sslug-teknik team mailing list archive

[Jesper Louis Andersen <jlouis@xxxxxxxxx>]

On Wed, 09 Aug 2000, Henrik Størner wrote:

> In <871yzzgu19.fsf@droopy.raindogs> Ole Hansen <moped@xxxxxxxxxx> writes:
> 
> >> echo "56000 60999" >/proc/sys/net/ipv4/ip_local_port_range

> Fordi jeg vil have ftp data-transfers til at foregå i det område.
> Ellers skal man indgående forbindelser til alle porte over 1024,
> hvis du skal downloade med ftp (i al fald i port-mode).

Ja, og samtidigt vil det mindre portområde kraftigt formindske
antallet af porte, der eventuelt kunne "misforstås". Med den portrange
kan port 31337 eller lignende ikke længere være en port som systemet
selv har noget med at gøre (inbound). Med andre ord laver man et kønt vindue i
toppen af sine porte, hvori al trafik foregår. Samtidigt sikrer det
ftp yderligere, dog ikke nok efter min mening. 

En lysky hacker kan, hvis han vil, sandsynligvis firewalke
opsætningen, og måske finde frem til at ovenstående portrange ikke er
lukket for ftp-data. Ergo kan hans trojan, whatever, benytte en port i
den range og hans program kan benytte port 21 i den anden ende. Det er
hvad man mister med ovenstående filter.

Et andet problem knytter sig til scans af den lidt mere frække
type. Reelle tcp-connects og syn/fin scans bliver grebet af "\! -y -j
ACCEPT" samt "-P input DENY", men x-mas, null og andre "frække"
scanformer (der iøvrigt kun virker mod unix), bliver faktisk
accepteret i den form at de render "under" pakkefilteret (på
ovenstående NOT SYN -j ACCEPT regel). Resultatet er, at hackeren ser
hvad der kører af services bag firewallen. 

Personligt kombinerer jeg Henriks meget fine firewallscript med
portsentry:

http://www.psionic.com/abacus/portsentry

der virker som en portscan detector. Hermed får jeg fanget alle x-mas,
null osv scans af denne.

-- 
jl