Sicherheit: Peers prüfen

[gollumA]

So nun meine Frage.Was bringt eigentlich
SCAN localhost ?

ich habe Iptables so eingerichtet

#LAN und lo alles erlauben
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT

Danke für eure Antworten !!

[feissmaik]

sorry aber wenn du sowas derart fragst scheinst du leider noch nicht ganz verstanden zu haben was es damit überhaupt aufsich hat

Wieso hast du bei dir dein iptables denn derart eingerichtet?
Da steht doch "LAN und lo alles erlauben" ... nun frage ich dich aber was das mit dem Internet zu tun hat?
Leistest du etwa ernsthaft alles an den Linux-rechner weiter sodass überhaupt das einrichten und nutzen von iptables von nöten wäre?


Zum einen ist das nur ein Beispiel das man die zu scannede Adresse auch an das Script als Parameter übergeben könne und zum anderen gilt Deine iptables Einstellung nur für das loopback device aber nicht für deine Netzwerkkarte eth0, und nmap den lokalen Rechner abscanned nach den eingestellten Ports - natürlich bedeutet das nicht das diese Ports auch aus dem Internet erreichbar sind aber daran erkennt man welche Dienste lokal auf dem Standardport laufen, nicht nur die die du eigenhandig installiert hast und wie es aussehen könnte wenn diese Ports von anderen übers Internet zugänglich gemacht wurden etc...


(...denn sie wissen nicht was sie tun...)

[GuterJung]

HI!

Ich habe das erste Script ausprobiert.

Es bleibt aber immer hier stehen:

Code: Alles auswählen

Croot@debian ~ > SCAN
Scanning..
Failed to resolve given hostname/IP: 0x.  Note that you can't use '/mask' AND '1-4,7,100-' style IP ranges
Failed to resolve given hostname/IP: 0x.  Note that you can't use '/mask' AND '1-4,7,100-' style IP ranges
Failed to resolve given hostname/IP: 0x.  Note that you can't use '/mask' AND '1-4,7,100-' style IP ranges
Failed to resolve given hostname/IP: 0x.  Note that you can't use '/mask' AND '1-4,7,100-' style IP ranges
Failed to resolve given hostname/IP: 0x.  Note that you can't use '/mask' AND '1-4,7,100-' style IP ranges
Failed to resolve given hostname/IP: 0x.  Note that you can't use '/mask' AND '1-4,7,100-' style IP ranges
sendto in send_ip_packet_sd: sendto(213, packet, 1492, 0, xxx.xxx.xxx.xxx, 16) => Message too long
Offending packet: TCP 192.168.0.55:52342 > xxx.xxx.xxx.xxx:443 S ttl=128 id=0 iplen=1492  seq=1857756971 win=3072 <mss 1460>
sendto in send_ip_packet_sd: sendto(213, packet, 1492, 0, xxx.xxx.xxx.xxx, 16) => Message too long
Offending packet: TCP 192.168.0.55:31858 > xxx.xxx.xxx.xxx:443 S ttl=128 id=0 iplen=1492  seq=773319848 win=3072 <mss 1460>
sendto in send_ip_packet_sd: sendto(213, packet, 1492, 0, xxx.xxx.xxx.xxx, 16) => Message too long
Offending packet: TCP 192.168.0.55:37548 > xxx.xxx.xxx.xxx9:443 S ttl=128 id=0 iplen=1492  seq=409544919 win=3072 <mss 1460>

In die Ipnew.txt werden alle DNS Adressen ordnungsgemäß geschrieben.

In die results.txt nimmt er immer nur diesen Eintrag vor:

Code: Alles auswählen

Starting Nmap 5.51 ( http://nmap.org ) at 2012-01-30 18:07 CET
Pre-scan script results:
| broadcast-wsdd-discover: 
|   Devices
|     192.168.0.104
|         Message id: 558e0869-893f-4bcc-9278-0528478dab19
|         Address: http://192.168.0.104:5357/f965e155-9cc8-44c1-acbd-884dbc784561/
|_        Type: Device pub:Computer
| broadcast-dns-service-discovery: 
|   192.168.0.6
|     9/tcp workstation
|       Address=192.168.0.6
|     22/tcp sftp-ssh
|       Address=192.168.0.6
|     22/tcp ssh
|_      Address=192.168.0.6
| broadcast-upnp-info: 
|   192.168.0.1
|       Server: Custom/1.0 UPnP/1.0 Proc/Ver
|_      Location: http://192.168.0.1:5431/dyndev/uuid:00236914-cabe-0023-6914-cabe00000000

192.168.0.1 = Router
192.168.0.6 = Dreambox
192.168.0.55 = Debian Server
192.168.0.104 = Mein PC

Das ganze hatte ich nun fast 2 Stunden am laufen Was mache ich falsch?

Die Scanmethode aus Post 3 funktioniert. Ich will je doch nicht jeden Peer einzeln bestätigen. Kann ich hier auch einstellen das die Ergebnisse in eine Datei geschrieben werden?

[feissmaik]

Die Scanmethode aus Post 3 funktioniert. Ich will je doch nicht jeden Peer einzeln bestätigen. Kann ich hier auch einstellen das die Ergebnisse in eine Datei geschrieben werden?

Mit folgendem Script ginge das sofern bei SaveToFile ein File angegeben wurde; ansonsten das gleiche wie in Post#3...

Code: Alles auswählen

#!/bin/bash
#
OScamCFG="/var/etc/oscam.server"
CCcamCFG="/var/etc/CCcam.cfg"
#
tcpPorts="21-25,80,139,443,988,8080,9080,12000,16000,16001,16002,22000"
udpPorts="53,111,137"
SKIPdevice="127.0.0.1,localhost,/dev/*"
NMAPopt="-PN --open --script=all"
#
# SaveToFile="" to disable
SaveToFile="/tmp/result.txt"
#

if [ -z "$1" ]; then
	PEERs=""
	if [ -f "$OScamCFG" ]; then
		PEERsO=$(cat $OScamCFG | grep "^device" | awk '{print $3}' | sed 's/,/ /g' | cut -d " " -f1)
		PEERs="$PEERs $PEERsO"
	fi
	if [ -f "$CCcamCFG" ]; then
		PEERsC=$(cat $CCcamCFG | grep "^C:" | awk '{print $2}' | cut -d " " -f1)
		PEERs="$PEERs $PEERsC"
	fi
	PEERs=$(echo $PEERs | sort | uniq)
else
 PEERs=$1
fi

SKIPdevice=$(echo $SKIPdevice | sed 's/,/ /g')
ScanPEERs=""; SPcount=0
for PEER in $PEERs; do
	SkipIt=0
	for SKIP in $SKIPdevice; do
		[ "$PEER" = "$SKIP" -a -z "$1" ] && SkipIt=1
	done
	[ "$SkipIt" = "0" ] && ScanPEERs="$ScanPEERs $PEER" && SPcount=$((SPcount + 1))
done
ScanPEERs=$(echo $ScanPEERs | sort)

[ ! -z "$udpPorts" ] && PORTS="U:$udpPorts"
if [ ! -z "$tcpPorts" -a ! -z "$udpPorts" ]; then
	PORTS+=",T:$tcpPorts"
elif [ ! -z "$tcpPorts" -a -z "$udpPorts" ]; then 
	PORTS="T:$tcpPorts"
fi

[ ! -z "$SaveToFile" ] && rm -f $SaveToFile

for SP in $ScanPEERs; do
	if [ -z "$SaveToFile" ]; then
		echo "" && echo "Scanning $SP"
		nmap $SP -p $PORTS $NMAPopt
		SPcount=$((SPcount - 1))
		echo "" && [ "$SPcount" -ne "0" ] && read -p "... Please hit <Enter> to continue ..."
	else
		echo "" >> $SaveToFile && echo "Scanning $SP" >> $SaveToFile
		nmap $SP -p $PORTS $NMAPopt >> $SaveToFile
		echo "" >> $SaveToFile
	fi
done

exit 0

[szonic]

Macht sich gut!

Wie kann ich mich denn mal selbst überprüfen?

Und weiter, wie kann ich meine Clienten überprüfen in Oscam.user?

Ansonsten bin ich froh und glücklich das meine server sicher sind!

Danke für das Script!

Grüsse
szonic

[feissmaik]

Du kannst an das Script wie gesagt auch die zu scannende Adresse als Parameter übergeben:

SCAN 127.0.0.1

Oder wenn du mehrere Scannen möchtest: SCAN "127.0.0.1 1.2.3.4 9.8.7.6"

Wenn du deinen eigenen Server prüfen willst, was aus dem Internet erreichbar ist, musst du das von einem anderen Linux Rechner aus machen; am besten ausserhalb deines LANs also zb von einem ThinClient bei deinem Kumpel oder so...

Ansonsten gibts aber auch etliche Web-Dienste die solche PortScans für dich durchführen können

[szonic]

Ah, prima, habe verstanden!

Danke schön!

[feissmaik]

Und weiter, wie kann ich meine Clienten überprüfen in Oscam.user?

Das ist leider etwas komplizierter weil man meistens keinen Hostname beim User angegeben hat; weil das ja leider auch oft Probleme verursacht wenn der DynDNS nicht schnell genug aktualisiert bzw das auch überall übernommen wurde (der DNS des CS-Servers) wodurch der User dann nicht "sofort" wieder rein käme; aber das ist hier nur nebensächlich...

Nachdem man also via Script die "^user" und "^F:" Zeilen aus den Configs ausgelesen hat müsste man dann zb also daher gehen und anhand der Cam Logs die aktuelle IP des Users herrausfinden sofern dieser überhaupt connected ist - ältere IPs zu scannen bringt wahrscheinlich nichts da Dynamische-IP...
Also zb durch auslesen der letzten x-Zeilen und prüfen ob sich dort die zuvor ausgelesenen User auftauchen und aus dem Zeilenmatch dann die IP rausfiltern und scannen....

Das wäre eine Möglichkeit die man nehmen könnte - Logs vorrausgesetzt

Wenn man aber KEINE Logs hat - was zb bei mir der Fall ist weil ich sowas auch als unsicher betrachte - wird das ganze dann schon komplizierter.... Bei CCcam könnte man übers WebIf die zzt verbundenen IPs auslesen und Scannen - aber bei OScam müsste dafür der Monitor enabled sein aber das ist auch nicht überall der Fall - weil auch das betrachte ich persönlich ebenfals als unsicher...

Eine weitere aber ebenfals komplizierte scriptseitige Lösung wäre aber auch das prüfen der allgemein zzt zu dem Linux verbundenen Verbindungen (hrhr) - also anhand aller Netzwerkverbindungen (netstat) die jeweilige IP scannen...



Also da müsste man gucken ob man für bestimmte Vorraussetzungen ein Script bastelt oder zb für letzteres was dann auch unabhängig der eingesetzten Cam wäre .... allerdings könnte es sowas evtl. bereits schon geben - weiss ich aber leider grad nicht...


Aber du kannst dir auch die IP des Clients angucken und das dann an das SCAN Script als Parameter übergeben um den dann zu Scannen...

[szonic]

Danke für die ausführliche Antwort.
Da ich nur knapp über 10 Clienten habe ist das ja relativ schnell gemacht, ich kam nur bisher nicht dazu.

Kam meine PN an @feissmaik?

Grüsse
szonic

[Princos]

Habe Probleme bei der Installation von nmap

apt-get update -f && apt-get install aptitude -fy && aptitude safe-upgrade -f

dann:

root@debian ~/nmap-5.51 > ./configure && make && make install
checking whether NLS is requested... yes
checking build system type... i686-pc-linux-gnu
checking host system type... i686-pc-linux-gnu
checking for gcc... no
checking for cc... no
checking for cl.exe... no
configure: error: in `/root/nmap-5.51':
configure: error: no acceptable C compiler found in $PATH

gibt es für dieses Problem eine Lösung?

Gruß