[despammed] [PLUTO-security] Firewall bucato?

Stefano Callegari ste.callegari a tiscali.it
Mar 24 Feb 2004 12:01:56 CET 

Il 24feb 10:50, Valentino Squilloni - OuZ scrisse:
> On Sat, 21 Feb 2004, Stefano Callegari wrote:
> 
[cut]
> > Riconosco la mia ignoranza, ma forse mi sono spiegato male (o forse tu
> > hai capito ma io non te :-). La "catena" hw è server/fw hw/router adsl,
> > cioè 3 dispositivi fisici con 3 indirizzi diversi.
> 
> Ok.  Allora l'informazione che ti da` il mac-address e` superflua perche`
> ogni frame che ti arriva avra` il mac-address della porta interna del
> firewall hw, visto che e` sempre lui a incapsulare i pacchetti che vanno
[cut]
> Il mio appunto era solo su chi fosse stato a generare quel traffico e
> punterei su una macchina esterna.  Oppure il 204.118.23.102 qui sopra e`
> un'indirizzo ``vostro''?

No.

[cut]
> > Ma non dovrebbe essere il fw hw a bloccarli?
> 
> Dovrebbe probabilmente si`, per quei pacchetti particolari che non riesce
> a filtrare (come quelli di cui sopra) interviene prontamente la strato di
> netfilter della tua linux-box, probabilmente molto piu' intelligente di
> qualsiasi firewall hardware :-)

Bella notizia questa :-\ . Mi hanno sempre spacciato che nulla era più
efficace di un fw hw. Forse il nostro modello è una ciofeca?

> Dopo tutto, e' per quello che l'hai messo in quella posizione nella rete,
> no? Proprio per bloccare il traffico illecito che riesce a sfuggire dal
> firewall hardware. (Approposito, di che firewall hw stiamo parlando?

A dire il vero il mio fw l'avevo messo solo per sfizio. Ora in poi sarà
un imperativo!

> Te lo chiedo giusto per apprendere qualcosa in piu', visto che sicuramente
> non conoscero' il prodotto e le sue funzionalita').

L'ho solo visto durante l'installazione più di un anno fà e non
avendone la gestione non ho proprio idea delle sue caratteristiche. Da
quello che mi ricordo non è di "marca".

> > E poi, perchè questo accade da pochi giorni (più o meno dall'inizio
> > dell'epidemia - macchine LAN infette??? :-| )?
> 
> Potrebbe essere anche per questo, ma per rendertene conto dovresti mettere
> dei filtri o dei log anche sul traffico in output, per vedere se le tue
> macchine creano del traffico ``strano'' verso l'esterno.

La presenza di un virus è un po' relativa (hanno antivirus aggiornati
automaticamente e poi non ho mai sentito di virus sulla porta 21) ciò
non toglie che abbiano qualche "strano" applicativo. Dirò di fare una
bella verifica delle macchine.

[cut]
> 
> > $IPTABLES -A allowed -p TCP -j facchiu_input_allow
> 
> Se chiamassi prima allowed di not_allowed tutto il traffico tcp non
> established e related arriverebbe qui, quindi mai intreresti nella
> facchiu_input da not_allowed.  (per questo sospetto che da INPUT prima
> venga richiamata la chain not_allowed)

Prima c'è il controllo allowed per le porte di un certo interesse
quindi il not_allowed e poi un allowed per le porte sopra i 1024.

Devo invertire le ultime 2?

> 
> > # NOT ALLOWED
> > $IPTABLES -N not_allowed
> >
> > $IPTABLES -A not_allowed -p tcp ! --syn -m state --state NEW -j facchiu_input
> [...]
> 
> Ora mi manca di vedere come e' fatta la chain di INPUT :-)  Anche la
> syn-flood manca, ma presumo sia solamente un limit rate per i syn, quindi
> non dovrebbe essere molto interessante.

No, c'è, ma è appunto limitata al syn.

> 
> [impedire vari tipi di scan]
> > # blocco FYN scan ( funziona ? )
> > #$IPTABLES -A not_allowed -p tcp --tcp-flags SYN,FIN SYN,FIN -j facchiu_input
> > #$IPTABLES -A not_allowed -p tcp --tcp-flags FIN FIN -j facchiu_input
> 
> Per bloccare il FIN scan ricorda che ti dovrebbero arrivare pacchetti col
> flag FIN ma senza flag ACK (se ti riferisci al FIN scan di nmap), cosa che
> in una normale transazione non dovrebbe esistere, quindi

Come vedi è commentato. Ho sentito diverse voci sull'effettiva
funzionalità di quelle righe, così ho preferito non usarle (meglio
essere coscienti di non essere protetti piuttosto di una falsa
protezione). Dovrei ricercare dove ho trovato le dritta e verificare
per cosa queste 2 righe sono indicate (se noti è scritto FYN, come una
unione tra SYN e FIN)

> 	--tcp-flags ACK,FIN FIN

Devo sostituire entrambe le linee con questa?

[cut]
> > Ok, attendo il responso del luminare :-)
> 
> E allora dobbiamo chiamare il Maestro Fabio (ora lo faccio incazzare ;-P),
> non certo me...

Inchiniamoci allora ..... :-)

Grazie.

Ciao
-- 
Stefano Callegari
LinuxRegistered: User 248729 - Machine 133534
Via Frassanedo 2 - Saonara (PD) - Italy

Maggiori informazioni sulla lista pluto-security