[PLUTO-security] ftp e iptables

[Beppe]

Parlando di "Re: [PLUTO-security] ftp e iptables" Fabio Panigatti ha scritto:

<cut>

> Anch'io :-) Se hai una macchina IIS non patchata che non puoi fermare e
> non hai a disposizione nient'altro, e' sicuramente meglio far andare in
> timeout un po' di socket finche' la situazione non cambia, per esempio,
> ed intanto bloccare tutti gli accessi a default.ida.
> Di solito, pero', penso che ci sia quasi sempre una soluzione migliore,
> vedi anche quella snort flexresp.

Ho già sentito parlare di "flexresp", non ho ancora avuto modo di dargli un 
occhiata.
A quanto ho capito permette di tramutare snort da un IDS passivo ad attivo.
Un po quello che faceva il buon vecchio "portsentry" (ora defunto).

> Se si parla di udp o icmp diventa una
> cosa molto piu' fattibile: vuoi impedire le query per un certo dominio?
> Con string rigetti con un port unreachable i pacchetti che contengono i
> riferimenti al dominio, et voila'. Vuoi impedire a welchia di vedere la
> tua rete come up? Droppi tutto il traffico icmp echo request contenente
> una serie di 0xAA, e via. E chi se ne frega se welchia va in timeout :-)
> Altri esempi a fantasia.

Ok... i casi che hai citati sono eloquenti: credo di aver capito :) 
Non mi rimane che documentarmi un po' !

Thank's a lot  :)
Beppe