| 1.1, pavlinux (??), 01:25, 09/01/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 > Остальные порты выступают в в роли "honeypot" пустышек,
> постоянно выдающих ошибку аутентификации.
Ыыыыыыы дибилы.............. DoS через connect на эти пустышки,
все ресурсы уйдут на выдачу ошибки аутентификации.
:)
| | |
| |
| 2.2, DEC (??), 01:35, 09/01/2008 [^] [^^] [^^^] [ответить]
| +/– |
Ну почему сразу "дебилы", эти порты можно перебросить на одиноко стоящий под столом хонипот, которому будет по барабану досят его или нет, а нужный порт перекидывать на нужную телегу.
| | |
| 2.19, Гость (?), 16:29, 09/01/2008 [^] [^^] [^^^] [ответить]
| +/– |
Ну да, назови 10 отличий от DoS через коннект на один порт с реальным сервисом. Кроме того, что на пустышках висит гораздо более легковесный сервис, который только отдает отлупы?
Откуда, блин, повылезало столько детей?
| | |
|
| 1.4, usr (?), 02:33, 09/01/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Таки не хочет народ использовать сертификаты для аутентификации.
| | |
| |
| |
| 3.6, Чингиз (?), 04:15, 09/01/2008 [^] [^^] [^^^] [ответить]
| +/– |
заместо того чтобы начинать хаять проект сами чтото подобное сделайте в своём продукте а то чтото умных через чур много развелось
| | |
| |
| 4.9, usr (?), 08:44, 09/01/2008 [^] [^^] [^^^] [ответить]
| +/– |
и делаем. не в своих, но в чужие код контрибутим.
| | |
|
|
|
| 1.8, Аноним (8), 08:22, 09/01/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
бредовая затея. SYN, SYN+ACK и та сторона считает что tcp-соединение установлено.
Потом уведомляем удалённую сторону что у нас окно приём уменьшилось до 0 и "забываем" об этом "соединении".
Если ставить ограничения - велик риск что легитимный юзер пролетит, а если не ставить - эти заглушки довольно быстро поднимут la.
| | |
| 1.10, k (??), 09:32, 09/01/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
a est' idea kak etu shtuku cherez firewall pustit' esli port random?
| | |
| |
| 2.11, Junior (ok), 09:45, 09/01/2008 [^] [^^] [^^^] [ответить]
| +/– |
 >a est' idea kak etu shtuku cherez firewall pustit' esli port random?
>
Если подключение будет происходить с известных заранее адресов,
то разрешить с них подключения на любой порт.
| | |
| |
| 3.14, mt (??), 11:17, 09/01/2008 [^] [^^] [^^^] [ответить]
| +/– | |
А если соединения приходят с заранее известных ip - то безопасность чего мы улучшаем ?
И вообще основной вопрос security - это от какой угрозы мы защищаемся этим алгоритмом ?
| | |
| |
| 4.16, Junior (ok), 11:40, 09/01/2008 [^] [^^] [^^^] [ответить]
| +/– |
>А если соединения приходят с заранее известных ip - то безопасность чего
>мы улучшаем ?
>
>И вообще основной вопрос security - это от какой угрозы мы защищаемся
>этим алгоритмом ?
Первое. Ответ был на конкретный вопрос о способе пропуска через firewall.
Второе. Конкретный IP может быть просто шлюзом с NAT-ом, за которым сидит администратор
и другие пользователи, которые захотят попробовать себя в роли скрипт-киддеров.
| | |
| 4.17, k (??), 13:47, 09/01/2008 [^] [^^] [^^^] [ответить]
| +/– | |
tochno... :)
esli IP izvesten to na xren nuzhen random port esli firewall puskaet soedenenie tol'ko is etogo IP ili iz etix IP adresov? + k etomu est' "port-knock" v iptables dovnim downo (pravda dlia linux)
no vse taki, esli liudi sdelali - mozhet i bil povod, uspexi
| | |
| |
| 5.18, Junior (ok), 16:22, 09/01/2008 [^] [^^] [^^^] [ответить]
| +/– |
А если легитимный IP - это NAT?
За NAT-ом сидит подсетка, где всегда найдутся дол....ы, которые захотят
испытать на твоём сервере эксплоиты и просто поподбирать пароли.
Элементарное сканирование хоста nmap-ом или xspider-ом покажет,
что у тебя на нестандартном порту (например 222) висит sshd
и будет его "доставать" перебором. А в данном случае показать покажет,
но когда он попытается соединиться с обнаруженным портом, то тот просто
будет слушать уже на другом порту.
ИМХО тоже польза невелика от данной возможности, но люди старались.. :)
По поводу возможностей iptables - у него есть и другая, на мой взгляд более
разумная возможность. Это действие TARPIT из extra_repository patch-o-matic-ng.
| | |
| |
| 6.20, mt (??), 16:39, 09/01/2008 [^] [^^] [^^^] [ответить]
| +/– |
Если легитимный IP это нат - то все равно диапазон портов открыт - легитимный же... Пусть лучше подбирают на 22 порту (раз уж мы про ssh) - меньше правил в firewall проще жизнь :)
[все-равно найдут все порты где висит эта заглушка, и будут туда коннестить...]
А уж отладку таких сервисов представить боюсь...
Вообщем вопрос остался прежним - не вижу пока модели угроз под этот алгоритм, потенциальных проблем вижу несколько.
Так что действительно просто хочется увидеть зачем реально это делается. Вдруг польза таки есть ?
| | |
| |
| 7.22, Junior (ok), 17:32, 09/01/2008 [^] [^^] [^^^] [ответить]
| +/– | |
> Если легитимный IP это нат - то все равно диапазон портов открыт - легитимный же...
Таки да, но тогда получится, что кроме login-password будет ещё одна переменная:
вычислить номер порта :)
Хотя эта схема мне и напоминает некогда идею поиграть, пока идёт загрузка ))
Смысла нет, но весело.
| | |
|
| 6.21, Аноним (-), 17:19, 09/01/2008 [^] [^^] [^^^] [ответить]
| +/– |
кстати, да.
сочетание connlimit+recent+TARPIT решит массу проблем.
при превышении числа сессий включается TARPIT на n минут.
| | |
|
|
|
|
|
| 1.12, vbv (ok), 10:10, 09/01/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Интересно, что они там курят.
Додуматься до такого - это ........ :(
т.е. мало знать свой логин+пароль надо знать еще и конкретный алгоритм для расчета номера порта...
Предлагаю менять еще и IP адрес.
А для еще большей секьюрности менять все это дело по генератору случайных чисел.
Типа: кому надо - догадается :)
Бред.
| | |
| 1.25, Exe (?), 06:10, 10/01/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
это всё бред. самая крутая защита это чтобы фаервол открывал соединения на 22порт тока для тех кто стукнется предварительно на какой-то свой секретный порт. Вот это я понимаю защита. На iptables делается легко state-правилами.
PS метод придумал не я.
| | |
| |
| 2.28, Аноним (-), 21:43, 10/01/2008 [^] [^^] [^^^] [ответить]
| +/– | |
>это всё бред. самая крутая защита это чтобы фаервол открывал соединения на 22порт тока для тех кто стукнется предварительно на какой-то свой секретный порт. Вот это я понимаю защита. На iptables делается легко state-правилами.
метод называется portknocking.
| | |
| |
| 3.32, Michael Shigorin (ok), 18:29, 18/10/2008 [^] [^^] [^^^] [ответить]
| +/– |
 >>это всё бред. самая крутая защита это чтобы фаервол открывал соединения на 22порт
>>тока для тех кто стукнется предварительно на какой-то свой секретный порт.
>метод называется portknocking.
И по "крутости" его уже тоже апгрейдили, см. SPA (Single Packet Authorization).
| | |
|
|
| 1.26, Дмитрий Ю. Карпов (?), 15:33, 10/01/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Лично я не понял, как клиент сможет узнать, на какой порт ему коннектиться в данный момент. IMHO, гораздо проще сделать VPN-вход, и только после установленного VPN-соединения пускать по SSh и др.протоколам.
А ещё хотелось бы иметь имитацию SSh, которая при попытке подбора как бы пускала юзера, но в "песочницу", когда на каждую введённую команду в ответ рандомно выдаётся одно из заранее заготовленных сообщений (можно анекдот).
| | |
| |
| 2.30, myatz (?), 15:58, 11/01/2008 [^] [^^] [^^^] [ответить]
| +/– |
а vpn реализовать через ssh-туннель %)
а вообще - забавный ход но бесполезный
| | |
|
| 1.27, raver (??), 17:32, 10/01/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Не дочитали друзья мои, есть shimmerd который вешается на сервер, а есть shimmer клиент который запускается с клиентской машины:
ssh user@remote.host -p './shimmer --open ssh:10000:10999 --secret password'
Так что никаких алгоритмов в голове держать не надо и угадывать порт, достаточно знать диапазон портов и пароль... так что вполне хороiая система безопасности с использованием AES.
Остальные могут держать алгоритм в голове :)
| | |
| 1.31, Gnom 3000 (?), 10:37, 19/05/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Я уже долгое время пытаюсь настроить FlyLinkDC++, но у меня ничего не выходит...
Я не знаю свой номер порта. Пожалуйста скажите мне как я могу его узнать.
| | |
|
