Security Espèce de tarpète !!!!

October 27th, 2003 par prae

SecurityFocus nous propose une tips top convi à l’aide du patch “Iptables Tarpits”.

Ce patch convi comme pas deux – hormis le fait qu’il retarde les scans – permet – avec une bonne règle – de faire à croire aux scanneurs que l’ensemble de vos ports sont ouverts.

Nos amis les scanneurs de tout poils vont devoir scanner près de 65535 ports;
Sachant que chaque detection de port peut-être retardée : Le scan nmap sur machine “tarpitée” va vite remplacer le cassage des clés cryptographique sur le banc des prochains projets de grande envergure ;-)

Messieurs, à vos iptables !

SecuryFocus, le rebel de la force claire
Source: Patch-O-Matic IPtables Tarpit

Posté dans Security | 1 Comment »

Une Reponse pour “Espèce de tarpète !!!!”

  1. Anonyme Says:

    *AHEM*
    à vrai dire si le scanneur se rend compte de l’astuce, il pourrait très bien bypasser sa stack TCP/IP (puisque la défense TARPIT de netfilter n’est efficace que vis à vis d’une stack coopérative qui réagit comme prévu aux window advertisments zeroed).

    D’autre part si je ne scanne qu’un port en particulier, le TARPIT ne me concerne pas.

    Donc, comme le monsieur de securityfocus l’a si justement remarqué, ça n’est efficace que contre un mass scanner stupide, genre, au hasard, un worm ! :)

    Et là effectivement ça peut ralentir considérablement la propagation.

    Dans le même genre, Laurent Oudot a publié un article récemment sur SF qui utilise honeyd pour appliquer un concept similaire :
    http://www.securityfocus.com/infocus/1740

Répondre

Vous devez être identifié pour poster un commentaire.

Identification

Enregistrez-vous

SQUAD!

GCU live

[18:05:13] iMil nan mais en vrai c'est pas mal hein
[18:05:14] davromaniak j'ai 3 domaines dessus, que de l'IMAP et du webmail, le calendrier et les briefcase marchent bien
[18:05:14] iMil c'est juste un peu trop empilé / obscur
[18:05:35] maatunix usine à gaz ?
[18:05:36] davromaniak après, ce sont les commerciaux et certains tech de Zimbra qui sont à la masse
[18:05:43] ChloeD j'ai compris que c'est abstrait en "tables" mais je vois pas encore où elles sont remplies de façon spécifique
[18:05:59] davromaniak maatunix: un peu oui, c'est très complet, limite trop complet
[18:07:07] davromaniak maatunix: mais si zimbra est une usine à gaz, alors salechange, c'est Tchernobyl
[18:07:08] maatunix c'est le seul software "open-source" qu'on arrivait à vendre nous...
[18:07:08] maatunix parce-que ouais, c'est très salelook
[18:07:43] davromaniak ça reste un outil très complet, auquel il faut consacrer du temps pour l'installation et la configuration, c'est pas parce qu'il y a des GUI et autres interfaces d'admin que ça se configure a 2 claquements de doigts

Miiissioudaaam'

Archives:

Meta:

Hosted by:

NBS-System