sslug-teknik team mailing list archive

[henrik@xxxxxxxxxx (Henrik St�)]

In <20000809151556.A587@natlina> Jesper Louis Andersen <jlouis@xxxxxxxxx> writes:

[begræns udgående trafik til at bruge port 56000-60999]

>Ja, og samtidigt vil det mindre portområde kraftigt formindske
>antallet af porte, der eventuelt kunne "misforstås". Med den portrange
>kan port 31337 eller lignende ikke længere være en port som systemet
>selv har noget med at gøre (inbound). Med andre ord laver man et kønt vindue i
>toppen af sine porte, hvori al trafik foregår. Samtidigt sikrer det
>ftp yderligere, dog ikke nok efter min mening. 

En fuld stateful-inspection teknik er naturligvis bedre, og kan fås
med Linux 2.4's netfilter implementation. Det jeg viste var hvad jeg
synes er det "bedst mulige" der kan opnås med ipchains i Linux 2.2.
Hvis du har forslag til forbedringer er jeg meget interesseret i at
høre om dem!

>En lysky hacker kan, hvis han vil, sandsynligvis firewalke
>opsætningen, og måske finde frem til at ovenstående portrange ikke er
>lukket for ftp-data. Ergo kan hans trojan, whatever, benytte en port i
>den range og hans program kan benytte port 21 i den anden ende. Det er
>hvad man mister med ovenstående filter.

Du mener port 20, men ellers er det fuldstændig korrekt.

>Et andet problem knytter sig til scans af den lidt mere frække
>type. Reelle tcp-connects og syn/fin scans bliver grebet af "\! -y -j
>ACCEPT" samt "-P input DENY", men x-mas, null og andre "frække"
>scanformer (der iøvrigt kun virker mod unix), bliver faktisk
>accepteret i den form at de render "under" pakkefilteret (på
>ovenstående NOT SYN -j ACCEPT regel). Resultatet er, at hackeren ser
>hvad der kører af services bag firewallen. 

Også korrekt, men det kan løses. Jeg anser dog det problem for at
være ret lille; hackeren kan godt nok finde ud af hvilke services,
der er aktive, men han kan ikke udnytte dem til noget da han ikke
kan etablere en tcp session til dem (syn-pakken kommer ikke igennem).

Derfor har jeg ikke villet lægge det ind i scriptet på www.sslug.dk,
men på min hjemme-maskine kombinerer jeg input-reglerne med

  ipchains -P output DENY
  ipchains -F output
  ipchains -A output -i lo -j ACCEPT
  ipchains -A output -p tcp -s 0/0 56000:65096 -j ACCEPT
  ipchains -A output -p udp -s 0/0 domain -j ACCEPT
  ipchains -A output -p udp -s 0/0 ntp -j ACCEPT
  ipchains -A output -p udp -s 0/0 32000:65535 -j ACCEPT
  ipchains -A output -p icmp -j ACCEPT
  ipchains -A output --log

hvilket effektivt blokerer for FIN, XMAS etc scanninger.  Det store
port område der tillades for udp er af hensyn til traceroute, der
insisterer på at bruge porte fra ca. 32000 og op.

Og lige til dem, der evt. skulle have lyst til at se om mine filtre
virker - jeg har ingen skrupler med at kontakte abuse@<din-isp-her>
og bede dem om at give en portscanner et "rap" over nallerne. :-)
-- 
Henrik Storner      | "Crackers thrive on code secrecy. Cockcroaches breed 
<henrik@xxxxxxxxxx> |  in the dark. It's time to let the sunlight in."
                    |  
                    |          Eric S. Raymond, re. the Frontpage backdoor