Porta Fechada vs Fechada

Depende do que você está tentando fazer. Basicamente, se você não responder com um pacote dizendo que a porta está fechada, você tornará a vida mais difícil para usuários legítimos, mas possivelmente dificultará a vida de qualquer invasor que tentar invadir a caixa. Isso não impedirá que alguém escaneie a caixa para descobrir quais portas estão abertas, mas isso poderá atrasá-las. E pode ser menos provável que alguém descubra que seu sistema existe em primeiro lugar.

É um sistema que fornece serviços em um porto bem conhecido para o mundo? (como um servidor web) Então, tentar "stealth" suas portas não fará muito. bom.

É um sistema que não faz nada que alguém precise saber? vá em frente.

Você não disse qual sistema operacional, etc. você está usando, então a resposta é como isso varia. No Linux com iptables você faz "-j DROP" ao invés de "-j REJECT", basicamente.

Alguns sistemas operacionais respondem a solicitações de conexão (no caso do TCP) ou pacotes não solicitados (no caso do UDP) com pacotes indicando que nada está escutando lá. Alguns sistemas operacionais podem ser configurados para descartar pacotes de entrada para portas em que nada esteja escutando sem resposta.

Para mim, nenhum comportamento é melhor que o outro. Minha opinião é simples: não execute programas desnecessários que escutem conexões / pacotes de entrada. Os programas que você precisa executar devem ser configurados da forma mais segura possível.

Preocupar-se com a sua caixa respondendo às varreduras de porta parece, para mim, estar perdendo o ponto. Na minha opinião, Steve Gibson (que administra o GRC.com) é um pouco maluco. (Sua página de "nanossondas" ainda está em alta?) Ele parece estar se esforçando em alguns de seus escritos.

Existe algum motivo específico para você esconder suas portas? Ele não deixará seu computador invisível (pois suas portas abertas ainda responderão a uma varredura de porta), fará com que você trabalhe mais e quebre as regras do RFC 791 (TCP). Você é alvo de frequentes varreduras de portas, ou apenas comprando a paranoia de Steve Gibson;)

Em qualquer caso, Steve Gibson responde a essa pergunta na página que você vinculou:

link

Q ShieldsUP! shows my ports as 'Closed' and not 'Stealth', but I want Stealth! How do I get 'Stealth'?

A 'Stealthed' ports are a, strictly speaking, a violation of proper TCP/IP rules of conduct. Proper conduct requires a closed port to respond with a message indicating that the open request was received, but has been denied. This lets the sending system know that its open request was received so that it doesn't need to keep retrying. But, of course, this "affirmative denial" also lets the sending system know that a system actually exists on the receiving end . . . which is what we want to avoid in the case of malicious hackers attempting to probe our systems.

I coined the term 'Stealth' when I developed this site's port probing technology to describe a closed port that chooses to remain completely hidden by sending nothing back to its attempted opener, preferring instead to appear not to exist at all.

Since 'Stealthing' is non-standard behavior for Internet systems, it is behavior which must be created and enforced by means of a firewall security system of some sort. The native TCP/IP interface software used by personal computers will ALWAYS reply that a port is closed. Therefore, some additional software or hardware, in the form of a 'stealth capable firewall' must be added to the computer system in order to squelch its "closed port" replies.

To get full stealth-mode status from your system, I highly recommend using the completely FREE ZoneAlarm 2 firewall from ZoneLabs, Inc. Visit their website at www.ZoneLabs.com to learn more about this excellent and free firewall, then download the latest version.

Configure um firewall para soltá-los silenciosamente em vez de responder. A maioria dos firewalls tem uma maneira de fazer isso. A última vez que precisei, eu estava usando o ipf do OpenBSD e era "block drop" versus "block return".

link

link

É um pouco difícil entender essa página. Talvez tenha sido escrito por crianças ou por alguém vendendo um produto inútil. Então vamos começar de novo.

Vamos apenas discutir o TCP por enquanto.

Quando alguém tenta se conectar a uma porta TCP (envia um pacote SYN) que você não deseja permitir uma conexão, você tem algumas opções para sua resposta:

1) Responda com um pacote RST, se você não estiver ouvindo nesta porta que é o protocolo TCP. Normalmente você chamaria isso de porta "fechada". Faz sentido chamar isso de porta "stealth" se você estiver executando algum serviço que permita conexões de outras fontes.

2) Aceite a conexão e desconecte (RST ou FIN) -los imediatamente. Historicamente, os wrappers TCP tinham esse comportamento para conexões bloqueadas.

3) Ignore o pacote. Isso é bem comum. Não faria sentido chamar isso de porta "stealth" se você estiver executando algum serviço nele que permita conexões de outras fontes.

4) Aceite a conexão e ignore outros pacotes para essa conexão. Isso pode incomodar um invasor, embora provavelmente não adicione segurança real.

5) Responda com um erro ICMP razoável. Geralmente feito por roteadores (incluindo firewalls), mas não tão comumente feito por "firewalls" baseados em host.

6) Responda com um erro irracional do ICMP. Apenas para irritar / confundir um invasor

7) Responda de forma inconsistente e aleatória. Isso pode incomodar um atacante, mas provavelmente não adiciona segurança real.

Como você responde depende de quais são seus objetivos. Se você quiser que a máquina pareça não ser um nó válido, você deve ignorar o pacote, independentemente de ter ou não um serviço em execução (que permita conexões de outras fontes). Mas se você for responder a qualquer tráfego, isso não ajuda a esconder sua existência.

Se você quer apenas proibir a conexão, e não está tentando esconder que o seu endereço IP é ativo, sua melhor aposta pode ser responder com um pacote RST, esteja você escutando naquela porta ou não. Isso oculta se você tem um serviço nessa porta que permite conexões de alguns endereços ou se nenhum serviço está sendo executado nessa porta.

A opção # 4 ou # 7 pode frustrar alguém que esteja executando um scanner de porta, mas pode causar incômodos operacionais ocasionais. Não é realmente tão útil para um endereço que você está realmente usando, mas pode ser divertido para um honeypot.

A escolha nº 2 é comum porque algum software de filtragem popular (por exemplo, TCP Wrappers) exige que a conexão seja aceita para obter o endereço de origem, a fim de determinar se deve ser permitido. Isso é baseado em limitações históricas do sistema operacional que podem não ser relevantes em uma nova instalação com sistemas operacionais modernos.

Sua escolha dependerá de seus requisitos. Isso inclui se você tem alguma porta à qual você permita uma conexão de todos os endereços e se você tem alguma porta à qual você permita uma conexão de alguns endereços.

Se você não está permitindo conexões de entrada de qualquer fonte, você pode também descartar qualquer pacote não permitido. Isso oculta a existência de sua máquina, tornando menos provável que os invasores aleatórios acreditem que seja um endereço válido.

Se você está permitindo conexões de entrada de qualquer fonte em algumas portas e de certas fontes em outras portas - uma configuração muito comum - você tem algumas opções razoáveis para escolher entre. Se você enviar de volta um RST para portas em que você não está escutando, mas se comportar de maneira diferente para portas que você está deliberadamente desautorizando, você revela a quais portas você está permitindo conexões de fontes selecionadas. Acredito que a melhor opção é enviar de volta um RST, independentemente de você não estar escutando nessa porta ou de estar desautorizando conexões da fonte.

Este é exatamente o tipo de pergunta de segurança que deve incluir um modelo de ameaça, uma explicação de quais serviços você está fornecendo a todos contra fontes selecionadas e uma política de segurança ou esclarecimento que você deseja ajudar na definição de uma política de segurança. Confusão adicional é causada pela introdução de nova terminologia sem uma definição clara.

Para sistemas clientes, um firewall de software configurado corretamente deve tornar suas portas "stealth" Acabei de rodar minha caixa pessoal que está exposta à internet contra Sheilds Up e todas as minhas portas estão listadas como stealth. / p>

Quando configuro um firewall, não gosto de ter portas fechadas passando informações por firewalls que um invasor poderia usar para aprender sobre meu ambiente, mas ter portas Abrir que um invasor poderia explorar é muito muito pior.