=?ISO8859-2,ISO-8859-2?Q?Pozdrowienia_z_Warszawy-ABUSE-Skanowanie_p?= =?ISO8859-2,ISO-8859-2?Q?ort=F3w?=
Jakub Urbaniak
kuba w ski.slupsk.pl
Wto, 28 Sty 2003, 20:54:31 CET
Jestem administratorem jednej z wielu sieci na SDI, w której znajduję się
Linux PLD (2.2.x) jako bramka do Internetu oraz za maskaradą - 6 klientów
(same Windowsy). Dostałem dzisiaj polecony list z POLPAK w Warszawie, w
którym czytam:
"Dotyczy stwierdzonych nadużyć w sieci poprzez dostęp z wykorzystaniem
przydzielonych adresów IP (...) Informujemy, że w wyniku kontroli
zgłoszenia incydentu stwierdzono, że poprzez przydzielony adres IP
111.222.333.444, stanowił źródło lub pośredniczył w incydentach
naruszających bezpieczeństwo oraz ogólnie przyjęte zasady postępowania i
wymiany informacji w sieciach teleinformatycznych. W przypadku ponownego
stwierdzenia zdarzeń, TP S.A. będzie zmuszona do blokady usługi."
W załączniku przysłano mi maila (skargę) od człowieka, który zgłosił
problem pod abuse w tpsa.pl . Jako dowód przedstawił logi z firewalla, które
wyglądają tak:
Time | Event | Intruder | Count
02/01/2003 | 18:35:07 | UDP port probe | pb123.slupsk.sdi.tpnet.pl | 7
02/01/2003 | 18:39:21 | TCP port probe | pb123.slupsk.sdi.tpnet.pl | 6
02/01/2003 | 20:39:08 | TCP port probe | pb123.slupsk.sdi.tpnet.pl | 1
02/01/2003 | 20:39:12 | UDP port probe | pb123.slupsk.sdi.tpnet.pl | 1
02/01/2003 | 18:38:17 | TCP port probe | pb123.slupsk.sdi.tpnet.pl | 1
I co z tego loga wynika? Dla mnie nic. Zakładając, że może jest to jakieś
skanowanie portów to i tak odstępy między "atakami" są tak duże, że ktoś
chyba ręcznie musiał te porty wpisywać do skanera. Administrator
zaatakowanego serwera stwierdził, że "ktoś próbuje się włamać do jego
osobistego komputera". Na jakiej podstawie tak stwierdził ? Na podstawie
załączonego loga ? Bo innych dowodów mi nie przedstawiono. Niedługo do
abusa wysyłane będą maile od administratorów, którzy tak czule
skonfigurują firewalla, że w logu będą znajdować się wpisy kiedy i o
jakiej godzine pingował maszynę.
Uważam gościa za paranoika, który się nudzi i tylko przegląda logi z
firewalla. Ale czy, aby na pewno było to skanowanie portów? Może jeszcze
niedawno na tej maszynie działał jakiś FTP (niekoniecznie na 21 porcie)
lub inna usługa, która teraz jest wyłączona, a ktoś z mojej sieci próbował
z niej skorzystać. Poza tym czy skanowanie portów, czyli według mnie -
sprawdzenie czy dostępna jest jakaś usługa jest łamaniem netykiety? Bo na
pewno nie jest naruszeniem prawa. W liście polecono mi lekturę dotyczącą
bezpieczeństwa sieci i netykiety, ale niestety nie ma w tych artykułach
nic jeżeli chodzi o skanowanie portów. Upieram się również przy tym, że
ktoś złośliwy mógłby najzwyczajniej spreparować logi i wysłać do abuse.
Teraz prośba o pomoc, bo przecież taka sytuacja może zdarzyć się każdemu z
Was. Z tego co słyszałem (mając nawet dokładną datę) nie sposób już dojść
kto to zrobił. W /var/log/messages i secure nic ciekawego nie znalazłem.
Liczyłem, że znajdę chociaż próbę skanowania portu 113 i wtedy (mam
oidentd) ustalę kto próbował skanować porty. Dlatego nic nie znalazłem
ponieważ zapewne ta osoba skanowała porty "z wysokiej półki". Czyli jakby
potwierdzały się moje przypuszczenia, że ktoś wyłączył jakąś usługę. Skoro
nic nie można zrobić jeżeli chodzi o przeszłość to jak się zabezpieczyć
przed nieuczciwymi użytkownikami w przyszłości? Być może któryś z
użytkowników robi to nieświadomie za pomocą jakiś wirusów/trojanów. Czy
można jakoś skutecznie ukrócić takie praktyki lub zrobić coś, aby w
przypadku ponownego skanowanie portów udowodnić winowajcy na podstawie
jakiś logów, że to właśnie on jest winny i odłączyć go od sieci ? Dla
mnie na razie rozwiązaniem profilaktycznym, które zastosowałem jest
udostępnienie użytkownikom zza maskarady tylko podstawowych usług
(portów). Czyli 80 (www), 443 (https), 21 (ftp), 22 ssh, 8074 (GG), 25
(smtp), 113 (auth), 110 (pop3). Jeżeli jakieś porty pominąłem to
podpowiedzcie, które jeszcze odblokować.
Warto również dodać, że na serwerze konto ma tylko administrator. Nie jest
możliwy dostęp do serwera z zewnątrz. Działa oidentd.
Bardzo o proszę o poważne(*) wypowiedzi i zapraszam do dyskusji.
(*) - wierzę w kompetencję i chęć niesnienia pomocy przez
Szanownych Grupowiczów, ale spotkałem się z radami typu: wyklucz ludzi,
którzy nigdy by tego nie zrobili, a resztę odetnij.
Pozdrawiam !
----
Jakub Urbaniak, kuba w ski.slupsk.pl
GSM: +48 504 406 131, UIN:2924443, (MydelkoFA w IRCNet)
http://www.ski.slupsk.pl
Więcej informacji o liście dyskusyjnej pld-users-pl