La cosa migliore sarebbe lanciare uno scanner da una macchina diversa e ancora meglio fuori dalla tua rete locale, con la macchina da scannerizzare messa in DMZ, visto che se non sei molto esperto e se scansioni dalla rete locale potresti ottenere risultati ben diversi con UFW (senza andare a mettere le mani in modo più avanzato sui file).Dirk41 [url=http://forum.ubuntu-it.org/viewtopic.php?p=4871562#p4871562][img]http://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:e sai suggerirmi che ip dovrei mettere per testare le connessioni in uscita dal mio xubuntu?
Ma se proprio devi scannerizzare dalla stessa macchina usa l'IP dell'interfaccia ethernet (o Wifi se ti colleghi tramite quella).
Esempi a casaccio:
Codice: Seleziona tutto
sudo nmap -r -PA -PE -PS -PU -A --osscan-guess --badsum 192.168.1.5
Starting Nmap 6.40 ( http://nmap.org ) at 2016-04-17 14:43 CEST
Nmap scan report for 192.168.1.5
Host is up (0.000047s latency).
All 1000 scanned ports on 192.168.1.5 are filtered
Too many fingerprints match this host to give specific OS details
Network Distance: 0 hops
OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 217.15 seconds
Codice: Seleziona tutto
sudo nmap -Pn -sS -sU -T4 -A -v 192.168.1.5
Starting Nmap 6.40 ( http://nmap.org ) at 2016-04-17 14:54 CEST
NSE: Loaded 110 scripts for scanning.
NSE: Script Pre-scanning.
Initiating Parallel DNS resolution of 1 host. at 14:54
Completed Parallel DNS resolution of 1 host. at 14:54, 13.00s elapsed
Initiating SYN Stealth Scan at 14:54
Scanning 192.168.1.5 [1000 ports]
Completed SYN Stealth Scan at 14:54, 1.58s elapsed (1000 total ports)
Initiating UDP Scan at 14:54
Scanning 192.168.1.5 [1000 ports]
Completed UDP Scan at 14:54, 1.39s elapsed (1000 total ports)
Initiating Service scan at 14:54
Initiating OS detection (try #1) against 192.168.1.5
adjust_timeouts2: packet supposedly had rtt of -100173 microseconds. Ignoring time.
adjust_timeouts2: packet supposedly had rtt of -100173 microseconds. Ignoring time.
Retrying OS detection (try #2) against 192.168.1.5
adjust_timeouts2: packet supposedly had rtt of -100308 microseconds. Ignoring time.
adjust_timeouts2: packet supposedly had rtt of -100308 microseconds. Ignoring time.
NSE: Script scanning 192.168.1.5.
Initiating NSE at 14:54
Completed NSE at 14:54, 0.00s elapsed
Nmap scan report for 192.168.1.5
Host is up (0.000031s latency).
All 2000 scanned ports on 192.168.1.5 are closed
Too many fingerprints match this host to give specific OS details
Network Distance: 0 hops
NSE: Script Post-scanning.
Read data files from: /usr/bin/../share/nmap
OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 18.93 seconds
Raw packets sent: 2176 (82.651KB) | Rcvd: 4331 (187.192KB)
Come puoi vedere dalla prima alla seconda scansione si passa da filtered a closed per indicare lo stato delle porte, ma fatta dallo stesso PC è completamente falsata.
Come potrebbe essere falsata dalla rete locale, su un sistema moderno casalingo fatto per interagire con TV, telefoni e altre risorse sulla rete locale (di fatto UFW ha regole preimpostate non immediatamente modificabili).
Di fatto hai qualche servizio in più rispetto a quelli che gradiresti, questo è il mio sistema:
Codice: Seleziona tutto
sudo netstat -tunlp
Connessioni Internet attive (solo server)
Proto CodaRic CodaInv Indirizzo locale Indirizzo remoto Stato PID/Program name
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 2134/cupsd
Codice: Seleziona tutto
sudo netstat -tunlp
Connessioni Internet attive (solo server)
Proto CodaRic CodaInv Indirizzo locale Indirizzo remoto Stato PID/Program name
tcp 0 0 0.0.0.0:8080 0.0.0.0:* LISTEN 1908/minidlnad
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 2134/cupsd
udp 0 0 192.168.1.5:61217 0.0.0.0:* 1908/minidlnad
udp 0 0 0.0.0.0:1900 0.0.0.0:* 1908/minidlnad
-A ufw-dlna-locale -m mac --mac-source a1:b2:c3:d4:e5:f6 -d 192.168.1.5 -p tcp --dport 8080 -j RETURN
+ la regola veloce che si attiva al cambio profilo: 192.168.1.5 8080/tcp on eth1 ALLOW IN 192.168.1.X
+ una generale per --src-type LOCAL -p udp --dport 1900 con destinazione 239.255.255.250 (ACCEPT)
nmap riesce quasi a rilevare l'OS (-Pn -sS -sU -T4 -A -v):
i686-pc-linux-gnu e rileva correttamente la versione MiniDLNA.
nmap becca le due porte aperte soltanto con il SYN Stealth Scan e soltanto dai PC locali con regola preimpostata e dallo stesso PC.
Dai sistemi non coinvolti/autorizzati ad entrare nel server DLNA non cambia assolutamente nulla, come non cambia se i PC autorizzati usano un IP diverso o un'interfaccia di rete diversa (mac diverso).
Una scansione in DMZ 1900 udp:
Codice: Seleziona tutto
Stealth ssdp UPnP Simple Service Discovery Protocol
Codice: Seleziona tutto
Stealth http-alt HTTP Alternate (see port 80 and port 81)
Tutte le porte risultano INVISIBILI nonostante il profilo "DLNA" di UFW impostato al posto di quello "PARANOIA" o "Dallo senza Prenderlo [deny (in entrata), allow (in uscita), disabled (instradato)]".
Naturalmente dalla porta 0 alla 1055 sono risultate invidibili, come la 8080 e la 1900 che invece scansionando dalla stessa macchina (interfaccia di rete) erano visibili e aperte.Your system has achieved a perfect "TruStealth" rating. Not a single packet — solicited or otherwise — was received from your system as a result of our security probing tests. Your system ignored and refused to reply to repeated Pings (ICMP Echo Requests). From the standpoint of the passing probes of any hacker, this machine does not exist on the Internet. Some questionable personal security systems expose their users by attempting to "counter-probe the prober", thus revealing themselves. But your system wisely remained silent in every way. Very nice.
127.0.0.1:631 ti avevo già detto che era un servizio interno al PC, e ti serve per stampare sulle stampanti collegate al PC.
Per far sparire quella dnsmasq in ascolto basterebbe impostare IP statico nel PC per la connessione in uso e su qualche configurazione ritoccare le impostazioni del network-manager e /etc/hosts, la modalità di installazione modifica tantissimo certe cose, a parità di hardware e distro.
ma è in ascolto sul localhost, quindi non vedo che fastidio possa dare.
Postfix con Thunderbird non ha proprio nulla da spartire, quindi puoi rimuoverlo in tutta sicurezza:
Codice: Seleziona tutto
sudo apt-get purge postfix
Ubuntu installa anche roba raccomandata e potenzialmente sgradita a meno di modifiche al sistema:
Codice: Seleziona tutto
cat /etc/apt/apt.conf
APT::Install-Recommends "false";APT::Get::AllowUnauthenticated "false";
Già vista la scarsa documentazione, se non si indaga per capire dove sbattere la testa è meglio evitare anche UFW e usare direttamente IPtables, ma usare GUFW è una presa per in culo, non puoi neanche impostare i moduli Connection Tracking/NAT, interagire con /etc/ufw/sysctl.conf o cambiare l'IPT_SYSCTL e interagire con /etc/sysctl.conf, dare una pulita a before/after.rules che fanno diventare l'uscita di iptables -L un vero bordello e IMHO i problemi di sicurezza li introducono invece di allontanarli (trovo più sicuro un sistema senza firewall che gestito solamente con GUFW).
Senza GUFW il sistema se non sbaglio non dovrebbe neanche rispondere agli ICMP, perché è l'attivazione di UFW che imposta regole per rispondere, echo-request -j ACCEPT, tcp_sack=1, accept_source_route=1 e altra roba che default (magari ora è diverso? speriamo di si) è più sicura che con l'installare GUFW e attivare UFW.
Molte righe che diventano funzionanti con l'attivazione di UFW andrebbero eliminate, commentate o al limite modificate con l'opposto valore.
Già il volere scovare i rootkit ti ha installato nel sistema postfix, quindi si spiega da dove arriva il servizio smtp, mentre l'ipp (internet printing protocol) come detto prima è un servizio interno finché non imposti di condividere stampanti:
Codice: Seleziona tutto
631/tcp open ipp CUPS 1.7
Codice: Seleziona tutto
sudo netstat --inet -a
Connessioni Internet attive (server e stabiliti)
Proto CodaRic CodaInv Indirizzo locale Indirizzo remoto Stato
tcp 0 0 localhost:ipp *:* LISTEN