Crack-wifi.com FORUM

LE FORUM DU SITE

Wifi, Backtrack, crack WEP et WPA...

Vous n'êtes pas identifié(e).  

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#1 26-02-2011 16:25:27

M.duck
Membre
Inscription : 17-01-2011
Messages : 16

Bloquer les scanners de ports / faille

Bonjour,

Je viens de finir quelques config iptable et j'essaye de trouver une méthode marrante pour bloquer les scanners de ports style NMAP.

Enfaite j'aimerai que lorsqu'un attaquant scan ma machine celle-ci forward le scan sur une machine virtuel poubelle ou mieu qu'elle forward sur l'attaquant lui même. En gros monsieur s'auto-scan.

Si quelqu'un a une idée smile

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#2 27-02-2011 00:30:19

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : Bloquer les scanners de ports / faille

La première étape c'est de détecter un scan pour activer les contre-mesures. Je pense que le plus simple pour ça c'est d'utiliser fail2ban pour parser tes fichiers de log et agir en conséquence, mais y a des tas de script sur le net qui font ça bien aussi.

Ensuite, il faut donner à fail2ban une (ou des) règle à appliquer en cas de scan, en remplacement du ban pur et simple (qui n'est visiblement pas assez subtil à ton goût smile). Là, je ne m'y connais pas assez ni en fail2ban ni en iptable, donc je te renvoie à cet article pour avoir une idée de comment créer une nouvelle règle
--> Utiliser fail2ban pour autoriser des connexions temporaires (solution très élégante pour le port knocking, au passage)

Pour la redirection proprement dite, je fais confiance à tes connaissances accrues en iptable, mais au cas-où tu peux peut-être t'inspirer de ça --> Redirecting network traffic to a new IP using iptables (à toi de scripter l'IP source  proprement pour renvoyer la balle à l'attaquant si tu veux)

Au passage, ceci permettra sans doute d'éviter les scans classiques et brutaux, mais Nmap (que tu cites en exemple) dispose d'une panoplie de types de scan plus lents, mais aussi beaucoup plus discrets (--> Nmap scanning techniques).
Il y a de fortes chances que ces scans avancés échappent à ta ligne de défense, mais la majorité des attaque de masses (i.e. non-ciblées) devraient être bloquées/redirigées smile

Si tu arrives à quelque chose de concret n'hésite pas à poster ton code ici, je trouve la technique amusante et intéressante wink

Hors Ligne

#3 27-02-2011 02:09:44

M.duck
Membre
Inscription : 17-01-2011
Messages : 16

Re : Bloquer les scanners de ports / faille

Connaissance accrue je ne sais pas si le terme est bon mais merci =P

Pour fail2ban c'est déja fait , il peut en effet détecter via quelques regex bien sentie les scans basique.
Pour les scans plus lent le truc c'est de bloquer par flag (SYN / ACk etc ..) et de bloquer en conséquence mais c'est assez long et compliqué à mettre en place sur iptable.

Merci pour ton lien c'est pas mal en effet !

Pour le moment je ban les scan et pas mal de nmap pas trop compliqué mais ce qui est souvent pas mal c'est de renvoyer vers un virtualbox-poubelle. On peut même imaginer des choses vraiment plus marrant comme laisser des failles ouvert dans la poubelle pour voir si le mec essayent de rentrer (même si souvent ce sont des script auto )

Un mec avait réussi à powned des script kiddy avec cette méthode , le mec leurs fait récupérer un root-kit smile

Pour le moment j'ai une 40 aine d'ip dont pas mal de windows server sp1 =°

metasploit va chauffer ^^

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

Sujets similaires

Pied de page des forums


Le coin des bonnes affaires, achats informatiques:


|   Alfa 1000 mW AWUS036H   |    Linksys WRT54GL   |    Misco, informatique   |   
 |    Ebay   |    PC portables   |    PC Gamers & Tuning   |    Cles USB   |   
|   Disques durs externes 2 To   |   
|   Wifi-highpower.com   |   


Server Stats - [ Generated in 0.022 seconds ]   Forum Stat - [ Most users ever online on the forum was : 150 on 20-09-2009 17:06:59 ]