blacklists

Firewall, Server, Monitoring e tutto quello che riguarda la sicurezza della nostra Linux Box

blacklists

Messaggioda gabriele » 03/04/2006, 5:31

:woohoo:
E\' importante secondo me stendere (si dice cosi\'?) delle blacklists , vietare forever ad un ip di avvicinarsi alla tua machina non risolve nulla ma di sicuro e\' un \'punto\' in piu\' in ottica sicurezza,molti programmi lo promettono , ma mi chiedevo come puoi bloccare un ip che poi cambia ?Allora mi sono aridetto l\'unica cosa che non cambia mai e\' il MAC address qualcuno conosce un prog che fa\' cio\'?Ho dei flash back di un prog in particolare o forse opzioni ma adesso mi sfugge ... :sick:
GGG

Post modificato da: gabriele, alle: 03/04/2006 00:35

Post modificato da: gabriele, alle: 03/04/2006 00:40
gabriele
Full Member
Full Member
 
Messaggi: 154
Iscritto il: 12/12/2005, 3:27

Re:blacklists

Messaggioda gabriele » 03/04/2006, 9:31

vabe\' forse risolto con upgrade a kernel2.6 e carico di modulo MATCH in iptables che interpreta esadecimali ... vediamo !
gabriele
Full Member
Full Member
 
Messaggi: 154
Iscritto il: 12/12/2005, 3:27

Re:blacklists

Messaggioda tindal » 04/04/2006, 4:33

scusa, ma per leggere il mac non dovresti fare uno scan?

solo che così diventi un attaccante pure tu...

ciao
tindal
Se ci sono molti modi diversi per fare una certa cosa, ed uno di questi ha conseguenze disastrose, di sicuro qualcuno la farà in quel modo.
tindal
Administrator
Administrator
 
Messaggi: 3117
Iscritto il: 17/10/2005, 15:25

Re:blacklists

Messaggioda gabriele » 04/04/2006, 6:57

No \' !
Parlo di un modulo iptables che interpreta esadecimali.Se interpreta esadecimali,interpreta MAC addresses,se interpreta MAC addresses faccio blacklists in base ad essi ,utenti ethernet attenti !!!!! la patch in questione e\' libipt_string.c,che e\' inclusa in iptables-1.9! ... Mah ! :sick:

Post modificato da: gabriele, alle: 04/04/2006 09:19

Post modificato da: gabriele, alle: 04/04/2006 09:21
gabriele
Full Member
Full Member
 
Messaggi: 154
Iscritto il: 12/12/2005, 3:27

Re:blacklists

Messaggioda FabryProg » 04/04/2006, 16:28

mah... premettendo che d sicurezza ne so pochina....

all\'uni un nostro collega ha implementato un demone che capta i codici mac delle skede di rete \"malvagie\" e li memorizzava limitandone quindi l\'accesso... una bella idea per una LAN o WAN ma su internet non credo che sia applicabile!!! :-S
FabryProg
Sr. Member
Sr. Member
 
Messaggi: 254
Iscritto il: 21/02/2006, 9:57

Re:blacklists

Messaggioda GipPasso » 04/04/2006, 16:35

Ho il kernel 2.6.8 di Debian, quindi ho tutti i pacchetti possibili e non so cosa dirti a riguardo.
Per il blocco del mac usai

>iptables -m mac XX:XX:XX:XX:XX:XX ecc.

Non ricordo se funzionò bene, perché ora non lo uso e non ricordo perché. Però ci stetti veramente poco a provare. Guarda nel manuale nella sezione MATCH EXTENSIONS (ma questo lo sapevi già perché lo hai scritto...;) )

GipPasso

Modifica: Volevo scrivere un MAC address generico ho riempito il post di smile con la nausea... I\'m sorry, Lords don\'t do that!

Post modificato da: GipPasso, alle: 04/04/2006 11:36
Avatar utente
GipPasso
Global Moderator
Global Moderator
 
Messaggi: 3492
Iscritto il: 02/03/2006, 8:30
Località: Passo della Cisa (PR)

Re:blacklists

Messaggioda tindal » 05/04/2006, 3:22

un\'altra cosa: secondo te quanti sono ad essere collegati in internet con una scheda di rete?

io ho una connessione ppp, e non mi risulta che il mio modem abbia un mac.

ciao
tindal
Se ci sono molti modi diversi per fare una certa cosa, ed uno di questi ha conseguenze disastrose, di sicuro qualcuno la farà in quel modo.
tindal
Administrator
Administrator
 
Messaggi: 3117
Iscritto il: 17/10/2005, 15:25

Re:blacklists

Messaggioda gabriele » 05/04/2006, 3:52

:P
gabriele
Full Member
Full Member
 
Messaggi: 154
Iscritto il: 12/12/2005, 3:27

Re:blacklists

Messaggioda metaldaze » 05/04/2006, 4:18

Ma scusa, vuoi creare una blacklist di MAC address per gli utenti che si connettono alla tua macchina tramite internet?? Non ho ben capito... cioé, in una LAN é possibilissimo ma per quanto riguarda internet ho paura che il problema sia un altro ancora... se dico c@##$te qualcuno mi fermi!
Il MAC address che vedi tu come source in un pacchetto che arriva alla tua scheda di rete tramite internet non é quello della scheda di rete della macchina che originariamente ha inviato il pacchetto bensì quello dell\'ultimo router da cui é transitato.
Dico questo dopo aver fatto un piccolo test: ho chiesto ad un mio amico di collegarsi alla mia macchina e nel frattempo ho sniffato i pacchetti in transito sulla mia interfaccia di rete. Bene, il source MAC address dei pacchetti in arrivo é quello del mio router che mi fornisce la connettività e non quello della scheda di rete del mio amico.
metaldaze
Administrator
Administrator
 
Messaggi: 2350
Iscritto il: 13/12/2005, 5:18
Località: Torino

Re:blacklists

Messaggioda gabriele » 05/04/2006, 6:28

:sick:
Allora il prima cercare di loggare MAC address e poi bloccarli se come si dice ( indagheremo !) non partano dal NIC che ha generato la connessione ma dall\'utimo proxy .. hm! router da cui e\' passato il pacchetto, e\' per cercare di ovviare ad una carenza del concetto di blacklist di ip-dinamici e della loro utilita\'.Utilizzando un programma come fwsnort che interpreta snort rules e le traduce in iptables ho visto che netfilter per interpretare molte rules di snort ha bisogno di un modulo che interpreta esadecimali allora ho pensato che se le interpreta le puo\' anche scrivere e ho pensato ad un logdrop per questi pacchetti .... :woohoo: sono un genio !!!!
gabriele
Full Member
Full Member
 
Messaggi: 154
Iscritto il: 12/12/2005, 3:27

Re:blacklists

Messaggioda metaldaze » 05/04/2006, 21:59

??? Non ti seguo
metaldaze
Administrator
Administrator
 
Messaggi: 2350
Iscritto il: 13/12/2005, 5:18
Località: Torino

Re:blacklists

Messaggioda gabriele » 05/04/2006, 22:07

:P
Non mi sembra che sto parlando un altra lingua allora se non si capisce la domanda,vuoi perche\' mi sono spiegato male(e\' colpa mia ... !)vuoi perche\' non si conosce a fondo l\'argomento (iptables puo\' loggare e bloccare in una sola regola)sarebbe meglio non postare niente se no\' si riempie il forum di spiegazioni e non si arriva mai al punto : la mia domanda per chi capisce e\', se iptables grazie a questo modulo interpreta esadecimali di cui sono fatti i mac address,si puo\' stabilire una rule per bloccare tale mac address perche\' ti ha passato lo scanner troppe volte sul tuo firewall e non vuoi che lo faccia di nuovo.Siccome tutti fanno e parlano di blacklists su ip dinamici e non ne vedo il senso,allora pensavo di bloccare tali hosts definitivamente,per mac address,non tutti usano ethernet mo lo fanno in molti. !:evil:

Post modificato da: gabriele, alle: 05/04/2006 17:18

Post modificato da: gabriele, alle: 05/04/2006 18:43
gabriele
Full Member
Full Member
 
Messaggi: 154
Iscritto il: 12/12/2005, 3:27

Re:blacklists

Messaggioda tindal » 07/04/2006, 20:15

gabriele ha scritto:
:P
Non mi sembra che sto parlando un altra lingua allora se non si capisce la domanda,vuoi perche\' mi sono spiegato male(e\' colpa mia ... !)vuoi perche\' non si conosce a fondo l\'argomento (iptables puo\' loggare e bloccare in una sola regola)sarebbe meglio non postare niente se no\' si riempie il forum di spiegazioni e non si arriva mai al punto

anche se la lingua sembra la stessa ti garantisco che si fa una fatica enorme a capire quello che scrivi, inoltre hai la pessima abitudine di dare per scontate le cose che sai, in modo che chi legge non capisce (e come potrebbe?) se non le hai scritte perchè non le sai o perchè non ne avevi voglia.

temo che se tutti seguissero il tuo suggerimento di non postare se non hanno capito bene le tue domande non riceveresti più alcuna risposta.

la mia domanda per chi capisce e\', se iptables grazie a questo modulo interpreta esadecimali di cui sono fatti i mac address,si puo\' stabilire una rule per bloccare tale mac address perche\' ti ha passato lo scanner troppe volte sul tuo firewall e non vuoi che lo faccia di nuovo.

tecnicamente penso si possa fare, ma il punto che sottolineava metaldaze è che i MAC che riceve iptables sono inutili, perchè non appartengono all\'interfaccia da cui sono partiti i pacchetti.

per giunta tu hai un router a gestire la connessione, quindi tutti i pacchetti che arrivano ad iptables dovrebbero avere il MAC dell\'interfaccia interna del tuo router.

Siccome tutti fanno e parlano di blacklists su ip dinamici e non ne vedo il senso ...

neanche io, e sarebbe interessante sapere chi sono questi "tutti"

non tutti usano ethernet mo lo fanno in molti. !:evil:


come no: gli ip dinamici sono praticamente tutti attribuiti ad utenti con connessioni dialup e adsl, che usano tutti un modem e una connessione ppp.

piuttosto pensavo un\'altra cosa: se non si ha la necessità di essere raggiungibili da *ovunque* si potrebbe bloccare tutto il range di un blocco di ip dinamici.

in effetti ogni isp usa un blocco di ip come dinamici, e per permettere le proprie connessioni dall\'esterno basterebbe non fermare le connessioni che partono dal blocco di ip del proprio isp.

ciao
tindal
Se ci sono molti modi diversi per fare una certa cosa, ed uno di questi ha conseguenze disastrose, di sicuro qualcuno la farà in quel modo.
tindal
Administrator
Administrator
 
Messaggi: 3117
Iscritto il: 17/10/2005, 15:25

Re:blacklists

Messaggioda gabriele » 07/04/2006, 23:12

Ok ma non posso spiegare come funziona linux dal primo capitolo per sapere un argomento del sesto(esempio!) che non puoi conoscere se non conosci tutto il libro.(esempio!)Chi e\' in grado di aiutarmi su una domanda che pongo non c\'e\' bisogno che parto dal principio:la terra era una palla infuocata poi i dinosauri poi i pinguini poi billgates ... ok delle volte scrivo con superficialita\' me lo diceva anche la proff al liceo ma ho ricevuto certe osservazioni su certe domande da brivido ... anyway ennesima polemica a cura di gabriele , e chi se no\'!
gabriele
Full Member
Full Member
 
Messaggi: 154
Iscritto il: 12/12/2005, 3:27

Re:blacklists

Messaggioda MaXeR » 08/04/2006, 1:03

stai fraintendendo di brutto...
visto che parli ad esempi, eccotene uno: se uno viene qua e mi chiede:
\"ho messo su un proxy, ma alcuni computer non escono su internet mentre altri si\" mi permetti di non rispondere o di dirgli che mancano dei dettagli? chi pone la domanda, in questo caso, parte dal presupposto sbagliato che tutti sappiano come è configurata la sua rete...
lo stesso fai tu per la domanda sul proxy...

inoltre, come già detto, è importante anche il modo di porre una domanda... un Italiano corretto non fa assolutamente male, non trovi?

Ma da quanto leggo tu pretendi di avere ragione, e non provi minimamente a metterti in gioco per vedere se, magari, quello che dicono gli altri può essere vero...

finchè scriverai con questo tono di superiorità e di ragione dovuta...beh...non meriti risposte (almeno da parte mia)

Buona Serata a tutti!
http://leevee.it - Leevee Soluzioni Informatiche
Avatar utente
MaXeR
Administrator
Administrator
 
Messaggi: 3576
Iscritto il: 22/12/2004, 17:01
Località: Garda - VR

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite