Iptables → Блокировка отдельных служб с помощью iptables

Допустим, наш компьютер подключен к локальной сети и к Internet. Мы хотим разрешить другим компьютерам локальной сети устанавливать telnet-соединения. Но поддержка этой службы для локальной сети означает, что необходимо использовать TCP Wrappers для защиты от попыток хакера установить telnet-соединение по Internet. При использовании защиты с помощью TCP Wrappers хакер будет знать, что порт открыт, а доступ ему просто заблокирован. Поэтому он может попытаться найти компьютер, которому предоставлено право подключения по telnet. Если же порт заблокирован на уровне ядра, то хакер вообще не узнает о предостав­лении кому-либо возможности установки соединений.

Существуют и другие службы, использование которых должно разрешаться хостам локаль­ной сети и запрещаться для всех остальных хостов. Например, служба печати по сети (lpd). Ра­нее эта служба была использована в нескольких типах атак с получением хакером прав root. Если хакер получает доступ к порту lpd (порт 515), то вероятно, сможет получить и привиле­гии root. Кроме того, провести своеобразную атаку отказа в обслуживании отправив на печать множество заданий, в результате чего будет израсходован запас бумаги в принтере.

Блокировка отдельных портов с помощью iptables

Установить запрет на получение пакетов из Internet можно с помощью создания соответст­вующих правил брандмауэра. Предположим, что наш компьютер подключен к Internet посредством Ethernet-интерфейса eth0. Для блокирования пакетов к портам служб Telnet, FTP (рассматривался пример в предыдущем посте) и SMTP могут быть использованы следующие правила программы netfilter.

Настроим iptables на отбрасывание всех входящих пакетов для службы lpd, поступаю­щих от удаленных хостов (не из локальной сети).

Использование REJECT, вместо DROP

В программе iptables использование правила DROP – не всегда лучший метод. Для неко­торых служб лучше отклонять пакеты (REJECT), чем их отбрасывать без уведомления отправи­теля (DROP). В качестве примера такой службы можно назвать IDENT, так называемую службу аутентификации. Некоторые службы, например sendmail, используют аутентификацию по IDENT при получении запросов на соединение. При этом удаленным клиентом осуществляет­ся подключение к ТСР-порту 113 (локальному серверу) и запрашивается информация о том, кто отправил первоначальный запрос. Если ТСР-порт 113 заблокирован с помощью правила DROP, брандмауэр не возвратит удаленному компьютеру никакого сообщения. Работа клиента на удаленном компьютере будет приостановлена до истечения таймаута (как правило, 60 – 70 сек.), а это неоправданно замедляет работу обоих компьютеров.

Если настроить брандмауэр на отклонение (REJECT) пакетов, поступающих на порт 113 (вместо DROP), то удаленный компьютер получит уведомление о невозможности подключения к порту. Удаленный клиент получает сведения о невозможности соединения, поэтому он не будет ожидать установки соединения. Это ускоряет обмен данными по Internet, причем проис­ходит это намного «вежливее».

Если Вам понравилась эта статья,
!

Comments

  Наши сообщества

Продается термобумага для принтера без наценки, заказ онлайн. printer-etiketok.ru

Запчасти шевроле авео Видеоуроки вождения и ремонта. Продажа запасных частей. partexpress.ru

  Хак новости

• 11.05.2012 → The New іPad в Украине
• 11.05.2012 → Какая мобильная операционная система надежней?
• 23.04.2012 → Navizon Indoor Triangulation System: технология слежения за wi-fi устройствами
• 28.03.2012 → SMS-троян Android.Opfake использует Twitter для проникновения
• 20.03.2012 → Trojan.Winlock.5729: блокирование системы, путем изменения пароля пользователя
• 6.02.2012 → HTC коммуникаторы выдают «врагам» пароли от Wi-Fi
• 31.01.2012 → Эксплойт Phoenix атакует Wordpress



•   Меню

  • C миру по нитке
    • Hack новости
    • Новости Unix систем
    • Новости ИТ безопасности
    • Обзоры ПО
  • Безопасность Linux
    • Iptables
    • Антивирус ClamAV
    • Атаки из сети
    • Атаки на службу DNS
    • Восстановление системы после взлома
    • Дополнительная безопасность
    • Зондирование сети
    • Модули аутентификации PAM
    • Определение типа ОС
    • Права доступа и файловые системы
    • Прокси-брандмауэры
    • Разграничение прав доступа
    • Социальная инженерия
    • Трассировка сети
    • Управление Internet-службами
    • Учетные записи пользователей
  • Лайфхак
  • Настройка файла .htaccess
  • Обзоры блогов по безопасности
  • Секреты компьютерной безопасности
    • Безопасность скриптов
    • Детекторы атак
    • Криптографические средства защиты информации
    • Методы аутентификации
    • Обеспечение безопасности ИТ
    • Сетевые анализаторы
    • Сетевые сканеры
    • Системы контроля и обнаружения вторжений
    • Средства аудита программ
    • Управление открытыми ключами
    • Швейцарский нож для хакера
  • Системное администрирование для чайников
    • MySQL-сервер баз данных
    • Web-сервер Apache
    • Программный пакет Samba
    • Сервер удаленного доступа SSH
    • Файловый сервер ProFTPD
  • Хакинг сетей
    • Взлом средств проверки вводимы данных
    • Изучение WEB-сервера
    • Использование SQL-инъекций
    • Хакинг с помощью WEB-клиентов



  Метки

linux IT безопасность атака хакер защита доступ sql сертификат DNS IP Back Orifice 2000 netcat ключ Диффи-Хэллман Microsoft ARP конфиденциальность целосность ОС сниффер RSA контрольная сумма X.509 htaccess htaccess пароль пароль Injection центр сертификации аутентификация PGP репозитория DDoS компьютерная система 3D мошенничество угроза утечка данных windows аутентичность FreeBSD whois nslookup доступность КС