[PLUTO-security] Firewall bucato?

Stefano Callegari ste.callegari a tiscali.it
Gio 26 Feb 2004 17:58:17 CET 

Il 26Feb 00:17, To Sicurezza in rete scrisse:
> Il 25Feb 22:43, Valentino Squilloni - OuZ scrisse:
> > On Tue, 24 Feb 2004, Stefano Callegari wrote:
> > 
> [cut]
> > Ok, questi sono tutti i servizi che offri, all'esterno giusto?
> 
> Esatto.
[cut]
> 
> > Riguardano i log che avevi postato nella prima mail direi che la
> > situazione e' ancora piu' tranquilla.  I bad packets sono semplicemente
> [cut]
> 
> Possiamo dire allora che il fw hw ha una cattiva o mal configurata
> gestione dei pacchetti che passano dalle porte (della serie che, per
> esempio, la 21 è un foro spalancato)? 
[cut]

Scusate se ci ritorno, ma oggi, al controllo dei log, mi è risuonata la
campanella che ha fatto nascere il thread. Riposto nuove linee di log:

Feb 26 15:31:53 server kernel: IPT INPUT bad_packet died: IN=eth1 OUT=
MAC=00:10:a7:0a:74:32:00:c0:49:b2:2d:3b:08:00 SRC=80.117.208.181
DST=192.168.0.6 LEN=40 TOS=0x00 PREC=0x00 TTL=119 ID=12207 PROTO=TCP
SPT=3439 DPT=3238 WINDOW=0 RES=0x00 ACK RST URGP=0
Feb 26 15:31:54 server kernel: IPT INPUT bad_packet died: IN=eth1 OUT=
MAC=00:10:a7:0a:74:32:00:c0:49:b2:2d:3b:08:00 SRC=80.116.214.253
DST=192.168.0.6 LEN=40 TOS=0x00 PREC=0x00 TTL=118 ID=33975 PROTO=TCP
SPT=2171 DPT=3237 WINDOW=0 RES=0x00 ACK RST URGP=0

La cosa che non comprendo (anche perchè ho cercato il significato di
ACK RST URGP=0, ma non ho trovato - un link, please?) è perchè il fw hw
lasci passare quei pacchetti su porte che dovrebbe avere chiuse?

E' un qualche rimasuglio di una connessione ftp?
Semplicemente non verifica i flag?

I pacchetti droppati risultano abbastanza ripetitivi e quasi sempre
sulle più assurde porte, sempre >1024, e sempre con i flag ACK RST
URGP=0 (pacchetto finale?) o ACK SYN URGP=0 (pacchetto iniziale?).

Chiedo scusa ancora, ma confrontando il log con il fw sul mio pc, noto
chiaramente che la situazione è completamente differente: i miei drop,
notevolmente di più, sono quasi esclusivamente SYN URGP=0 (lo script è
lo stesso). Questo significa che, ipotizzando un normale "rumore di
fondo", il fw hw almeno blocca i "miei" pacchetti (quindi funziona) ma
per qualche motivo riceve un "attacco" che a me non si presenta (ndr:
io non offro alcun servizio se non l'ssh e, normalmente chiuso, l'ftp).

E' il fw hw che "sporca" i pacchetti?
Perchè questa diversità di comportamento?

Rigrazie
-- 
Stefano Callegari
LinuxRegistered: User 248729 - Machine 133534
Via Frassanedo 2 - Saonara (PD) - Italy

Maggiori informazioni sulla lista pluto-security