[PLUTO-security] Traffico DNS
Beppe
beppebz at tin.it
Wed Jun 18 01:41:51 CEST 2003
Ciao...
Parlando di "Re: [PLUTO-security] Traffico DNS" Tom aka 'Dido' ha scritto:
> Non è che magari hai un swche gira internamente, tipo uno sniffer, un ids o
> simile, che quando trova un tentativo di attacco fa una query per
> controllare l'ip dell'attaccante? Oppure un sw che fa una query+reverse
> query per verificare che non cia sia un dns spoofato? La butto lì....
Guarda, sulla macchina c'è SNORT il che la tua ipotesi al stato dei fatti è
sicuramente la piu' probabile.
Ma allo stesso tempo mi sorge solamente un dubbio spero tu mi smentisca: se le
connesione viene realemente originata da SNORT che gira sul firewall, il
traffico di ritorno non dovrebbe essere considerato lecito in quanto
appartenente ad una connesione nota ? Questa è l'unica cosa che mi ha dato da
pensare; le regole del forse si tratta della disposizione delle regole, per
chiarezza ti posto la parte IMHO interesata dello script:
# OUTPUT:
# queste mi servono per gestire gli aggiornamenti della macchina
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -p udp -o eth0 --dport 53 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -o eth0 --dport 80 -j ACCEPT
#INPUT
# per brevita posto solo la parte incriminata
<...snip...>
# con le due regole successive i tentativi di connesioni di cui in
# oggetto vengono loggati e bloccati !!!
$IPTABLES -A INPUT -i eth0 -m state --state INVALID -m limit --limit 3/minute
--limit-burst 2 -j LOG --log-prefix "IPT INPUT BLOCCATO:"
$IPTABLES -A INPUT -m state --state INVALID -j DROP
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p tcp -j REJECT --reject-with tcp-reset
... meglio mettere prima la regola di ACCEPT e poi quella di LOGGIN e DROP ?
Grazie ancora e a presto.
A presto Beppe
--
GnuPG Public KEY:
--->[http://www.bpnets.org/beppe.asc]
More information about the pluto-security
mailing list