Witam,

obecnie w ramach nauki zajmuję się konfigurowaniem zabezpieczeń usług sieciowych. W szczególności zastanawia mnie skanowanie portów (nmap), a zwłaszcza technika TCP Connect. Jak wiadomo skanowania typu ACK, FIN, NULL, itp. można blokować poprzez reguły w zaporze, np w iptables. Ale jak blokować skanowanie TCP Connect? Jeśli mój komputer udostęnia usługę www, nie mogę tak po prostu blokować prób połączeń, ponieważ mój serwer nie będzie w ogóle osiągalny. Jeśli zastosuję taką zasadę że blokuje ten IP który nawiązuje połączenia przez wiele portów po kolei, będzie to działać. Ale jeśli napastnik skanuje tylko jeden port, np 80, wtedy nawiązuje połączenie jak każdy normalny użytkownik, a przy okazji może dowiedzieć się o wersji oprogramowania, na którym działa usługa http. Jaki jest zatem sposób na blokowanie skanowania porŧów metodą TCP Connect tak, aby jednocześnie serwer był normalnie dostępny?

Nie ma takiej możliwości. Co do wersji oprogramowania - TCP to 4 warstwa OSI, serwer http (program) działa dużo wyżej - od strony konfiguracji zależy, czy maskujesz wersję (np. w IIS masz RemoveServerHeaders=1).

może:

http://sekurak.pl/wprowadzenie-do-systemow-ids/

http://sekurak.pl/iptablespsad-jako-zaawansowany-system-wykrywania-wlaman/

Niestety trzeba monitorować ruch a bardziej nadgorliwych po prostu odrzucać z całego ruchu do serwera. Systemy które podaje kolega 0chi0 mają po prostu wbudowane algorytmy takich dzialań i automatycznie odrzucają podejrzany ruch.