mascherare le porte

[nickmadison]

mi stavo chiedendo se utilizzare una porta al posto di un altra possa essere un buon deterrente per eventauali attacchi esterni.
ad esempio: ho un server FTP su porta 21, se io lo imposto che eroghi il servizio sulla porta 123 chi dall' esterno proverà ad effettuare un net scan penserà che probabilmente il mio server nn ha una servizio FTP attivo ma bensì un servizio Network Time (porta 123), escludendo in tal modo il mio server da una eventuale azione di attacco rivolta ad accedere tramite il servizio ftp.
Può essere un valido sistema di "nascondersi" o è una cavolata?

[billiejoex]

Si, non utilizzare le well known port è un buon diversivo, specialmente per il fatto che difficilmente qualcuno ti fa uno scanning su tutte le oltre 65000 porte dato che ci starebbe diverse ore.
La maggior parte degli scanner, di default, scannerizzano non piu di un centinaio di porte, prese appunto dall'elenco delle piu "quotate" (21, 22, 23, 25, 80, 135, 139 ecc...)

L'unico "inconveniente" è che per visualizzare il tuo server ftp un utente dovrebbe sempre stare a specificare la porta inserendo un indirizzo di questo tipo:

ftp://tuo_server:123

[adarkar]

ho nmappato poco fa qualche amico su tutte le 65536 porte e ci ha messo a esagerare un paio di minuti

imho cambiare porta non è efficientissimo, perchè ogni volta devi distribuire la porta agli utenti, come ti è già stato fatto notare, e secondo me questo è scomodo. inoltre cambiare da 21 a 123 ancora non è un'ottima idea, inquanto come saprai almeno le prima 1024 porte andrebbero lasciate stare

secondo me se devi tenere su un servizio la cosa importante è assicurarsi che il software sia buono e non un gruviera, in tal modo puoi stare molto più sicuro che usando un server buggato su una porta strana

[billiejoex]

ho nmappato poco fa qualche amico su tutte le 65536 porte e ci ha messo a esagerare un paio di minuti

VVoVe: io solitamente ho ben altri tempi

[antares11]

Originariamente inviato da adarkar
ho nmappato poco fa qualche amico su tutte le 65536 porte e ci ha messo a esagerare un paio di minuti
...........

delucidami, plz

[nickmadison]

siamo in 3 utenti che utilizziamo quel server, quindi nn credo sia un problema utilizzare una porta nn convenzionale,

assicurarsi che il software sia buono e non un gruviera, in tal modo puoi stare molto più sicuro che usando un server buggato su una porta strana

ma se io uso un server buono su una porta strana è ancora meglio, vero?

ho nmappato poco fa qualche amico su tutte le 65536 porte e ci ha messo a esagerare un paio di minuti

questo mi sembra dovrebbe dipendere dal tipo di banda entrante/uscente, sicuramente all' interno di una lan è veloce, in remoto con una classica adsl molto meno.

[makuro]

Originariamente inviato da nickmadison
chi dall' esterno proverà ad effettuare un net scan penserà che probabilmente il mio server nn ha una servizio FTP attivo ma bensì un servizio Network Time (porta 123), escludendo in tal modo il mio server da una eventuale azione di attacco rivolta ad accedere tramite il servizio ftp.

Una scansione di nmap con determinati parametri specifica la volontà di testare il servizio, in modo da riconoscere server ftp in ascolto su porte non consuete...
Il sistema comunque vale per proteggersi da scansioni di "massa" volte a sfruttare bug precisi. Un attacco mirato non ne risente più di tanto. Un attacco automatizzato si.

[Habanero]

Originariamente inviato da nickmadison
mi stavo chiedendo se utilizzare una porta al posto di un altra possa essere un buon deterrente per eventauali attacchi esterni.
ad esempio: ho un server FTP su porta 21, se io lo imposto che eroghi il servizio sulla porta 123 chi dall' esterno proverà ad effettuare un net scan penserà che probabilmente il mio server nn ha una servizio FTP attivo ma bensì un servizio Network Time (porta 123), escludendo in tal modo il mio server da una eventuale azione di attacco rivolta ad accedere tramite il servizio ftp.
Può essere un valido sistema di "nascondersi" o è una cavolata?

il cambio porta puo' aiutare ma non come unica soluzione....

- come ti è stato detto la cosa più importante è che il tuo server sia patchato
- password e username non banali, disabilita l'account anonymous.
- in aggiunta se puoi disabilita il banner di presentazione del server.