Protecao contra nmap scanner de rede

slackrio · 02-05-2006, 22:38

Pessoal qual seria uma boa forma de se proteger de um scanner de rede ou seja se tentar scanear o servidor nao achar nada ficar sem resultados ?

deve ser algo com iptables

grato

**Skorpyon** · 03-05-2006, 01:23

Não sabendo o que esta rodando em uma maquina remota, o atacante não sabe por onde começar e nem o que atacar.
Com isso você atrasa bastante um ataque a sua rede.

Lembrando que não existe sistema 100% seguro!

**xstefanox** · 03-05-2006, 07:43

Putz cara, NMAP é um puta bagulho chato de bloquear. Aqui eu utilizei um negócio chamado Portsentry que resolveu meu problema numa boa, até quando o atacante lança um ataque com -P0...

Abraços!

**edmafer** · 03-05-2006, 08:43

xstefanox, mesmo se falsifica os endereços de origem com -D? Não conheço o Portsentry, mas eu sei que tem alguns bloqueadores que mantém algumas portas abertas e quando estas são scaneadas ele bloqueam o endereço de origem.

Como ele funciona?

**xstefanox** · 03-05-2006, 12:10

Na verdade o Portsentry possui vários tipos de escuta e processamento de scanners. Em um modo, ele faz como você disse: Mantém portas em estado aberto, mesmo não estando.

Eu particularmente não gosto disso porque o atacante pode ficar excitado com o número de coisas diferentes que ele pode tentar em cima do meu servidor. Ele não vai conseguir invadir, e eu sei disso, mas ele vai se ocupar bastante e vai comer a minha banda, de um jeito ou de outro.

Entretanto, ele pode esconder as portas e não retornar nada para o portscanner também, mas geralmente, com o -P0 ele consegue algumas vezes pelo intervalo de tempo.

Sinceramente, eu não testei com o -D, mas testa aí pra gente e retorna o que você conseguiu.

Mas uma coisa é fato no Portsentry: Quando ele detecta um portscan, ele bloqueia o invasor inserindo uma regra de firewall bloqueando a origem do ataque. Como o cara vai inocentemente tentar um ataque simples do NMAP, a probabilidade de que ele seja barrado pelo Portsentry é bem alta.

Um abraço.

**Skorpyon** · 03-05-2006, 13:05

Postado originalmente por xstefanox

Na verdade o Portsentry possui vários tipos de escuta e processamento de scanners. Em um modo, ele faz como você disse: Mantém portas em estado aberto, mesmo não estando.

Eu particularmente não gosto disso porque o atacante pode ficar excitado com o número de coisas diferentes que ele pode tentar em cima do meu servidor. Ele não vai conseguir invadir, e eu sei disso, mas ele vai se ocupar bastante e vai comer a minha banda, de um jeito ou de outro.

Entretanto, ele pode esconder as portas e não retornar nada para o portscanner também, mas geralmente, com o -P0 ele consegue algumas vezes pelo intervalo de tempo.

Sinceramente, eu não testei com o -D, mas testa aí pra gente e retorna o que você conseguiu.

Mas uma coisa é fato no Portsentry: Quando ele detecta um portscan, ele bloqueia o invasor inserindo uma regra de firewall bloqueando a origem do ataque. Como o cara vai inocentemente tentar um ataque simples do NMAP, a probabilidade de que ele seja barrado pelo Portsentry é bem alta.

Um abraço.

Mto legal isso.
Vou testar qualquer hora.

slackrio · 03-05-2006, 20:57

Bom li aqui o que vcs disseram e achei interessante!!
eu tenho o snort e guardian instalando no servidor
sei que o snort apenas da os log das tentativas de entrada no servidor certo .. tenho uma rules que peguei no propio site do snort ..
no caso o guardian trabalha em cima do log do snort blz

pelo o que notei no log do guardian , la ele faz o bloqueio de uns ips !! agora pergunto .. sera funciona tao bem como o Portsentry ou o Portsentry faz algo mais que o snort +guardian?

Protecao contra nmap scanner de rede

Ferramentas de Tópicos

Protecao contra nmap scanner de rede

Re: Protecao contra nmap scanner de rede

Re: Protecao contra nmap scanner de rede

Re: Protecao contra nmap scanner de rede

Re: Protecao contra nmap scanner de rede

Re: Protecao contra nmap scanner de rede

Re: Protecao contra nmap scanner de rede