Kirjoittaja Aihe: Porttiskannaus - onko kokemuksia?  (Luettu 3877 kertaa)

Senior

  • Vieras
Porttiskannaus - onko kokemuksia?
« : 24.02.10 - klo:13.31 »
Pari kertaa olen Mandrivan puolelta saanut ilmoituksia porttiskannausyrityksistä. Ja olen myös muutaman tällaisen osoitteen pannut "sulkulistalle". Gnomen puolella noita ei ole tullut vastaan enkä edes nyt muista mitkä ohjelmat valvoisivat tätäkin puolta verkkoliikenteessä. Onko muilla vastaavia kokemuksia ja miten olette menetelleet tämän asian suhteen?

Määritelmän mukaan verkkotiedustelu eli porttiskannaus on toimenpide, jonka avulla pyritään selvittämään tietojärjestelmän eri tietoliikenneporteissa toimivia ohjelmia ja käyttöjärjestelmiä sekä niiden haavoittuvuutta. Tavanomaisesti verkkotiedustelu suoritetaan käyttäen hyväksi tätä varten tehtyä ohjelmaa, joka voi - käytetystä ohjelmasta riippuen - esimerkiksi palauttaa raportin tiedustelun kohteena olevasta koneesta, sen tietoliikenneporteista, ohjelmistoista ja niiden tiedetyistä tietoturva-aukoista. Verkkotiedusteluun voidaan käyttää esimerkiksi tietojärjestelmän turvallisuusjärjestelyjen selvittämiseen.

Verkkotiedusteluohjelmalla on näin ollen mahdollista järjestelmällisesti selvittää tietojärjestelmän mahdollisia aukkoja ja sen heikkoja kohtia. Toimenpiteen avulla kyetään saamaan tietoja, jotka mahdollistavat myös luvattoman pääsyn kohteena olevaan järjestelmään. Ohjelmaa käyttämällä hankitun tiedon avulla voidaan siten murtaa tietojärjestelmän turvajärjestely.

henri_aleksi

  • Käyttäjä
  • Viestejä: 319
    • Profiili
Vs: Porttiskannaus - onko kokemuksia?
« Vastaus #1 : 24.02.10 - klo:16.34 »
Tosi pitkälle pääsee ihan pelkillä oletuksilla.

Portissa 88, ehkä pyörii apache. Ja jos default aloitussivu on päällä niin se vielä kertoo (esim.) ubuntun, php:n jne... versiot.

Portissa 22 pyörii todennäköisesti sshd.

Jos on huolissaan porttiskannauksista (scenaariossa koneellesi tarvitsee päästä vain ssh:n kautta)
Pistät ssh:n pyörimään johonkin eksoottiseen porttiin (tosi korkeaan) ja kaikki muut portit kiinni palomuurissa.

Sitten kun vielä laitat portteihin (myös pingi) droppasemaan paketin ilman että kone lähettää "no-can-do paketin" takaisin koneelle. Tällöin jo pelkästään koneen käynnissäolon paikantaminen saattaa käydä haasteelliseksi.
  Paras olisi vielä sallia vain ssh:n yhteyden oton vain tietystä osoiteavaruudesta ja lopuista droppaset paketit hiljaisesti...
"Theory is when you know something, but it doesn't work. Practice is when something works, but you don't know why.
Programmers combine theory and practice: Nothing works and they don't know why."

Timo Jyrinki

  • Sr. Member
  • ****
  • Viestejä: 1260
    • Profiili
    • kotisivu
Meneeköhän jo alkuperäisestä aiheesta pahasti oli, mutta SSH:hon liittyen: jos mahdollista, kannattaa SSH sallia vain RSA-avaimilla, eli salasanat pois käytöstä (paitsi toki avaimen passphrase itsessään). PasswordAuthentication no sshd_config:ssa. Jokaiselle koneelle jolta aikoo yhdistää oma avain mielellään, .ssh/authorized_keys:iin vain kaikki. Sitten tietty jos aikoo logata kotikoneelle muilta kuin omilta koneilta, mitä ei ehkä kannattaisi tehdä, niin voi pitää vaikka mukanaan jotain avainta USB-tikulla.

Lisäksi denyhosts-paketti tuo lisämielenrauhaa SSH-käytössä.

Sivuhuomautuksena, harmi ettei foorumilla pysty näemmä käyttämään apt:denyhosts-tyylisiä linkkejä :(

janne

  • Käyttäjä
  • Viestejä: 5150
    • Profiili
Vs: Porttiskannaus - onko kokemuksia?
« Vastaus #3 : 24.02.10 - klo:22.49 »
Verkkotiedusteluohjelmalla on näin ollen mahdollista järjestelmällisesti selvittää tietojärjestelmän mahdollisia aukkoja ja sen heikkoja kohtia.

juu ja oletuksena niitä ei löydy koska oletuksena mikään ohjelma ei kuuntele ulkoisia portteja. silti suosittelen palomuurin ottamista käyttöön, koska siitä ei ole mitään haittaa ja potentiaalisesti siitä on jotain hyötyäkin

Toimenpiteen avulla kyetään saamaan tietoja, jotka mahdollistavat myös luvattoman pääsyn kohteena olevaan järjestelmään.

palvelinsoftia tarkoituksella ajavan on toki pidettävä palvelut tavoitettavissa myös internetistä jolloin porttiskannauskin ne löytää. kuitenkin se, miten paljon ne antavat itsestään tietoa on paikoitellen konffattavissa. yleisesti palvelinsoftan ajaminen on aavistuksen huono idea jos ei tiedä yhtään mitä on tekemässä.

toisaalta taas kaikki internetin palvelut ovat avoinna kaikille ja myös porttiskannausten löydettävissä. silti se ei tarkoita, että jokaiseen palveluun pääsisi automaattisesti kirjautumaan sisään luvattomasti. oikein konffatut ja tietoturvapäivitysten suhteen ajan tasalla olevien palveluiden ajaminen on yleisesti ottaen suhteellisen turvallista

Timo tuossa antoikin jo simppelin vinkin jolla esim. sshd:n ajaminen saadaan merkittävästi turvallisemmaksi, koska se tekee brute force -hyökkäyksen melkoisen tehottomaksi.

Ohjelmaa käyttämällä hankitun tiedon avulla voidaan siten murtaa tietojärjestelmän turvajärjestely.

tämä on aika karkea yleistys, sillä valtaosassa tapauksia se ei pidä paikkaansa. huonosti konffatun tai hyökkääjän tiedossa olevia aukkoja sisältävän palvelun ajaminen voi toki johtaa tuohonkin, mutta yleisesti porttiskannauksella pelottelu on turhaa.
Janne

mrl586

  • Käyttäjä
  • Viestejä: 4638
    • Profiili
Vs: Porttiskannaus - onko kokemuksia?
« Vastaus #4 : 25.02.10 - klo:05.32 »
Tosi pitkälle pääsee ihan pelkillä oletuksilla.

Portissa 88, ehkä pyörii apache.
Nämä lauseet ovat ristiriitaisia. Apachen oletusportit ovat 80 (http) ja 443 (https).