Jak na zákaz skenování portů přes ext. Firewall ?

[Aigor]

Doufám že že nebudu ptát úplně blbě - sedím za externím FW, který je nastaven tak, že by neměl propouštět žádnou komunikaci nevyvolanou zevnitř (viz nastavení).
Přesto když si instaluju SW firewall, tak mám neustále příchozí komunikaci na neotevřené porty (screenshot).
Rád bych tohle zakázal hned na externím FW, je to jen rukama, nebo potřebuju něco lepšího než router s integrovaným firewallem za pár stovek ?

[Jezevec]

Hmm, mno pochybuju, ze by ti nekdo scanoval z http, chyba bude spis mezi klavesnici a zidli. To co tam vidis jsou odpovedi na tvy pozadavky. Napr prvni dva radky je zjistovani stavu neciho ICQ. Pak tam vidim nejaky pocitadla ....

Nemas cirou nahodou na tom svym SW FW nastaveny filtrovani obsahu webu ? Ten log tomu dokonale odpovida = jednoduse se ti nezobrazi informace z danych serveru.

[Aigor]

Mno je to možný, sítě nejsou zrovna moje parketa

Zapnutý filtrování obsahu mám, ale nějak tomu stejně pořád nerozumím
Když mám vypnutý ActiveX a blokovaný reklamy, proč mi chodí nějaký pakety na nesmyslný čísla portů? V paketovým filtru mám povolenou komunikaci z Mozilly port 80+443 ven a to je vše.
Nějak žiju v představě, že přes http pošlu požadavek, na http se vrátí odpověď a nic víc není potřeba (pravda je, že mi funguje všechno co potřebuju).

Tzn. to mám s klidem ignorovat? Dík za trpělivost..

[Jezevec]

Posles pozadavek na http:\\zive.cz. Na ty strance jsou linkovany odkazy z http:\\bbmedia.cz. Tvuj FW ma zakazano prijimat pakety z bbmedia. Chnapes ? Tvuj prohlizec si o ne rek. Proto je lepsi delat fitrovani obsahu v prohlizeci, protoze pak si o to ani nerekne.

[Aigor]

Částečně je mi to jasný, i když úplně jasno v tom nemám. Ale to tady řešit nebudu, jdu si najít něco na studium
Dík za vysvětlení.

[Glottis]

jestli te matou ty cisla portu rozna na tve strane je to normalni, ty sice zadas druhou stranu na definovanem portu, treba http 80 ale ze sve strany se konektis z portu jineho. ten se vetsinou bere nejak nahodne nebo podle pidu aplikace nebo jinak.

glo

[Paolo]

Částečně je mi to jasný, i když úplně jasno v tom nemám. Ale to tady řešit nebudu, jdu si najít něco na studium
Dík za vysvětlení.

Jestli jsi ještě nenastudoval, tak zkusím více polopatisticky.
Tvůj firewall blokuje jakýkoliv požadavek zvenku, který není odpovědí na tvůj požadavek zevnitř.

Když prohlížíš internet, tak tvůj počítač si nejprve předeve název serveru na IP adresu a pak pošle SYN paket (úvodní paket pro navázání spojení) na port serveru (http:// = port 80, https:// = 443) z nějakého svého portu (nejčastěji vyšší než 1024 a neustále se zvyšuje). Server pošle potvrzení paketem SYN-ACK , počítač to ještě potvrdí paketem ACK a tím už firewall ví, že pokud budou proudit data ze serveru z daného portu na firewall na daný port, tak že ho má propustit. Toto trvá až do té doby dokud se stanice se serverem nedomluví na konci komunikace nebo nevyprší maximální čas mezi pakety (timeout). Potom už firewall zase další pakety zvenku z uvedeného portu na uvedený port blokuje.
Podrobně je to vysvětleno tady: http://en.wikipedia.org/wiki/Transmi...ntrol_Protocol, ale v angličtině

Občas se stává, že server opakuje odesílání potvrzovacích paketů (z oblibou tak činí servery od Microsoftu) a něketeré precizní firewally už tyto pakety zahazují (popřípadě i zaznamenávají do logu), protože už takový paket neměl přijít. To může být přesně tvůj případ.

[Aigor]

Nenastudoval - resp. o moc chytřejší sem nebyl...

Jde o to, že základní princip komunikace mezi stanicí a netem je mi jasný, částečně si vybavuju ze školy i úlohu FW mezi nimi (i když v té době byly FW ještě v plenkách). A protože mám poměrně silně restriktivně FW nastaven (pouze ruční sada paketových filtrů, vše ostatní má smůlu), pořád mi nebylo jasné, jak to, že:
1. PC bez problémů komunikuje přes definovaná pravidla
2. všechny stránky se zjevně načítají v pořádku (vč. příp. reklam a dalších info z jiných serverů)
3. přesto se FW plní hláškama o pokusech XY serverů o spojení a NENÍ přiřazená (rozpoznaná) aplikace. Tudíž FW logicky tyto pakety zahazuje (v souladu s nastavením)

Na netu jsem obvykle našel jen stučný blábol jak to v ideálním případě funguje, takže to mě moc na vysvětlení nepřispělo. Pokud tedy všechno funguje a přesto mám extra moc příchozích zahozených spojení, logicky mě napadl nějakej typ útoku/skenu.

[admix]

Pokud se pletu, tak me opravte, ale pokud prichazi konexe z portu <1024, tak se tezko muze jednat o sken, protoze tyhle porty jsou rezervovany systemem a nelze je pouzit

[Paolo]

Nenastudoval - resp. o moc chytřejší sem nebyl...

Jde o to, že základní princip komunikace mezi stanicí a netem je mi jasný, částečně si vybavuju ze školy i úlohu FW mezi nimi (i když v té době byly FW ještě v plenkách). A protože mám poměrně silně restriktivně FW nastaven (pouze ruční sada paketových filtrů, vše ostatní má smůlu), pořád mi nebylo jasné, jak to, že:
1. PC bez problémů komunikuje přes definovaná pravidla
2. všechny stránky se zjevně načítají v pořádku (vč. příp. reklam a dalších info z jiných serverů)

Protože ten firewall je nastaven jen na vnějším (internetovém) rozhranní. Navazování spojení zevnitř tedy nijak neblokuje.

3. přesto se FW plní hláškama o pokusech XY serverů o spojení a NENÍ přiřazená (rozpoznaná) aplikace. Tudíž FW logicky tyto pakety zahazuje (v souladu s nastavením)

Když už aplikace spojení ukončí tak už ten SW firewall nemá pro ukončené spojení přiřazenou aplikaci - to je ta hláška Unopened port - neotevřený port. Další možností může být, že ten SW firewall má nastavenou kratší dobu mezi pakety pro ještě navázané spojení. Delší prodleva spojení uzavírá.

Na netu jsem obvykle našel jen stučný blábol jak to v ideálním případě funguje, takže to mě moc na vysvětlení nepřispělo. Pokud tedy všechno funguje a přesto mám extra moc příchozích zahozených spojení, logicky mě napadl nějakej typ útoku/skenu.

Jestli jde o scan se dá zjistit tak, jestli ty pakety, které jsou v logu uvedeny, pochází ze serveru se kterým jsi komunikoval.
Když zapneš počítač a nebudeš mít spuštěnou žádnou aplikaci, co komunikuje s nějakým serverem (prohlížeš, internetový kecálek, ale i antivirus, který kontroluje aktualizace), tak by ten log neměl plnit. Informaci o tom, jaké spojení je navázáno, ti vypíše příkaz

Kód:

netstat

případně jej můžeš použít s parametrem -n aby zobrazoval IP adresy.

Pokud se pletu, tak me opravte, ale pokud prichazi konexe z portu <1024, tak se tezko muze jednat o sken, protoze tyhle porty jsou rezervovany systemem a nelze je pouzit

To není tak úplně pravda, protože existuje možnost vybrat si i zdrojový port pro navázání spojení. S oblibou se používá nějaký běžný serverový port (např. 53 (dns) či 80 (http)), protože starší firewally (bezstavové) musely mít pravidla nastavená tak, aby příchozí spojení z venku ze serverových portů prošlo dovnitř.

[Aigor]

Ještě jednou díky, myslím že je to už jasné
K+

[admix]

Paolo, diky (K+ jeste nemuzu)