[PLUTO-security] Log iptables, non mi tornano i conti!

Fri Jul 11 22:42:04 CEST 2003

Il ven, 2003-07-11 alle 19:31, Fabio Panigatti ha scritto:

bene bene, sei proprio la persona che speravo mi rispondesse :-))))
gli altri non me ne vogliano, ma "il Panigatti" è proprio un maestro!

> eth2 e' l'interfaccia interna o esterna?
interna

> Accetti traffico ESTABLISHED in INPUT su eth2?
si

> Hai gente potenzialmente ackera/lamera in rete?
forse uno, ma non credo

> A quel server qualcuno puo' accedere via rdp o
> in accesso locale?
si, ma di solito accedo solo io (con "di solito" intendo dire che posso
accedere solo io, gli altri potrebbero tecnicamente farlo, sempre se
sono capaci, ma non dovrebbero farlo).

> Puo' essere uno scherzo?
no, assolutamente.

> Il server offre servizi a una DMZ?
in che senso, se intendi che è in dmz e offre servizi verso internet no.
anzi, li una dmz no c'è

> Offre servizi sulle porte sorgente di quel traffico?
no, anche perchè le porte sorgente continuano a cambiare.

> C'e' qualche SNAT che coinvolge l'ip che il firewall
> ha su eth2 come sorgente? (y.y.y.y)
no, c'è uno SNAT (MASQUERADE) ma è sulla eth1

> Se accetti traffico ESTABLISHED in ingresso questi RST non sono stati
> generati da traffico uscito dal firewall ma da qualche host che ne ha
> spoofato l'indirizzo ip.
> 
> > Jul 10 10:43:46 caronte kernel: IN=eth2 OUT=
> > MAC=00:08:a1:18:10:f7:00:02:55:22:aa:5c:08:00 SRC=x.x.x.x DST=y.y.y.y
> > LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=3116 PROTO=TCP SPT=80 DPT=61494
> > WINDOW=0 RES=0x00 RST URGP=0
> 
> 00:02:55:22:aa:5c e' il MAC del server windows?

yes

> Dovresti loggare anche i numeri di sequenza e le tcp options IMHO.
> L'impatto sulle prestazioni e' nullo e hai altri dati d'analizzare
> in caso di bisogno.

si, hai ragione, è meglio, anzi è meglio se comincio a googlare un po'
per capiere quello che stai decendo :-))
Scherzi a parte non ho ben chiaro come si fa a loggare le tcp options e
la sequenza.
A dire il vero è meglio se mi studio un po' di regole di log più
efficaci di quelle che uso adesso, (hai qualche esempio da mandare, non
chiedo pappa pronta, ma qualcosa che mi faccia capire "in pratica", come
si fa)

> > Jul 10 10:43:47 caronte kernel: IN=eth2 OUT=
> > MAC=00:08:a1:18:10:f7:00:02:55:22:aa:5c:08:00 SRC=x.x.x.x DST=y.y.y.y
> > LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=3642 PROTO=TCP SPT=902 DPT=61474
> > WINDOW=0 RES=0x00 ACK RST URGP=0
> 
> Prova a postarne altre, magari. Puo' essere utile averne diverse
> consecutive. Sono tutte ACK+RST e RST o c'e' anche altro tra i flag?

ok, sotto ci sono altri log

> > cosa è quel WIPT=1487 ???
> 
> Mai visto. In ipt_LOG.c non esiste questa stringa (2.4.21).

Azz, in quella macchina c'è una RH8 (ovviamnte aggiornata), che non ho
installato io, la mantengo solo (non avrei installato red hat, non la
conosco bene mi trovo meglio con debian), il kernel è quello di default
upgradato 2.4.20-18.8.
Sarà una patch, ora ho messo in download il kernel source di red hat e
vediamo.

> > poi c'è qualche icmp.
>
> Tipo? Posta... posta...

vedi sotto

> > ci sono delle altre righe un po' diverse, ma non voglio tediarvi oltre.
> 
> Non mi sembra che ci sia molto traffico in lista, ultimamente :-)
Già!

cmq, a me sa tanto di port scan.
Ma dovrebbe essere stato fatto dal firewall verso il server.
Ho i miei buoni motivi per dubitare che si sia introdotto qualcuno
dall'esterno ed abbia fatto un port-scan del server, piuttosto che
qualcuno da dentro lo abbia fatto, usando l'indirizzo del firewall come
decoy.
che dici maestro, è possibile?

Tempo fa ho notato che con alcuni tipi di portscan, fatti verso il
server 2k, nei log mi trovavo nei log degli errori attribuiti al server
wins. Quindi se lunedì trovo quegli errori e l'ora coincide sono a
cavallo!

ciao e grazie, ora scappo, è tardi
Andrea

Jul 10 10:43:46 caronte kernel: IN=eth2 OUT=
MAC=00:08:a1:18:10:f7:00:02:55:22:aa:5c:08:00 SRC=x.x.x.x DST=y.y.y.y
LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=3116 PROTO=TCP SPT=80 DPT=61494
WINDOW=0 RES=0x00 RST URGP=0

Jul 10 10:43:46 caronte kernel: IN=eth2 OUT=
MAC=00:08:a1:18:10:f7:00:02:55:22:aa:5c:08:00 SRC=x.x.x.x DST=y.y.y.y
LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=3120 PROTO=TCP SPT=240 DPT=61474
WINDOW=0 RES=0x00 ACK RST URGP=0

Jul 10 10:43:46 caronte kernel: IN=eth2 OUT=
MAC=00:08:a1:18:10:f7:00:02:55:22:aa:5c:08:00 SRC=x.x.x.x DST=y.y.y.y
LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=3121 PROTO=TCP SPT=850 DPT=61474
WINDOW=0 RES=0x00 ACK RST URGP=0

Jul 10 10:43:46 caronte kernel: IN=eth2 OUT=
MAC=00:08:a1:18:10:f7:00:02:55:22:aa:5c:08:00 SRC=x.x.x.x DST=y.y.y.y
LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=3122 PROTO=TCP SPT=994 DPT=61474
WINDOW=0 RES=0x00 ACK RST URGP=0

Jul 10 10:43:46 caronte kernel: IN=eth2 OUT=
MAC=00:08:a1:18:10:f7:00:02:55:22:aa:5c:08:00 SRC=x.x.x.x DST=y.y.y.y
LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=3123 PROTO=TCP SPT=890 DPT=61474
WINDOW=0 RES=0x00 ACK RST URGP=0

Jul 10 10:43:46 caronte kernel: IN=eth2 OUT=
MAC=00:08:a1:18:10:f7:00:02:55:22:aa:5c:08:00 SRC=x.x.x.x DST=y.y.y.y
LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=3124 PROTO=TCP SPT=177 DPT=61474
WINDOW=0 RES=0x00 ACK RST URGP=0

Jul 10 10:43:46 caronte kernel: IN=eth2 OUT=
MAC=00:08:a1:18:10:f7:00:02:55:22:aa:5c:08:00 SRC=x.x.x.x DST=y.y.y.y
LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=3125 PROTO=TCP SPT=124 DPT=61474
WINDOW=0 RES=0x00 ACK RST URGP=0

[CUT] le altre sono simili 

Jul 10 10:43:46 caronte kernel: IN=eth2 OUT=
MAC=00:08:a1:18:10:f7:00:02:55:22:aa:5c:08:00 SRC=x.x.x.x DST=y.y.y.y
LEN=44 TOS=0x00 PREC=0x00 TTL=128 ID=3143 DF PROTO=TCP SPT=445 DPT=61474
WINDOW=16616 RES=0x00 ACK SYN URGP=0

questa sopra e' diversa non è RST ma SYN ACK, ed infatti quella porta è
aperta.

Jul 10 10:43:47 caronte kernel: IN=eth2 OUT=
MAC=00:08:a1:18:10:f7:00:02:55:22:aa:5c:08:00 SRC=x.x.x.x DST=y.y.y.y
LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=4661 PROTO=TCP SPT=1464 DPT=61474
WINDOW=0 RES=0x00 ACK RST URGP=22770

Questa ha dei valori di URGP diversi, come mai, è un compartamento
normale dei port-scanner tipo nmap?

ecco un icmp

Jul 10 10:44:15 caronte kernel: IN=eth2 OUT=
MAC=00:08:a1:18:10:f7:00:02:55:22:aa:5c:08:00 SRC=x.x.x.x DST=y.y.y.y
LEN=28 TOS=0x00 PREC=0x00 TTL=128 ID=4750 PROTO=ICMP TYPE=0 CODE=0
ID=32887 SEQ=0