ipchains [Tech] dis-sammba

Leonardo Boselli leo@dicea.unifi.it
Sab 5 Apr 2003 11:16:16 CEST 

On 5 Apr 2003, at 10:29, Alessio Chemeri wrote:
> >>non ti converrebbe bloccarlo sui router?
> >non lo gestisco io ....
> :-( peccato era secondo me la strategia migliore...
non girare il coltello nella piaga

> >la macchina sotto attacco ha avuto questo trattamento per qualche
> scusami non ho capito una cosa, e' visibile su internet il tuo server
> di dominio? se e' cosi', e' una necessita' strutturale ?
si, perché ci sono le home directories a cui gli utenti debbono poter 
e accedere anche dall'esterno.
> >che qualcuno cerchi un exploit su una  macchina windows [ ovvio,
> >visto che usa la 139.
> :-) di normale sono bambini che usano gli script che trovano su 
> astalavista :-)
> >Il problema nasce dal fatto che una volta che il server e`stato
> >filtrato, bloccando l'accesso ai numeri pericolosi sono passati ai
> >client, che hanno samba con validazione server. quindi non posso 
> non ho ben capito... hai i client visibili su internet? scusami ma non
> ho capito bene (puo' darsi che sia il fatto che ho sonno :-) ) come
> fanno ad arrivare ai tuoi client da remoto...
avendo bloccato il server ho dovuto "aprire" alcuni client ... visto che quelle directory dovevano essere accessibili. 
Ovviamente la validazione avviene sempre sul PDC e il problema quindi rimane ...
> >bloccare dal server l'accesso ai clienti, ma questi DoS consistono
> >nel tentare di entrare indovinando la PW di un utente su un client,
> >questo passa la richiesta al server che dopo qualche tentativo blocca
> >l'account .. e ecco come viene il DoS !
> in pratica i tuoi utenti  trovano gli account bloccati... e ti tocca
> sbloccarli :-)
esatto ... e la soluzione di bloccare tutto ovviamente non è 
praticabile ... come pure non è praticabile quella di aumentare il 
numero di tentativi ammessi prima di bloccare l'account visto che 
in questo modo qualcuno potrebbe riuscirci ....
La idea originaraia sarebbe stata quella di bloccare tutto a livello di 
fw e consentire al singolo di collegarsi via SSL su una porta 
particolare, autenticarsi, e da li automaticamente avere 
quell'indirizzo aperto per tutte le porte per un certo tempo, ma la 
cosa non è risultata praticabile per motivi non da me dipendenti.
Ora sto facendo un surrogato di questo, ossia attivando il fw su 
singole macchine (io sono fondamentalmente contrario al fw, ma 
più portato a fare il controllo a livello di applicativo, ma poi ti trovi 
con casi con problemi particolari ... e devi tappare al volo ...)
ad ogni modo la mia rete per ora è indenne da intrusioni riuscite ...

--
Leonardo Boselli
Nucleo Informatico e Telematico del Dipartimento Ingegneria Civile
Universita` di Firenze , V. S. Marta 3 - I-50139 Firenze
tel +39 0554796431 cell +39 3488605348 fax +39 055495333
http://www.dicea.unifi.it/~leo

Maggiori informazioni sulla lista flug-tech