[PLUTO-security] Firewall bucato?

Stefano Callegari ste.callegari a tiscali.it
Ven 27 Feb 2004 01:54:48 CET 

Il 26Feb 21:11, Luca Sollazzo scrisse:
> Alle 17:58, giovedì 26 febbraio 2004, Stefano Callegari ha scritto:
> > Il 26Feb 00:17, To Sicurezza in rete scrisse:
> > > Il 25Feb 22:43, Valentino Squilloni - OuZ scrisse:
> > > > On Tue, 24 Feb 2004, Stefano Callegari wrote:
> > >
> > > [cut]
> 
> stò 3d è un casino..... 

:-)

[cut]
> > La cosa che non comprendo (anche perchè ho cercato il significato di
> > ACK RST URGP=0, ma non ho trovato - un link, please?) è perchè il fw hw
> > lasci passare quei pacchetti su porte che dovrebbe avere chiuse?
> 
> 
> difficile dirlo senza sapere come è configurato il fw hw... certo se su linux 
> ti arriva questa mondezza non è proprio normale, ed una controllata al fw hw 
> andrebbe fatta
> ma ti sei levato lo sfizio di farti una scansione dall'esterno, tanto per 
> vedere come stanno le cose?

tecnico:~ # nmap  -sT -P0 -v projab

Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Host server.projab.ufficio (aaa.bbb.ccc.ddd) appears to be up ... good.
Initiating Connect() Scan against server.projab.ufficio
(aaa.bbb.ccc.ddd)
Adding open port 3306/tcp
Adding open port 21/tcp
Adding open port 110/tcp
Adding open port 22/tcp
Adding open port 80/tcp
Adding open port 25/tcp
The Connect() Scan took 880 seconds to scan 1601 ports.
Interesting ports on server.projab.ufficio (aaa.bbb.ccc.ddd):
(The 1594 ports scanned but not shown below are in state: filtered)
Port       State       Service
20/tcp     closed      ftp-data                
21/tcp     open        ftp                     
22/tcp     open        ssh                     
25/tcp     open        smtp                    
80/tcp     open        http                    
110/tcp    open        pop-3                   
3306/tcp   open        mysql                   

Nmap run completed -- 1 IP address (1 host up) scanned in 880 seconds


Sul log del server non ho indicazioni della scansione ma solo i
tentativi falliti di connessione ai servizi. Quindi il fw hw funziona.

Invece sul mio pc droppo dei "tentativi" dal server.

[cut]
> > lo stesso). Questo significa che, ipotizzando un normale "rumore di
> > fondo", il fw hw almeno blocca i "miei" pacchetti (quindi funziona) ma
> > per qualche motivo riceve un "attacco" che a me non si presenta (ndr:
> > io non offro alcun servizio se non l'ssh e, normalmente chiuso, l'ftp).
> >
> asp.... ora di quale pc stiamo parlando? un'altro firewall?  

Scusate, come ho già detto, ho fatto un confronto tra i log del fw sul
mio pc (i "miei" pacchetti) e quello del pc remoto incriminato.

> > E' il fw hw che "sporca" i pacchetti?
> > Perchè questa diversità di comportamento?
> 
> il firewall hardware comunque filtra, e probabilmente fa piazza pulita di 
[cut]
> questi sono molto simili a quelli che hai postato, nel mio caso vengono 
> intercettati in quanto connessioni nuove e senza il bit attivo... ovvero da 
> una regola tipo:
 
Già, ma io di queste linee sul mio pc non ne ho praticamente, in
confronto al server remoto.

[cut]

Ciao
-- 
Stefano Callegari
LinuxRegistered: User 248729 - Machine 133534
Via Frassanedo 2 - Saonara (PD) - Italy

Maggiori informazioni sulla lista pluto-security