[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Agosto 2003 ml@sikurezza.org Soggetto: scan su firewall cosa faccio? Mittente: Massimliano Vaini Data: 31 Aug 2003 13:05:28 -0000
Da volenteroso "poco competente" vi chiedo:
ho difficoltà ad interpretare il log del firewall di un mio cliente vedo e interpreto la seguente attività come se fossero ripetuti tentativi di raggiungere la Lan interna, la sorgente, che ho tracciato, è la stessa (credo) ma utilizza vari indirizzi di una classe, mi domando se si può considerare uno scanning e come e cosa posso fare per difendermi visto che ho aperte sul firewall la porta http, smtp oltre ad una per manutenzione.
Inoltre non mi spiego come il destinatario dell'azione sia l'indirizzo privato di un server che si presenta alla WAN nattato (one-to-one) su un indirizzo pubblico (ma forse questa è una convenzione utilizzata dal log del firewall stesso)
Incollo parte del log...
No. Time Source IP Destination IP Note
1|03/17/2003 09:20:46 |x.x.x.x |192.168.1.1 |ACCESS BLOCK
Firewall default policy: ICMP (W to L, type:8, code:0)
2|03/17/2003 09:20:46 |x.x.x.x |192.168.1.1 |CHECK NEXT RULE
Firewall rule NOT match: ICMP (W to L, rule:1, type:8, code:0)
3|03/17/2003 09:20:46 |x.x.x.x |192.168.1.2 |ACCESS BLOCK
Firewall default policy: ICMP (W to L, type:8, code:0)
4|03/17/2003 09:20:46 |x.x.x.x |192.168.1.2 |CHECK NEXT RULE
Firewall rule NOT match: ICMP (W to L, rule:1, type:8, code:0)
5|03/17/2003 09:20:46 |x.x.x.x |mio.mio.mio.mio |ACCESS BLOCK
e così via ma con un "sorce IP" diverso ...
grazie
Massimiliano
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005