[FUG-BR] OT: Drop Port Scanners

[Trober]

> 2009/12/23 Enio Marconcini <eniorm em gmail.com>
>
>> Pessoal,tava dando uma olhada no wiki do Mikroshit e vi um tópico
>> interessante na parte de firewall
>>
>> trata-se de umas regras para bloquear a ação de portscanners, e um amigo
>> que
>> testou disse que atrapalhou bastante o funcionamento do nmap,
>>
>> http://wiki.mikrotik.com/wiki/Drop_port_scanners
>>
>> essas regras são interpretadas pelo mikrotik mas internamente é o
>> iptables
>> que as usa...
>>
>> tava pensando converter isso para o PF ou IPFW
>>
>> alguém poderia me dar um help
>>
>> --
>> ENIO RODRIGO MARCONCINI
>> gtalk: eniorm em gmail.com
>> skype: eniorm
>> msn: /dev/null
>>
>
> Boa tarde.
>
> Uma boa partida é consultar a documentação do Nmap e obter as sequências
> de
> opções e flags tcp usadas pelo scanner. Alterar o ttl ip do seu OS, o uso
> da
> opção  tcp_drop_synfin="YES". Não sei quais consequências essa última
> opção
> pode causar.
>
> De uma olhada no histórico da lista, tem muitas dicas e várias regras de
> firewall como exemplo.
> Sobre a tradução desse exemplo de regras, você pode consultar o link [1]
> para saber o que cada opção significa e após isso tentar escrever usando
> seu
> filtro de pacotes.
>
> [1] http://wiki.mikrotik.com/wiki/Firewall/NAT
>
>
> Atenciosamente,
> Wanderson Tinti
> -------------------------
>

Complementando a mensagem anterior, o uso de tcp_drop_synfin="YES" não é
aconselhado para servidores rodando serviços web, já que, por questão de
desempenho, não ocorre a negociação "three-way" (SYN, SYN-ACK e ACK).

A consideração também vale caso o servidor não esteja rodando um serviço
web, mas esteja fazendo um redicionamento (NAT) para algum servidor web.

Saudações,

Trober
-
-
-
-
-