[SOVED]firewall-sinexeias

Alex Chontzopoulos ac at it-cell.com
Thu Nov 24 15:42:40 EET 2005 

1) Ola einai sxetika. Den katalabainw giati den theoreis iper tis apopsis mou, to gegonos tis apontharinsis tou upopsifiou drakoumel, apo to aplo gegonos oti gia na scannareis 1 IP apo ena kalostimeno firewall me policy DROP tha xreiasteis toulaxiston 2 wres ??? Kai epanalalvanw oti sto idio xroniko diastima o idios drakoumel tha ekei scannarei ena olokliro c class diktuo me policy REJECT ???

To case study to exeis kanei pote ? Na kathiseis na scannareis me nmap diladi to firewall sou apla tin mia fora na exeis policy DROP kai tin alli REJECT ? Ean to ekanes tha eblepes oti:

a) Otan to fw ta kanei DROP tha figeis, tha pas gia kafe, tha giriseis kai t nmap tha sou leei 45% remaining. Otan me to kalo teleiwsei, tha deis oti px to port 80 einai open kai ola ta alla !!Filtered!!
b) Otan to fw ta kanei REJECT tha teleiwsei se 5 lepta max kai OMOIWS mw to parapanw tha deis to port 80 open kai OLA ta alla PALI Filtered!!!

Ara, ti simperasma bgazoume ? Oti uparxei firewall kai sta 2!! ..Filtered kai oxi CLOSED pou tha perimenane oi fun tou REJECT  :-(  


2)Ennow pliroforia apo to IDIO to paketo kai oxi apo kapoio logiko sumperasma... Sto paradeigma sou to drop den einai paketo. Einai apla ena timeout. Ara DEN stelnoume TIPOTAAA pisw. Ok ? Logiko sumperasma einai to oti to mixanima prostateuetai apo kati. To opoio omws kati DEN dinei kapoia alli pliroforia.. Kai gia na ginw akoma poio safis. Ean sto paradeigma sou to firewall anti gia DROP kanei reject, o drakoumel (Blepe kakoboulos xristis) tha theorisei oti to mixanima DEN einai pisw apo kapoio firewall ?? E oxi nte...Ara sto sigkekrimeno paradeigma to LOGIKO simperasma tha einai to idio. Auto omws pou den tha einai tha einai ta sumperasmata apo ta rejected paketa.. 

3) Den leme katholou. Ston pragmatiko kosmo tis Elladas, polles "etairies" (akomi-kakws) exartontai apo ta opws anafereis ektrwmata tis Microsoft. Idiws autos o IIS einai polu sinithismenos ... Kai den nomizw na diafwnoume kai se auto ?? 
 
4) Omoiws.




-----Original Message-----
From: Giorgos Keramidas [mailto:keramida at ceid.upatras.gr] 
Sent: Friday, November 18, 2005 7:38 PM
To: Alex Chontzopoulos
Cc: Christos Ricudis; linux-greek-users at hellug.gr
Subject: Re: [SOVED]firewall-sinexeias

On 2005-11-18 17:05, Alex Chontzopoulos <ac at it-cell.com> wrote:
> En taxi (giati feugw me adeia, kala na perasw, euxaristw :-) )
>
> Na mou milages gia tin adunamia twn firewalls pou ilopoiousan drop prin
> apo 5 xronia (SYN Attacks) ta opoia den periorizan posa syn packeta tha
> laboun me apotelesma na trwne DOS na to katalabw. Nai ekei ipirxe
> problima.
>
> Apo tin alli den mporw me tin seira mou na katalabw tin tifli pisti pou
> deixneis sto REJECT. Kai exigw:
>
> a) Tin wra pou tha kanei kapoios gia na scannarei oloklirwtika
> 1 IP mou, tha mporesei na scannarei olo sou to subnet (afou esi
> ta kaneis REJECT)

<--------1. Μην αλλάζουμε θέμα :P

Η διαφωνία δεν ήταν αν θα μπορέσει να τελειώσει γρήγορα ή όχι το
port-scan, αλλά πόση έξτρα πληροφορία θα πάρει κάποιος όταν κάνει
κάτι τέτοιο.

> b) Enw ta responses ta dika mou den tha labei KAMIA pliroforia,
> apo ta dika sou tha labei (kata ta legomena sou) apo tipota ews
> kai kati.. Min xexname oti ena REJECTED packeto den einai apla
> mia pinakida STOP ston dromo... periexei kai alles plirofories
> .. Ena DROP apo tin alli ....  Apolitos tipota..

<--------2. Πώς πώς... κι ένα DROP περιέχει πληροφορία.  Για σκέψου στο
παρακάτω φανταστικό σενάριο:

    A  --- B --- C --- D --- E

ο host A να μπορεί να συνδεθεί στο web service του host E αλλά
όταν πάει να συνδεθεί σε οποιοδήποτε άλλο port να βλέπει ότι δεν
τρώει ένα TCP RST στη μάπα (το γνωστό ECONNREFUSED error) αλλά
κάνει timeout.

Είναι έξτρα πληροφορία το γεγονός ότι κάνει timeout;

> c) Ksexnas profanws auto ...
> http://www.microsoft.com/technet/security/bulletin/MS98-014.mspx
> (Vulnerability pou xeskise ta NT mixanakia to opoio basizotan sta
> rejected paketa)

Τι σχέση έχει ένα ηλίθιο bug στο RPC implementation της
Microsoft, το οποίο 'λύθηκε' με ένα εξίσου ηλίθιο τρόπο, με το αν
ένα Linux firewall είναι καλά ρυθμισμένο[1];

3<---------------- [1] Εκτός κι αν το Microsoft έκτρωμα είναι 'πίσω' από το Linux
firewall, αλλά λέμε τώρα :P

> d) Logika xsexnas kai to oti osa port scanning sou kanw se alla
> tosa tha apantiseis. Diladi osa packeta SYN sou steilw alla
> tosa reject tha mou giriseis pisw.. Kai an to kanoun 10 mazi ??
> (blepe apeirous ious pou to kanoun se "megala" portals)

Στα 'πραγματικά' λειτουργικά συστήματα, μπορεί κανείς να ρυθμίσει
διάφορα ωραία πράγματα για να αποφύγει τέτοιου είδους εξερχόμενα
floods, π.χ. σχετικά με τα ICMP πακέτα:

    flame:/home/keramida$ sysctl -a | grep icmplim
    net.inet.icmp.icmplim: 200
    net.inet.icmp.icmplim_output: 1
    flame:/home/keramida$

> Pragmatika prepei na figw. Makari na exeis dikio giati anoixtomualoi
> anthropoi eimaste (blepe linux:-) ) alla amfibalw.

Καλό δρόμο βρε :)

More information about the Linux-greek-users mailing list