[PLUTO-help] iptables

Stefano Vedovelli spinwing a briarsoft.fastwebnet.it
Lun 17 Maggio 2004 22:20:58 CEST


Alle 21:30, lunedì 17 maggio 2004, gianni ha scritto:
> E' già una risposta, probabilmente intendi dire che ci sono trojan che si
> buttano su qualche porta programmata in precedenza ed altri che invece le
> fanno passare tutte una per una e prima o poi trovano quella aperta?
anche qui si potrebbe dissertare a lungo, comunque un worm, i trojan sono 
un'altra cosa (*), difficilmente fà un port scan completo. Lui conosce uno o 
più exploit e li cerca per diffondersi. Di recente ne sono stati scatenati 
parecchi del genere, approffittando ovviamente della tristemente nota scarsa 
cura dei prodotti di una nota software house americana.

Un port scan completo solitamente lo esegue uno script kid che crede di 
capirci qualcosa solo perchè ha scaricato qualche kit da qualche sito oscuro 
e cerca porte aperte.

Di recente però mi hanno attaccato spoofando i pacchetti, e questo è già roba 
più sofisticata...

> Però allora nel secondo caso non c'è difesa perchè come minimo 3 porte
> bisogna lasciarle aperte (SMTP, POP3, HTTP), oppure c'è una scappatoia?
Nel dettaglio:

chain di output = tu ---> firewall ---> net
chain di input  = tu <--- firewall <--- net

Di primo acchito ciò potrebbe far sembrare che se, per esempio, una mail via 
pop3 deve entrare nel tuo sistema, allora devi tenere la porta pop3 aperta. 
Invece non è così. Tu apri la tua porta pop3 IN USCITA verso il server, e su 
quel canale (si dice "established") la connessione di ritorno ti trasporta i 
dati. 

> Tu dici che devo lasciare aperte le porte attraverso le quali offro un
> servizio. Bene io non offro nessun servizio, devo solo naviagare e inviare
> o lricevere posta, 
Quindi non hai bisogno di alcuna porta in INPUT aperta. Tutte in DROP, non 
REJECT, altrimenti è come dire "io ci sono ma non ti voglio". E' meglio 
invece non apparire proprio.

> e per far questo è necessario che la chain di OUTPUT sia 
> settata per lasciare aperte le relative porte.
Ti sei risposto da solo.

Tanto è vero che nel tuo caso non metterei limitazioni nella chain di OUTPUT, 
a parte SMB perchè già ci pensa Windows ad inquinare la rete con i suoi 
broadcast....

Comunque, una mailing list non è il posto adeguato per discutere di un 
argomento così vasto. In letteratura ci sono volumi interi disponibili in 
rete. Al primo colpo su google ti riporto:

http://it.tldp.org/HOWTO/Firewall-HOWTO.html

Spero ti chiarisca le idee.

ciao
Stefano

(*) I trojan prendono il nome dal cavallo di troia, ovvero sono virus/worm 
mascherati all'interno di un altro programma. Perchè un trojan abbia effetto, 
devi eseguire il programma nel tuo sistema.


More information about the pluto-help mailing list