[SOVED]firewall-sinexeias

Fri Nov 18 19:38:03 EET 2005

On 2005-11-18 17:05, Alex Chontzopoulos <ac at it-cell.com> wrote:
> En taxi (giati feugw me adeia, kala na perasw, euxaristw :-) )
>
> Na mou milages gia tin adunamia twn firewalls pou ilopoiousan drop prin
> apo 5 xronia (SYN Attacks) ta opoia den periorizan posa syn packeta tha
> laboun me apotelesma na trwne DOS na to katalabw. Nai ekei ipirxe
> problima.
>
> Apo tin alli den mporw me tin seira mou na katalabw tin tifli pisti pou
> deixneis sto REJECT. Kai exigw:
>
> a) Tin wra pou tha kanei kapoios gia na scannarei oloklirwtika
> 1 IP mou, tha mporesei na scannarei olo sou to subnet (afou esi
> ta kaneis REJECT)

Μην αλλάζουμε θέμα :P

Η διαφωνία δεν ήταν αν θα μπορέσει να τελειώσει γρήγορα ή όχι το
port-scan, αλλά πόση έξτρα πληροφορία θα πάρει κάποιος όταν κάνει
κάτι τέτοιο.

> b) Enw ta responses ta dika mou den tha labei KAMIA pliroforia,
> apo ta dika sou tha labei (kata ta legomena sou) apo tipota ews
> kai kati.. Min xexname oti ena REJECTED packeto den einai apla
> mia pinakida STOP ston dromo... periexei kai alles plirofories
> .. Ena DROP apo tin alli ....  Apolitos tipota..

Πώς πώς... κι ένα DROP περιέχει πληροφορία.  Για σκέψου στο
παρακάτω φανταστικό σενάριο:

    A  --- B --- C --- D --- E

ο host A να μπορεί να συνδεθεί στο web service του host E αλλά
όταν πάει να συνδεθεί σε οποιοδήποτε άλλο port να βλέπει ότι δεν
τρώει ένα TCP RST στη μάπα (το γνωστό ECONNREFUSED error) αλλά
κάνει timeout.

Είναι έξτρα πληροφορία το γεγονός ότι κάνει timeout;

> c) Ksexnas profanws auto ...
> http://www.microsoft.com/technet/security/bulletin/MS98-014.mspx
> (Vulnerability pou xeskise ta NT mixanakia to opoio basizotan sta
> rejected paketa)

Τι σχέση έχει ένα ηλίθιο bug στο RPC implementation της
Microsoft, το οποίο 'λύθηκε' με ένα εξίσου ηλίθιο τρόπο, με το αν
ένα Linux firewall είναι καλά ρυθμισμένο[1];

[1] Εκτός κι αν το Microsoft έκτρωμα είναι 'πίσω' από το Linux
firewall, αλλά λέμε τώρα :P

> d) Logika xsexnas kai to oti osa port scanning sou kanw se alla
> tosa tha apantiseis. Diladi osa packeta SYN sou steilw alla
> tosa reject tha mou giriseis pisw.. Kai an to kanoun 10 mazi ??
> (blepe apeirous ious pou to kanoun se "megala" portals)

Στα 'πραγματικά' λειτουργικά συστήματα, μπορεί κανείς να ρυθμίσει
διάφορα ωραία πράγματα για να αποφύγει τέτοιου είδους εξερχόμενα
floods, π.χ. σχετικά με τα ICMP πακέτα:

    flame:/home/keramida$ sysctl -a | grep icmplim
    net.inet.icmp.icmplim: 200
    net.inet.icmp.icmplim_output: 1
    flame:/home/keramida$

> Pragmatika prepei na figw. Makari na exeis dikio giati anoixtomualoi
> anthropoi eimaste (blepe linux:-) ) alla amfibalw.

Καλό δρόμο βρε :)