ich werde dann mal den bescheidensten beitrag als anfang leisten...

der rechner läuft mit einem debian und dient als wlan gateway
ich habe folgende logregeln in meinen iptables:

- alle offensichtlich falschen ipadressen auf interfaces "aufgedrieselt"
- ich glaube alle ungültigen tcp flags
- sämtliche "admin ip's " mit falscher mac

folgende dinge überprüfen meine scripte
- traffic der von einzelnen usern verursacht wird
- gesamttraffic aufgedrieselt nach protokollen
(speichere wochenstatistiken um merkwürdigkeiten erkennen zu können)
- rechnernamen + passende mac der einzelnen user (ip wird per dhcp vergeben..)

ausserdem "zwinge" ich die wlanuser dhcp zu benutzen, damit sie ins Internet kommen.
wenn sie sich natürlich nur am ap authentifizieren und lokal ihr ding machen, kann ich mit meinem gate nicht viel machen...


ich weis, es hat wenig mit ids zu tun, geht aber schon in die richtung.
(faule ausrede, hatte noch keine zeit/lust mir über snort etc gedanken zu machen. ich muss erst mal lernen wie man emails schreibt...)

mfg
Richard Hauswald

naja, publizieren... einen teil. den zu den tcp flags:

iptables --append INPUT --protocol tcp --tcp-flags ALL NONE --match limit --limit 1/second --jump LOG --log-level notice --log-prefix "Stealthscan eingehend: "
iptables --append INPUT --protocol tcp --tcp-flags ALL NONE --jump DROP
iptables --append OUTPUT --protocol tcp --tcp-flags ALL NONE --match limit --limit 1/second --jump LOG --log-level notice --log-prefix "Stealthscan ausgehend: "
iptables --append OUTPUT --protocol tcp --tcp-flags ALL NONE --jump DROP
iptables --append FORWARD --protocol tcp --tcp-flags ALL NONE --match limit --limit 1/second --jump LOG --log-level notice --log-prefix "Stealthscan geroutet: "
iptables --append FORWARD --protocol tcp --tcp-flags ALL NONE --jump DROP
iptables --append INPUT --protocol tcp --tcp-flags SYN,FIN SYN,FIN --match limit --limit 1/second --jump LOG --log-level notice --log-prefix "Stealthscan eingehend: "
iptables --append INPUT --protocol tcp --tcp-flags SYN,FIN SYN,FIN --jump DROP
iptables --append OUTPUT --protocol tcp --tcp-flags SYN,FIN SYN,FIN --match limit --limit 1/second --jump LOG --log-level notice --log-prefix "Stealthscan ausgehend: "
iptables --append OUTPUT --protocol tcp --tcp-flags SYN,FIN SYN,FIN --jump DROP
iptables --append FORWARD --protocol tcp --tcp-flags SYN,FIN SYN,FIN --match limit --limit 1/second --jump LOG --log-level notice --log-prefix "Stealthscan geroutet: "
iptables --append FORWARD --protocol tcp --tcp-flags SYN,FIN SYN,FIN --jump DROP
iptables --append INPUT --protocol tcp --tcp-flags SYN,RST SYN,RST --match limit --limit 1/second --jump LOG --log-level notice --log-prefix "Stealthscan eingehend: "
iptables --append INPUT --protocol tcp --tcp-flags SYN,RST SYN,RST --jump DROP
iptables --append OUTPUT --protocol tcp --tcp-flags SYN,RST SYN,RST --match limit --limit 1/second --jump LOG --log-level notice --log-prefix "Stealthscan ausgehend: "
iptables --append OUTPUT --protocol tcp --tcp-flags SYN,RST SYN,RST --jump DROP
iptables --append FORWARD --protocol tcp --tcp-flags SYN,RST SYN,RST --match limit --limit 1/second --jump LOG --log-level notice --log-prefix "Stealthscan geroutet: "
iptables --append FORWARD --protocol tcp --tcp-flags SYN,RST SYN,RST --jump DROP
iptables --append INPUT --protocol tcp --tcp-flags FIN,RST FIN,RST --match limit --limit 1/second --jump LOG --log-level notice --log-prefix "Stealthscan eingehend: "
iptables --append INPUT --protocol tcp --tcp-flags FIN,RST FIN,RST --jump DROP
iptables --append OUTPUT --protocol tcp --tcp-flags FIN,RST FIN,RST --match limit --limit 1/second --jump LOG --log-level notice --log-prefix "Stealthscan ausgehend: "
iptables --append OUTPUT --protocol tcp --tcp-flags FIN,RST FIN,RST --jump DROP
iptables --append FORWARD --protocol tcp --tcp-flags FIN,RST FIN,RST --match limit --limit 1/second --jump LOG --log-level notice --log-prefix "Stealthscan geroutet: "
iptables --append FORWARD --protocol tcp --tcp-flags FIN,RST FIN,RST --jump DROP
iptables --append INPUT --protocol tcp --tcp-flags ACK,FIN FIN --match limit --limit 1/second --jump LOG --log-level notice --log-prefix "Stealthscan eingehend: "
iptables --append INPUT --protocol tcp --tcp-flags ACK,FIN FIN --jump DROP
iptables --append OUTPUT --protocol tcp --tcp-flags ACK,FIN FIN --match limit --limit 1/second --jump LOG --log-level notice --log-prefix "Stealthscan ausgehend: "
iptables --append OUTPUT --protocol tcp --tcp-flags ACK,FIN FIN --jump DROP
iptables --append FORWARD --protocol tcp --tcp-flags ACK,FIN FIN --match limit --limit 1/second --jump LOG --log-level notice --log-prefix "Stealthscan geroutet: "
iptables --append FORWARD --protocol tcp --tcp-flags ACK,FIN FIN --jump DROP
iptables --append INPUT --protocol tcp --tcp-flags ACK,PSH PSH --match limit --limit 1/second --jump LOG --log-level notice --log-prefix "Stealthscan eingehend: "
iptables --append INPUT --protocol tcp --tcp-flags ACK,PSH PSH --jump DROP
iptables --append OUTPUT --protocol tcp --tcp-flags ACK,PSH PSH --match limit --limit 1/second --jump LOG --log-level notice --log-prefix "Stealthscan ausgehend: "
iptables --append OUTPUT --protocol tcp --tcp-flags ACK,PSH PSH --jump DROP
iptables --append FORWARD --protocol tcp --tcp-flags ACK,PSH PSH --match limit --limit 1/second --jump LOG --log-level notice --log-prefix "Stealthscan geroutet: "
iptables --append FORWARD --protocol tcp --tcp-flags ACK,PSH PSH --jump DROP
iptables --append INPUT --protocol tcp --tcp-flags ACK,URG URG --match limit --limit 1/second --jump LOG --log-level notice --log-prefix "Stealthscan eingehend: "
iptables --append INPUT --protocol tcp --tcp-flags ACK,URG URG --jump DROP
iptables --append OUTPUT --protocol tcp --tcp-flags ACK,URG URG --match limit --limit 1/second --jump LOG --log-level notice --log-prefix "Stealthscan ausgehend: "
iptables --append OUTPUT --protocol tcp --tcp-flags ACK,URG URG --jump DROP
iptables --append FORWARD --protocol tcp --tcp-flags ACK,URG URG --match limit --limit 1/second --jump LOG --log-level notice --log-prefix "Stealthscan geroutet: "
iptables --append FORWARD --protocol tcp --tcp-flags ACK,URG URG --jump DROP

da ich noch die grenze der leistungsfähigkeit testen will, ist ale noch ohne eigene chains gemacht.

mich würde das string matching interessieren. ich habe einen 2.6 er kernel mit sarge. bei mir klappt das nicht... was hast du für erfahrungen gemacht?

deine blacklist bezieht sich nur auf is, obwohl dein script diese auch von intern verbietet. im internet kannst du nich nach mac matchen, aber in LANs würde ich dies tun. dann kannst du den host nicht nur droppen, wenn er mal die eine ip genommen hat. wenn ich der host wäre, wäre ich ganz schnell mit einer anderen unterwegs. nun kann man auch macs faken - aber das is nich so leicht wie ips...

was hast du bezüglich der performance von transparenten proxies für erfahrungen gemacht?

hast du schon was von syncookies gehört?

echo 1 > /proc/sys/net/ipv4/tcp_syncookies

naja, kommt drauf an, wo die firewall steht. wenn du in ner firma den leuten auf die finger klopfen sollst, sobald sie etwas privates tun, ist drop wohl die richtige wahl. in einem wohnheim, was für studenten mit net t2 versorgt wird, kann man dann streiten. mit drop hast du mehr arbeit, aber weist besser bescheid was durch geht. bei accept hast du weniger arbeit, aber wehe, du sollst ein protokoll, von dem du nur weist, wieviel gb die letzte woche drüber geflossen sind, zuverläsig sperren.....

mfg
richard

Zitat

Original von bonsai
Juhu! Cool, es steigt doch noch Jemand ein....

Klingt cool - wobei ein Hacker natuerlich erstmal die Logs ändern ... - aber trotzdem: Sowas meine ich!!! Meinst Du, Du koenntest Dein iptables-Skript publizieren?

.........

Kind regards, Bernd

Log-Änderungen hab ich elegant per Remote Logging umschifft.....somit sind versuchte Einbrüche sofort an 3 verschiedenen Stellen gesichert.....abends sind dann die logfiles mit hostnamen und datum versehen aufm band....

zudem überprüft ein script alle 3 minuten, ob iptables-regeln im entsprechenden logfile hinzugekommen sind. ist dies der fall, so wird sofort eine mail an mich geschickt....war anfangs ziemlich übel mit den ganzen fehlalarmen...

ids (eigene maschine mit snort) loggt auf eine sql-datenbank auf einem anderen host, welcher über apache+php & acid die ids-ergebnisse zur verfügung stellt....

das mal ein kleiner umriss über mein logging.

Zitat

Original von hydraulik
...
zudem überprüft ein script alle 3 minuten, ob iptables-regeln im entsprechenden logfile hinzugekommen sind. ist dies der fall, so wird sofort eine mail an mich geschickt....war anfangs ziemlich übel mit den ganzen fehlalarmen...
...

wizo hast du iptables regeln in einem logfile stehen? bzw verstehe ich den sinn nich. kannst du das mal etwas näher erläutern?
danke
richard

sorry...mein fehler...da fehlt noch ein wort....sollte "iptables-regelverletzungen" heißen....wenn man schneller denkt als man schreibt...

ich droppe eigentlich auch nur.....

bis auf eine regel, die ich so verstanden hab, dass da ein REJECT hin muss, wegen halboffenen verbindungen.....

$ipt -A TCP_CHECK -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW,INVALID -j REJECT --reject-with tcp-reset


aber warum genau das jetzt so ist...hmpf...


meines erachtens ist droppen besser, da einem potentiellen angreifer nix zurückgemeldet wird....is einfach nur fort das paket

re:1 na soo toll isses nu auch wieder nicht. is schon ok wenn du da deinen namen oder den von bill gates .. na obwohl - billy wäre mir nicht lieb. ;-)

naja, wenn mein script einer lesen würde, der peilung von bashprogrammieren hat - hast du sicherlich recht. nur ich bin ein student, der freiwillig ohne vertrag oder sonst etwas ein linuxgateway für das hochschulwlan baut. mein "chef" obwohl auch nicht, da ja kein vertrag existiert, kann ein wenig linux... also für ihn ist das so viel besser - glaube ich.

re:2. schade.

re:3.
und warum blockierst du die ips dann auf allen interfaces? da du nat regeln hast nehme ich an, dass du 2 interfaces in verschiedene netze hast. wäre doch übersichtlicher wenn du dann das $ext_eth benutzt.
hast du ein bsp für mehr als 4 "konnectierungen"?
re:4.
danke!

re:5.
ubs...

re:6.
ok, da habe ich dich falsch verstanden - sorry.
mein tipp: Mirakel Vip - keine Ahnung - wenn du ein DROP nimmst, bekommst du keine fehlermeldung (als client - "hacker") und somit auch nicht so einfach gewissheit über "gesperrte ports". naja, ich drope - admin of hell...

Zitat

Original von bonsai
Halboffene Verbindungen Das sind aber doch NEUE, UNGÜLTIGE mit ACK+SYN
gesetzt????? Wer solche Verbindungen oeffnet, dem ist ein RESET der Verbindung denke ich wurschd.....????!?? Ich wuerde da durchaus auch -j DROP
nehmen?!? Oder bin ich auf dem Holzweg????

ich forsch da besser nochmal nach, bevor ich mich zu weit aus dem fenster lehne....*g*

ok...zu der SYN/ACK-geschichte hab ich folgendes gefunden:


----- ENGLISCH -----
1.[A] sends SYN to [V] with source IP of [O].
2.[V] replies to [O] by SYN/ACK.
3.now [O] should reply to an unknown SYN/ACK by RST and the attack is unsuccesful, but let's assume [O] is down (flooded, turned off or behind firewall that has dropped the packets).
4.if [O] didn't mess it up, [A] now can talk to [V] pretending to be [O] as long as it predicts correct sequence numbers.
----- ENGLISCH -----


Link

also ich verstehe das so, dass da das "reject" hin muss....

OK, vielleicht mal grundsätzlich.

1. Nicht ein System rausstellen und dann sich Gedanken machen was muss zu sein.

2. Keine ungehärteten Systeme verwenden und nach einer frischen Installation tripwire draufhängen. Desweiteren sind rkhunter & chkrootkit Pflicht. snort oder ein anderes ids sollte eigentlich auch drauf.

3. Alle Services generell dichtmachen und dann GANZ langsam und vorsichtig einen service nach dem anderen aufmachen und zwar nur für die User, die es was angeht.

4. lsof einsetzen, versteckte Prozesse suchen, grundsätzlich kritische Sachen chrooted laufen lassen. Kernel sollte sowieso paranoid mit grsecurity & pax laufen.

5.Akzeptieren, daß man NIEMALS wirklich sicher ist und dranbleiben, dranbleiben, dranbleiben. Sicherheitspatches kommen fast stündlich.

6. Sensible Daten gehören eh nicht auf Rechner mit Verbindung nach draussen. Sowas gehört hinter kaskadierende Firewalls mit verschiedenen Technologien (so kann nicht ein Exploit alle Firewalls killen!) und auf Rechner mit vernünftiger Verschlüsselung. Internetzugang haben solche Rechner PRINZIPIELL nicht oder nur kontrolliert unter Aufsicht!

7. NIEMALS, aber auch wirklich NIEMALS Standardports für irgendwas verwenden.

8. Nie die Medikamente gegen Paranoia vergessen.

Mehr kann kein Mensch tun... und das iss das Problem.

Bezügl. SYN/ACK: Ist eine mittlerweile geläufige Attacke, insbesondere weil man so schön Systeme über die Quelle des Angriffs verarschen kann, wenn der Admin schnarcht. Daher sollte man ja auch unter Linux den Kernel so umpatchen daß Pakete genau wie BSD mit echten Zufallszahlen Pakete baut und nicht mit fortlaufenden Sequenzen. Sonst kann man mit einem simplen Sniffer die nächste Sequenznummer "erraten" indem man einfach letztes Paket +1 macht.

Wenn du nicht sicher bist, ob jemand im System drin war. Mach's platt und setzt es komplett sauber neu auf! Und bevor Du es online nimmst sollte es gehärtet werden!

Bei Zweifeln an der Integrität deines Systems gefährdest Du eventuell deine ganze Netzstruktur! Also sowas nicht auf die leichte Schulter nehmen.

Zitat

Original von LiWiz

Wenn du nicht sicher bist, ob jemand im System drin war. Mach's platt und setzt es komplett sauber neu auf! Und bevor Du es online nimmst sollte es gehärtet werden!

Bei Zweifeln an der Integrität deines Systems gefährdest Du eventuell deine ganze Netzstruktur! Also sowas nicht auf die leichte Schulter nehmen.

daher läuft die firewall für meinen arbeitgeber bald als cd-system ;o)....einfach reboot und gut is....