[despammed] [PLUTO-security] Firewall bucato?

Salvatore Basso sasab a pixteam.com
Mar 24 Feb 2004 10:06:23 CET 

----- Original Message ----- 
From: "Stefano Callegari" <ste.callegari a tiscali.it>
To: "Sicurezza in rete" <pluto-security a lists.pluto.it>
Cc: "Pluto Security" <pluto-security a lists.pluto.linux.it>
Sent: Saturday, February 21, 2004 6:39 PM
Subject: Re: [despammed] [PLUTO-security] Firewall bucato?


> Il 21feb 17:37, Valentino Squilloni - OuZ scrisse:
> > On Fri, 20 Feb 2004, Stefano Callegari wrote:
> >
> [cut]
> > > Feb 20 12:51:36 server kernel: IPT INPUT alw_packet died: IN=eth1 OUT=
> > > MAC=00:10:a7:0a:74:32:00:c0:49:b2:2d:3b:08:00 SRC=204.118.23.102
> > > DST=192.168.0.6 LEN=40 TOS=0x00 PREC=0x00 TTL=45 ID=0 DF PROTO=TCP
> > > SPT=21 DPT=44757 WINDOW=0 RES=0x00 RST URGP=0
> [cut]
> > > sua volta ad un firewall hw che fa da ulteriore filtro ad internet
> > > (adsl).
> > >
> > > Ora, dal mac risulta che è il fw hw a generare il traffico che il fw
sw
> > > del server rifiuta.
> >
> > Sicuramente il mac address e' del router, se ti arriva un pacchetto su
> > eth1 sara' sempre com mac del router stesso (e' il router a mettere
>
> Riconosco la mia ignoranza, ma forse mi sono spiegato male (o forse tu
> hai capito ma io non te :-). La "catena" hw è server/fw hw/router adsl,
> cioè 3 dispositivi fisici con 3 indirizzi diversi.
>
> Quello che mi fa ritenere che i pacchetti provengano dal fw hw è che il
> comando arp mi dovrebbe restituire i dispositivi collegati (il fw hw
> 192.168.0.254, cioè il gateway), escludendo il resto. Oppure no?
>
> > l'header di layer due per quel pacchetto).  Pero' l'IP sorgente
> > e' esterno, quindi quei pacchetti non dovrebbero essere stati generati
dal
> > tuo router, sono bensi' pacchetti forwardati da router.
>
> Cioè il route li forwarda al fw hw che li forwarda al server? Ma non
> dovrebbe essere il fw hw a bloccarli? E poi, perchè questo accade da
> pochi giorni (più o meno dall'inizio dell'epidemia - macchine LAN
> infette??? :-| )?
>
> [cut]
> > Potresti postare qualche informazione in piu'?  In particolare la parte
di
> > config del firewall che riguarda le cose che logghi, vorrei sapere in
base
> > a che regola logghi i "IPT INPUT bad_packet died" e i "IPT INPUT
> > alw_packet died".
>
> Riporto un po' di regole (la riga inizia sempre con $IPTABLES se
> nell'invio andasse a capo):
>
> # nuovo DROP con log
> $IPTABLES -N facchiu_input
> $IPTABLES -A facchiu_input -m limit --limit 12/hour --limit-burst 10 -j
LOG --log-level DEBUG --log-prefix "IPT INPUT bad_packet died: "
> $IPTABLES -A facchiu_input -j DROP
>
> # nuovo DROP con log per allow
> $IPTABLES -N facchiu_input_allow
> $IPTABLES -A facchiu_input_allow -m limit --limit 12/hour --limit-burst
10 -j LOG --log-level DEBUG --log-prefix "IPT INPUT alw_packet died: "
> $IPTABLES -A facchiu_input_allow -j DROP
>
> # ALLOWED
> $IPTABLES -N allowed
> $IPTABLES -A allowed -p TCP --syn -j syn-flood
> $IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
> $IPTABLES -A allowed -p TCP -j facchiu_input_allow
>
> # NOT ALLOWED
> $IPTABLES -N not_allowed
>
> $IPTABLES -A not_allowed -p tcp ! --syn -m state --state NEW -j
facchiu_input
> # impedire xmastree
> $IPTABLES -A not_allowed -p tcp --tcp-flags ALL FIN,URG,PSH -j
facchiu_input
> $IPTABLES -A not_allowed -p tcp --tcp-flags ALL ALL -j facchiu_input
> $IPTABLES -A not_allowed -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j
facchiu_input
> # blocco pacchetti senza flag
> $IPTABLES -A not_allowed -p tcp --tcp-flags ALL NONE -j facchiu_input
> # blocco pacchetti SYN + RST
> $IPTABLES -A not_allowed -p tcp --tcp-flags SYN,RST SYN,RST -j
facchiu_input
> # blocco FYN scan ( funziona ? )
> #$IPTABLES -A not_allowed -p tcp --tcp-flags SYN,FIN SYN,FIN -j
facchiu_input
> #$IPTABLES -A not_allowed -p tcp --tcp-flags FIN FIN -j facchiu_input
>
> p.s. - le regole le ho prese da vari howto e da dritte passate nelle
> liste.
>
> [cut]
> > perche' duplicati o per altri motivi...) ma se posti la config del
> > firewall si puo' tirare fuori qualcosa di meglio.
>
> Ok, attendo il responso del luminare :-)
>

Ciao a tutti, se posso vorrei offrire il mio contributo alla discussione, io
ho un firewall e relativa tipologia di rete del tipo int. pubblica, int.
lan, int. dmz ed uno script basato su iptables simile (almeno credo !) a
quello di cui stiamo parlando, ed anch' io mi ritrovo con dei log simili,
riporto un estratto:

Jan  1 01:00:00 firewall IPT OUTPUT packet died:  IN= OUT=eth0
MAC=00:10:a7:1b:5d:74:00:07:50:c8:9e:80:08:00  SRC=x.x.x.x DST=y.y.y.y
LEN=76 TOS=00 PREC=0x00 TTL=255 ID=30709 PROTO=ICMP TYPE=3 CODE=3

Feb 23 04:31:01 firewall IPT INPUT packet died:  IN=eth0 OUT=
MAC=00:10:a7:1b:5d:74:00:07:50:c8:9e:80:08:00  SRC=y.y.y.y DST=x.x.x.x
LEN=60 TOS=00 PREC=0x00 TTL=46 ID=689 PROTO=ICMP TYPE=8 CODE=0 ID=768
SEQ=9978

Feb 23 04:31:01 firewall IPT INPUT packet died:  IN=eth0 OUT=
MAC=00:10:a7:1b:5d:74:00:07:50:c8:9e:80:08:00  SRC=y.y.y.y DST=x.x.x.x
LEN=60 TOS=00 PREC=0x00 TTL=46 ID=703 PROTO=ICMP TYPE=8 CODE=0 ID=768
SEQ=13562

Feb 23 04:31:03 firewall IPT INPUT packet died:  IN=eth0 OUT=
MAC=00:10:a7:1b:5d:74:00:07:50:c8:9e:80:08:00  SRC=y.y.y.y DST=x.x.x.x
LEN=60 TOS=00 PREC=0x00 TTL=46 ID=749 PROTO=ICMP TYPE=8 CODE=0 ID=768
SEQ=24314

Feb 23 04:43:42 firewall IPT INPUT packet died:  IN=eth0 OUT=
MAC=00:10:a7:1b:5d:74:00:07:50:c8:9e:80:08:00  SRC=y.y.y.y DST=x.x.x.x
LEN=52 TOS=00 PREC=0x00 TTL=234 ID=47651 CE PROTO=ICMP TYPE=8 CODE=0 ID=6911

... dove eth0 è l'interfaccia pubblica, y.y.y.y sono indirizzi pubblici non
appartenenti alla mia rete, x.x.x.x sono ip pubblici a mia disposizione, c'è
da preoccuparsi ??
se servono altre info sono a disposizione (la data errata di alcuni log è
dovuta ad una implementazione di ulog).
Grazie e buon lavoro.

                 - Salvatore

---
[This E-mail scanned for viruses by Declude Virus]

Maggiori informazioni sulla lista pluto-security