[bglug] Fwd: ip privati routati su internet
embyte
bglug@lists.linux.it
Sat, 14 Sep 2002 18:24:54 +0200
centra con un thread precedente di=20
"Full Name" <KaP.Home@lombardiacom.it>
---------- Forwarded Message ----------
Subject: ip privati routati su internet
Date: 09 Sep 2002 14:34:17 +0200
From: lorenzo <lorenzo@digitalmind.it>
To: ml@sikurezza.org
qualche tempo fa tanto per far qualcosa in rete lanciai un
nmap -sP 192.168.0.0/16
(192.168.0/24 e` la subnet che abbiamo in azienda..)
giusto per vedere se qualcuno in mia assenza si era fatto una subnet
(sono paranoico)... e scopro che ho una rete
192.168.71.0/24
che io non ho mai configurato, ne` fa parte delle reti alle quali sono
connesso in VPN. Lancio un traceroute e vedo che arrivo a quella rete
attraverso il router connesso all'HDSL di telecom/interbusiness!
1 doriath (192.168.0.239) 0.885 ms 0.227 ms 0.176 ms
2 hostxxx-xx.poolxxxxx.interbusiness.it (80.206.xxx.xxx) 0.897 ms
0.867 ms 0.809 ms
3 hostxxx-xxx.poolxxxxx.interbusiness.it (80.206.xxx.xxx) 6.672 ms
6.996 ms 7.325 ms
4 r-mixxx-xxx.dtc.interbusiness.it (217.222.xxx.xxx) 12.377 ms
14.070 ms 10.641 ms
5 * * *
6 192.168.71.10 (192.168.71.10) 53.649 ms 44.229 ms 55.265 ms
dagli asterischi deduco che il loro "router" fa una sorta di NAT.
Ora, questo problema provai a renderlo noto circa un mese fa, non
trovando nessuno al supporto tecnico di interbusiness, e cercando di
contattare telefonicamente l'azienda che ha 192.168.71.0/24. L'operatore
che ho chiamato era un po' allibito, gli ho spiegato chi chiamare (il
loro sistemista era in ferie) e cosa dirgli, gli ho lasciato
nome/cognome/telefono... e nessuna risposta da allora. L'operatore cmq
mi ha confermato che la loro rete e` su 192.168.71.0/24, quindi sono
particolarmente sicuro che siano 'loro'.
Ho dedotto il nome dell'azienda dal banner che ho trovato telnettando in
giro sui vari ip (ho trovato il loro router).
Ovviamente non ho provato bruteforcing o nient'altro, anche se lanciando
una scansione con nmap -sT ho visto cose del tipo
Interesting ports on (192.168.71.xxx):
(The 1544 ports scanned but not shown below are in state: closed)
Port State Service
7/tcp open echo
9/tcp open discard
13/tcp open daytime
17/tcp open qotd
19/tcp open chargen
135/tcp open loc-srv
139/tcp open netbios-ssn
1352/tcp open lotusnotes
5800/tcp open vnc
5900/tcp open vnc-http
quindi potenzialmente se avessi avuto meno scrupoli avrei potuto fare il
bello e il cattivo tempo, e sfido a trovare chi era (chiaramente da
parte mia un ip tipo 192.168.71/24 non entra)
Ne parlo qui perche`
1. vorrei capire, se avessi combinato qualcosa, di chi era la colpa? mia
sicuramente, ma credo che anche interbusiness abbia qualche leggera
responsabilita`...
2. il loro sysadmin non ha messo un minimo di firewall tanto da filtrare
ALMENO gli ip privati?!? o sono io che sbaglio qualcosa?
3. pensateci se dovete sottoscrivere dedicate con
interbusiness.....magari siete fortunati e io ho avuto la sfortuna di
incappare in qualcosa del genere per puro caso, pero` mi sembra giusto
sollevare almeno l'argomento.
buon divertimento con gli nmap adesso ;)
ps: oggi finalmente trovo qualcuno a interbusiness, capisce il problema
e mi garantisce che fara` qualcosa.
--
lorenzo
lorenzo@digitalmind.it
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
-------------------------------------------------------
--=20
/"\ ASCII RIBBON CAMPAIGN
\ / AGAINST HTML MAIL
X BGLUG member @ bglug.linux.it =20
/ \ Rawlab member @ rawlab.cjb.net
\ / =A7 embyte =A7 ICQ UIN #48790142
=20
PGP KEY @ http://www.madlab.it/pgpkey/embyte.asc
"I videogames non influenzano i bambini: infatti se da piccoli
fossimo stati plagiati da Pac-Man, adesso passeremmo il nostro tempo
in ambienti semibui, mangiando pillole magiche ed ascoltando della
musica elettronica ripetitiva." Kristian Wilson, Nintendo Inc, 1989