[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Settembre 2001 ml@sikurezza.org Soggetto: Re: Problema con vecchio worm "redcode" .... Mittente: antirez Data: 18 Sep 2001 10:43:42 -0000
On Tue, Sep 18, 2001 at 01:15:54PM +0200, Enrico Valsecchi wrote: > Ho creato una procedura tramite la quale la richiesta a tale > pagina viene soddisfatta, viene identificato il n° ip > del richiedente, e scritto in un file .txt > > Ogni mezz'ora il firewall preleva questo file e vieta l'accesso > in entrata a tutti i numeri ip contenuti nel file in questione. Non dovresti fare il restart del firewall, ma inserire una regola al volo. Banale sotto Unix, sotto windows... non so. > 1) Immensa lunghezza nel caricamento delle regole di firewall Vedi sopra. > 2) Divieto (ovvio) di accesso ai siti corrispondenti ai numeri ip > sopracitati. Per sistemare questo devi bloccare solo i pacchetti in "input" con solo il SYN flag attivo. In questo modo potrai ancora collegarti ai siti malati. > 3) Aumento esponenziale del lavoro del firewall Questo dipende dalla qualita' del firewall ma non e' evitabile in alcun modo. Un accorgimento e' di mettere queste regole per ultime in modo che saranno processate solo se il pacchetto non e' filtrato da qualche altra regola, ma questo diminuisce il carico di pochissimo visto che per i pacchetti sani le regole vengono processate ugualmente. Penso che con alcuni firewall puoi combinare un insieme di regole in modo che siano eseguite solo se il pacchetto ha delle caratteristiche particolari (tipo porta 80, SYN), e questo potrebbe aumentare le prestazioni in maniera singificativa, vedi le istruzioni del tuo firewall. Un modo semplice per ottenere questo effetto e' quello di mettere tali regole alla fine, e mettere una regola immediatamente prima che dice: se il paccetto non e' diretto alla porta 80 e non e' un SYN fallo passare. > Mi chiedevo se esiste un altro modo per evitare il tutto, > tipo leggere il corpo del pacchetto e deciderne la sorte > (mi scuso se ho detto una boiata!!!!) questo e' piu' lento di un firewall. > Posto questa mail poiche' **credo** che sicurezza significhi > anche un utilizzo coscenzioso e controllato delle risorse che > si mettono a disposizione. sicuro ciao, antirez -- Salvatore Sanfilippo <antirez@invece.org> http://www.kyuzz.org/antirez finger antirez@tella.alicom.com for PGP key 28 52 F5 4A 49 65 34 29 - 1D 1B F6 DA 24 C7 12 BF ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005