[despammed] [PLUTO-security] Firewall bucato?

Valentino Squilloni - OuZ ouz a people.it
Mer 3 Mar 2004 00:41:32 CET


On Tue, 2 Mar 2004, Luca Sollazzo wrote:

> > >Ok, allora qualcuno ha tentato di contattare (lecitamente) il tuo dns e
> > >gli viene risposto dal firewall un port unreachable, come se accettasse
> > >pacchetti alla porta 53 ma non avesse un demone in ascolto sulla 53/udp.
> > > .. però sulla porta 53 c'è effettivamente un dns server allora perchè
> > > risponde in quel modo ??
>
> ehi, ma siamo sicuri che si sia tentato di contattare la porta 53? questo
> messaggio mostra semplicemente l'uscita di un port ureachable in risposta ad
> un tentativo di connessione...

Hai ragione, sono stato superficiale, da nessun log si puo` evincere che
la porta contattata fosse la 53.

> se partiamo dai presupposti che il dns funziona regolarmente, nel qual caso
> non avrebbe senso il port unreachable dovuto ad una connessione dns in
> entrata, e che il firewall non fa reject, allora tale messaggio dovrebbe
> essere la risposta ad un tentativo di connessione ad una porta diversa dal
> dns, ed alla quale è stato risposto con un port unreachable in quanto sulla
> macchina non c'è la porta corrispondente aperta... ma che se ci fosse
> probabilmente il firewall farebbe passare... perchè, visto che non fa reject,
> dovrebbe fare drop, ed in tal caso non dovrebbe rispondere niente...

Sono completamente d'accordo con la tua analisi (e a questo punto sono
sempre piu` spiazzato :-/)

> Inoltre come ha fatto notare Valentino, se si trattasse di connessioni
> TCP che per qualche motivo non arrivano a destinazione, o vanno su porte
> chiuse, si dovrebbe ricevere come risposta un RST, quindi deve trattarsi
> di connessioni UDP... potrei capirlo per il DNS, ma per il web server?

Beh, per quello anche questi potrebbero essere semplici pacchetti udp
destinati all'indirizzo del web server e anche li` generare l'icmp di
risposta.  Ma Salvatore droppa e come dici tu non dovrebbero essere
generati icmp.

Un ideuzza, arriva una richiesta lecita al suo dns che per un qualche
motivo in quel momento non e` raggiungibile (chesso`, cavo di rete
staccato), viene generato un icmp di risposta ma la policy di OUTPUT e` a
drop (non ricordo se era stato specificato oppure no) e in OUTPUT non
accetta traffico RELATED.

Sto thread comunque e` stato abbastanza un casino, faccio molta fatica a
riordinare le idee...

-- 
>avendo accesso come root ad un server remoto, come potrei fare a rendere
>il sistema non utilizzabile ma in modo sottile ?
Se NT puo' installarsi via FTP, e' la tua risposta.
                -- Leonardo Serni


Maggiori informazioni sulla lista pluto-security