| View previous topic :: View next topic |
| Author |
Message |
rota
l33t
Joined: 13 Aug 2003
Posts: 960
|
 Posted: Mon Apr 04, 2005 4:52 am Post subject: [RISOLTO] bloccare ping |
 |
|
ciao a tutti...
mi stavvo chiedendo alcune cose
allora sto mettendo su un servizzio o ftp oppure httpd (devvo decidere..)
e mi chiedevvo una cosa...è possiblie far in modo che il server non risponda ai ping ????
pero mi chiedevvo se cio poi mi porta a un malfunzionamento dell server..( cioè nessuno puo piu accedere all server..ecc)
come posso fare ??? basta iptables opure lo posso fare anche da apache???cioè apache puo risolvere questo probblema ???
io non sono molto praticho di apache.....
Last edited by rota on Thu Apr 07, 2005 2:45 am; edited 1 time in total |
|
| Back to top |
|
 |
lavish
Bodhisattva
Joined: 13 Sep 2004
Posts: 4296
|
| Posted: Mon Apr 04, 2005 5:39 am Post subject: |
|
|
A occhio (nel senso che non ha mai avuto la necessità di farlo) , dovresti usare solo iptables
_________________
minimalblue.com | secgroup.github.io/ |
|
| Back to top |
|
|
kaosone
Guru
Joined: 01 Feb 2004
Posts: 446
|
| Posted: Mon Apr 04, 2005 5:59 am Post subject: Re: bloccare ping |
|
|
devi usare iptables
| Code: |
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
|
|
|
| Back to top |
|
|
fedeliallalinea
Administrator
Joined: 08 Mar 2003
Posts: 31467
Location: here
|
| Posted: Mon Apr 04, 2005 7:17 am Post subject: |
|
|
No se blocchi il ping il tuo server funzionera' benissimo comunque
_________________
Questions are guaranteed in life; Answers aren't. |
|
| Back to top |
|
|
gutter
Bodhisattva
Joined: 13 Mar 2004
Posts: 7162
Location: Aarau, Aargau, Switzerland
|
| Posted: Mon Apr 04, 2005 8:14 am Post subject: |
|
|
| fedeliallalinea wrote: | | No se blocchi il ping il tuo server funzionera' benissimo comunque |
Quoto, infatti sono molti i server che lo fanno.
_________________
Registered as User #281564 and Machines #163761 |
|
| Back to top |
|
|
.:chrome:.
Advocate
Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy
|
| Posted: Mon Apr 04, 2005 8:24 am Post subject: Re: bloccare ping |
|
|
è possibile.
piuttosto che usare iptables, come alcuni ti hanno consigliato, e che magari potresti anche non avere installato, ti convinene usare sysctl e passare il parametro via /proc.
non credere però che mascherare le risposte a ping ti dia sicurezza. è solo un vile trucchetto, peraltro inefficace perché se vuoi nascondere la tua macchina alla rete, non ci riuscirai certamente in questo modo |
|
| Back to top |
|
|
AlterX
l33t
Joined: 03 Apr 2004
Posts: 754
Location: rm -rf /*
|
| Posted: Mon Apr 04, 2005 8:32 am Post subject: Re: bloccare ping |
|
|
| kaosone wrote: | devi usare iptables
| Code: |
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
|
|
Aggiungo che se dovessi avere più schede di rete, questo ti permette di decidere
su quale effettuare il blocco: -i ethX dove X è il numero di scheda di rete a partire da 0.
Ciao |
|
| Back to top |
|
|
tuxer
Guru
Joined: 10 May 2004
Posts: 328
|
| Posted: Mon Apr 04, 2005 8:33 am Post subject: |
|
|
| Vile trucchetto non mi pare, se la macchina in rete non ha alcun servizio aperto bloccare i ping allontana qualche stronzetto fastidioso, chiaro che se invece non è completamente stealth allora è pressochè inutile... |
|
| Back to top |
|
|
.:chrome:.
Advocate
Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy
|
| Posted: Mon Apr 04, 2005 11:08 am Post subject: Re: bloccare ping |
|
|
| AlterX wrote: | Aggiungo che se dovessi avere più schede di rete, questo ti permette di decidere
su quale effettuare il blocco: -i ethX dove X è il numero di scheda di rete a partire da 0. |
torno a dire che è discutibile, e oltretutto questo modo è sbagliato.
guarda in proc e cerca "net/ipv4/icmp_echo_ignore" o qualcosa di simile. |
|
| Back to top |
|
|
Cazzantonio
Bodhisattva
Joined: 20 Mar 2004
Posts: 4514
Location: Somewere around the world
|
| Posted: Mon Apr 04, 2005 11:34 am Post subject: |
|
|
mi pare basti
| Code: | | /bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all |
@k.gothmog
perché discutibile? sicuramente non è la risposta definitiva alla sicurezza in rete ma di sicuro aiuta... no?
_________________
Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne |
|
| Back to top |
|
|
Tiro
l33t
Joined: 14 Feb 2003
Posts: 752
Location: italy
|
| Posted: Mon Apr 04, 2005 11:59 am Post subject: |
|
|
se ti può interessare, preso da http://www.gentoo.org/doc/it/gentoo-security.xml
| Quote: | Il filesystem /proc
Molti parametri del kernel possono essere alterati attraverso il file system /proc o usando sysctl.
Per cambiare dinamicamente "al volo" i parametri e le variabili del kernel, è necessario che nel vostro kernel sia definita CONFIG_SYSCTL. Questa è attivata di default in un kernel 2.4 standard.
Codice 10.1: Disattivare l'IP forwarding
# /bin/echo "0" > /proc/sys/net/ipv4/ip_forward
Assicuratevi che l'IP forwarding non sia attivo, a meno che non stiate configurando un sistema con più interfacce di rete.
Codice 10.2: Ignorare i pacchetti ping
# /bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
Questo comando farà si che il kernel semplicemente ignori del tutto i messaggi ping, conosciuti anche come messaggi ICMP di tipo 0. La ragione di questa scelta è che il pacchetto IP che trasporta il messaggio icmp può contenere nel proprio payload più informazioni di quanto pensiate. Gli amministratori usano ping come un tool per la diagnostica e quindi spesso si rammaricano di non poterlo utilizzare. Non v'è invece motivo per permettere ad un estraneo di "pingarci". A volte può essere utile agli utenti interni potersi servire di ping. La soluzione a tutto ciò può essere di disabilitare gli icmp di tipo 0 nel firewall.
Codice 10.3: Ignorare ping broadcast ping
# /bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
Questo comando disabilita la risposta a ICMP broadcast e previene gli attacchi Smurf. L'attacco smurf avviene inviando un messaggio ICMP di tipo 0 (ping) all'indirizzo broadcast di una rete. Tipicamente l'attaccante userà un indirizzo sorgente spoofed. Tutti i computer nella rete risponderanno al messaggio ping e quindi inonderanno (flooding) di messaggi l'host spoofed.
Codice 10.4: Disabilitare i pacchetti source routed
# /bin/echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route
Non accetta i pacchetti source routed (pacchetti instradati dalla sorgente). Un attaccante può usare il source routing per generare traffico che sembra avere origine dalla vostra rete, ma in realtà è instradato all'indietro lungo il percorso dal quale è venuto, così che un attaccante può compromettere la vostra rete. Il source routing è usato raramente per motivi legittimi quindi disabilitatelo.
Codice 10.5: Disabilitare l'accettazione di pacchetti redirezionati
# /bin/echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects
# /bin/echo "0" > /proc/sys/net/ipv4/conf/all/secure_redirects
Disabilita l'accettazione di ICMP redirezionati. Gli ICMP redirezionati possono essere utilizzati per modificare le vostre tabelle di routing, possibilmente verso cattive destinazioni.
Codice 10.6: Protezione contro i falsi messaggi d'errore
# /bin/echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
Abilita la protezione contro le risposte a falsi massaggi d'errore.
Codice 10.7: Abilitare il reverse path filtering
# for i in /proc/sys/net/ipv4/conf/*; do
/bin/echo "1" > $i/rp_filter
done
Nota: Se abilitate l'ip forwarding, otterrete anche questo risultato.
Abilitate il "reverse path filtering" (filtraggio del cammino inverso). Ciò permette di verificare che i pacchetti utilizzino un indirizzo sorgente legittimo, rifiutando automaticamente i pacchetti ricevuti qualora la voce relativa a tale sorgente nella tabella di routing non risulti correttamente abbinata alla rispettiva interfaccia di rete dalla quale il pacchetto stesso è stato ricevuto. Ciò presenta vantaggi di sicurezza poichè previene lo spoofing IP.
Avvertenza: Tuttavia attivare il reverse path filtering può costituire un problema se utilizzate il routing asimmetrico (i pacchetti che voi inviate ad un host intraprendono un percorso diverso da quello diretto dall'host a voi) o se operate un "non-routing" con un host che possiede più indirizzi IP su diverse interfacce.
Codice 10.8: Loggare tutti i pacchetti spoofed, source routed e redirezionati
# /bin/echo "1" > /proc/sys/net/ipv4/conf/all/log_martians
Loggate tutti i pacchetti spoofed, i pacchetti source routed e quelli redirezionati.
Tutte queste impostazioni andranno perdute quando la macchina verrà riavviata. Per questo vi suggerisco di aggiungerle a /etc/sysctl.conf affinchè vengano lette automaticamente dallo script init /etc/init.d/bootmisc
La sintassi di /etc/sysctl.conf è abbastanza intuitiva. Eliminate dai path precedentemente menzionati /proc/sys/ e sostituite ogni / con .:
Codice 10.9: Passare a sysctl.conf
(Manualmente usando echo):
/bin/echo "0" > /proc/sys/net/ipv4/ip_forward
(Automaticamente in sysctl.conf:)
net.ipv4.ip_forward = 0
|
|
|
| Back to top |
|
|
neryo
Veteran
Joined: 09 Oct 2004
Posts: 1292
Location: Ferrara, Italy, Europe
|
| Posted: Mon Apr 04, 2005 12:01 pm Post subject: |
|
|
| Cazzantonio wrote: | mi pare basti
| Code: | | /bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all |
@k.gothmog
perché discutibile? sicuramente non è la risposta definitiva alla sicurezza in rete ma di sicuro aiuta... no? |
penso anch'io.... 
_________________
cache: a safe place for hiding or storing things..
D-link DWL-G650 AirPlus
Apache Php Mysql |
|
| Back to top |
|
|
.:chrome:.
Advocate
Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy
|
| Posted: Mon Apr 04, 2005 12:06 pm Post subject: |
|
|
| Cazzantonio wrote: | mi pare basti
| Code: | | /bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all |
@k.gothmog
perché discutibile? sicuramente non è la risposta definitiva alla sicurezza in rete ma di sicuro aiuta... no? |
perché c'è la via corretta è appunto quella che hai indicato tu, via sysctl, che è stata implementata apposta per queste cose  |
|
| Back to top |
|
|
rota
l33t
Joined: 13 Aug 2003
Posts: 960
|
| Posted: Mon Apr 04, 2005 9:18 pm Post subject: |
|
|
infatti mica lo uso per la sicurerzza....
pero ametterai che cosi allontano i piu curiosino????? e o meno lavoro...... |
|
| Back to top |
|
|
neon
l33t
Joined: 04 Aug 2003
Posts: 759
Location: Catania, Italy, Europe
|
| Posted: Mon Apr 04, 2005 10:40 pm Post subject: |
|
|
| k.gothmog wrote: | | perché c'è la via corretta è appunto quella che hai indicato tu, via sysctl, che è stata implementata apposta per queste cose |
| Quote: | # /bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
Questo comando farà si che il kernel semplicemente ignori del tutto i messaggi ping, conosciuti anche come messaggi ICMP di tipo 0. La ragione di questa scelta è che il pacchetto IP che trasporta il messaggio icmp può contenere nel proprio payload più informazioni di quanto pensiate. Gli amministratori usano ping come un tool per la diagnostica e quindi spesso si rammaricano di non poterlo utilizzare. Non v'è invece motivo per permettere ad un estraneo di "pingarci". A volte può essere utile agli utenti interni potersi servire di ping. La soluzione a tutto ciò può essere di disabilitare gli icmp di tipo 0 nel firewall. |
Se io voglio continuare a pingare in locale non ho bisogno di disabilitare completamente il ping. Come al solito non esiste LA VIA, ma ci sono molti modi (tutti corretti) per risolvere uno stesso problema...
_________________
Io credo che le tecnologie siano moralmente neutrali fino a quando non le utilizziamo - William Gibson
LINEE GUIDA DEL FORUM |
|
| Back to top |
|
|
rota
l33t
Joined: 13 Aug 2003
Posts: 960
|
| Posted: Tue Apr 05, 2005 5:11 am Post subject: |
|
|
| squsate ..ma non basta impostare iptables affincjhe su una schedda blocchi il ping è sull'altra no ???cosi lare interna puo pingare ecc e quelli fuori no ....??? |
|
| Back to top |
|
|
.:chrome:.
Advocate
Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy
|
| Posted: Tue Apr 05, 2005 7:10 am Post subject: |
|
|
| rota wrote: | | squsate ..ma non basta impostare iptables affincjhe su una schedda blocchi il ping è sull'altra no ???cosi lare interna puo pingare ecc e quelli fuori no ....??? |
la questione è in realtà molto più sottile. quello che indiche te funziona, certamente, ma non è una soluzione formalmente corretta.
puoi invece dire al kernel di ignorare le echo request.
spesso chi blocca il ping con iptables taglia la testa al toro mandando in drop tutti i pacchetti ICMP, il che è ovviamente una delle più grandi cazzate che si possano fare. l'obiezione è che se proprio vuoi fermare un tipo di ICMP tanto vale disabilitarne l'intercettazione da parte del kernel, piuttosto che filtrarlo con il firewall.
sarebbe come voler mettere un tappo ad un rubinetto aperto, quando basterebbe invece chiudere il rubinetto
la soluzione corretta è quella che ti hanno indicato cazzantonio, tiro, e neryo |
|
| Back to top |
|
|
.:chrome:.
Advocate
Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy
|
| Posted: Tue Apr 05, 2005 7:18 am Post subject: |
|
|
| rota wrote: | | pero ametterai che cosi allontano i piu curiosino????? e o meno lavoro...... |
falso. in entrambi i casi.
non è vero che hai meno lavoro perché hai anche gli ICMP da gestire a livello di firewall, e per poco che sia è qualcosa in più.
non allontani i curiosi perché non è a forza di ping che si individuano le macchine su cui andare a curiosare, ma con altri tipi di scansione, che possono andare a più basso livello, e quindi non guadagni assolutamente nulla.
forse è vero che fermerai i curiosi, quelli che ti fanno giusto un portscan e nulla di più perché non sanno fare altro. quelli che non si limitano al portscan non li fermi certo così, e quelli sono i personaggi pericolosi, che possono sfruttare una vulnerabilità dalla quale non ti metterai certo al riparo nascondendoti... mi spiace disilluderti, ma ignorare i ping non serve proprio a nulla. è una soluzione da "manuale delle giovani marmotte" |
|
| Back to top |
|
|
neon
l33t
Joined: 04 Aug 2003
Posts: 759
Location: Catania, Italy, Europe
|
| Posted: Tue Apr 05, 2005 11:38 am Post subject: |
|
|
| k.gothmog wrote: | | spesso chi blocca il ping con iptables taglia la testa al toro mandando in drop tutti i pacchetti ICMP, il che è ovviamente una delle più grandi cazzate che si possano fare. l'obiezione è che se proprio vuoi fermare un tipo di ICMP tanto vale disabilitarne l'intercettazione da parte del kernel, piuttosto che filtrarlo con il firewall. |
Torno a dire che le soluzioni sono ugualmente corrette dipende da quello che si deve fare. Se io voglio continuare a pingare dalla lan e posso bloccare solo i ping esterni perche' dovrei disabilitare tutto???
| k.gothmog wrote: | | sarebbe come voler mettere un tappo ad un rubinetto aperto, quando basterebbe invece chiudere il rubinetto |
No, sarebbe come chiudere l'acqua di tutta la casa per un rubinetto che perde...
_________________
Io credo che le tecnologie siano moralmente neutrali fino a quando non le utilizziamo - William Gibson
LINEE GUIDA DEL FORUM |
|
| Back to top |
|
|
AlterX
l33t
Joined: 03 Apr 2004
Posts: 754
Location: rm -rf /*
|
| Posted: Tue Apr 05, 2005 2:04 pm Post subject: |
|
|
| neon wrote: | | k.gothmog wrote: | | spesso chi blocca il ping con iptables taglia la testa al toro mandando in drop tutti i pacchetti ICMP, il che è ovviamente una delle più grandi cazzate che si possano fare. l'obiezione è che se proprio vuoi fermare un tipo di ICMP tanto vale disabilitarne l'intercettazione da parte del kernel, piuttosto che filtrarlo con il firewall. |
Torno a dire che le soluzioni sono ugualmente corrette dipende da quello che si deve fare. Se io voglio continuare a pingare dalla lan e posso bloccare solo i ping esterni perche' dovrei disabilitare tutto???
| k.gothmog wrote: | | sarebbe come voler mettere un tappo ad un rubinetto aperto, quando basterebbe invece chiudere il rubinetto |
No, sarebbe come chiudere l'acqua di tutta la casa per un rubinetto che perde... |
Super quotato |
|
| Back to top |
|
|
.:chrome:.
Advocate
Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy
|
| Posted: Tue Apr 05, 2005 2:30 pm Post subject: |
|
|
| neon wrote: | | Torno a dire che le soluzioni sono ugualmente corrette dipende da quello che si deve fare. Se io voglio continuare a pingare dalla lan e posso bloccare solo i ping esterni perche' dovrei disabilitare tutto??? |
ma infatti puoi farlo solo per determinate interfacce. chi ha mai detto che si deve bloccare tutto quanto?
basta dare un'occhiata in /proc per capire tutto, e nella documentazione del kernel c'è tutto quanto |
|
| Back to top |
|
|
gutter
Bodhisattva
Joined: 13 Mar 2004
Posts: 7162
Location: Aarau, Aargau, Switzerland
|
| Posted: Tue Apr 05, 2005 3:33 pm Post subject: |
|
|
Concordo con k.gothmog, in questo caso la sua soluzione è più pulita oltre che più elegante.
_________________
Registered as User #281564 and Machines #163761 |
|
| Back to top |
|
|
dboogieman
Apprentice
Joined: 02 Oct 2004
Posts: 197
|
| Posted: Wed Apr 06, 2005 4:26 pm Post subject: |
|
|
Ciao a tutti concordo con in pieno con k.gothmog, in quanto con l'icmp avvengono negoziazioni in merito al MTU (Maximum Transfer Unit) (e messagi di controllo sulle sessioni), droppando tutto l'icmp si rischia di avere cattive negoziazioni con molti protocolli di livelllo Transport quali TCP oppure UDP...se proprio vuoi "chiudere" un po' di icmp quanto meno lascia in permit:
echo reply---> Code=0
destinationo unreacheable---> Code=3
source quench---->Code=4
echo---->Code=8
time exceeded-->Code=11
spero possa esserti utile
Ciao
dboogieman |
|
| Back to top |
|
|
rota
l33t
Joined: 13 Aug 2003
Posts: 960
|
| Posted: Wed Apr 06, 2005 9:20 pm Post subject: |
|
|
| grazzie a tutti... |
|
| Back to top |
|
|
gutter
Bodhisattva
Joined: 13 Mar 2004
Posts: 7162
Location: Aarau, Aargau, Switzerland
|
| Posted: Wed Apr 06, 2005 9:51 pm Post subject: |
|
|
| rota wrote: | | grazzie a tutti... |
Per favore metti il tag [Risolto] al titolo.
_________________
Registered as User #281564 and Machines #163761 |
|
| Back to top |
|
|
|
Forum italiano (Italian)
