Jak na zákaz skenování portů přes ext. Firewall ?

[Paolo]

Částečně je mi to jasný, i když úplně jasno v tom nemám. Ale to tady řešit nebudu, jdu si najít něco na studium
Dík za vysvětlení.

Jestli jsi ještě nenastudoval, tak zkusím více polopatisticky.
Tvůj firewall blokuje jakýkoliv požadavek zvenku, který není odpovědí na tvůj požadavek zevnitř.

Když prohlížíš internet, tak tvůj počítač si nejprve předeve název serveru na IP adresu a pak pošle SYN paket (úvodní paket pro navázání spojení) na port serveru (http:// = port 80, https:// = 443) z nějakého svého portu (nejčastěji vyšší než 1024 a neustále se zvyšuje). Server pošle potvrzení paketem SYN-ACK , počítač to ještě potvrdí paketem ACK a tím už firewall ví, že pokud budou proudit data ze serveru z daného portu na firewall na daný port, tak že ho má propustit. Toto trvá až do té doby dokud se stanice se serverem nedomluví na konci komunikace nebo nevyprší maximální čas mezi pakety (timeout). Potom už firewall zase další pakety zvenku z uvedeného portu na uvedený port blokuje.
Podrobně je to vysvětleno tady: http://en.wikipedia.org/wiki/Transmi...ntrol_Protocol, ale v angličtině

Občas se stává, že server opakuje odesílání potvrzovacích paketů (z oblibou tak činí servery od Microsoftu) a něketeré precizní firewally už tyto pakety zahazují (popřípadě i zaznamenávají do logu), protože už takový paket neměl přijít. To může být přesně tvůj případ.

[Aigor]

Nenastudoval - resp. o moc chytřejší sem nebyl...

Jde o to, že základní princip komunikace mezi stanicí a netem je mi jasný, částečně si vybavuju ze školy i úlohu FW mezi nimi (i když v té době byly FW ještě v plenkách). A protože mám poměrně silně restriktivně FW nastaven (pouze ruční sada paketových filtrů, vše ostatní má smůlu), pořád mi nebylo jasné, jak to, že:
1. PC bez problémů komunikuje přes definovaná pravidla
2. všechny stránky se zjevně načítají v pořádku (vč. příp. reklam a dalších info z jiných serverů)
3. přesto se FW plní hláškama o pokusech XY serverů o spojení a NENÍ přiřazená (rozpoznaná) aplikace. Tudíž FW logicky tyto pakety zahazuje (v souladu s nastavením)

Na netu jsem obvykle našel jen stučný blábol jak to v ideálním případě funguje, takže to mě moc na vysvětlení nepřispělo. Pokud tedy všechno funguje a přesto mám extra moc příchozích zahozených spojení, logicky mě napadl nějakej typ útoku/skenu.

[admix]

Pokud se pletu, tak me opravte, ale pokud prichazi konexe z portu <1024, tak se tezko muze jednat o sken, protoze tyhle porty jsou rezervovany systemem a nelze je pouzit

[Paolo]

Nenastudoval - resp. o moc chytřejší sem nebyl...

Jde o to, že základní princip komunikace mezi stanicí a netem je mi jasný, částečně si vybavuju ze školy i úlohu FW mezi nimi (i když v té době byly FW ještě v plenkách). A protože mám poměrně silně restriktivně FW nastaven (pouze ruční sada paketových filtrů, vše ostatní má smůlu), pořád mi nebylo jasné, jak to, že:
1. PC bez problémů komunikuje přes definovaná pravidla
2. všechny stránky se zjevně načítají v pořádku (vč. příp. reklam a dalších info z jiných serverů)

Protože ten firewall je nastaven jen na vnějším (internetovém) rozhranní. Navazování spojení zevnitř tedy nijak neblokuje.

3. přesto se FW plní hláškama o pokusech XY serverů o spojení a NENÍ přiřazená (rozpoznaná) aplikace. Tudíž FW logicky tyto pakety zahazuje (v souladu s nastavením)

Když už aplikace spojení ukončí tak už ten SW firewall nemá pro ukončené spojení přiřazenou aplikaci - to je ta hláška Unopened port - neotevřený port. Další možností může být, že ten SW firewall má nastavenou kratší dobu mezi pakety pro ještě navázané spojení. Delší prodleva spojení uzavírá.

Na netu jsem obvykle našel jen stučný blábol jak to v ideálním případě funguje, takže to mě moc na vysvětlení nepřispělo. Pokud tedy všechno funguje a přesto mám extra moc příchozích zahozených spojení, logicky mě napadl nějakej typ útoku/skenu.

Jestli jde o scan se dá zjistit tak, jestli ty pakety, které jsou v logu uvedeny, pochází ze serveru se kterým jsi komunikoval.
Když zapneš počítač a nebudeš mít spuštěnou žádnou aplikaci, co komunikuje s nějakým serverem (prohlížeš, internetový kecálek, ale i antivirus, který kontroluje aktualizace), tak by ten log neměl plnit. Informaci o tom, jaké spojení je navázáno, ti vypíše příkaz

Kód:

netstat

případně jej můžeš použít s parametrem -n aby zobrazoval IP adresy.

Pokud se pletu, tak me opravte, ale pokud prichazi konexe z portu <1024, tak se tezko muze jednat o sken, protoze tyhle porty jsou rezervovany systemem a nelze je pouzit

To není tak úplně pravda, protože existuje možnost vybrat si i zdrojový port pro navázání spojení. S oblibou se používá nějaký běžný serverový port (např. 53 (dns) či 80 (http)), protože starší firewally (bezstavové) musely mít pravidla nastavená tak, aby příchozí spojení z venku ze serverových portů prošlo dovnitř.

[Aigor]

Ještě jednou díky, myslím že je to už jasné
K+

[admix]

Paolo, diky (K+ jeste nemuzu)