Re: Sasser e iptables

Tue, 11 May 2004 03:30:15 -0500 

Hola a todos:

    No es que yo entienda mucho del tema pero cuando estuve leyendo me
pareci� entender que la infecci�n s�lo puede darse en caso de que la m�quina
tenga una IP p�bica, nunca a trav�s de un router.

    Es decir, la m�quina que ya est� infectada y quiere infectar a otra,
intenta establecer un comunicaci�n contra una IP de una m�quina (que ha de
tener W2000 o XP instalado y con el correspondiente bug para aceptar la
llamada). Intenta establecer la comunicaci�n. Lo cual no es lo normal,
puesto que cuando nosotros accedemos a internet somos nosotros los que
establecemos la comunicaci�n y no al rev�s.
    Por tanto, la infecci�n puede ocurrir si:
            - se usa un m�dem y nuesto ISP nos de una IP fija al conectarnos
                Por ejemplo Telef�nica lo hace as�, pero creo que Euskaltel
no lo hace as� porque usa otro m�todo (tiene un pull de direcciones IP o
algo as�).
            - Se tiene un PC en internet con IP fija y W200 XP y este PC
puede contactar de alg�n modo con la red interna.

Y ahora, espero que alguien que sepa de verdad del tema me saque los colores
por las barbaridades que he podido decir.

----- Original Message ----- 
From: "Angel Vicente Perez" <[EMAIL PROTECTED]>
To: <[email protected]>
Sent: Tuesday, May 11, 2004 9:55 AM
Subject: RE: Sasser e iptables


> >
> > Por lo que tengo entendido, no deber�as forwardear nada (ni
> > desde afuera hacia adentro, ni desde adentro hacia afuera)
> > con el puerto 445 y el puerto 5554. Luego, quitar el virus. :(
> >
> > Saludos
> > Marcelo
>
> Bien, por la falta de sintomas (reseteos), diria que no hay ninguna
maquina
> infectada.
>
> Tengo una duda: todas estas maquinas son filtradas a traves de la maquina
> con iptables, y despues salen a traves de un router, que es el que
realmente
> tiene la IP publica.
>
> La intrusion efectuada por el Sasser, se efectuaria a la interface con IP
> publica de mi router, o lo traspasaria.
>
> Por otro lado, tengo en mi firewall :
>
> iptables -P FORWARD DROP como politica por defecto
>
> luego tengo todas las lineas correspondientes a los PC que pueden hacer
> FORWARD al exterior, y despues tengo
>
> iptables -i eth1 -d 192.168.0/24 -m state --state ESTABLISHED, RELATED -j
> ACCEPT
>
> siendo eth1 la tarjeta que une la maquina con iptables y el router.
Entiendo
> que lo que hace esta regla, es comprobar que los paquetes dirigidos a mis
> PCs, y con origen exterior, son consecuencia de conexiones originadas en
mis
> PCs. Si es asi, no se si seria una proteccion suficiente.
>
> Saludos
>
>

Responder a