[despammed] [PLUTO-security] Firewall bucato?

Valentino Squilloni - OuZ ouz a people.it
Mer 25 Feb 2004 22:55:26 CET 

On Tue, 24 Feb 2004, Salvatore Basso wrote:

> . di seguito posto la catena riguardante i pacchetti icmp:
>

Di che chain stai parlando?  INPUT ?

> iptables -N icmp_packets
[...]
> iptables -A icmp_packets -p ICMP -s 0/0 --icmp-type 3 -j DROP
> iptables -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j DROP

Gli altri non dovrebbero essere un problema, ma questi due IMHO non vanno
bene.  Gli icmp type 3 soprattutto (sono proprio i destination unreachable
).  Sono icmp che ti segnalano degli errori avvenuti sulla rete, e, anche
se nella maggior parte delle ipotesi dovrebbero far parte del traffico
RELATED, io li accetterei lo stesso, sia in INPUT che in OUTPUT; non
dovrebbe essere un problema per te.

> . vorrei aggiungere un fattore alla discussione, vista la tipologia di
> firewall di cui stiamo parlando, in linea generale secondo voi non ci
> sarebbe da preoccuparsi maggiornamente se i log che stiamo analizzando
> piuttosto che far riferimento alle catene INPUT e OUTPUT facessero
> riferimento alla catena FORWARD ?? (perdono se ho detto caxxate).

Dipende.  Dipende da cosa uno logga e da come e` strutturata la rete.  Un
log in FORWARD significa che e` stato loggato (e poi normalmente droppato,
per lo meno io loggo solo quello che droppo) un pacchetto in transito sul
firewall, e cioe` un pacchetto che entra da un'interfaccia e esce da
un'altra.  Un pacchetto in INPUT e` un pacchetto direttamente destinato al
firewall.  Un pacchetto in OUTPUT e' un pacchetto generato dal firewall.

Quelli che mi farebbero piu' spaventare sono i log in uscita, piuttosto
che quelli in ingresso.  Se vedi una macchina che tenta di uscire con un
indirizzo privato significa che qualcuno in LAN sta tentando di spoofare,
e non cio` non e` bello :-)

Ciao,
 Valentino.

-- 
>avendo accesso come root ad un server remoto, come potrei fare a rendere
>il sistema non utilizzabile ma in modo sottile ?
Se NT puo' installarsi via FTP, e' la tua risposta.
                -- Leonardo Serni

Maggiori informazioni sulla lista pluto-security