Re: [ml] ARP flip flop PC connesso alla Lan
On 12/04/2017 23:06, Giovanni R. wrote: *Ciao a tutti** **Stiamo avendo uno strano problema con dei PC nuovi collegati alla rete Lan aziendale.** ** **Li configuriamo con un indirizzo IP statico.** **Nel momento in cui li colleghiamo fisicamente alla rete Lan, cominciano ad impersonificare il gateway rispondendo alle richieste ARP dirette all'IP del gateway e così gli altri PC non lo raggiungono più!** ** **I tool di ARP monitoring mi segnalano ARP Flip flop tra il "vero" gateway ed il PC nuovo appena connesso.** * Ciao, long shot, ma potrebbe essere l'IPMI a darti questi problemi. Dipendentemente dal brand della scheda di rete potresti trovare le impostazioni nel bios o tra le opzioni della scheda di rete sotto Windows. Prova intanto a vedere se hai installato l'ultima release, ed in caso affermativo comincia a disabilitare una funzionalita' alla volta fino a trovare (auspicabilmente :) il problema. Daniele
Re: [ml] Attacchi al DNS
On 13/09/16 17:25, Lorenzo Mainardi wrote: Buongiorno a tutti, gestisco un paio di server DNS caching per circa 10.000 utenti ADSL. Da un paio di settimane ho iniziato a monitorare le richieste DNS con ELK e mi sono accorto che circa il 25% di richieste sono richieste di tipo A che richiedono a.root-servers.net <http://a.root-servers.net>. Gli IP provengono da diversi indirizzi, senza una particolare distribuzione. Si tratta di un'attività anomala o è normale? Difficile da dirsi con certezza con le informazioni in tuo possesso. Ti rimando ad un thread su dns-operations: https://lists.dns-oarc.net/pipermail/dns-operations/2012-March/008045.html TL;DR: potrebbero essere degli home router che si comportano in questo modo, o dei sistemi di monitoraggio, oppure qualche tipo di malware. Se hai delle informazioni piu' precise come la porta sorgente e query-id puoi fare qualche speculazione Che posso fare? è lecito bloccare sui miei server a.root-servers.net <http://a.root-servers.net>? Non credo sia una buona idea. Se la tua preoccupazione e' il consumo di banda tieni conto che la risoluzione di a.root-servers.net rimane nella cache dei tuoi resolver per 4 ore. Ciao Daniele Duca
Re: [ml] Domanda su postfix
On 26/08/16 12:41, Gelpi Andrea wrote: Quello che vorrei fare è: Se il mittente è a...@dom1.tld e l'IP è IP1 e il destinatario è b...@dom11.tld accetta la mail e inoltrala. Tutte le altre mail in arrivo da quell'IP vanno rifiutate. IL primo test deve essere eseguito per una decina di mittenti differenti e destinatari differenti. I domini mittenti e destinatari non sono sul mio posttfix. Ciao Andrea, forse la cosa piu' semplice e' fare questo controllo con un milter in prequeue. Le sub di interesse sono envfrom_callback (check envelope from) e rcpt_callback (check recipient). Con qualche if/case dovresti cavartela con relativamente "poco" lavoro, soprattutto se ip e coppie mittente<->destinatario sono fisse. Daniele http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] controllo spedizione file
On 29/07/16 19:06, gianluca.deg...@virgilio.it wrote: carissimi, la situazione è quella di evitare che dei dipendenti rubino dei dati. requirement un po' generico :) Uno degli obiettivi è di evitare che spediscano i file ad una casella email personale. Ci sono dei prodotti che effettuano questo tipo di monitoraggio? Se hai un mailserver compatibile mi sentirei di consigliarti amavisd-new da configurare sugli mta in uscita. Lo puoi impostare in maniera che strippi tutti gli allegati e con 20 righe di codice puoi anche fargli fare un lookup su un db sql in maniera da poter whitelistare certi domini cosicche' possano ricevere allegati. Questo pero' non impedisce a un dipendente malizioso di andare,per esempio, su gmail e uploadare li i documenti, o di copiarli su una chiavetta usb, oppure, se si tratta di puro testo, copincollare tutto nel body di una mail... Ciao Daniele Duca http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] notifica apertura file
On 17/05/16 17:23, Andrea Scian wrote: Buongiorno a tutti, sto cercando una soluzione al seguente problema. Alice deve rendere disponibili a Bob dei documenti per questioni contrattuali. Very very long shot.. scusate se dico baggianate. Alice genera un wallet bitcoin e crypta il file utilizzando un qualsiasi algoritmo a sua scelta. Alice poi costruisce un programma che, al ricevimento di una qualsiasi somma in questo wallet, decrypta file e lo rende disponibile. Questo programma viene fatto girare su un webserver a casa di Carol, che si presume sia super partes e abbia in qualche modo "certificato" che il programma di Alice faccia effettivamente quanto descritto. L'indirizzo ip del server e il wallet vengono poi comunicati a Bob. A questo punto Alice puo' essere certa, monitorando la blockchain, che finche' non viene eseguita una transazione verso quel wallet il file rimane criptato. Bob puo' in ogni momento effettuare una transazione e decrittare i file. La fiducia e' pero' tutta spostata verso Carol, non so se sia qualcosa che nel tuo caso e' accettabile. Ciao Daniele
Re: [ml] backdoor in HP MSA2000
On 12/15/10 8:13 AM, Giuseppe Gippa Paterno' wrote: Ho appena letto su securityweek questo articolo in cui indica una backdoor negli HP MSA2000, apparati su cui ho messo mani. Mi sembrava utile mandarvi questa informazione: c'e' una banalissima password hard-coded :( http://www.securityweek.com/backdoor-vulnerability-discovered-hp-msa2000-storage-systems Fortunatamente pare che funzioni solo tramite porta seriale. Credo che piu' che una backdoor maligna sia una delle ultime spiagge che il supporto HP ha quando un cliente telefona e dice che ha dimenticato le password :) Daniele http://www.sikurezza.org - Italian Security Mailing List