Viendo el estado de seguridad de mi suse 9.1 en http://www.grc.com/ me encuentro con que el puerto 113 no esta oculto, como todos los demas, sino cerrado y quee por eso puede haber una posible vulnerabilidad. Me conecto con cable-modem. ¿Cómo podría cambiar el estado de ese puerto?
El puerto 113 es el servicio Ident y Auth, por lo tanto me da que estas usando xinetd, no es muy aconsejable desde mi punto de vista usarlo y mas si no lo usas, por lo tanto filtralo para que desde internet este oculto por iptables o desavilita dicho servicio de xinetd. iptables -A INPUT -p tcp --dport 113 -j DROP Para comprobar/desavilitar/borrar servicios pasate por '/sbin/yast2 inetd' ... salu2 El Domingo, 30 de Enero de 2005 11:39, ElNuevoPapi escribió:
Viendo el estado de seguridad de mi suse 9.1 en http://www.grc.com/ me encuentro con que el puerto 113 no esta oculto, como todos los demas, sino cerrado y quee por eso puede haber una posible vulnerabilidad. Me conecto con cable-modem. ¿Cómo podría cambiar el estado de ese puerto?
chakal wrote:
El puerto 113 es el servicio Ident y Auth, por lo tanto me da que estas usando xinetd, no es muy aconsejable desde mi punto de vista usarlo y mas si no lo usas, por lo tanto filtralo para que desde internet este oculto por iptables o desavilita dicho servicio de xinetd.
iptables -A INPUT -p tcp --dport 113 -j DROP
Para comprobar/desavilitar/borrar servicios pasate por '/sbin/yast2 inetd' ...
Pues no, xinet no esta activo, Alguna otra idea?
Pos en tal caso tendras un demos identd o eso o un apache que escucha para auth en ese puerto, mira ver con 'lsof -n -i |grep 113' o fuser -v -n tcp 113 (como root) y localiza el programa, de toas maneras si no quieres usarlo filtralo como te dije (iptables -A INPUT -p tcp --dport 113 -j DROP) El Domingo, 30 de Enero de 2005 12:21, ElNuevoPapi escribió:
chakal wrote:
El puerto 113 es el servicio Ident y Auth, por lo tanto me da que estas usando xinetd, no es muy aconsejable desde mi punto de vista usarlo y mas si no lo usas, por lo tanto filtralo para que desde internet este oculto por iptables o desavilita dicho servicio de xinetd.
iptables -A INPUT -p tcp --dport 113 -j DROP
Para comprobar/desavilitar/borrar servicios pasate por '/sbin/yast2 inetd' ...
Pues no, xinet no esta activo, Alguna otra idea?
-- salu2 ... chakal^-^
El Domingo, 30 de Enero de 2005 12:21, ElNuevoPapi escribió:
chakal wrote:
El puerto 113 es el servicio Ident y Auth, por lo tanto me da que estas usando xinetd, no es muy aconsejable desde mi punto de vista usarlo y mas si no lo usas, por lo tanto filtralo para que desde internet este oculto por iptables o desavilita dicho servicio de xinetd.
iptables -A INPUT -p tcp --dport 113 -j DROP
Para comprobar/desavilitar/borrar servicios pasate por '/sbin/yast2 inetd' ...
Pues no, xinet no esta activo, Alguna otra idea?
Si, estoy casi seguro de que el puerto te aparece *cerrado* en grc.com. Si no recuerdo mal, el firewall de SuSE tira todos los paquetes (DROP) excepto aquellos que van al puerto 113, los cuales sencillamente rechaza (REJECT), con lo que en grc el puerto te aparece cerrado en lugar de "stealth" como cabría esperar. Insisto, dudo mucho que tengas abierto el puerto 113 (ejecuta nmap sobre ti mismo, o netstat para estar completamente seguro). Para cambiar este comportamiento puedes editar el fichero /etc/sysconfig/SuSEfirewall2, en la sección: ## Default: 0/0,tcp,113 # # Packets to silently reject without log message. Common usage is # TCP port 113 which if dropped would cause long timeouts when # sending mail or connecting to IRC servers. # # Format: space separated list of net,protocol[,port] # Example: "0/0,tcp,113" # FW_SERVICES_REJECT_EXT="0/0,tcp,113" Como ves, se usa REJECT en ese puerto con una finalidad concreta, no es un accidente ni una brecha de seguridad :-) Espero que eso te ayude. Un cordial saludo, Manuel.
Manuel HA wrote:
El Domingo, 30 de Enero de 2005 12:21, ElNuevoPapi escribió:
chakal wrote:
El puerto 113 es el servicio Ident y Auth, por lo tanto me da que estas usando xinetd, no es muy aconsejable desde mi punto de vista usarlo y mas si no lo usas, por lo tanto filtralo para que desde internet este oculto por iptables o desavilita dicho servicio de xinetd.
iptables -A INPUT -p tcp --dport 113 -j DROP
Para comprobar/desavilitar/borrar servicios pasate por '/sbin/yast2 inetd' ...
Pues no, xinet no esta activo, Alguna otra idea?
Si, estoy casi seguro de que el puerto te aparece *cerrado* en grc.com.
Si no recuerdo mal, el firewall de SuSE tira todos los paquetes (DROP) excepto aquellos que van al puerto 113, los cuales sencillamente rechaza (REJECT), con lo que en grc el puerto te aparece cerrado en lugar de "stealth" como cabría esperar.
Insisto, dudo mucho que tengas abierto el puerto 113 (ejecuta nmap sobre ti mismo, o netstat para estar completamente seguro).
Para cambiar este comportamiento puedes editar el fichero /etc/sysconfig/SuSEfirewall2, en la sección:
## Default: 0/0,tcp,113 # # Packets to silently reject without log message. Common usage is # TCP port 113 which if dropped would cause long timeouts when # sending mail or connecting to IRC servers. # # Format: space separated list of net,protocol[,port] # Example: "0/0,tcp,113" # FW_SERVICES_REJECT_EXT="0/0,tcp,113"
Pues... no encuentro esa entrada !!!
El 2005-01-30 a las 14:07 +0100, ElNuevoPapi escribió:
FW_SERVICES_REJECT_EXT="0/0,tcp,113"
Pues... no encuentro esa entrada !!!
Porque es nueva del 9.2, probablemente. Pero las demás versiones hacen lo mismo sin decir nada, es decir, sin permitir configurarlo. El 113 se rechaza. -- Saludos Carlos Robinson
Se me paso. Tambien puedes usar mod_backhand incluido en los modulos de apache que funciona bien. El Domingo, 30 de Enero de 2005 11:39, ElNuevoPapi escribió:
Viendo el estado de seguridad de mi suse 9.1 en http://www.grc.com/ me encuentro con que el puerto 113 no esta oculto, como todos los demas, sino cerrado y quee por eso puede haber una posible vulnerabilidad. Me conecto con cable-modem. ¿Cómo podría cambiar el estado de ese puerto?
-- salu2 ... chakal^-^
Perdon me fui del hilo, era para balanceo en varios servidores webs El Domingo, 30 de Enero de 2005 12:12, chakal escribió:
Se me paso. Tambien puedes usar mod_backhand incluido en los modulos de apache que funciona bien.
El Domingo, 30 de Enero de 2005 11:39, ElNuevoPapi escribió:
Viendo el estado de seguridad de mi suse 9.1 en http://www.grc.com/ me encuentro con que el puerto 113 no esta oculto, como todos los demas, sino cerrado y quee por eso puede haber una posible vulnerabilidad. Me conecto con cable-modem. ¿Cómo podría cambiar el estado de ese puerto?
-- salu2 ... chakal^-^
-- salu2 ... chakal^-^
On Sun, 30 Jan 2005 11:39:20 +0100, ElNuevoPapi wrote:
Viendo el estado de seguridad de mi suse 9.1 en http://www.grc.com/ me encuentro con que el puerto 113 no esta oculto, como todos los demas, sino cerrado y quee por eso puede haber una posible vulnerabilidad. Me conecto con cable-modem. ¿Cómo podría cambiar el estado de ese puerto?
Que aparezca como "cerrado" no significa que haya un problema. Tienes más información sobre el estado de los puertos y su significado aquí: http://www.grc.com/su/portstatusinfo.htm Saludos, -- Camaleón
El Domingo, 30 de Enero de 2005 11:39, ElNuevoPapi escribió:
Viendo el estado de seguridad de mi suse 9.1 en http://www.grc.com/ me encuentro con que el puerto 113 no esta oculto, como todos los demas, sino cerrado y quee por eso puede haber una posible vulnerabilidad. Me conecto con cable-modem. ¿Cómo podría cambiar el estado de ese puerto?
Yo tengo la 8.2 haciendo de router y lo solucioné así: FW_FORWARD_MASQ="0/0,192.168.1.200,tcp,113" Se trata de redirigir la conexiones de ese puerto a una IP inexistente. Lo explica aquí: http://www.grc.com/port_113.htm Espero que te sirva.
Eso es inapropieado hacer eso de "dirigir" un pakete a una ip que no existe, para que? para que vas a dejar entrar a une extraño en casa si le puedes decir vete pa fuera!! (iptables -A INPUT -p tcp --dport 113 -j DROP) salu2 ... chakal^-^
chakal wrote:
Eso es inapropieado hacer eso de "dirigir" un pakete a una ip que no existe, para que? para que vas a dejar entrar a une extraño en casa si le puedes decir vete pa fuera!! (iptables -A INPUT -p tcp --dport 113 -j DROP)
salu2 ... chakal^-^
Esa ha sido la solucion. Ejecutado como root en la consola, el puerto pasa a estar oculto. Esta orden... ¿hay que ponerla en algún scrip de arranque o con ejecutarla una sóla vez queda almacenada para siempre?
El Lunes, 31 de Enero de 2005 01:21, ElNuevoPapi escribió:
chakal wrote:
Eso es inapropieado hacer eso de "dirigir" un pakete a una ip que no existe, para que? para que vas a dejar entrar a une extraño en casa si le puedes decir vete pa fuera!! (iptables -A INPUT -p tcp --dport 113 -j DROP)
salu2 ... chakal^-^
Esa ha sido la solucion. Ejecutado como root en la consola, el puerto pasa a estar oculto.
Esta orden... ¿hay que ponerla en algún scrip de arranque o con ejecutarla una sóla vez queda almacenada para siempre? Tiene que ejecutarse siempre. Las reglas de iptables se cargan cada vez que se arranca el kernel. Debiera ir en el fichero de reglas propias.
participants (7)
-
Camaleón -
Carlos E. R. -
chakal -
ElNuevoPapi -
Javi -
jpb -
Manuel HA