Re: [ml] Server FTP - iptables

----- Forwarded message from Iceman <iceman.linux(at)gmail.com> -----
From: Iceman <iceman.linux(at)gmail.com>
To: ml(at)sikurezza.org
Subject: Re: [ml] Server FTP - iptables

>
>>>Il NAT non centra molto se il server e' locale, ma temo anche
>ip_conntrack_ftp (o no?).


Il NAT ovviamente non ha pi? ragion di essere menzionato...

Per quel che riguarda l' "ip_conntrack_ftp"...se ne pu? discutere.

La porta di connessione utilizzata in queste transizioni ? casuale e questo
(in passato!) ha costretto molti amministratori di sistema ad aprire tutte
le porte dei propri server per permettere un corretto funzionamento del
servizio (portandosi dietro notevoli problemi di sicurezza!).

Per proteggersi dal lato firewall, esistono soluzioni pi? o meno efficaci
utilizzando dei firewall che supportino l'ormai consolidata tencologia dello
Stateful Inpsection (vagamente sinonimo di connection tracking). Nel caso
del protocollo FTP questo si traduce in un'apertura al volo della porta
necessaria per eseguire la connessione passiva richiesta dal client o per
bloccare una connessione passiva proveniente da un IP diverso da quello
d'origine della connessione principale.

Quando si apre una connessione FTP passiva, il client apre localmente due
porte casuali senza privilegi (N > 1023 e N+1). La prima porta contatta il
server sulla porta 21, ma invece di emettere il comando *PORT* e permettere
che il server si connetta alla sua porta dati, il client emette il comando *
PASV*. Questo permette al server di aprire una porta casuale senza privilegi
(P > 1023) e invia il comando *PORT P* al client.

Questi inizia quindi la connessione dalla porta N+1 alla porta P sul server
per trasferire i dati. Dal punto di vista del FIREWALL SUL SERVER, per
supportare l'FTP in modalit? passiva ? necessario attivare i seguenti canali
di comunicazione:

  - porta 21 sul server FTP, accessibile da chiunque, cos? i client
  iniziano le connessioni;

  - dalla porta 21 sul server FTP alle porte > 1023, cos? da consentire
  al server di rispondere alla porta controllo del client;

  - le porte > 1023 sul server FTP, accessibili da chiunque: i client
  iniziano la connessione dati ad una porta casuale specificata dal server;

  - dalle porte sul server FTP > 1023 alle porte remote > 1023 in modo
  che il server invii il segnale ACK e i dati alla porta dati del client.

I punti 2,3,4 vengono coperti, nel caso di Netfilter, dal modulo
"ip_conntrack_ftp".

Ovviamente, se parliamo di mettere in sicurezza il protocollo FTP e/o il
servizio associato....bisognerebbe aprire un nuovo thread! :-)

;-)
Ciao

-- 
Santino Nocera
IT Security Analyst &
Co-Founder Losis Community
http://www.losis.org
----- End forwarded message -----