[despammed] [PLUTO-security] Firewall bucato?

Valentino Squilloni - OuZ ouz a people.it
Gio 26 Feb 2004 20:18:07 CET 

On Thu, 26 Feb 2004, Salvatore Basso wrote:

> >La macchina che ha generato quel traffico e` una macchina windows, giusto?
> >Potrebbe aver lanciato uno scan verso quella porta... ma la cosa sembra
> >strana lo stesso... non hai altri log particolari di traffico che arriva
> >da quella macchina? C'e` solo quel singolo pacchetto loggato?
>
> . si si tratta di una macchina windows e di sicuro da questa macchina non è
> partito alcun scan, subito dopo il log che ho riportato ve ne è uno
> praticamente uguale (ovviamente cambiano SEQ e ACK) e poi dopo un minuto vi
> è:
>
> Feb 23 09:31:33 firewall New not syn: IN=eth1 OUT=eth0
> MAC=00:50:ba:bd:a5:a4:00:50:ba:bd:33:c9:08:00  SRC=myippriv DST=ippubb
> LEN=40 TOS=00 PREC=0x00 TTL=127 ID=5001 DF PROTO=TCP SPT=1341 DPT=80
> SEQ=1817683823 ACK=4142766462 WINDOW=0 RST URGP=0
> dove l'ip privato è sempre lo stesso ma l'ip pubblico di destinazione è
> diverso dal precedente

Nemmeno questa volta e` un webserver?

> > > Feb 23 09:31:11 firewall IPT INPUT packet died:  IN=eth0 OUT=
> > > MAC=00:10:a7:1b:5d:74:00:07:50:c8:9e:80:08:00  SRC=ippubb DST=myippubfw
> > > LEN=1190 TOS=00 PREC=0x00 TTL=54 ID=16834 DF PROTO=TCP SPT=80 DPT=57701
> > > SEQ=1950330308 ACK=1791599701 WINDOW=24820 ACK PSH FIN URGP=0
>
> > nulla sulla porta 80 se vuoi posso anche postarlo !
>
> >Postalo pure (non penso sia un problema).  Comunque qesto e` gia` piu`
> >normale, dall'esterno arriva sempre di tutto :-)
>
> l'ip in questione è : SRC=212.216.176.189

Visto, risolve in un pop di tin che non ha nemmeno un reverse dns (non so
se e` una cosa comune farlo).

> > > Jan  1 01:00:00 firewall IPT OUTPUT packet died:  IN= OUT=eth0
> > > MAC=00:10:a7:1b:5d:74:00:07:50:c8:9e:80:08:00  SRC=myippubdns DST=ippubb
> > > LEN=76 TOS=00 PREC=0x00 TTL=255 ID=13861 PROTO=ICMP TYPE=3 CODE=3
>
> >Questo a me non e` chiaro.
>
> .le macchine che sono in dmz hanno ognuna di esse un ip privato mappato su
> ip pubblici diversi e che sono assegnati alla interfaccia esterna del
> firewall attraverso gli alias

Ok, allora qualcuno ha tentato di contattare (lecitamente) il tuo dns e
gli viene risposto dal firewall un port unreachable, come se accettasse
pacchetti alla porta 53 ma non avesse un demone in ascolto sulla 53/udp.

> >Magari era giu` l'interfaccia verso la dmz in quel momento.  Comunque una
> >porta tcp chiusa (al contrario delle udp) deve rispondere con un RST se e`
> >chiusa, quindi queste sembrano proprio generate dal REJECT del firewall...
> >ma se dici di non avere REJECT... :-/
>
> . si confermo che non ho reject ! :-)

E allora bisognerebbe sapere esattamente (e io non lo so ma mi interessa
molto) da che condizioni puo` essere generato un port unreachable, visto
che il secondo icmp loggato veniva (in teoria) dall'indirizzo del tuo web
server ma anch'esso generato dal firewall senza arrivare direttmente al
web server.

-- 
>avendo accesso come root ad un server remoto, come potrei fare a rendere
>il sistema non utilizzabile ma in modo sottile ?
Se NT puo' installarsi via FTP, e' la tua risposta.
                -- Leonardo Serni

Maggiori informazioni sulla lista pluto-security