[despammed] [PLUTO-security] Firewall bucato?

[Valentino Squilloni - OuZ]

On Wed, 25 Feb 2004, Salvatore Basso wrote:

> > Feb 23 09:30:25 firewall New not syn: IN=eth1 OUT=eth0
> > MAC=00:50:ba:bd:a5:a4:00:50:ba:bd:33:c9:08:00  SRC=myippriv DST=ippubb
> > LEN=40 TOS=00 PREC=0x00 TTL=127 ID=4933 DF PROTO=TCP SPT=1298 DPT=80
> > SEQ=1786271746 ACK=2999188269 WINDOW=0 RST URGP=0
>
> >questa sembra una connessione generata da qualcuno della tua rete verso un
> >web server, ma che è stata intercettata in quanto è nuova ma non ha il bit
> >SYN attivo... (ippubb è un ip qualsiasi su internet?) il che non dovrebbe
> >essere proprio normale... se l'ip di origine corrisponde ad un client
> >sulla LAN sarebbe utile un controllo....
>
> . allora l'ip privato è di una macchina interna alla mia rete, l'ip
> pubblico corrisponde ad un pop tin sul quale ovviamente non risponde nessun
> server web, che tipo di controllo potrei fare ?

La macchina che ha generato quel traffico e` una macchina windows, giusto?
Potrebbe aver lanciato uno scan verso quella porta... ma la cosa sembra
strana lo stesso... non hai altri log particolari di traffico che arriva
da quella macchina? C'e` solo quel singolo pacchetto loggato?

> > Feb 23 09:31:11 firewall IPT INPUT packet died:  IN=eth0 OUT=
> > MAC=00:10:a7:1b:5d:74:00:07:50:c8:9e:80:08:00  SRC=ippubb DST=myippubfw
> > LEN=1190 TOS=00 PREC=0x00 TTL=54 ID=16834 DF PROTO=TCP SPT=80 DPT=57701
> > SEQ=1950330308 ACK=1791599701 WINDOW=24820 ACK PSH FIN URGP=0
> >
> >sembra una risposta da parte di un web server... potrebbe essere un
> >pacchetto malformato o danneggiato... oppure qualcuno che ha alterato
> >di proposito il pacchetto...

> . l'indirizzo sorgente corrisponde sempre ad un pop tin e non risponde
> nulla sulla porta 80 se vuoi posso anche postarlo !

Postalo pure (non penso sia un problema).  Comunque qesto e` gia` piu`
normale, dall'esterno arriva sempre di tutto :-)

> > Jan  1 01:00:00 firewall IPT OUTPUT packet died:  IN= OUT=eth0
> > MAC=00:10:a7:1b:5d:74:00:07:50:c8:9e:80:08:00  SRC=myippubdns DST=ippubb
> > LEN=76 TOS=00 PREC=0x00 TTL=255 ID=13861 PROTO=ICMP TYPE=3 CODE=3
> >
> >un port unreachable in risposta ad un tentativo di ping o di connessione al
> >dns pubblico. Se hai usato il target REJECT di iptables mi sembra che
> >questa sia la risposta predefinita...  verifica quali sono le
> >condizioni che hanno generato tale risposta... (un ping oppure un
> >tentativo di connessione non autorizzato...)
>
> . dovrebbe essere uno "scambio di idee" tra il mio server dns ed un server
> dns di interbusiness ! però io non ho usato il target reject !!

Questo a me non e` chiaro.  IN e` vuoto quindi questo e` un pacchetto
generato dal firewall, in uscita verso l'interfaccia pubblica.  Il
pacchetto non passa (visto le regole di ICMP che avevi postato) ma quello
che mi pare strano e` l'indirizzo sorgente, che dovrebbe essere
l'indirizzo pubblico del firewall... ed invece dici che e` l'indirizzo del
server DNS (presumo stia in DMZ).

Qui penso che dovresti spiegarci come vengono nattati i tuoi server in
DMZ, se al firewall hai assegnato tutti gli indirizzi pubblici che hai a
disposizione oppure se hai gli hai assegnato solo un indirizzo e quindi
non fa nat per la dmz.

> > Jan  1 01:00:00 firewall IPT OUTPUT packet died:  IN= OUT=eth0
> > MAC=00:50:ba:bd:a5:a4:00:50:ba:bd:33:c9:08:00  SRC=myippubhttp DST=ippubb
> > LEN=76 TOS=00 PREC=0x00 TTL=255 ID=13862 PROTO=ICMP TYPE=3 CODE=3
> >
> >idem come sopra ma al web server pubblico ...
>
> .. anche per !!!

Magari era giu` l'interfaccia verso la dmz in quel momento.  Comunque una
porta tcp chiusa (al contrario delle udp) deve rispondere con un RST se e`
chiusa, quindi queste sembrano proprio generate dal REJECT del firewall...
ma se dici di non avere REJECT... :-/

-- 
>avendo accesso come root ad un server remoto, come potrei fare a rendere
>il sistema non utilizzabile ma in modo sottile ?
Se NT puo' installarsi via FTP, e' la tua risposta.
                -- Leonardo Serni