[despammed] [PLUTO-security] Firewall bucato?

Valentino Squilloni - OuZ ouz a people.it
Mar 24 Feb 2004 14:55:29 CET 

On Tue, 24 Feb 2004, Stefano Callegari wrote:

> [cut]
> > Il mio appunto era solo su chi fosse stato a generare quel traffico e
> > punterei su una macchina esterna.  Oppure il 204.118.23.102 qui sopra e`
> > un'indirizzo ``vostro''?
>
> No.

Immaginavo, l'ipotesi diventa sempre piu' coerente.

> [cut]
> > > Ma non dovrebbe essere il fw hw a bloccarli?
> >
> > Dovrebbe probabilmente si`, per quei pacchetti particolari che non riesce
> > a filtrare (come quelli di cui sopra) interviene prontamente la strato di
> > netfilter della tua linux-box, probabilmente molto piu' intelligente di
> > qualsiasi firewall hardware :-)
>
> Bella notizia questa :-\ . Mi hanno sempre spacciato che nulla era più
> efficace di un fw hw. Forse il nostro modello è una ciofeca?

Non necessariamente.  La grande efficacia che ti hanno ``spacciato''
probabilmente si riferiva alle prestazione, non alle feature.  Dubito che
anche i migliori firewall hardware di Cisco abbiano piu' feature di
netfilter (oppure di pf di OpenBSD).  Anche perche', avendo una macchina
UNIX a fare da firewall, puoi farci mille cose in piu' rispetto ad un
dispositivo hardware nato per fare solo determinate cose.

> > Dopo tutto, e' per quello che l'hai messo in quella posizione nella rete,
> > no? Proprio per bloccare il traffico illecito che riesce a sfuggire dal
> > firewall hardware. (Approposito, di che firewall hw stiamo parlando?
>
> A dire il vero il mio fw l'avevo messo solo per sfizio. Ora in poi sarà
> un imperativo!

Anzi, ti dico di piu', visto che hai comunque un router a monte il
firewall hardware lo potresti pure levare, IMHO.

> [cut]
> >
> > > $IPTABLES -A allowed -p TCP -j facchiu_input_allow
> >
> > Se chiamassi prima allowed di not_allowed tutto il traffico tcp non
> > established e related arriverebbe qui, quindi mai intreresti nella
> > facchiu_input da not_allowed.  (per questo sospetto che da INPUT prima
> > venga richiamata la chain not_allowed)
>
> Prima c'è il controllo allowed per le porte di un certo interesse
> quindi il not_allowed e poi un allowed per le porte sopra i 1024.
>
> Devo invertire le ultime 2?

Potresti postare tutte le regole che riguardano la chain INPUT che non ho
capito molto bene come funziona la cosa...

> > [impedire vari tipi di scan]
> > > # blocco FYN scan ( funziona ? )
> > > #$IPTABLES -A not_allowed -p tcp --tcp-flags SYN,FIN SYN,FIN -j facchiu_input
> > > #$IPTABLES -A not_allowed -p tcp --tcp-flags FIN FIN -j facchiu_input
> >
> > Per bloccare il FIN scan ricorda che ti dovrebbero arrivare pacchetti col
> > flag FIN ma senza flag ACK (se ti riferisci al FIN scan di nmap), cosa che
> > in una normale transazione non dovrebbe esistere, quindi
>
> Come vedi è commentato. Ho sentito diverse voci sull'effettiva
> funzionalità di quelle righe, così ho preferito non usarle

Mah, l'unico portscanner che conosco piu` o meno decentemente e` nmap e il
FIN scan di nmap (probabilmente sara` uguale a quello di altri scanner)
viene fatto mandando solo due pacchetti con il solo flag FIN.

Da quello che so, in una transazione tcp regolare in un pacchetto FIN (che
e' quello mandato dal client per chiudere in modo ``educato'' una
connessione) e` sempre presente anche il flag ack (confermate?).

Quindi le due regole sopra non hanno molto senso, la prima cerca un
pacchetto coi flag SYN e FIN contemporaneamente (potrebbe essere un altro
tipo di scan) e la seconda matcha qualsiasi pacchetto col flag FIN attivo.

> (meglio essere coscienti di non essere protetti piuttosto di una falsa
> protezione).

Pienamente d'accordo, sempre.

> Dovrei ricercare dove ho trovato le dritta e verificare
> per cosa queste 2 righe sono indicate (se noti è scritto FYN, come una
> unione tra SYN e FIN)
>
> > 	--tcp-flags ACK,FIN FIN
>
> Devo sostituire entrambe le linee con questa?

Esatto.

> [cut]
> > > Ok, attendo il responso del luminare :-)
> >
> > E allora dobbiamo chiamare il Maestro Fabio (ora lo faccio incazzare ;-P),
> > non certo me...
>
> Inchiniamoci allora ..... :-)

LOL

> Grazie.

Figurati, ciao.

-- 
>avendo accesso come root ad un server remoto, come potrei fare a rendere
>il sistema non utilizzabile ma in modo sottile ?
Se NT puo' installarsi via FTP, e' la tua risposta.
                -- Leonardo Serni

Maggiori informazioni sulla lista pluto-security