[PLUTO-security] Firewall bucato?

Gio 26 Feb 2004 21:11:05 CET

Alle 17:58, giovedì 26 febbraio 2004, Stefano Callegari ha scritto:
> Il 26Feb 00:17, To Sicurezza in rete scrisse:
> > Il 25Feb 22:43, Valentino Squilloni - OuZ scrisse:
> > > On Tue, 24 Feb 2004, Stefano Callegari wrote:
> >
> > [cut]

stò 3d è un casino..... 

> Scusate se ci ritorno, ma oggi, al controllo dei log, mi è risuonata la
> campanella che ha fatto nascere il thread. Riposto nuove linee di log:
>
> Feb 26 15:31:53 server kernel: IPT INPUT bad_packet died: IN=eth1 OUT=
> MAC=00:10:a7:0a:74:32:00:c0:49:b2:2d:3b:08:00 SRC=80.117.208.181
> DST=192.168.0.6 LEN=40 TOS=0x00 PREC=0x00 TTL=119 ID=12207 PROTO=TCP
> SPT=3439 DPT=3238 WINDOW=0 RES=0x00 ACK RST URGP=0

Feb 26 15:31:54 server kernel: IPT INPUT bad_packet died: IN=eth1 OUT=
> MAC=00:10:a7:0a:74:32:00:c0:49:b2:2d:3b:08:00 SRC=80.116.214.253
> DST=192.168.0.6 LEN=40 TOS=0x00 PREC=0x00 TTL=118 ID=33975 PROTO=TCP
> SPT=2171 DPT=3237 WINDOW=0 RES=0x00 ACK RST URGP=0
>

potrebbero essere  risposte a tentativi di connessione rifiutati (ACK ed RST 
attivi...)
oggettivamente però è strano che siano diretti proprio al fw linux, sempre che 
questo non generi traffico verso internet.... penso che sia proprio roba 
proveniente da internet e che per qualche ragione non viene filtrata dal fw 
hardware

> La cosa che non comprendo (anche perchè ho cercato il significato di
> ACK RST URGP=0, ma non ho trovato - un link, please?) è perchè il fw hw
> lasci passare quei pacchetti su porte che dovrebbe avere chiuse?

difficile dirlo senza sapere come è configurato il fw hw... certo se su linux 
ti arriva questa mondezza non è proprio normale, ed una controllata al fw hw 
andrebbe fatta
ma ti sei levato lo sfizio di farti una scansione dall'esterno, tanto per 
vedere come stanno le cose?

>
> E' un qualche rimasuglio di una connessione ftp?
> Semplicemente non verifica i flag?
>
> I pacchetti droppati risultano abbastanza ripetitivi e quasi sempre
> sulle più assurde porte, sempre >1024, e sempre con i flag ACK RST
> URGP=0 (pacchetto finale?) o ACK SYN URGP=0 (pacchetto iniziale?).
>
> Chiedo scusa ancora, ma confrontando il log con il fw sul mio pc, noto
> chiaramente che la situazione è completamente differente: i miei drop,
> notevolmente di più, sono quasi esclusivamente SYN URGP=0 (lo script è
> lo stesso). Questo significa che, ipotizzando un normale "rumore di
> fondo", il fw hw almeno blocca i "miei" pacchetti (quindi funziona) ma
> per qualche motivo riceve un "attacco" che a me non si presenta (ndr:
> io non offro alcun servizio se non l'ssh e, normalmente chiuso, l'ftp).
>
asp.... ora di quale pc stiamo parlando? un'altro firewall?  

> E' il fw hw che "sporca" i pacchetti?
> Perchè questa diversità di comportamento?

il firewall hardware comunque filtra, e probabilmente fa piazza pulita di 
tutte le connessioni nuove... ma qualcosa comunque riesce a sfuggirgli, e 
capita nelle mani del fw Linux, forse è per questo che noti questa 
differenza... 
>

tanto per fare un esempio, questo è un estratto del log... si tratta di un fw 
molto semplice che non ha nessun servizio aperto verso internet,e che sta in 
"prima linea", ovvero si becca tutta la mondezza internet....

Feb 26 16:04:41 linux03 new-not-syn IN=ppp0 OUT= MAC= SRC=82.84.228.203 
DST=82.84.85.199 LEN=40 TOS=00 PREC=0x00 TTL=121 ID=50230 CE PROTO=TCP 
SPT=1025 DPT=1934 SEQ=0 ACK=573374465 WINDOW=0 ACK RST URGP=0

Feb 26 16:35:16 linux03 new-not-syn IN=ppp0 OUT= MAC= SRC=82.84.228.203 
DST=82.84.85.199 LEN=40 TOS=00 PREC=0x00 TTL=121 ID=35674 CE PROTO=TCP 
SPT=1025 DPT=1835 SEQ=0 ACK=2050818049 WINDOW=0 ACK RST URGP=0

questi sono molto simili a quelli che hai postato, nel mio caso vengono 
intercettati in quanto connessioni nuove e senza il bit attivo... ovvero da 
una regola tipo:

iptables -A INPUT -i ppp0 -p tcp ! --syn -m state --state new -j LOG ....

Feb 26 18:24:59 linux03 security IN=ppp0 OUT= MAC= SRC=80.117.224.84 
DST=82.84.85.199 LEN=40 TOS=00 PREC=0x00 TTL=243 ID=18462 PROTO=TCP SPT=3259 
DPT=3128 SEQ=757147 ACK=0 WINDOW=4096 SYN URGP=0

questa invece è una "normale" connessione nuova (bit syn attivo) e che è stata 
scartata in quanto proveniente da internet questo tipo di pacchetti sono la 
maggioranza tra quelli droppati...

Ciao,
 Luca