[bglug] Fwd: ip privati routati su internet

embyte bglug@lists.linux.it
Sat, 14 Sep 2002 18:24:54 +0200


centra con un thread precedente di=20
"Full Name" <KaP.Home@lombardiacom.it>


----------  Forwarded Message  ----------

Subject: ip privati routati su internet
Date: 09 Sep 2002 14:34:17 +0200
From: lorenzo <lorenzo@digitalmind.it>
To: ml@sikurezza.org

qualche tempo fa tanto per far qualcosa in rete lanciai un

nmap -sP 192.168.0.0/16

(192.168.0/24 e` la subnet che abbiamo in azienda..)

giusto per vedere se qualcuno in mia assenza si era fatto una subnet
(sono paranoico)... e scopro che ho una rete

192.168.71.0/24

che io non ho mai configurato, ne` fa parte delle reti alle quali sono
connesso in VPN. Lancio un traceroute e vedo che arrivo a quella rete
attraverso il router connesso all'HDSL di telecom/interbusiness!

 1  doriath (192.168.0.239)  0.885 ms  0.227 ms  0.176 ms
 2  hostxxx-xx.poolxxxxx.interbusiness.it (80.206.xxx.xxx)  0.897 ms
0.867 ms  0.809 ms
 3  hostxxx-xxx.poolxxxxx.interbusiness.it (80.206.xxx.xxx)  6.672 ms
6.996 ms  7.325 ms
 4  r-mixxx-xxx.dtc.interbusiness.it (217.222.xxx.xxx)  12.377 ms
14.070 ms  10.641 ms
 5  * * *
 6  192.168.71.10 (192.168.71.10)  53.649 ms  44.229 ms  55.265 ms

dagli asterischi deduco che il loro "router" fa una sorta di NAT.

Ora, questo problema provai a renderlo noto circa un mese fa, non
trovando nessuno al supporto tecnico di interbusiness, e cercando di
contattare telefonicamente l'azienda che ha 192.168.71.0/24. L'operatore
che ho chiamato era un po' allibito, gli ho spiegato chi chiamare (il
loro sistemista era in ferie) e cosa dirgli, gli ho lasciato
nome/cognome/telefono... e nessuna risposta da allora. L'operatore cmq
mi ha confermato che la loro rete e` su 192.168.71.0/24, quindi sono
particolarmente sicuro che siano 'loro'.

Ho dedotto il nome dell'azienda dal banner che ho trovato telnettando in
giro sui vari ip (ho trovato il loro router).

Ovviamente non ho provato bruteforcing o nient'altro, anche se lanciando
una scansione con nmap -sT ho visto cose del tipo

Interesting ports on  (192.168.71.xxx):
(The 1544 ports scanned but not shown below are in state: closed)
Port       State       Service
7/tcp      open        echo
9/tcp      open        discard
13/tcp     open        daytime
17/tcp     open        qotd
19/tcp     open        chargen
135/tcp    open        loc-srv
139/tcp    open        netbios-ssn
1352/tcp   open        lotusnotes
5800/tcp   open        vnc
5900/tcp   open        vnc-http

quindi potenzialmente se avessi avuto meno scrupoli avrei potuto fare il
bello e il cattivo tempo, e sfido a trovare chi era (chiaramente da
parte mia un ip tipo 192.168.71/24 non entra)

Ne parlo qui perche`

1. vorrei capire, se avessi combinato qualcosa, di chi era la colpa? mia
sicuramente, ma credo che anche interbusiness abbia qualche leggera
responsabilita`...
2. il loro sysadmin non ha messo un minimo di firewall tanto da filtrare
ALMENO gli ip privati?!? o sono io che sbaglio qualcosa?
3. pensateci se dovete sottoscrivere dedicate con
interbusiness.....magari siete fortunati e io ho avuto la sfortuna di
incappare in qualcosa del genere per puro caso, pero` mi sembra giusto
sollevare almeno l'argomento.


buon divertimento con gli nmap adesso ;)

ps: oggi finalmente trovo qualcuno a interbusiness, capisce il problema
e mi garantisce che fara` qualcosa.

--

lorenzo
lorenzo@digitalmind.it


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

-------------------------------------------------------

--=20
      /"\       ASCII RIBBON CAMPAIGN
      \ /          AGAINST HTML MAIL
       X      BGLUG member @ bglug.linux.it =20
      / \     Rawlab member @ rawlab.cjb.net
      \ /      =A7 embyte =A7 ICQ UIN #48790142
                                                                   =20
 PGP KEY @ http://www.madlab.it/pgpkey/embyte.asc

"I videogames non influenzano i bambini: infatti se da piccoli
fossimo stati plagiati da Pac-Man, adesso passeremmo il nostro tempo
in ambienti semibui, mangiando pillole magiche ed ascoltando della
musica elettronica ripetitiva." Kristian Wilson, Nintendo Inc, 1989