[Pluto-security] Curiosita sui modem/router ADSL

Tom aka 'Dido' dido at sicurweb.com
Wed Mar 12 23:18:19 CET 2003


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Ciao!

> E' da diverso tempo che volevo chiedere delcidazioni in merito agli
> apparecchi citati nell'oggetto e diversi aspetti a me oscuri... è arrivato
> il momento buono ;o)

Beh, credo dipenda fortemente dal modello in questione...

> 1) Quando si effettua una connesione ad Internet viene aggiunta
> automaticamente un route statica: 192.168.100.1. Immagino ovviamente che si
> tratti del modem. Per curiosita ho eseguito una scansione con risultato di:
> port 514  ---> shell ---> open
> port 1723 --->  pptp ---> open

Anche qui.. la route statica dipenderà dai parametri della tua rete...
Pe rle porte aperte, la prima di tutto una breve ricerca in internet: la porta 
514 viene utilizzata dal syslogd, quindi potrebbe servirti per ricevere i log 
su una management station.... Sicuro che sia una shell?
La seconda porta è per le VPN... Ma chi ti ha configurato il tuo modem?
In ogni caso, con la marca del router si scoprono molte cose in più!!!


> 2) Tutto questo è assai interessante quindi continuano le prove: tethereal
> in azione e cuttura di tutto il traffico; qui abbiamo il modem che ... boh
> ... forse saluta gli extraterrestri. Si annuncia con un bel HELLO con
> destinazione `pim-routers.mcast.net', [l' multicast che se non ho capito
> male si tratta di una specie di broadcast particolare ... ci sono ?]

Si, se ti ricordi se ne era parlato.. NOn so esattamente cosa serva, ma quasi 
tutti i provider usano mandare e ricevere questi hello, probabilmente per 
verificare lo stato della connessione. Io ho provato anche a filtrarli, ma 
non mi sono mai accorti di differenze....
Cercando un po' in giro, ho trovato che potrebbe essere per la cosiddetta 
"path mtu discovery", anche se io credevo si usassero particolari pacchetti 
icmp (questi invece sono IGMP). Cmq mi sto certificando Cisco, appena ho 
altre news vi informo!

> dopodiche c'è un rapido scambio
> di query DNS con i dns del mio provider [e io no sto facendo nulla] fino a
> completare con una query inversa su 224.0.0.1, che a questo punto penso si
> riferisca a quel pim-router ... blabliblabla.

Ricordati che in mezzo c'è un colegamento P-T-P, quindi potrebbe essere l'ip 
dell'altro punto!

>> Ma che cosa serve sto benedetto traffico ? forse il provider che controlla
> se la connesione è attiva ? Sembra abbastanza interessante il discorso
> anche perchè ho cercato di bloccarlo con il firewall ma non ho tirato fuori
> nulla!

Bloccarlo lo blocchi di sicuro, il problema è che non so cosa comporta!

>
> Se avete dei Link da passare leggo ben volentieri.
>
> Ciao e grazie.
> Beppe

Prego 
Dido

- -------------------------------------
Dido

PGP Public Key
http://web.tiscali.it/di_do/dido.asc
- -------------------------------------
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE+b7IrQe/GGXXd6zQRAu2OAKCTUXzyxFNr7ziig6btcJEgPytM1gCeLi53
h2dRvuCWliVCUhjvOkrR2Qo=
=d+24
-----END PGP SIGNATURE-----



More information about the pluto-security mailing list