[PLUTO-security] Log iptables, non mi tornano i conti!
Fabio Panigatti
ml-panigatti at minerprint.it
Fri Jul 11 20:31:59 CEST 2003
> inizio: 10/07/03 (ieri) alle 10.43.46
> fine: 10/07/03 (ieri) alle 10.44.38
> indirizzo sorgente: server w2k in lan che NON offre servizi all'esterno
> destinazione: linux box che fa da router firewall
eth2 e' l'interfaccia interna o esterna?
Accetti traffico ESTABLISHED in INPUT su eth2?
Hai gente potenzialmente ackera/lamera in rete?
A quel server qualcuno puo' accedere via rdp o
in accesso locale?
Puo' essere uno scherzo?
Il server offre servizi a una DMZ?
Offre servizi sulle porte sorgente di quel traffico?
C'e' qualche SNAT che coinvolge l'ip che il firewall
ha su eth2 come sorgente? (y.y.y.y)
Se accetti traffico ESTABLISHED in ingresso questi RST non sono stati
generati da traffico uscito dal firewall ma da qualche host che ne ha
spoofato l'indirizzo ip.
> Jul 10 10:43:46 caronte kernel: IN=eth2 OUT=
> MAC=00:08:a1:18:10:f7:00:02:55:22:aa:5c:08:00 SRC=x.x.x.x DST=y.y.y.y
> LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=3116 PROTO=TCP SPT=80 DPT=61494
> WINDOW=0 RES=0x00 RST URGP=0
00:02:55:22:aa:5c e' il MAC del server windows?
Dovresti loggare anche i numeri di sequenza e le tcp options IMHO.
L'impatto sulle prestazioni e' nullo e hai altri dati d'analizzare
in caso di bisogno.
> Jul 10 10:43:47 caronte kernel: IN=eth2 OUT=
> MAC=00:08:a1:18:10:f7:00:02:55:22:aa:5c:08:00 SRC=x.x.x.x DST=y.y.y.y
> LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=3642 PROTO=TCP SPT=902 DPT=61474
> WINDOW=0 RES=0x00 ACK RST URGP=0
Prova a postarne altre, magari. Puo' essere utile averne diverse
consecutive. Sono tutte ACK+RST e RST o c'e' anche altro tra i flag?
> solo che ad un certo punto cambia la porta di destinazione in 61593
>
> ogni tanto si presenta qualche riga identica in tutto tranne in URGP che
> assume altri valori, mentre di solito è a 0
> un'altra riga un po' diversa dalle solite è:
> Jul 10 10:43:47 caronte kernel: IN=eth2 OUT=
> MAC=00:08:a1:18:10:f7:00:02:55:22:aa:5c:08:00 SRC=x.x.x.x DST=y.y.y.y
> LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=3643 PROTO=TCP SPT=848 DPT=61474
> WIPT=1487 DPT=61474 WINDOW=0 RES=0x00 ACK RST URGP=0
>
> cosa è quel WIPT=1487 ???
Mai visto. In ipt_LOG.c non esiste questa stringa (2.4.21).
> poi c'è qualche icmp.
Tipo? Posta... posta...
> ci sono delle altre righe un po' diverse, ma non voglio tediarvi oltre.
Non mi sembra che ci sia molto traffico in lista, ultimamente :-)
Fabio
More information about the pluto-security
mailing list