Como mudar todas as portas para STEALTH ?

[docetrago]

Pessoal,

fiz o teste das primeiras 1056 portas no Shields Up! http://www.grc.com e ficou assim :

----------------------------------------------------------------------

GRC Port Authority Report created on UTC: 2009-08-20 at 23:16:53

Results from scan of ports: 0-1055

    0 Ports Open
1052 Ports Closed
    4 Ports Stealth
---------------------
1056 Ports Tested

NO PORTS were found to be OPEN.

Ports found to be STEALTH were: 21, 23, 69, 80

Other than what is listed above, all ports are CLOSED.

TruStealth: FAILED - NOT all tested ports were STEALTH,
                   - NO unsolicited packets were received,
                   - A PING REPLY (ICMP Echo) WAS RECEIVED.

----------------------------------------------------------------------

Quero saber como configurar o Firestarter e o modem D-LINK DSL 500G Generation IV de forma a deixar todas as portas em STEALTH.

O modem está em modo router.

Alguém pode me ajudar ?

Grato.

[VB5]

docetrago,

parece estar (quase...) tudo bem. Todas as suas portas estão fechadas ( o que é o correto) exceto as portas citadas, que estão porém ocultas. A porta 21 é do FTP ( tudo bem), e a 80 é do HTTP ( idem). Entretanto, a porta 23 é do Telnet ( perigoso; se acessa outras máquinas por ele, mude para SSH) e a 69 não conheço, nem achei nada a respeito - sugiro que feche ambas no Firestarter. O ICMP ( ping) não é problema, só indica que você está na rede.

VB5

[docetrago]

docetrago,

parece estar (quase...) tudo bem. Todas as suas portas estão fechadas ( o que é o correto) exceto as portas citadas, que estão porém ocultas. A porta 21 é do FTP ( tudo bem), e a 80 é do HTTP ( idem). Entretanto, a porta 23 é do Telnet ( perigoso; se acessa outras máquinas por ele, mude para SSH) e a 69 não conheço, nem achei nada a respeito - sugiro que feche ambas no Firestarter. O ICMP ( ping) não é problema, só indica que você está na rede.

VB5

VB5 obrigado pela resposta. Andei fuçando nas configurações do modem e to quase conseguindo o resultado que quero.

Pelo que entendi dos resultados, é melhor colocar tudo como STEALTH. Mas ainda tenho muitas dúvidas :

- Como é que fecho a TELNET via Firestarter ?
- Como colocar tudo em STEALTH num router ?

Aqui :

Pacotes TCP solicitados: RECEBIDOS (FALHOU) — Como detalhado no relatório abaixo, uma ou mais das portas do seu sistema respondeu(ram) ativamente às nossas tentativas deliberadas de estabelecer conexão. Geralmente é possível elevar a segurança do seu sistema ocultando-as de testes por parte de hackers em potencial. Por favor veja os detalhes apresentados nos links específicos das portas, bem como os vários recursos neste site e em nossa útile ativa comunidade.

Pacotes não solicitados PASSOU — Nenhum pacote de qualquer espécie foi recebido pelo seu sitema como resultado de nossas tentativas de obter resposta das portas. Alguns sistemas de segurança questionável expõem os usuários ao responder a tais tentativas, revelando sua atividade. Mas o seu sistema permaneceu astuciosamente silencioso. ( Exceto pelo fato de que nem todas as portas estavam ocultas )

Ping Echo: PASSOU — Seu sistema ignorou e recusou-se a responder a repetidos PINGś (ICMP Echo Requests) de nosso servidor.

[VB5]

Pelo que entendi dos resultados, é melhor colocar tudo como STEALTH.

Apenas as portas que usa - as demais, por estarem fechadas, não é necessário. Geralmente as usadas são as referentes ao HTTP, FTP, POP e SMTP.

- Como é que fecho a TELNET via Firestarter ?

Abra o Firestarter, vá em "Políticas" e veja se há alguma regra para TELNET; se houver, remova-a.

- Como colocar tudo em STEALTH num router ?

O Firestarter não atua no router, e sim na máquina onde está instalado.

Pacotes TCP solicitados: RECEBIDOS (FALHOU) — Como detalhado no relatório abaixo, uma ou mais das portas do seu sistema respondeu(ram) ativamente às nossas tentativas deliberadas de estabelecer conexão. Geralmente é possível elevar a segurança do seu sistema ocultando-as de testes por parte de hackers em potencial. Por favor veja os detalhes apresentados nos links específicos das portas, bem como os vários recursos neste site e em nossa útile ativa comunidade.

Veja no relatório qual(is) porta(s), e poste aqui. Não costumo desabilitar o ping (ICMP) pois isso atrapalha o estabelecimento de conexões.

VB5

[docetrago]

Caro VB5,

por favor, poderia me esclarecer sobre isso aqui ? Não entendi porque o nmap acusa as portas como abertas e o Shields Up! diz o contrário...

~$ sudo nmap 10.1.1.1

Starting Nmap 4.76 ( http://nmap.org ) at 2009-08-23 21:13 BRT
Interesting ports on 10.1.1.1:
Not shown: 996 closed ports
PORT     STATE SERVICE
21/tcp   open  ftp
23/tcp   open  telnet
80/tcp   open  http
8701/tcp open  unknown

Nmap done: 1 IP address (1 host up) scanned in 1.28 seconds

[docetrago]

Pelo que entendi dos resultados, é melhor colocar tudo como STEALTH.

Apenas as portas que usa - as demais, por estarem fechadas, não é necessário. Geralmente as usadas são as referentes ao HTTP, FTP, POP e SMTP.

Ok ! Estão em stealth.

- Como é que fecho a TELNET via Firestarter ?

Abra o Firestarter, vá em "Políticas" e veja se há alguma regra para TELNET; se houver, remova-a.

Está em stealth no Shields Up!, mas no nmap não...

- Como colocar tudo em STEALTH num router ?

O Firestarter não atua no router, e sim na máquina onde está instalado.

Ok. Então não é possível fazer o que eu quero com o Firestarter. Há outro aplicativo que atue no router ?

Pacotes TCP solicitados: RECEBIDOS (FALHOU) — Como detalhado no relatório abaixo, uma ou mais das portas do seu sistema respondeu(ram) ativamente às nossas tentativas deliberadas de estabelecer conexão. Geralmente é possível elevar a segurança do seu sistema ocultando-as de testes por parte de hackers em potencial. Por favor veja os detalhes apresentados nos links específicos das portas, bem como os vários recursos neste site e em nossa útile ativa comunidade.

Veja no relatório qual(is) porta(s), e poste aqui. Não costumo desabilitar o ping (ICMP) pois isso atrapalha o estabelecimento de conexões.

GRC Port Authority Report created on UTC: 2009-08-24 at 00:42:49

Results from scan of ports: 0-1055

    0 Ports Open
1045 Ports Closed
   11 Ports Stealth
---------------------
1056 Ports Tested

NO PORTS were found to be OPEN.

Ports found to be STEALTH were: 15, 21, 23, 25, 29, 69, 80,
                                116, 118, 120, 123

Other than what is listed above, all ports are CLOSED.

TruStealth: FAILED - NOT all tested ports were STEALTH,
                   - NO unsolicited packets were received,
                   - NO Ping reply (ICMP Echo) was received.


VB5

[VB5]

Por partes...

- a porta 21, tudo bem;
- a porta 23 (Telnet), está oculta mas aberta, e deveria ser fechada;
- a porta 80, tudo bem;
- a porta 8701, pelo que vi, pode ser usada para controle de largura de banda. Como é uma porta efêmera, não é testada pelo site do G R C. Verifique no Firestarter e tente fechá-la. Acho que há alguma diferença entre o que o nmap e o site consideram uma porta aberta. Há conexões nessa porta?

Ok. Então não é possível fazer o que eu quero com o Firestarter. Há outro aplicativo que atue no router ?

O próprio router possui uma firewall interna, basta configurá-la acessando-o pelo browser.

VB5

[docetrago]

Por partes...

- a porta 21, tudo bem;
- a porta 23 (Telnet), está oculta mas aberta, e deveria ser fechada;
- a porta 80, tudo bem;
- a porta 8701, pelo que vi, pode ser usada para controle de largura de banda. Como é uma porta efêmera, não é testada pelo site do G R C. Verifique no Firestarter e tente fechá-la. Acho que há alguma diferença entre o que o nmap e o site consideram uma porta aberta. Há conexões nessa porta?

O próprio router possui uma firewall interna, basta configurá-la acessando-o pelo browser.

VB5

Certo, VB5.

O que eu consegui aqui foi colocar a 8701 em stealth com a seguinte configuração no router :

WAN > Advanced > Filters > Inbound Filter

Inbound Filter List

#1
-----------------------------
Source IP   : Any IP
Destination IP   : Any IP
Source Port : Any Port
Destination Port : 8701
Prot. : TCP
Act.    : Deny
-----------------------------

Tentei fazer a mesma coisa com a 23 Telnet, mas não deu certo.

[0tacon]

Não compliquem!
Abra a janela do Firestarter, vá em Preferências > Filtragem ICMP e marque a caixa Habilitar Filtragem de ICMP. Deixe todas as outras caixas nessa seção em branco! E o resto das configurações mais complexas no padrão, ou do jeito que estiverem mesmo. Esqueça TdS ou seja lá o que for. Feito isso, teste.

[VB5]

Não compliquem!
Abra a janela do Firestarter, vá em Preferências > Filtragem ICMP e marque a caixa Habilitar Filtragem de ICMP. Deixe todas as outras caixas nessa seção em branco! E o resto das configurações mais complexas no padrão, ou do jeito que estiverem mesmo. Esqueça TdS ou seja lá o que for. Feito isso, teste.

Ele parece já estar com o ping desabilitado:

TruStealth: FAILED - NOT all tested ports were STEALTH,
                   - NO unsolicited packets were received,
                   - NO Ping reply (ICMP Echo) was received.

VB5

[docetrago]

0tacon,

confirmo o que disse o VB5, está desabilitado o ping.

Eu tentei fechar a porta 23 configurando no router, mas não dá certo ( as páginas não carregam mais e acabo tendo de resetá-lo ).

Por ora, estou aqui estudando o assunto, por pura curiosidade sobre esse assunto fantástico ( segurança ).

Requer paciência, porque temos um belo firewall pronto pra usar ( iptables, ipchains, ... ) mas tem de estudar e praticar bastante rsrsrsr.

Qualquer dica vinda de vocês, agradeço demais.

Um abraço !

[docetrago]

Caros,

tudo resolvido agora : todas as portas devidamente verificadas e em stealth. Como ?

Fiz uma varredura de portas usando Sistema > Administração > Ferramentas de Rede > Varredura de Portas. Resultado : abertas somente as portas 21 e 80. As portas 23 e 8701 eu fechei configurando o router com :

WAN > Advanced > Filters > Inbound Filter

Inbound Filter List

#1 ( exemplo para a porta 8701 ) :
-----------------------------
Source IP   : Any IP
Destination IP   : Any IP
Source Port : Any Port
Destination Port : 8701 ( por exemplo )
Prot. : TCP
Act.    : Deny
-----------------------------

Então pesquisei no Google sobre como colocar todas as portas em Stealth, e encontrei um link ( em inglês ) onde o forista queria colocar somente a 113 em Stealth, mas percebi que pela explicação dada isso iria deixar todas nesse estado.

http://www.tomshardware.com/forum/12929-42-stealth-port-router

Em resumo :

- Verifiquei o intervalo de endereços que o servidor DHCP pode assumir no router navegando nos menus WAN > DHCP

- Em seguida, acessei WAN > Advanced > Port Forwarding e direcionei tudo para um IP privado fora do intervalo DHCP, criando a seguinte regra :

Private IP : 10.1.1.50 ( por exemplo )
Protocol : All   
Private Port : 0
Public Port : Any Port

A título de curiosidade, o forista explica lá no link ( lembrando que o caso dele era colocar em Stealth a porta 113 ) :

"Basicamente isso é usado para abrir um porta para o host através do firewall do router, mas você está apontando para um host que nunca pode existir porque o servidor DHCP no router NAT nunca será capaz de atribuir aquele IP.

Assim, qualquer servidor de mail antigo que ainda use o protocolo auth/ident via porta 113 ira envia-lo para o seu router, que roteia isso para um host que nao existe, de forma que nunca haverá resposta. Quando você faz o teste do site GRC você entâo verá que a porta 113 nunca responde aos testes ( ao contrário de imediatamente retornar um status de aberta ou fechada, que também declara que algo existe para identificar o status ).

Não responder a uma tentativa de conexão é diferente de retornar um status de aberta ou fechada. Na primeira situação, não se revela a existência ou não de algo do outro lado. A outra situação, obviamente, requer que algo exista a fim de retornar o status. Provavelmente o hacker irá tentar novamente se souber que as portas estão fechadas mas que você existe.

Não responder significa que o hacker não saberá se sua rede não existe ou se está desligada. Desta forma deixam-se eles "no escuro" e possivelmente evitam-se novas tentativas de invasão. Para aqueles que argumentam que ocultar uma porta ( não respondendo a tentativas de conexão ) não é proteção melhor do que reportar ativa e imediatamente um status de "fechada" na porta, eu entendo que ocultar as portas não afeta e ainda pode ajudar, então não há porque não fazer assim."