[gugs] escaneos de puertos (Re: [admin-sd] no route to host)
Esteve Fernàndez
esteve en sindominio.net
Mar Nov 20 14:30:35 CET 2001
On Tue, 20 Nov 2001 12:45:28 +0100
Marcos Serrano <makros en sindominio.net> wrote:
> Al hilo de lo que comentas, GNU/Esteve podría explicar como hacer que un host
> tengo servicios abiertos, pero no responda al nmap :-)). Que dejó maravillado
a más
> de un en .
Se trata de contar el límite de conexiones por segundo y responder (o denegar)
con lo que corresponda.
Si se trata de una conexión por TCP, se devuelve RST. Con UDP se responde con
port-unreachable y con ICMP simplemente se deniega.
Una conexión normal no hará saltos entre los puertos a más de 1 por segundo (se
puede configurar el límite), se tratará probablemente de un escaneo.
> Según tengo entendido la moda otoño-invierno de los escaneos de puertos es
> intentar conexiones tan solo (enviar paquetes SYN), si responde algo es que el
puerto
> está abierto. Así que evitando ese tipo de escaneos puedes conseguir un nivel
> bastante alto de seguridad.
No del todo. Hay muchos tipos de escaneos: NULL (ningún bit activado), Xmas
(URG, PSH, FIN activados), FIN (sólo FIN activado), ALL (todos), etc.
Dependiendo de la respuesta, se puede averiguar cuáles están abiertos. Por
ejemplo, si a un Xmas le respondes con el ICMP port-unreachable y otros puertos
responden con RST (que es lo que verdaderamente responde un puerto cerrado), el
nmap sabrá que le estás intentando engañar y te dirá que el puerto está
filtrado, pero que hay algo al otro lado.
La forma de engañarlo de verdad es respondiendo con RST a cualquier paquete
"raro" y a las conexiones SYN que vayan muy rápido. Pero esto sólo es posible
con iptables (con ipchains sólo se podían analizar los SYN y no se podía
devolver un TCP-RST).
Lo que comenta Marcos es de una máquina en Guatemala en la que estoy trabajando
para un proyecto de Robert Guerra (de CPSR), que trata de ayudar a las ONG para
que el Gobierno no sabotee sus comunicaciones (muy común desgraciadamente).
Adéu.
PD: adjunto un archivo con las reglas de iptables, por si a alguien le interesa
W.X.Y.Z es la IP de la máquina (está en un sitio poco accesible, creo) y que
podrían servir para SD cuando nos pasemos a 2.4.x
PD2: envío copia a gugs para hablarlo allí
--
Imagination is more important than knowledge
esteve en sindominio.net
Key fingerprint = EC56 9368 0DBA B56E F67E D938 27F0 3F30 C1B7 00AA
------------ próxima parte ------------
Se ha borrado un mensaje que no está en formato texto plano...
Nombre : no disponible
Tipo : application/pgp-signature
Tamaño : 189 bytes
Descripción: no disponible
Url : /pipermail/gugs/attachments/20011120/72a33605/attachment.pgp
Más información sobre la lista de distribución Gugs