Porttiskannauksen estäminen?

[tarkkailija50]

Viimeisen viikon aikana on toistuvasti lähes päivittäin tullut ilmoitus osoitteista joista yritetään porttiskannausta. Miten tällaisen asian suhteen olisi syytä menetellä? Entä onko ilmiö muille tuttu?

[Lasse]

Porttiskannaukset on harvinaisia jos portit on näkymättömiä.
Käy osoitteessa https://www.grc.com/x/ne.dll?rh1dkyd2 ja skannaa itse porttisi. Jos sulla ei ole käytössä mitään palveluita joiden pitäisi näkyä ulos niin tulos pitäisi olla tämän näköinen.

portit.png (71.17 KiB) Katsottu 2553 kertaa

[tarkkailija50]

[Wally]

Tuo Lassen mainitsema linkki ei toimi, toimivampi linkki skanneriin:
https://www.grc.com/x/ne.dll?bh0bkyd2

Kun pääset tarpeeksi pitkälle eteenpäin sivustolla, löytyy tuo Lassen mainitsema skannaus valitsemalla "All Service Ports".

[tarkkailija50]

Skannasin valitsemalla "All Service Ports". Listasin tällaisen tuloksen:

GRC Port Authority Report created on UTC: 2009-12-07 at 18:06:20

Results from scan of ports: 0-1055

0 Ports Open
1 Ports Closed
1055 Ports Stealth
---------------------
1056 Ports Tested

NO PORTS were found to be OPEN.

The port found to be CLOSED was: 113

Other than what is listed above, all ports are STEALTH.

TruStealth: FAILED - NOT all tested ports were STEALTH,
- NO unsolicited packets were received,
- NO Ping reply (ICMP Echo) was received.



Portti 113 "sinisenä" muut "vihreänä".

Port 113

Name:
auth / ident
Purpose:
Authentication Service / Identification Protocol
Description:
Auth/Ident servers — which are supposed to run on the local user's machine — open port 113 and listen for incoming connections and queries from remote machines. These querying machines provide a local and remote "port pair" describing some other already-existing connection between the machines. The user's "ident" server is tasked with looking up and returning the connection's "USER ID" and perhaps additional information, such as an eMail address, full name, or whatever.
Related Ports:
-

[tarkkailija50]

PS. Mitään Ubuntussa tuttua palomuuri päällä eli ufw enable-komentoja ei ole annettu Mandrivan puolella. En edes tiedä miten Mandrivan puolella sen oma palomuuri asetetaan päälle eli "enable".

[Lasse]

Mandrivassa (toisin kuin Ubuntussa) palomuuri on oletuksena päällä. Suojauksen asetuksia voi muokata Ohjauskeskuksesta Tietoturva osiosta. Aseta henkilökohtainen palomuuri välilehdellä voit poistaa palvelun käytöstä.

[Fri13]

Ei oikeestaan kantsi laittaa portteja stealth tilaa eli piiloitetuksi kun se hidastaa verkon käyttämistä. Se on kuin joku koputtaa oveen ja kukaan ei avaa ovea vaikka ikkunasta näkee että ihmiset ovat kotona. Koputtaja vain on oven takana pidempään ja koputtaa uudelleen.

Jokaine krakkeri näkee välittömästi jos IP osoittee takana on tietokone. Nimittäi ISP paljastaa koneen olevan päällä. Jos kone ei ole päällä nii krakkeri saa heti tiedon että IP ei ole olemassa. Jote stealth tila tuo vain väärää turvallisuuden tunnetta. Hidastus tapahtuu kun nettisivuje tai ohjelmie eri palvelut yrittää saada yhteyttä ja ne joutuu odottaa että tulee timeout. Sen jälkee vasta tulee kaikki virheet. Kun portti kertoo heti että se on suljettu nii kaikki toimii nopeammin.

Stealth tila eli yksinkertaisesti sääntö "Drop" palomuurissa on hyödyllistä vasta silloi kun halutaan rajoittaa verkkoliikennettä eikä käyttää kaistaa lähettämää vastauspakettia. Tämä on tärkeää etenki palvelimissa missä on suuri kaistankäyttö ja "Reject" paketin lähettäminen vie paljon kaistaa ja vaatisi tällöin enemmän kaistaa.

[Wally]

Mielestäni on juuri hyvä hidastaa kräkkereiden ja muiden random-käyttäjien yrityksiä ja antaa heidän odotella aikakatkaisua paketteihinsa. (Jos olisin itse moinen kräkkeri tms, säätäisin toki aikakatkaisun mahdollisimman lyhyeksi..)

Normikäyttäjälle ei ole siitä mitään haittaa, että sulkee omat porttinsa (sisäänpäin) DROP-säännöllä, koska käyttäjien liikenne suuntautuu, ja on sallitukin, pääsääntöisesti ulospäin. Paluulikennekin (RELATED, ESTABLISHED) on toivottavasti sallittu. Ainoastaan, jos estää jotain tiettyä liikennettä ulospäin (tai käyttää edelleenohjausta), on normikäyttäjän hyvä käyttää DROP-säännön sijaan REJECT-sääntöä, jotta ei sitä aikakatkaisua joudu (itse) odottelemaan.

Harvemmin myöskään kenelläkään on asiaa normikäyttäjän koneen suuntaan (pl. juuri sitä tarkoitusta varten avatut portit), joten siinäkään tapauksessa ei aikakatkaisun odottelulla ei ole mitään merkitystä (itselle). Minua ei ainakaan henkilökohtaisesti haittaa lainkaan, jos joku yrittää ottaa oman koneeni portteihin yhteyttä ja palomuuri tipauttaa paketit sen sijaan, että lähettäisi "paluupostissa" paketin, jossa ilmoitetaan, että porttiin/koneeseen ei saada yhteyttä tai yhteys on torjuttu. Odotelkoon aikakatkaisua, kun kerran yrittää ottaa yhteyttä mahdollisissa "hämärätarkoituksissa".

Normikäyttäjän ei myöskään tarvitse kovinkaan usein ottaa yhteyttä random-osoitteisiin random-portteihin, joten senkään takia en näe mitään haittaa muiden käyttäjien DROP:n käytöstä. Suurin osa liikenteestä on kuitenkin suunnattu tiettyihin portteihin (HTTP, HTTPS, FTP, POP3, IMAP jne.) tietyissä osoitteissa (google, iltalehti yms.) ja liikenne on näihin on varta vasten sallittu.

Itse tulen jatkossakin käyttämään DROP-sääntöä, ihan vaan vaikka "hämärätarkoituksissa" liikkuvien käyttäjien kiusaksi. Tulen myös suosittelemaan DROP:n käyttöä muillekin..

[Fri13]

[Wally]

[Fri13]

[Fri13]

Lisätääs nyt vielä sitte analogia tuosta stealth tilasta.

Eli krakkerihan tietää heti onko IP takana kone päällä vai ei. Se voi olla pelkkä modeemi NATlla tai sitte suoraan joku tietokone. Se on kuin uskonvalistajat kävisivät oven takana. He tietää että joku on kotona kun auto pihassa, valot päällä ja ääni kuuluu. He koputtavat pari kertaa ja lähtevät. Mutta he tulevat takas samalla viikolla ja aina yhä uudelleen ja uudellee.

Sen sijaa jos heti käy kertomassa että uskoo jo muihin asioihin vahvasti ja mitään asiaa ei ole käydä kysymässä. He jättävät heti rauhaa. Ei edes krakkeri rupea kolkuttelee uudellee mitää porttia mikä vastaa välittömästi "tämä on kiinni". Mutta se vaan mahdollistaa tehokkaamman DDoS hyökkäyksen jos sellaine halutaa tehdä minkä vuoksi muutaman paketin jälkee lyödään juuri dropit päälle ja säästetää kaistaa.