RE: strani collegamenti nei logs

dunque, sulla porta 88 ho installato un servizio web (w2k iis5) ; tramite
NAT /port mapping tutte le richieste sull'ip pubblico del firewall vengono
redirette sul mio server interno 10.127.127.6 ; sul firewall ho configurato
una access list che impedisce l'accesso a tale servizio eccettuato 1 IP -
che non e obviously quello evidenziato sul log.
La stranezza sta nel fatto che il 217.58.208.150 tenta connessioni sulla
porta 88 (e perche? che cerca ? :-) ) utilizzando un mucchio di porte, ogni
giorno mi trovo questo ip con 5-6 connessioni su porte differenti...


-----Original Message-----
From: Fabio Pietrosanti (naif) [mailto:naif@sikurezza.org]
Sent: Thursday, August 30, 2001 12:24 PM
To: ml@sikurezza.org
Subject: Re: strani collegamenti nei logs


La porta 88 sorgente evidenzia una risposta del server kerberos
( magari di windows 2000 ) installato su 10.127.127.6 nei confronti
del client 217.58.208.150 .

Server: 10.127.127.6
Client: 217.58.208.150

Ho anche notato che 217.58.208.150 ha un server kerberos attivo:

root@naif:~# hping -S -c 1 -p 88 217.58.208.150
eth0 default routing interface selected (according to /proc)
HPING 217.58.208.150 (eth0 217.58.208.150): S set, 40 headers + 0 data bytes
46 bytes from 217.58.208.150: flags=SA seq=0 ttl=117 id=10255 win=16616
rtt=27.8 ms

Senza conoscere l'infrastruttura sottostante, posso ipotizzare che
217.58.208.150 si collega al server 10.127.127.6 ( che ha una mappatura
di NAT statica su internet ) attraversando un Firewall Statefull
( nello specifico dai log vediamo "3Com LAN" ) che poi, per uno dei migliaia
di
motivi possibili,  elimina questa sessione dalla sua "connection table" .

Ovviamente e' una ipotesi molto azzardata avendo ben pochi dettagli sugli
host
coinvolti, la topologia della rete, il tipo di firewall utilizzato, e il
basso
livello di dettaglio dei log presentati.

Saluti





________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List