Limiting closed port RST

Lukas Maly malyl at col.cz
Tue Feb 4 14:36:29 CET 2003


Paranoja Ano ci ne

Take trosku prihjeru polecicku.

Zakazovani ICMP je trosku paranoidni, ale proc ne, je to kazdeho volba.

Kdyz nekdo chce zjistit info o IP adrese vetsinou zna jen jemeno doman.cz,
tak pouzije nslookup, Kdyz chci vedet vic, kdo je za danou domenou
podepsan, tak si necham vypsat udaje z whois. Kdyz me nekdo bude napr.
spamovat reklamnima mailama, ktery mazu a ja zjistim odkud byl mail
poslan (IP adresa). Bezvahani si nmap na dany stroj pustim. Nekdo to mozna
vidi jako utok, ale zas tak bych to nevidel je to jen dalsi informace o
aktivnich portech. Za utok bych povazoval cinnost smerujici primo k
zahlceni nebo hacknuti serveru. Pravdou je ze san poskytne zakladni info,
ale jao utok bych to nenazval.

Verejna IP adresa = verejne informace oni a s ni spojene ...

Exisatuje nastroj na zjistovani ze jste scanovani a na zaklade zjisteni z
ktere IP se tato cinnost deje se posle mail o informaci jako ze vime ze
nas scanujete, nechte toho nebo ?!. Podle me zbytecnost.

psad (Port Scan Attack Detector)
Version:  0.9.4
Author:   Michael B. Rash (mbr at cipherdyne.com)
Website:  http://www.cipherdyne.com

malyl

On Tue, 4 Feb 2003, Pav Lucistnik wrote:

> Date: 04 Feb 2003 14:10:28 +0100
> From: Pav Lucistnik <pav at oook.cz>
> Reply-To: users-l at freebsd.cz
> To: users-l at freebsd.cz
> Subject: Re: Limiting closed port RST
>
> On út, 2003-02-04 at 13:29, Dan Lukes wrote:
>
> > >>>1) Da se tomu nejak branit? Nejak to zamezit aby mi nikdo nemohl skenovat
> > >>>porty?
> > >>
> > >>	No, dost tezko - jak zastavit prichazejici packet pred tim, nez skrz
> > >>linku prijde ?
> >
> > > A navic, co je tak spatneho na tom, ze vam nekdo scanuje porty? Se mate
> > > za co stydet nebo co? :) Na tom neni nic nelegalniho.
> >
> > 	Nejde tedy o aktivitu nelegalni - ale jde o poruseni pravidel sitove
> > etikety. Ja bych se v kazdem pripade branil tvrdit, ze je to "normalni".
> > Naopak, v naproste vetsine pripadu se jedna o bezpecnostni utok a
> > bezduvodne zatezovani cizich prostredku.
> >
> > 	Mozna jsem z prilis stare skoly, ale za mych casu se predpokladalo, ze
> > nez k necemu vec nekoho jineho (tedy i pocitac ci sluzbu na nem
> > provozovanou) tak mam explicitni souhlas nebo alespon nejaky rozumny
> > duvod se domnivat danou vec uzivat k ucelu, ke kteremu se ji uzit
> > chystam mohu - ze jednam v dobre vire a umyslu.
> >
> > 	Scanovani portu, neni-li delano jako bezpecnostni scan ve prospech
> > spravce scanovaneho pocitace je uzivanim, ke kteremu zadny dobry duvod
> > ani explicitni souhlas neni a ve vetsine pripadu neni vedeno ani dobrym
> > umyslem a v dobre vire. "V poradku" to rozhodne neni.
>
> Tady by se dalo dlouze a bezvysledne polemizovat, takze toho asi
> nechame. Muze se vam to i nelibit, ale ja na tom opravdu nevidim nic
> odsouzenihodneho. Kdyz uz jste svuj pocitac pripichnul na otevrenou sit
> jako je Internet, musite cekat ze nekdo bude "zvedavy"...
>
> A neverim ze vy jste nebyl ani jednou zvedavy, ze jste ani jednou
> nespustil nmap proti cizimu pocitaci.
>
> No me to muze byt konec koncu jedno :) ale co mi opravdu vadi je
> omezovani funkcionality ve jmenu "bezpecnosti". Napriklad v posledni
> dobe se dost rozsiruje mores blokovani icmp echo paketu (traceroute) a
> to i u velkych ISP... docela me to vytaci. Neni to proti standardum?
>
> --
> Pav Lucistnik <pav at oook.cz>
> +++ Delte okurkovou chybou +++ Prosim, reinstalujte vesmir a
> znovu nakopnete +++ (Otec prasatek)
>



More information about the Users-l mailing list