|
| Ændring af sshd listen port Fra : Jakob Kirkegaard |
Dato : 06-08-02 10:16 |
|
I forbindelse med et tdc pro@ccess adsl abonnement, med en rounter der
som udgangspunkt er konfigureret til kun at smide http, smtp og ftp
trafik videre til bestemte interne adresser, skal jeg bruge en ssh
server.
I den forbindelse ville jeg høre om der er noget sikkerhedsmæssigt
problematisk i at ændre listen port til 21 (bruger ikke ftp til noget).
Autoriseret ændring af routeren er pebret og selvkonfigurering er ikke
tilladt.
--
mvh Jakob Kirkegaard
| |
Brian B. Christensen (06-08-2002)
| Kommentar Fra : Brian B. Christensen |
Dato : 06-08-02 10:23 |
| | |
Alex Holst (06-08-2002)
| Kommentar Fra : Alex Holst |
Dato : 06-08-02 10:44 |
|
Jakob Kirkegaard <jkir00@control.auc.dk> wrote:
> I den forbindelse ville jeg høre om der er noget sikkerhedsmæssigt
> problematisk i at ændre listen port til 21 (bruger ikke ftp til noget).
Det er der ikke.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
| |
Kasper Dupont (06-08-2002)
| Kommentar Fra : Kasper Dupont |
Dato : 06-08-02 12:56 |
|
Jakob Kirkegaard wrote:
>
> I forbindelse med et tdc pro@ccess adsl abonnement, med en rounter der
> som udgangspunkt er konfigureret til kun at smide http, smtp og ftp
> trafik videre til bestemte interne adresser, skal jeg bruge en ssh
> server.
> I den forbindelse ville jeg høre om der er noget sikkerhedsmæssigt
> problematisk i at ændre listen port til 21 (bruger ikke ftp til noget).
Det er ikke noget sikkerhedsmæssigt problem. Det er muligvis en lille
sikkerhedsmæssig fordel, da du måske vil undgå nogle scans efter ssh
servere med fejl. Du må dog forvente at se en masse underlige beskeder
i din log, når din maskine bliver scannet for ftp servere med fejl.
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razrep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk
| |
Jesper Dybdal (06-08-2002)
| Kommentar Fra : Jesper Dybdal |
Dato : 06-08-02 22:01 |
|
Kasper Dupont <kasperd@daimi.au.dk> wrote:
>Jakob Kirkegaard wrote:
>>
>> I forbindelse med et tdc pro@ccess adsl abonnement, med en rounter der
>> som udgangspunkt er konfigureret til kun at smide http, smtp og ftp
>> trafik videre til bestemte interne adresser, skal jeg bruge en ssh
>> server.
>> I den forbindelse ville jeg høre om der er noget sikkerhedsmæssigt
>> problematisk i at ændre listen port til 21 (bruger ikke ftp til noget).
>
>Det er ikke noget sikkerhedsmæssigt problem. Det er muligvis en lille
>sikkerhedsmæssig fordel, da du måske vil undgå nogle scans efter ssh
>servere med fejl. Du må dog forvente at se en masse underlige beskeder
>i din log, når din maskine bliver scannet for ftp servere med fejl.
- og derfor er det måske en smule mere hensigtsmæssigt at bruge dns-porten
(53) i stedet, hvis man altså ikke kører DNS-server. Det er svjv ikke
almindeligt at forsøge at bryde ind på tcp/53, og den er også åben i en
standard Pro@ccess-ruter (medmindre de har lavet noget om for nylig).
--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).
| |
Kasper Dupont (06-08-2002)
| Kommentar Fra : Kasper Dupont |
Dato : 06-08-02 22:34 |
|
Jesper Dybdal wrote:
>
> - og derfor er det måske en smule mere hensigtsmæssigt at bruge dns-porten
> (53) i stedet, hvis man altså ikke kører DNS-server. Det er svjv ikke
> almindeligt at forsøge at bryde ind på tcp/53, og den er også åben i en
> standard Pro@ccess-ruter (medmindre de har lavet noget om for nylig).
Der står 117 forsøg i min logfil. De fleste ligner dog spoofede
source addresser for at skjule den rigtige addresse.
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razrep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk
| |
Jesper Dybdal (07-08-2002)
| Kommentar Fra : Jesper Dybdal |
Dato : 07-08-02 18:16 |
|
Kasper Dupont <kasperd@daimi.au.dk> wrote:
>Jesper Dybdal wrote:
>>
>> - og derfor er det måske en smule mere hensigtsmæssigt at bruge dns-porten
>> (53) i stedet, hvis man altså ikke kører DNS-server. Det er svjv ikke
>> almindeligt at forsøge at bryde ind på tcp/53, og den er også åben i en
>> standard Pro@ccess-ruter (medmindre de har lavet noget om for nylig).
>
>Der står 117 forsøg i min logfil. De fleste ligner dog spoofede
>source addresser for at skjule den rigtige addresse.
Interessant. Jeg ville have troet at angrebene på navneservere primært
var udp-baserede.
Måske har jeg bare ikke opdaget tcp-angrebene fordi de maskiner jeg kører
som servere også er DNS-servere, og BIND åbenbart ikke logger noget ved de
forsøg.
--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).
| |
Peder Vendelbo Mikke~ (07-08-2002)
| Kommentar Fra : Peder Vendelbo Mikke~ |
Dato : 07-08-02 19:05 |
| | |
Alex Holst (07-08-2002)
| Kommentar Fra : Alex Holst |
Dato : 07-08-02 23:13 |
|
Peder Vendelbo Mikkelsen <pedervm@myrealbox.com> wrote:
> Kasper Dupont skrev:
>
>> Der står 117 forsøg i min logfil.
>
> Hvilken port i din logfil, er mindst populær?
Hvorfor spilder I overhovedet tid paa at flytte daemons rundt hvis der
ikke er en teknisk grund til det? Laes denne traad, start med det
nederste indlaeg og derefter de to af H C:
<URL: http://marc.theaimsgroup.com/?t=102735306200001&r=1&w=2 >
Brug derefter jeres tid paa noget andet, for guds skyld.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
| |
Kasper Dupont (08-08-2002)
| Kommentar Fra : Kasper Dupont |
Dato : 08-08-02 07:35 |
|
Peder Vendelbo Mikkelsen wrote:
>
> Kasper Dupont skrev:
>
> > Der står 117 forsøg i min logfil.
>
> Hvilken port i din logfil, er mindst populær?
Der er logget 486 forskellige TCP porte, og 74 forskellige
UDP porte. Det vil sige, at hovedparten af portene er der
aldrig nogensinde set en pakke til.
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razrep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk
| |
Kent Friis (06-08-2002)
| Kommentar Fra : Kent Friis |
Dato : 06-08-02 22:46 |
|
Den Tue, 06 Aug 2002 11:16:01 +0200 skrev Jakob Kirkegaard:
>I forbindelse med et tdc pro@ccess adsl abonnement, med en rounter der
>som udgangspunkt er konfigureret til kun at smide http, smtp og ftp
>trafik videre til bestemte interne adresser, skal jeg bruge en ssh
>server.
>I den forbindelse ville jeg høre om der er noget sikkerhedsmæssigt
>problematisk i at ændre listen port til 21 (bruger ikke ftp til noget).
>
>Autoriseret ændring af routeren er pebret og selvkonfigurering er ikke
>tilladt.
Men, der er en lille detalje der ikke står i dokumentationen. Routeren
er overflødig, man kan bare sætte netkablet direkte i PC'en. Man skal
bare give den IP-adresserne (de officielle) i stedet for at køre DHCP,
og så slipper man for NAT og alle de underlige problemer.
(Hvis man har mere end en PC kan man naturligvis ikke undvære NAT, og
skal enten bruge routeren eller lade en anden maskine stå for det).
Mvh
Kent
--
Avoid the Gates of Hell. Use Linux
(Unknown source)
| |
Jesper Dybdal (07-08-2002)
| Kommentar Fra : Jesper Dybdal |
Dato : 07-08-02 13:05 |
|
leeloo@phreaker.net (Kent Friis) wrote:
>Men, der er en lille detalje der ikke står i dokumentationen. Routeren
>er overflødig, man kan bare sætte netkablet direkte i PC'en. Man skal
>bare give den IP-adresserne (de officielle) i stedet for at køre DHCP,
>og så slipper man for NAT og alle de underlige problemer.
>
>(Hvis man har mere end en PC kan man naturligvis ikke undvære NAT, og
>skal enten bruge routeren eller lade en anden maskine stå for det).
Det kan man dog kun hvis ens Pro@ccess er af typen med æternetinterface;
de gamle (med 5711-ruter) kan man ikke gøre sådan med. Men man kan betale
for at få dem konverteret til den nye model.
--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).
| |
Kent Friis (07-08-2002)
| Kommentar Fra : Kent Friis |
Dato : 07-08-02 13:31 |
|
Den Wed, 07 Aug 2002 14:05:24 +0200 skrev Jesper Dybdal:
>leeloo@phreaker.net (Kent Friis) wrote:
>
>>Men, der er en lille detalje der ikke står i dokumentationen. Routeren
>>er overflødig, man kan bare sætte netkablet direkte i PC'en. Man skal
>>bare give den IP-adresserne (de officielle) i stedet for at køre DHCP,
>>og så slipper man for NAT og alle de underlige problemer.
>>
>>(Hvis man har mere end en PC kan man naturligvis ikke undvære NAT, og
>>skal enten bruge routeren eller lade en anden maskine stå for det).
>
>Det kan man dog kun hvis ens Pro@ccess er af typen med æternetinterface;
>de gamle (med 5711-ruter) kan man ikke gøre sådan med. Men man kan betale
>for at få dem konverteret til den nye model.
Jeg går ud fra at de så ikke er udstyret med rj45-stik? Og under alle
omstændigheder er det billigere at prøve inden man går ud og investerer
i en anden router, eller begynder at rode i TDC's konfiguration.
Mvh
Kent
--
.~. .~.
/V\ From Palm Pilot to S/390 /V\
// \\ Truly scalable operating system // \\
/( )\ Linux /( )\
^^-^^ ^^-^^
| |
Jesper Dybdal (07-08-2002)
| Kommentar Fra : Jesper Dybdal |
Dato : 07-08-02 18:21 |
|
leeloo@phreaker.net (Kent Friis) wrote:
>Den Wed, 07 Aug 2002 14:05:24 +0200 skrev Jesper Dybdal:
>
>>Det kan man dog kun hvis ens Pro@ccess er af typen med æternetinterface;
>>de gamle (med 5711-ruter) kan man ikke gøre sådan med. Men man kan betale
>>for at få dem konverteret til den nye model.
>
>Jeg går ud fra at de så ikke er udstyret med rj45-stik?
Svjh er både ATM- og æternetstik i modemet RJ45. Og modemerne (i hvert
fald dem fra Siemens) er de samme (bortset fra nogle meget gamle
modeller), selvom nogle bruger ATM og andre bruger æternet, styret fra
centralen.
>Og under alle
>omstændigheder er det billigere at prøve inden man går ud og investerer
>i en anden router, eller begynder at rode i TDC's konfiguration.
Hvis ens ruter fra TDC er en Speedstream 5711, hvilket burde være nemt at
se, så har man ATM og kan definitivt ikke slutte æternet til modemet.
(Æternetruteren hedder vistnok 5781 - hvis man har den kan man godt.)
--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).
| |
Kent Friis (07-08-2002)
| Kommentar Fra : Kent Friis |
Dato : 07-08-02 20:11 |
|
Den Wed, 07 Aug 2002 19:21:01 +0200 skrev Jesper Dybdal:
>leeloo@phreaker.net (Kent Friis) wrote:
>
>>Den Wed, 07 Aug 2002 14:05:24 +0200 skrev Jesper Dybdal:
>>
>>>Det kan man dog kun hvis ens Pro@ccess er af typen med æternetinterface;
>>>de gamle (med 5711-ruter) kan man ikke gøre sådan med. Men man kan betale
>>>for at få dem konverteret til den nye model.
>>
>>Jeg går ud fra at de så ikke er udstyret med rj45-stik?
>
>Svjh er både ATM- og æternetstik i modemet RJ45. Og modemerne (i hvert
>fald dem fra Siemens) er de samme (bortset fra nogle meget gamle
>modeller), selvom nogle bruger ATM og andre bruger æternet, styret fra
>centralen.
>
>>Og under alle
>>omstændigheder er det billigere at prøve inden man går ud og investerer
>>i en anden router, eller begynder at rode i TDC's konfiguration.
>
>Hvis ens ruter fra TDC er en Speedstream 5711, hvilket burde være nemt at
>se, så har man ATM og kan definitivt ikke slutte æternet til modemet.
>(Æternetruteren hedder vistnok 5781 - hvis man har den kan man godt.)
Hvis routeren (som min - har ikke checket nummeret, den er pakket
væk) har indbygget hub på begge sider, så er der umiddelbart heller
ingen tvivl om at det er en ethernet.
Mvh
Kent
--
8:16pm up 2:37, 1 user, load average: 101.21, 95.46, 55.85
164 processes: 62 sleeping, 102 running, 0 zombie, 0 stopped
With XMMS tugging along nicely, playing Vivaldi...
| |
|
|