?

Log in

No account? Create an account

Previous Entry | Next Entry

grafiti
На мой компьютер обрушилась атака с IP-адреса, который, согласно Хуису, принадлежит огранизации со звонким названием Кранкенхауз.

Товарищи из Кранкенхауза уже не первый раз там что-то такое незнамо что пытаются взломать. Я когда-то даже писал их провайдеру, чтобы они перестали порты сканить и в них всякую дрянь засовывать, но они не только не перестали, но начали пытаться запустить какую-то "блядскую удаленную консоль", или что-то в этом роде.

Я мало что знаю про фаерволы и вообще этим мало интересуюсь, но товарищи из Кранкенхауза вынудили меня засесть за описание IP Security Policy. Короче, никакого фаервола не надо, у кого Windows 2000 или XP.

Нужно просто запустить команду "mmc", открывается консоль управления всеми этими делами. Там выбрать Add-remove snap-in, IP Security Policies. Представлят собой она небольшую коробочку, буквально напичканную всякими кнопками. Правой кнопкой мыши нужно выбрать "Manage IP Filter List". Выбрать из списка "All IP Traffic", "block". Выбрать из списка "All ICMP Traffic", "block".

В этот момент компьютер, как секретная атомная подводная лодка "Красный Октябрь", опускается на самое дно мирового океана и становится полностью невидимым для мира. Эффект примерно такой же, как если из компьютера выдернуть все сетевые провода. Товарищи из Кранкенхауза понуро возращаются на свою хакерскую базу пить чай без сахара и тупо ждать летной погоды.

Чтобы при таком раскладе можно было пользоваться интернетом, нужно открыть порт 53 по которому DNS передается. Потом открыть порты 80, 81, 8080 - ну, что еще там для веба используется? Порт четыреста-какой-то, для SSL. Открыть порты 21 и 110 для мейла. Ну, еще пару портов открыть на всякий случай - 123 (network time protocol), 427 (server location), всякую такую лабуду. Причем, нужно поставить галочку в графе "зеркальный", чтобы с портов в обе стороны был доступ, но только если с того порта идет запрос на тот локальный порт, с которого был сделан запрос.

И все. Можно смело идти и делать онлайновый тест на взлом. На сайте Sygate, например, они не только не смогли ничго взломать, но даже операционную систему определить. А несколько тестов просто зависли, не в силах понять, что вообще происходит.

Надо было так давно сделать...


Comments

( 21 comments — Leave a comment )
tima wrote:
18th Jul, 2004 08:51 (UTC)
в воровском мире у тебя бы точно было погоняло "Скрипач"!
nasha_sasha wrote:
18th Jul, 2004 09:07 (UTC)
- Придется "скрипача" засылать, - нахмурился Коля Бриллиант, - больно тонкое дело. Паханы понимающе кивнули...
tima wrote:
18th Jul, 2004 09:20 (UTC)
нет, не так. С большой буквы!
humpty_dumpty wrote:
18th Jul, 2004 09:39 (UTC)
Agnitum Outpost Pro
Всё это делает на автомате и довольно интеллектуально. :)
nasha_sasha wrote:
18th Jul, 2004 09:52 (UTC)
Re: Agnitum Outpost Pro
Да, всякие "про" это делают - но не за бесплатно, как правило.

А тут можно все самому сделать, так гораздо приятнее.
humpty_dumpty wrote:
18th Jul, 2004 11:17 (UTC)
Re: Agnitum Outpost Pro
В России платность софта понятие до сих пор относительное. Хотя за такую штуку я бы даже не пожалел заплатить, но тут это слишком проблематично. А твоя схема конечно хороша, но со многими недостатком. Например не препятствует всяким троянам вылезать в сеть с твое компьютера.
chio wrote:
18th Jul, 2004 09:46 (UTC)
для почты - 25 (smtp) и 110 (pop3).
21 - это ftp.
nasha_sasha wrote:
18th Jul, 2004 09:51 (UTC)
Так точно.
v_melnik wrote:
18th Jul, 2004 23:42 (UTC)
Дорогой друг, пожалуйста, не блокируйте и, самое главное, не советуйте блокировать полностью все пакеты протокола ICMP. Если вы запретите приём ICMP-сообщений "ICMP_UNREACH" (тип 3), у вас могут возникнуть серьёзные проблемы с pMTU-discovery, когда от вас будет идти большой пакет стандартного размера (MTU-то у вас 1500, да?) и флажком "DF" ("don't fragment"), пакет этот будет идти через какой-нибудь интерфейс с MTU меньшим, чем ваш 1500 (например, интерфейс IP-туннеля), маршрутизатор, которому придётся дропнуть этот пакет (он не сможет его фрагментировать и просунуть в этот узкий интерфейс по частям, ибо на пакете стоит "DF"), отправит вам ICMP-сообщение типа 3 с кодом 4 ("ICMP_UNREACH_NEEDFRAG"), которое будет означать для вашей системы, что пакеты на этот адрес следует отправлять меньшего размера, иначе они будут дропнуты и забыты. В случае же, если ваша система этого сообщения не получит, она будет перепосылать этот большой пакет, пока не случится тайм-аут.

Это очень распостранённая ошибка в среде "юных сисадминов", пожалуйста, не повторяйте её и не провоцируйте на неё своих читателей, коих у вас не мало.

--
С большим уважением,
V.Melnik
nasha_sasha wrote:
19th Jul, 2004 03:49 (UTC)
Спасибо, это полезно знать.

То, что я написал, не охватывает, разумеется, всех возможных случаев - там еще есть много всего, что не будет работать без дополнительных настроек, это понятно. Но там уж надо смотреть и выяснять что какой порт использует и зачем и как сделать, чтобы оно работало.
v_melnik wrote:
19th Jul, 2004 04:09 (UTC)
Благодарю за адекватную реакцию на мой совет.

Вам и всем интересующимся могу порекомендовать книжку знаменитого издательства "O'Reilly": "Building Internet Firewalls By D. Brent Chapman & Elizabeth D. Zwicky; ISBN 1-56592-124-0, 517 pages".

Наиболее любознательным смогу назвать URL, с которого её можно прочитать он-лайн или скачать на свой компьютер.
nasha_sasha wrote:
19th Jul, 2004 05:00 (UTC)
Спасибо. Я думаю, это будет полезно в свете этой дискуссии. Особенно, если кто-то обнаружит, что после спускания на дно "не все работает как надо".
bujik wrote:
19th Jul, 2004 14:13 (UTC)
На мой взгляд еще лучше использовать фаервол. Например http://www.agnitum.com/products/outpost/ - замечательная штука "для поэтов"! Он по мере необходимости сам спросит что открыть, постоянно или на одну сессию и т. п. Есть русский язык.

Назовите URL особо любознательному. :-)
v_melnik wrote:
20th Jul, 2004 00:06 (UTC)
http://www.oreilly.kiev.ua/tcpip/firewall/index.htm
А вообще - на этом www.oreilly.kiev.ua много всего еси пиратского.
bujik wrote:
20th Jul, 2004 09:31 (UTC)
Большое спасибо за ссылку на книгу. А вот www.oreilly.kiev.ua в доступе отказывают. Это видимо потому, что не из Украины я коннекчусь. :-)
v_melnik wrote:
21st Jul, 2004 01:33 (UTC)
Сорри. Я не знал, что оно UA-IX only.
bujik wrote:
22nd Jul, 2004 09:21 (UTC)
Какое "Сорри"? Спасибо большое! Полезная ссылка! Если нужна книга ее скачает кто то из UA друзей и перешлет.
v_melnik wrote:
22nd Jul, 2004 09:22 (UTC)
Куда слать?
bujik wrote:
22nd Jul, 2004 10:03 (UTC)
:-)
Я имел в виду что те кто не UA, но книгу хотят - смогут попросить своих друзей , которые UA и те перешлют им все что надо. :-) Спасибо за беспокойство!
v_melnik wrote:
22nd Jul, 2004 23:00 (UTC)
Re: :-)
Так а в чём проблема?
Я UA.
samundercover wrote:
27th Aug, 2004 07:08 (UTC)
не по глазам
//Выбрать из списка "All IP Traffic", "block".

А этот "блок" где увидеть?
И где потом открывать порты?
( 21 comments — Leave a comment )