Re: [ml] Drive-by pharming

On Mon, Feb 18, 2008 at 05:10:46PM +0100, Iceman wrote:
> ACCEPT     tcp  --  anywhere         anywhere        tcp dpt:telnet
>
> Il 16/02/08, Luca Berra ha scritto:
> > la riga riportata sopra non dice nulla, per favore...
> > pensa che la prima linea del mio iptables e':
> > root@Moskowskaya ~ # iptables -L INPUT|head -3
> > Chain INPUT (policy DROP)
> > target     prot opt source               destination
> > ACCEPT     all  --  anywhere             anywhere
>
> Per fare un favore a chi??
> La riga seguente dice proprio quello che deve dire:
>
> ACCEPT     tcp  --  anywhere         anywhere        tcp dpt:telnet

Insisto.

> La policy di default in INPUT e' ACCEPT (ok, ci sta un "drop all" come
> ultima rule... ognuno ha la sua filosofia).
> Capisco inoltre che la prima rule del tuo iptables dovrebbe suscitare
> stupore ma... ammetto di non comprenderne il significato. Mi
> spiegheresti perche' e come la tua prima rule dovrebbe mettere in
> sicurezza il tuo pc?

perche' quella che ho postato prima non e' la vera prima regola del mio
iptables, allo stesso modo in cui dubito che quella in discussione sia
la vera regola sul router.
Ho gia' chiesto all'OP di postare le regole complete del suo
iptables, ma non ha ancora risposto.
Dal mio lato posso scoprire le carte:

root@Moskowskaya ~ # iptables -vL INPUT |head -3
Chain INPUT (policy DROP 6 packets, 781 bytes)
pkts bytes target     prot opt in     out     source               destination
7426K   43G ACCEPT     all  --  lo     any     anywhere             anywhere

> > come negarti il piacere di una risata? detto questo, faresti gentilmente
> > ridere anche noi?
> > La linea che riporti sopra logga i pacchetti con il flag SYN
> > settato e RST e ACK non settati (in pratica il primo pacchetto di una
> > qualsiasi connessione TCP, nulla di anomalo sotto il sole)
>
> Non "contestavo" la logica (in se) della regola:
>
> LOG        tcp  --  anywhere         anywhere        tcp
> flags:SYN,RST,ACK/SYN
> limit: avg 6/hour burst 5 LOG level alert prefix `Intrusion -> '
>
> Risulta evidente come non sia stata colta l'ironia della mia
> affermazione. Mi scuso e la spiego per chi avesse faticato a
> comprendere.
> A mio modesto parere, fa sorriedere il fatto che si condanni una
> qualisiasi altra connessione (leggasi tentativo di connessione)
> rispetto a quelle non consentite come "Intrusion", quando in
> precedenza sono state impostate regole per nulla restrittive (certo,
> per non rendere la vita impossibile all'utente...)
>
> > dopo aver letto la bibbia io una scorsa alla man page di iptables la
> > darei.....
>
> Lo farò con piacere... dopo che mi verra' dimostrata l'efficacia delle
> regole impostate su quel router.

Purtroppo non ho abbastanza elementi per verificare o meno l'efficacia
delle regole su quel router, con quello che abbiamo in mano posso solo
dire che non ho abbastanza elementi.
Dire che il rule-set in questione sia piu' o meno efficace e'
impossibile.

buona lettura....

L.

--
Luca Berra -- bluca@xxxxxxxxxx
       Communication Media & Services S.r.l.
/"\
\ /     ASCII RIBBON CAMPAIGN
 X        AGAINST HTML MAIL
/ \