[despammed] Re: [PLUTO-security] Firewall bucato?

Valentino Squilloni - OuZ ouz a people.it
Gio 26 Feb 2004 20:03:09 CET 

On Thu, 26 Feb 2004, Stefano Callegari wrote:

> Scusate se ci ritorno, ma oggi, al controllo dei log, mi è risuonata la
> campanella che ha fatto nascere il thread. Riposto nuove linee di log:
>
> Feb 26 15:31:53 server kernel: IPT INPUT bad_packet died: IN=eth1 OUT=
> MAC=00:10:a7:0a:74:32:00:c0:49:b2:2d:3b:08:00 SRC=80.117.208.181
> DST=192.168.0.6 LEN=40 TOS=0x00 PREC=0x00 TTL=119 ID=12207 PROTO=TCP
> SPT=3439 DPT=3238 WINDOW=0 RES=0x00 ACK RST URGP=0
> Feb 26 15:31:54 server kernel: IPT INPUT bad_packet died: IN=eth1 OUT=
> MAC=00:10:a7:0a:74:32:00:c0:49:b2:2d:3b:08:00 SRC=80.116.214.253
> DST=192.168.0.6 LEN=40 TOS=0x00 PREC=0x00 TTL=118 ID=33975 PROTO=TCP
> SPT=2171 DPT=3237 WINDOW=0 RES=0x00 ACK RST URGP=0
>
> La cosa che non comprendo (anche perchè ho cercato il significato di
> ACK RST URGP=0, ma non ho trovato - un link, please?)

Sono tre flag del TCP.  Il flag urg non e` settato mentre ACK e RST si.
Un pacchetto con flag e rst attivato puo` essere un pacchetto ri risposta
ad un tentativo di connessione verso una porta tcp chiusa.

> è perchè il fw hw
> lasci passare quei pacchetti su porte che dovrebbe avere chiuse?

Eh, questo lo devi chiedere al tuo firewall hardware :-)

> E' un qualche rimasuglio di una connessione ftp?

Perche` dici ftp?  192.168.0.6 e` l'indirizzo interno del tuo server ftp?

> Semplicemente non verifica i flag?

Oppure ancora piu` semplicemente controlla un solo flag, l' ACK.  Se e`
attivo lascia passare il pacchetto (prendendolo come facente parte di una
connessione established).

> I pacchetti droppati risultano abbastanza ripetitivi e quasi sempre
> sulle più assurde porte, sempre >1024, e sempre con i flag ACK RST
> URGP=0 (pacchetto finale?) o ACK SYN URGP=0 (pacchetto iniziale?).

No, SYN ACK non e` il pacchetto iniziale.  E` la risposta di un server
ad un tentativo di connessione (un SYN) su una porta tcp aperta.

> Chiedo scusa ancora, ma confrontando il log con il fw sul mio pc, noto
> chiaramente che la situazione è completamente differente: i miei drop,
> notevolmente di più, sono quasi esclusivamente SYN URGP=0 (lo script è
> lo stesso). Questo significa che, ipotizzando un normale "rumore di
> fondo", il fw hw almeno blocca i "miei" pacchetti (quindi funziona) ma
> per qualche motivo riceve un "attacco" che a me non si presenta (ndr:
> io non offro alcun servizio se non l'ssh e, normalmente chiuso, l'ftp).
>
> E' il fw hw che "sporca" i pacchetti?
> Perchè questa diversità di comportamento?

Qui non ti ho capito (tra mio e miei mi sono perso e non capivo piu' se
stessi parlando di roba uscente o entrante sul firewall linux o so quello
hardware e proveniente dall'esterno o dall'interno.
Potresti ripetere la domanda?

-- 
>avendo accesso come root ad un server remoto, come potrei fare a rendere
>il sistema non utilizzabile ma in modo sottile ?
Se NT puo' installarsi via FTP, e' la tua risposta.
                -- Leonardo Serni

Maggiori informazioni sulla lista pluto-security