Мене, схоже, атакували

[Андрій Головинський]

Можна просканувати комп з іншої машини. Видно відкриті порти, але приєднатись до них не можна. То, в принипі все. Влізти не можна.

Хоча, є такий тип атаки IP Spoofing, проти якої принцип довірених хостів не працює. В ТСР пакеті ІР адреса замінюється на адресу довіреного хосту. Атака технічно складна, але можлива. Для захисту від неї потрібна фільтрація пакетів.

Хоча, думаю, якщо в hosts.allow залишити лише localhost, то можна почуватись, як Ленін в бронепоїзді.

Ззовні нас не дістануть.

[Дмитро Ковальов]

а як можна перевірити ефективність використання файлу /etc/hosts.deny ?

Якщо немає нікого, хто може ззовні запустити на Вашу машину nmap, можна скористуватись веб-сканером http://security.symantec.com. Він загалом показував мені ті, ж самі результати, що й nmap, але дуже багато треба клацати, поки доберешся до результату і побачиш справжні номери портів. Найкращий результат, коли Симантек показує порт в стані "stealth".

Занадто покладатися на tcp_wrappers (aka hosts.deny, hosts.allow) теж не потрібно. Наприклад, той же ssh може бути скомпільованим без підтримки tcp_wrappers. Звичайно-ж, нормальні люди завжди компілюють з їх підтримкою, але сам факт, що можна зробити й без них (тобто забути сказати --with-tcpwrappers для ./configure) говорить сам за себе. Тобто, краще все-таки розібратися хоча б з мінімальним брандмауером.

Ніколи не можна бути *занадто* обережним.

[Dmytro Yurchenko]

Хотілося ще б добавити, що для користучачів, що підключені до Інтернет не по діал-ап, відкриті порти провокують недобрих людей до ініціювання багатьох спроб підключення до сервісу, що призводить іноді до чималого трафіку. Так що бренд-мауер - це неминуча річь для забеспечння хоч якогось захисту, і такі засоби *inetd як hosts.* у більшості випадках недостатні.

[Андрій Головинський]

Той сканер не схотів сканувати мою машинку. Сказав таке:
Error 001

Security Scan and Virus Detection do not work with your operating system. To run Security Scan and Virus Detection, you must be using Windows 98/ME, NT 4.0 Workstation/2000 Pro/XP, or Mac OS 8.1 or higher.

Ну, може й правильно... У них дірок більше, їм потрібніше.

[Дмитро Ковальов]

Так, дійсно я запускав з Мака. Але це не залежить від того, скільки дірок в системі, бо в  мене назовню стоїть дебіан. Скоріше всього треба попробувати обдурити, що в Вас Експлодер.

Хоча щоб захистити любиму систему - в Маку дірок не більше, ніж в Лінаксі. А стандартна поставка МакОСХ значно краще захищена, ніж той же редхет. Що стосується МакОС до 10ї системи, то загально визнано, що самим безпечним веб-сервером за всю історію був (здається така його була назва) МакВеб. Вломатися в нього було неможливо. Але  було це правда давно.

[Yaroslav Fedevych]

Вломатися в нього було неможливо.

Слово "було" має неминучу тенденцію вставлятись у такого типу речення... Ніколи не слід недооцінювати противника. А втім, завелика паранойя, коли користувач ще й не зна, від чого захищатись, здатна пошкодити більше, ніж допомогти.

[Yevgen]

Той сканер не схотів сканувати мою машинку. Сказав таке:
Error 001

а я все ж просканив. можна нортона надурити - запускаєш konqueror і в меню кажеш йому, аби він ідентифікувався як експлодер, який працює під віндою.
отож в мене результат - "Security Status: Safe! You are protected against most common security threats."
приблизно половину портів показало як закриті, половина - стелс.

один правда був відкритий -
"ICMP Ping
Ping. Ping is a network troubleshooting utility. It asks your computer to acknowledge its existence. If your computer responds positively to a ping, hackers are more likely to target your computer."

розкажіть хто-небудь - я в цих питаннях повний чайник - чи потрібно якось прикрити і цей порт також?

каже ж  бо що хакери будуть атакувати

[Андрій Головинський]

То, може, дійсно не варто сильно цим перейматися. А то, як подумати:
Невідомо, скільки дірок в Опері, хоч я і не рутом сиджу, але все рівно, моя колекція фільмів у небезпеці. А ще ядро діряве. А ще ніхто ( наскільки я розумію) не заважає віндовським вірусам лізти в лінуксовий розділ.
Клієнтську машину, можливо, в принципі не можна нормально захистити...

[Yaroslav Fedevych]

Перестати користуватись віндою. Вивчити принципи роботи справжньої системи. Тоді можна менше боятись, що вас надмуть, як балона з гуми

Так між іншим, пінги закрити можна, але то не з парафії портів, бо ICMP!=TCP. Та й боятися смертельного пінга не варто... Хіба що хтось буде слати таку велику кількість пінг-запитів, що заб'є весь трафік...

[Володимир Лісівка]

Завантажитися на якійсь іншій машині з Knoppix-а й просканувати свою машину nessus-ом . Допомагає від багатьох хвороб.

[Yevgen]

а мені ще сподобався прикол у нортона на сайті. після тесту видає результати - "ваш комп'ютер повністю в безпеці" і одразу видає стандартну рекламу - "цю проблему можна вирішити - встановіть нортон антивірус та файрвол" )))

[Er]

Взагалi складаеться таке враження, що нiхто не користуеться iptables. чому б не скористатись можливостями даного пакету

[knedlyk]

Pereviryty svij comp mozhna tut:

http://stealthtests.lockdowncorp.com/

Iptables vzagali duzhe potuzhna shtuka, pravyl'no nastrojity dlia svojih potrebuje chytannia docs i faq:-)

[Yevgen]

в мене нарешті дійшли руки проінсталювати та спробувати kmyfirewall. досить прикольна штука, особливо якщо часу не вистачає розбиратись з налаштуваннями iptables. все що воно (kmyfirewall) робить - налаштовує у режимі візарда  iptables докладно пояснюючи кожен крок.

результат перевірив на http://scan.sygate.com/ - мене вразило - всі порти стелсовані (чи як його правильно сказати , плюс там ще прикольний тест - намагаються вирахувати які програми виконуються на компі - теж нічого не знайшло. сайт цей ще вигідно відрізняється від того ж нортона тим, що в них є тести спеціально для лінукса.

отаке - можливо комусь стане у пригоді. до речі хотілося б почути коментарі когось більш досвідченого ніж я стосовно цієї теми - чи варто використовувати софт який налаштовує  iptables чи краще повністю розібратись самому та налаштувати руками?

[Дмитро Ковальов]

Я особисто не бачу ніяких проблем в тому, щоб використати ГУІ. якщо це треба зробити один раз замість того, щоб просидіти 3-5 днів і розбиратися в тому, як воно працює. Єдина вимога моя до всіляких ГУІв, щоб воно було надбудовою над командним рядком, а не намагалося реалізуваьи все те, що вже в цьому командному рядку зроблено.

Як приклад нормальних ГУЇв особисто для мене є цей же самий kmyfirewall (воно в мене не працювало так як треба, але це інше питання), подібний ГУЙ є в МакОСХ, робить теж саме (просто надбудова, яка створює конфіг-файл для ipfw). З іншої області, правда, exmh - просто надбудова над mh. В противагу exmh -- просто жахливі віндузо-драні Силфід і Еволюція (в режимі роботи з mh-каталогами). Просто жах, що ці останні двоє роблять, в той час як є величезний набір команд CLI, які на сьогодні здібні робити набагато більше, ніж силфід з еволюцією разом, і саме головне, що задіяти ці команди ні з того, ні з іншого неможливо. (Але це був крик душі, який ніяк не стосувався теми...)