kan ipfw få en port til at se lukket ud?"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

From: Henrik Kramshøj <none@hlk--kramse.dk.lh.bsd-dk.dk>
Subject: Re: Kan ipfw få en port til at se lukket ud?
Date: Thu, 5 Oct 2006 11:44:58 +0200
To: bsd-dk@bsd-dk.dk

On 04/10/2006, at 22.00, Claus Rasmussen wrote:

> Morten Winther wrote:
>>
>>>> ipfw add xxx reject tcp from any to me 3306
>>>>
>>>> man ipfw
>>>>
>>>>
>>>
>>> Been there. reject er alias for unreach host, hvilket giver samme
>>> resultat.
>>>
>>>
>>
>> deny eller drop
>
> Også samme resultat.
>
> Jeg fik måske ikke forklaret mig godt nok i første omgang: der er
> ikke noget
> problem med funktionaliteten - pakkerne bliver godt nok droppet som
> de skal,
> men en nmap viser porten som "filtered" og jeg vil gerne have at den
> optræder som "closed" - altså at der ikke er skyggen af indikation
> af at der
> eksisterer en service på porten. Kan det lade sig gøre?

blot for lige at opsummere - NB: TCP only!

uden filter
lukket port, ingenting lytter giver reset TCP RST
- aktivt svar tilbage på TCP SYN pakke
åben port, lyttende daemon giver SYN+ACK tilbage
- aktivt svar tilbage på TCP SYN pakke

med filter/firewall
åben port, tilladt gennem firewall, giver SYN+ACK, aktivt positivt svar
rapporteres som Open i nmap output

lukket port tilladt gennem firewall, eller reset giver TCP RST,
aktivt svar
rapporteres som Close i nmap output - anbefales generelt ikke!

blokeret port i firewall, såkaldt drop giver intet svar overhovedet
rapporteres som filtered i nmap output

Der er således kun tre mulige svar fra nmap på TCP,
open, closed og filtered

Hvis din firewall svarer aktivt tilbage vil angriber kunne scanne
mange porte hurtigt, modsat hvad vi ønsker. Derfor anbefales det
at man altid dropper pakkerne - så angriber bruger laaaaaang tid :-)

Med UDP er det anderledes idet der ikke er noget krav om
aktivt negativt svar på UDP traffik, derfor rapporterer
open|filtered for åbne eller blokerede UDP porte og closed
på porte der ER lukkede, man kan kun sige noget når hosten
svarer NEGATIVT og AKTIVT, ikke når den ikke svarer.

Jeg kan anbefale OReilly Network Security Assessment bogen
som har kapitel 4 IP scanning til download som PDF :-)

Mvh

Henrik

--
Henrik Lund Kramshøj, cand.scient, CISSP
e-mail: hlk@security6.net, tlf: 2026 6000
www.security6.net - IPv6, sikkerhed, netværk
Follower of the Great Way of Unix

Next message: Uffe R. B. Andersen: "Re: spamassassin får postfix til at loope"
Previous message: Kim Nielsen: "Re: spamassassin får postfix til at loope"
In reply to: Claus Rasmussen: "Re: Kan ipfw få en port til at se lukket ud?"
Next in thread: Christian Laursen: "Re: Kan ipfw få en port til at se lukket ud?"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:25:05 CET