Jak na zákaz skenování portů přes ext. Firewall ?

[Aigor]

Nenastudoval - resp. o moc chytřejší sem nebyl...

Jde o to, že základní princip komunikace mezi stanicí a netem je mi jasný, částečně si vybavuju ze školy i úlohu FW mezi nimi (i když v té době byly FW ještě v plenkách). A protože mám poměrně silně restriktivně FW nastaven (pouze ruční sada paketových filtrů, vše ostatní má smůlu), pořád mi nebylo jasné, jak to, že:
1. PC bez problémů komunikuje přes definovaná pravidla
2. všechny stránky se zjevně načítají v pořádku (vč. příp. reklam a dalších info z jiných serverů)
3. přesto se FW plní hláškama o pokusech XY serverů o spojení a NENÍ přiřazená (rozpoznaná) aplikace. Tudíž FW logicky tyto pakety zahazuje (v souladu s nastavením)

Na netu jsem obvykle našel jen stučný blábol jak to v ideálním případě funguje, takže to mě moc na vysvětlení nepřispělo. Pokud tedy všechno funguje a přesto mám extra moc příchozích zahozených spojení, logicky mě napadl nějakej typ útoku/skenu.

[admix]

Pokud se pletu, tak me opravte, ale pokud prichazi konexe z portu <1024, tak se tezko muze jednat o sken, protoze tyhle porty jsou rezervovany systemem a nelze je pouzit

[Paolo]

Nenastudoval - resp. o moc chytřejší sem nebyl...

Jde o to, že základní princip komunikace mezi stanicí a netem je mi jasný, částečně si vybavuju ze školy i úlohu FW mezi nimi (i když v té době byly FW ještě v plenkách). A protože mám poměrně silně restriktivně FW nastaven (pouze ruční sada paketových filtrů, vše ostatní má smůlu), pořád mi nebylo jasné, jak to, že:
1. PC bez problémů komunikuje přes definovaná pravidla
2. všechny stránky se zjevně načítají v pořádku (vč. příp. reklam a dalších info z jiných serverů)

Protože ten firewall je nastaven jen na vnějším (internetovém) rozhranní. Navazování spojení zevnitř tedy nijak neblokuje.

3. přesto se FW plní hláškama o pokusech XY serverů o spojení a NENÍ přiřazená (rozpoznaná) aplikace. Tudíž FW logicky tyto pakety zahazuje (v souladu s nastavením)

Když už aplikace spojení ukončí tak už ten SW firewall nemá pro ukončené spojení přiřazenou aplikaci - to je ta hláška Unopened port - neotevřený port. Další možností může být, že ten SW firewall má nastavenou kratší dobu mezi pakety pro ještě navázané spojení. Delší prodleva spojení uzavírá.

Na netu jsem obvykle našel jen stučný blábol jak to v ideálním případě funguje, takže to mě moc na vysvětlení nepřispělo. Pokud tedy všechno funguje a přesto mám extra moc příchozích zahozených spojení, logicky mě napadl nějakej typ útoku/skenu.

Jestli jde o scan se dá zjistit tak, jestli ty pakety, které jsou v logu uvedeny, pochází ze serveru se kterým jsi komunikoval.
Když zapneš počítač a nebudeš mít spuštěnou žádnou aplikaci, co komunikuje s nějakým serverem (prohlížeš, internetový kecálek, ale i antivirus, který kontroluje aktualizace), tak by ten log neměl plnit. Informaci o tom, jaké spojení je navázáno, ti vypíše příkaz

Kód:

netstat

případně jej můžeš použít s parametrem -n aby zobrazoval IP adresy.

Pokud se pletu, tak me opravte, ale pokud prichazi konexe z portu <1024, tak se tezko muze jednat o sken, protoze tyhle porty jsou rezervovany systemem a nelze je pouzit

To není tak úplně pravda, protože existuje možnost vybrat si i zdrojový port pro navázání spojení. S oblibou se používá nějaký běžný serverový port (např. 53 (dns) či 80 (http)), protože starší firewally (bezstavové) musely mít pravidla nastavená tak, aby příchozí spojení z venku ze serverových portů prošlo dovnitř.

[Aigor]

Ještě jednou díky, myslím že je to už jasné
K+

[admix]

Paolo, diky (K+ jeste nemuzu)