[PLUTO-security] Log iptables, non mi tornano i conti!

Andrea Dinale andrea at dinale.it
Tue Jul 15 17:08:10 CEST 2003 

Alle 14:24, martedì 15 luglio 2003, Fabio Panigatti ha scritto:

> Si, soprattutto perche' e' abbastanza scontato che un firewall logghi
> il traffico sospetto e che abbia strumenti di rilevazione dei
> portscan. Inoltre il funzionamento degli idlescan e' basato sul fatto
> che l'host che viene sfruttato abbia scarso traffico, mentre e'
> facile che da un firewall passi sempre qualcosa.

Gia', non avevo tenuto contro delle altre connessioni possibili.

> Ora, questa cosa funziona se l'incremento dell'ID e' predicibile, e
> non random, come avviene con OpenBSD o altri sistemi operativi, e se
[CUT] ... [CUT]
> nmap usa solo TCP e quindi un RST o un SYN+ACK sollecitato dal dumb
> host, e non icmp, non funziona usando come dumb host un linux 2.4.

e qui si maniferìsta la mia ignoranza nei confronti dei vari stack 
tcp/ip, ora ho capito cosa dicevi.

> > E perchè se fa il probe degli IP ID su una porta aperta si ritorna
> > al caso dell'idiota?
> > In toria anche se la porta è aperta dovrebbe cmq ritornare un RST
> > dallo zombie alla vittima?!?!, facendo il secondo ID probe sulla
> > porta aperta, ci si dovrebbe trovare ID+2 o sbaglio?
> > Mentre se la porta è chiusa ritorna un ID+1? giusto?
>
> Opss... mi sa che sapevi gia' come funziona l'idlescan... vabbe, la
> pappardella sopra la lascio lo stesso, ormai che l'ho scritta.

fatto bene, cosi ho meno dubbi :-)

> E' una scelta che funziona bene se le macchina non e' linux 2.4,
> perche se la porta e' aperta e' facile ritenere che il traffico li
> diretto non venga loggato. Ma se la macchina e' un linux si torna al
> problema dell'ID che e' sempre zero, e il gioco non funziona.

già, ora ci sono.

> > no, gli echo request che ci sono si possono contare su una mano
>
> E tutti vengono dal server? Non c'e' niente di correlabile con la
> scansione (per tempi, ad esempio) che venga da altre macchine?

nulla di correlabile, ma i log non sono esplicativi.

[CUT]

> >questi ci sono! quindi è più probabile sia un decoy proveniente da
> > nmap!
>
> Bene, forse ci siamo.

> > qui c'ero arrivato da solo :-)))
>
> Si si, l'avevo capito dal resto del post, ma avevi fatto un cenno al
> fatto che poteva essere un comportamento degli scanner tipo nmap e
> per un attimo pensavo che ti riferissi alla possiiblita' che quel
> pacchetto venisse _direttamente_ da nmap.

no, mi sono espresso male, intendevo un decoy-scan fatto con nmap ai 
danni del server 2k, con l'ip del firewall come decoy.

> > Per questa volta l'ha fatta franca, ma la prossima arriva la
> > cazziata!
>
> Magari puoi mettere un IDS o un firewallino sul server windows, in
> modo da avere qualche info in piu' alla prossima marachella.

Gia' , hai qualche nome da consigliarmi? non me ne intendo molto di 
firewall in ambiente windows, (so che non è in topic, ma è correlato al 
thread).

Grazie ancora

Andrea

More information about the pluto-security mailing list