http://www.zago.eti.br/firewall/port-scanner.txt Use CTRL+F para refinar a pesquisa. Linha de: **************** separa mensagens ou tópicos. ******************************************************** Zago http://www.zago.eti.br/menu.html FAQ e artigos sobre Linux ******************************************************** ******************************************************** ******************************************************** Lista das principais portas usadas na rede, porta X aplicação. http://www.abusar.org/manuais/relacao_portas.html http://www.abusar.org/manuais/portlist.html ******************************************************** -> [ Port Scan Attack Detector 1.2.3 ]   Port Scan Attack Detector (psad) é um programa desenvolvido em PERL e designado para ser utilizado com o IPTABLES (do Linux 2.4.x) e IPCHAINS (do Linux 2.2.x) na detecção de port scans... Possui diversas opções de configuração, mensagens de alerta extremamente completas incluindo o destino, origem, range de portas, início e fim (tempo) do port scan, flags TCP, opções nmap utilizadas (apenas para Linux 2.4.x), bloqueio automático de enderecos IP através de configurações dinâmicas de regras ipchains/iptables e muito mais... Um exemplo de relatório gerado pode ser visto através do link abaixo... Mais informacoes: http://www.linuxsecurity.com.br/article.php?sid=7830 ******************************************************** De:  Manoel Pinho Para:  Oscar Gemperle Vianna Cc:  Lista Linux BR Assunto:  Re: (linux-br) Segurança (Port scanner) Data:  Fri, 12 Sep 2003 22:52:28 -0300 Oscar Gemperle Vianna escreveu: Pegando uma carona na conversa sobre segurança, gostaria de perguntar se > alguem sabe de um bom site que realize uma "scanneada" no meu computador > afim de verificar se tem alguma porta aberta sem necessidade. > > Gostaria que fosse algo realmente externo à minha rede e não somente um port > scanner em minha máquina verificando o que está aberto. > Teste o seu firewall nos sites http://scan.sygatetech.com/ http://www.auditmypc.com/ https://grc.com/x/ne.dll?bh0bkyd2 ******************************************************** De:  Ricardo Guedes Para:  Oscar Gemperle Vianna , Lista Linux BR Assunto:  Re: (linux-br) Segurança (Port scanner) Data:  Fri, 12 Sep 2003 22:24:57 -0400 Oi Oscar, Tem uns interessantes na INTERNET. Eu uso 2 as vezes. São eles: www.grc.com e www.securityspace.com. O último necessita de cadastro. Acho os dois muito eficientes. Teste-os. Ricardo Guedes > Pegando uma carona na conversa sobre segurança, gostaria de perguntar se > alguem sabe de um bom site que realize uma "scanneada" no meu computador > afim de verificar se tem alguma porta aberta sem necessidade. ******************************************************** De:  zgrp unknow Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br) Segurança_(Port_scanner) Data:  Mon, 15 Sep 2003 09:20:16 -0300 (ART) Olá, De uma olhada no nmap ( www.insecure.org/nmap/ ) um dos melhores port-scanners (senao for o melhor). [ ]'s ******************************************************** De:  Hamacker Para:  Carlos Eduardo Cc:  Lista - Linux Assunto:  Re: (linux-br)  tive uma duvida quando visitei um site .. alguem poderia me dar uma     ajuda Data:  Wed, 07 Jan 2004 10:44:03 -0200 Sim. Isso ocorre porque a maioria dos serviços possuem métodos para mostrar o banner de si mesmo, o banner é aquele texto inicial quando damos um telnet/ftp no serviço, as vezes o método que se usou para descobrir qual serviço estava rodando não é pelo banner, as vezes pode ser estilo/datagramas/cabecalho dos pacotes, ovos de pascoa, engenharia reversa, etc... se alguem der um telnet 200.x.x.x:80 poderá saber o que quiser de seu apache. Para retira-los, tem de verificar serviço por serviço e descobrir se há um método de eliminar o banner ou manter-se silencioso na rede. Em muitos casos é uma questão de mexer no arquivo de configuracao em outros casos envolve a recompilacao do programa. inte+ Carlos Eduardo wrote: Documento sem títuloPessoal, andei lendo algumas coisas sobre segurança e vi > algo falando que no site > http://news.netcraft.com/ da pra ver o sistema operacional o apache e etc.. > que usa > um determinado servidor, entrei nesse site e mandei verificar o dominio aqui > da empresa > que trabalho e verifiquei que mostra realmente qual a distribuição , qual a > versao do apache > entre outros detalhes... ai vem a duvida... tem algo que possa ser feito que > não deixe > mostrar a distribuição que uso e a versão do apache ? no meu caso usamos o > conectiva > linux e mostrou até isso . De:  Marcio Merlone Para:  Carlos Eduardo Cc:  Lista - Linux Assunto:  Re: (linux-br) tive uma duvida quando visitei um site .. alguem poderia me dar uma ajuda Data:  Wed, 7 Jan 2004 09:26:15 -0200 On Wed, 7 Jan 2004 08:23:50 -0200 "Carlos Eduardo" (CE) wrote: CE> entre outros detalhes... ai vem a duvida... tem algo que possa ser CE> feito que não deixe CE> mostrar a distribuição que uso e a versão do apache ? no meu caso CE> usamos o conectiva CE> linux e mostrou até isso . http://httpd.apache.org/docs/mod/core.html#servertokens Não sei em relação a distribuição, etc, mas pelo menos versão do apache esconde tudo. -- --    Marcio Merlone  mm@surf.com.br khan@inferno.com.br marcio@mersant.com.br  ICQ UIN #13746928 - Linux user #104911 ******************************************************** De:  marcuslima@marcuslima.eti.br Para:  hamacker@vidy.com.br Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)  tive uma duvida quando visitei um site .. alguem poderia me dar uma     ajuda Data:  Wed, 7 Jan 2004 18:05:13 -0400 (AMT) > Para retira-los, tem de verificar serviço por serviço e descobrir se há > um método de eliminar o banner ou manter-se silencioso na rede. Em > muitos casos é uma questão de mexer no arquivo de configuracao em outros >  casos envolve a recompilacao do programa. Especificamente no caso do Apache, aprenda como editar o banner: http://httpd.apache.org/docs/mod/core.html#servertokens Marcus Lima Consultor de Segurança Aker Security Solutions - Regional RJ/ES www.aker.com.br ******************************************************** -> [ Introdução do Nessus, parte 3 ]   Último artigo da série escrita por Harry Anderson, com informações a respeito da ferramenta de segurança Nessus, um conhecido scanner de vulnerabilidades...  Primeiro e segundo artigos da série podem ser acessados, respectivamente, através dos endereços http://www.linuxsecurity.com.br/article.php?sid=8003 e http://www.linuxsecurity.com.br/article.php?sid=8127 ... Mais informacoes: http://www.linuxsecurity.com.br/article.php?sid=8257 ___ ******************************************************** De:  Eduardo Mota Para:  Webmaster Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)IPTABLES no RH9 Data:  Tue, 24 Feb 2004 12:38:12 -0300 Olá Cléo, Uma coisa importa é verificar os IPs usados nos exemplos. Cada um terá seu IP válido ou estrutura de rede interna. Com relação a verificar portas aberta ou fechadas. Existe um programa muito bom, chamado: nmap Ele é um PortScan (procurador de portas). Exemplo de uso (supondo que o IP da máquina é: 192.168.0.1) # nmap 192.168.0.1 -sU -sT Com isso, ele irá mostrar as portas abertas: -sU = portas UDP -sT = portas TCP Agora, sobre o protocolo ICMP, não tenho nada em mente para verificar isso. Mas, dica, visite e veja o diretório: # cd /proc/sys/net/ipv4 Lá você encontrará vários arquivos legais para análise. Por exemplo: icmp_ignore_echo_replay (ou algo assim). Colocando o valor 1 nele, o Linux não responde mais ping :-) # echo 1 > /proc/sys/net/ipv4/icmp_ignore_echo_replay Webmaster wrote: Olá pessoal da lista, > > Estou utilizando o RH9 e tentei usar alguns exemplos de IPTABLES > apresentados nesta lista, porém não deu certo, e gostaria de > esclarecimento sobre isto. > > Como verificar quais portas estão abertas e como fechar. > > Não responder a PINGs e outros mais. > Obrigado a todos, > Cléo >   > -- Atenciosamente, Eduardo Mota. ----------------------------------------- http://www.emota.com.br emota@emota.com.br Linux User: 272219 Telefone: (11) 9667-5317 - UIN: 2731255 ******************************************************** De:  Manoel Pinho Para:  Syndson Silva Cc:  Linux-BR Assunto:  Re: (linux-br)Substituto do Queso Data:  Sat, 28 Feb 2004 19:02:01 -0300 Syndson Silva escreveu:         Alguém sabe se existe programa mais atualizado para pesquisar o sistema > operacional de um computador remoto?   Sei que até existe página na > internet que faz isso, e que no Linux, existe o Queso, que identifica, > mas está sem manutenção há muito tempo (pra ter idéia,  minha máquina > ainda é identificada como Linux  kernel 2.1.xxx, quando meu Kernel já é > 2.4.20).   > Use o nmap com a opção -O: [root@athlon root]# nmap Some Common Scan Types ('*' options require root privileges) * -sS TCP SYN stealth port scan (default if privileged (root))   -sT TCP connect() port scan (default for unprivileged users) * -sU UDP port scan   -sP ping scan (Find any reachable machines) * -sF,-sX,-sN Stealth FIN, Xmas, or Null scan (experts only)   -sR/-I RPC/Identd scan (use with other scan types) Some Common Options (none are required, most can be combined): * -O Use TCP/IP fingerprinting to guess remote operating system   -p ports to scan.  Example range: '1-1024,1080,6666,31337'   -F Only scans ports listed in nmap-services   -v Verbose. Its use is recommended.  Use twice for greater effect.   -P0 Don't ping hosts (needed to scan www.microsoft.com and others) * -Ddecoy_host1,decoy2[,...] Hide scan using many decoys   -T General timing policy   -n/-R Never do DNS resolution/Always resolve [default: sometimes resolve]   -oN/-oX/-oG Output normal/XML/grepable scan logs to   -iL Get targets from file; Use '-' for stdin * -S /-e Specify source address or network interface   --interactive Go into interactive mode (then press h for help) Example: nmap -v -sS -O www.my.com 192.168.0.0/16 '192.88-90.*.*' SEE THE MAN PAGE FOR MANY MORE OPTIONS, DESCRIPTIONS, AND EXAMPLES ******************************************************** De:  Carlos Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br) Verificar segurança em firewall Data:  Thu, 18 Mar 2004 00:00:33 -0300 >Bom dia,   >  Estou com uma dúvida, configurei um firewall linux com CL 8 e gostaria > de saber como eu faço para saber se a máquina está segura e se as portas > certas estão fechadas.    > Agradeço desde já a atenção. Veja esta página também: http://www.nessus.org/ Essa ferramenta, assim como outras de maior amplitude (necessitam de configuracoes mais complexas) são para um segundo passo no que voce precisa. Antes voce deve verificar logo que portas estao abertas em sua máquina com nmap , iptraf (vide outro mail que enviei sobre sua questão falando um pouco sobre essas ferramentas) e tcpdump . Sao ferramentas mais ágeis de primeira instancia , onde voce ainda nao sabe nem quais portas seu servidor esta escutando. Depois dessa primeira etapa voce deveria ler sobre ferramentas de segurança e depois disso aprender ferramentas de auditoria e scanners de vulnerabilidades. Saúde , Carlos. ******************************************************** O SATAN é um port scanner. Ele vasculha as portas de conexão do protocolo TCP em busca de possíveis brechas de segurança em servidores e máquinas na rede. Ele, portanto, não é um firewall, muito pelo contrário. Ele pode ser usado tanto como ferramenta para invadir uma rede, quanto para testar sua rede em busca de falhas de segurança. Depende da intenção. É um clássico dos port scanners. Mas há outros, como o nmap, por exemplo. Eles chegam até a apresentar a versão do sistema operacional e o nível de dificuldade de invasão. **************************************************************************** > Assunto: SATAN > Data: Quarta-feira, 2 de Agosto de 2000 09:39 > > S ecurity > A dministrator's > T ool for > A nalyzing > N etworks > > Alguém pode me dizer onde posso encontrar um FAQ em português sobre a > instalação do SATAN??? --------- O satan eh uma ferramenta de auditoria um pouco antiga , nao sei da sua atualizaçao , mais existe outros derivados do mesmo , como o sara , a sua instalaçao se esbarra basicamente em alguns links e paths erroneos , scripts feitos em perl e poucos em c e bash mostram uma analise crua da possivel vulnerabilidade , desconheço qualquer tipo de manual de instalaçao , os muitos docs que vem com ele complicam e explicam ao mesmo tempo :) , v lah o que vc vai aprontar , olhe os paths e links . **************************************************************************** o SATAN (substituído pelo SAINT) era uma espécie de 'port scanner'. Ele verifica a configuração do computador/rede em busca de vulnerabilidades. Leia a documentação que acompanha o mesmo. **************************************************************************** ******************************************************** ********************************************************