Caché contre le port fermé

Certains systèmes d'exploitation répondent aux connexions (lorsque TCP) ou des forfaits insatisfaits (lorsque UDP) Forfaits indiquant qu'il n'y a rien d'écoute. Certains systèmes d'exploitation peuvent être configurés pour supprimer les paquets entrants aux ports où rien n'en écoute sans réponse.

À mon avis, aucun comportement n'est pas meilleur que l'autre. Je comprends que c'est simple: ne pas exécuter de programmes inutiles qui lisent des connexions entrantes / Paquets. Les programmes que vous devez exécuter doivent être configurés aussi sûrs que possible.

Il me semble que vous inquiétez du fait que votre boîte réagit à la numérisation de ports, est négligée. À mon avis, Steve Gibson (qui est géré GRC.com) Un peu fou. (Sa page "Nanorant" est toujours ouverte?) Il semble que certaines de leurs œuvres, il inspire la peur.

Cela dépend de ce que vous essayez de faire. En fait, si vous ne répondez pas au paquet que le port est fermé, vous compliquez la vie aux utilisateurs légaux, mais peut également compliquer la durée de vie de tous les attaquants essayant de pirater la boîte. Il n'empêche pas quelqu'un de scanner la boîte pour savoir quels ports sont ouverts, mais peuvent les ralentir. Et cela peut réduire la probabilité que quelqu'un constatera généralement que votre système existe.

Est-ce un système qui fournit des services sur le port de renommée mondiale? (Par exemple, un serveur Web). Ensuite, la tentative de "cacher" vos ports donnera peu. bien.

Ceci est un système qui ne fait rien de ce que vous devez savoir? Acte.

Vous n'avez pas dit quel OS, etc. vous utilisez, donc la réponse à la question de savoir comment le faire, varie. DANS Linux de iptables Vous utilisez principalement "-j DROP" au lieu "-j REJECT".

Y a-t-il une raison particulière pour laquelle vous voulez cacher vos ports? Il ne rendra pas votre ordinateur invisible (Étant donné que vos ports ouverts continueront de répondre à la numérisation de port.), fera du travail supplémentaire pour vous et viole les règles RFC 791 (TCP). Vous êtes souvent un objet de balayage des ports ou simplement prendre un parano de Steve Gibson;)

En tout cas, Steve Gibson répond à cette question sur la page que vous faites référence à:

http://www.grc.com/faq-shieldsup.htm#STEALTH
Q ShieldsUP! Montre mes ports comme "fermés", et non "furtif", mais je veux secret! Comment puis-je obtenir "furtif"?

Ports "cachés" - Ceci, à proprement parler, violation des règles de comportement appropriées TCP / IP. Le comportement approprié nécessite que le port fermé réponde avec le message qu'une demande ouverte a été obtenue, mais a été rejetée. Cela permet au système d'envoi de savoir que sa demande ouverte a été reçue et elle n'a pas besoin de répéter des tentatives. Mais, bien sûr, ce "déni affirmatif" permet également à l'expéditeur de savoir que le système existe vraiment sur la partie destinataire. . . Ce que nous voulons éviter en cas de tentatives de pirates malveillants pour pénétrer nos systèmes.

Je suis entré dans le terme "furtif" lorsque j'ai développé une technologie de détection de port sur ce site pour décrire le port fermé, qui préfère rester complètement caché, sans rien renvoyer à sa tentative d'ouvrir, préférant ne jamais sembler exister du tout.

Dans la mesure où «Stealthing» - Il s'agit de comportement non standard pour les systèmes Internet, ce comportement doit être créé et fourni avec n'importe quel système de sécurité du pare-feu. Interface propre logicielle TCP / IP, Utilisé par les ordinateurs personnels, répond toujours que le port est fermé. Par conséquent, dans un système informatique, vous devez ajouter un logiciel ou un matériel supplémentaire sous la forme d'un "pare-feu caché" pour supprimer les réponses du "port fermé".

Pour obtenir le statut complet du mode caché de votre système, je vous recommande vivement d'utiliser un pare-feu entièrement gratuit. ZoneAlarm 2 de ZoneLabs, Inc. Visitez leur site web à www.ZoneLabs.com, Pour en savoir plus sur ce pare-feu excellent et gratuit, puis téléchargez la dernière version. .

Configurez le pare-feu afin de les jeter automatiquement au lieu d'une réponse. La plupart des pare-feu ont un moyen de le faire. La dernière fois que j'en avais besoin, j'ai utilisé ipf de OpenBSD, Et c'était un "élimination du bloc" contre le "retour de bloc".

http://www.openbsd.org/faq/pf/filter.html#syntax
http://www.openbsd.org/faq/pf/ ... olicy

Comprendre cette page un peu difficile. Peut-être qu'ils ont écrit des enfants ou une personne qui vend des biens inutiles. Alors, commençons en premier.

Discutons juste TCP.

Quand quelqu'un essaie de se connecter au port TCP (Envoie un package syn), À laquelle vous ne souhaitez pas résoudre la connexion, vous avez plusieurs options de réponse:

1) Package de réponse RST, Si vous n'écoutez pas ce port, correspondant au protocole TCP. Habituellement, vous appelez cela un port "fermé". Il serait raisonnable de nommer ce port "caché" si vous lancez un service sur celui-ci qui permet aux connexions d'autres sources.

2) Confirmer la connexion et les désactiver immédiatement. (RST ou FIN). Emballage TCP Historiquement eu un tel comportement pour les composés bloqués.

3) Ignorer le paquet. C'est un phénomène assez commun. Il serait raisonnable d'appeler ce port "caché" Porto, si vous exécutez un service sur celui-ci qui permet aux connexions d'autres sources.

4) Prenez la connexion et ignorez d'autres packages pour cette connexion. Cela peut irriter un attaquant, même s'il n'a probablement pas d'ajouter de la sécurité réelle.

5) Répondre à une erreur raisonnable ICMP. Ceci est généralement fait par des routeurs. (Y compris les pare-feu), Mais pas comme il est généralement fait "pare-feu" Basé sur l'hôte.

6) Répondre erreur déraisonnable ICMP. Juste en colère / confondre un attaquant

7) Répondez incompatible et de manière aléatoire. Cela peut irriter l'attaquant, mais n'ajoute probablement pas de la sécurité réelle.

La façon dont vous répondez dépend de vos objectifs. Si vous voulez que la machine semblait un nœud non valide, vous devez ignorer le paquet, que vous ayez un service lancé. (qui permet aux connexions d'autres sources) ou non. Mais si vous allez répondre à n'importe quel trafic, cela ne vous aidera pas à cacher votre existence.

Si vous souhaitez simplement interdire la connexion et n'essayez pas de cacher que votre adresse IP est active, il sera préférable de répondre au colis. RST, Indépendamment de savoir si vous écoutez ce port ou non. Il masque, si vous avez un service qui permet aux connexions de certaines adresses à ce port, ou aucun service n'est lancé sur ce port.

Choix №4 ou №7 Peut décevoir quelqu'un qui utilise Port Scanner, mais peut causer des inconvénients opérationnels de votre temps à autre. En fait, ce n'est pas si utile pour l'adresse que vous utilisez vraiment, mais peut être intéressante pour l'appât.

Option №2 est habituel parce que certains programmes de filtrage populaires (par exemple, TCP Wrappers) Exiger que la connexion soit faite pour obtenir l'adresse source pour déterminer si elle devrait être autorisée. Ceci est basé sur les limites historiques du système d'exploitation, qui peut ne pas avoir d'attitude envers une nouvelle installation avec des systèmes d'exploitation modernes.

Votre choix dépendra de vos besoins. Cela inclut si vous avez des ports sur lesquels vous autorisez la connexion à chaque adresse et si vous avez des ports auxquels vous autorisez la connexion à certaines adresses.

Si vous n'autorisez pas les connexions entrantes à partir d'une source, vous pouvez également supprimer tous les packages interdits. Cela cache l'existence de votre voiture, qui réduit la probabilité que les attaquants aléatoires estiment qu'il s'agit d'une adresse valide.

Si vous autorisez des connexions entrantes à partir de n'importe quelle source sur certains ports et de certaines sources sur d'autres ports - Configuration très courante - Vous avez plusieurs options raisonnables. Si vous renvoyez RST Pour les ports qui n'écoutent pas du tout, mais se comportent différemment pour les ports qui interdisent délibérément, vous montrez, auxquels vous autorisez les connexions à partir de sources sélectionnées. Je pense que le meilleur choix - renvoyer RST Peu importe si vous écoutez ce port du tout ou que vous interdisez les connexions de la source.

C'est exactement la question de la sécurité que le modèle de menace devrait inclure, expliquer les services que vous fournissez chacun par rapport aux sources sélectionnées, ainsi que les politiques de sécurité ou une explication que vous avez besoin d'aide pour définir les politiques de sécurité. Une confusion supplémentaire provoque l'introduction de la nouvelle terminologie sans définition claire.

Pour les systèmes clients, le pare-feu logiciel est correctement configuré.

doit

Rendre vos ports "invisibles". Je viens de lancer mon ordinateur personnel, disponible sur Internet, contre Sheilds Up, Et tous mes ports sont indiqués comme cachés.

Lorsque j'ai mis en place un pare-feu, je n'aime pas lorsque les ports fermés transmettent des informations dans les pare-feu qu'un attaquant peut utiliser pour en apprendre davantage sur mon environnement, mais avoir

ouvert

Les ports pouvant utiliser un attaquant sont bien pires.