[PLUTO-security] Traffico DNS

[Beppe]

Ciao...

Parlando di "Re: [PLUTO-security] Traffico DNS" Tom aka 'Dido' ha scritto:
> Non è che magari hai un swche gira internamente, tipo uno sniffer, un ids o
> simile, che quando trova un tentativo di attacco fa una query per
> controllare l'ip dell'attaccante? Oppure un sw che fa una query+reverse
> query per verificare che non cia sia un dns spoofato? La butto lì....

Guarda, sulla macchina c'è SNORT il che la tua ipotesi al stato dei fatti è 
sicuramente la piu' probabile.
Ma allo stesso tempo mi sorge solamente un dubbio spero tu mi smentisca: se le 
connesione viene realemente originata da SNORT che gira sul firewall, il 
traffico di ritorno non dovrebbe essere considerato lecito in quanto 
appartenente ad una connesione nota ? Questa è l'unica cosa che mi ha dato da
pensare; le regole del  forse si tratta della disposizione delle regole, per 
chiarezza ti posto la parte IMHO interesata dello script:

# OUTPUT:
# queste mi servono per gestire gli aggiornamenti della macchina
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 
$IPTABLES -A OUTPUT -p udp -o eth0 --dport 53 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -o eth0 --dport 80 -j ACCEPT

#INPUT
# per brevita posto solo la parte incriminata

<...snip...>
# con le due regole successive i tentativi di connesioni di cui in 
# oggetto vengono loggati e bloccati !!!
$IPTABLES -A INPUT -i eth0 -m state --state INVALID -m limit --limit 3/minute 
--limit-burst 2 -j LOG --log-prefix "IPT INPUT BLOCCATO:"
$IPTABLES -A INPUT -m state --state INVALID -j DROP
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p tcp -j REJECT --reject-with tcp-reset

... meglio mettere prima la regola di ACCEPT e poi quella di LOGGIN e DROP ?

Grazie ancora e a presto.
A presto Beppe

-- 
GnuPG Public KEY: 
--->[http://www.bpnets.org/beppe.asc]