Ataques por Raw IP



  • Traducción de http://forum.pfsense.org/index.php/topic,4888.0.html (en inglés)

    ¡Hola!

    Tengo una máquina con snort esnifando el tráfico de una de las LAN de mi pfSense.

    El log de snort dice que hay escaneado de puertos empleando protocolo Raw IP. Las direcciones de origen son generalmente de Internet. O sea que, teóricamente, algunos ataques están atravesando mi pfSense (¿?).

    No lllego a entenderlo …

    Una de mis máquinas es un servidor web, dando servicios en Internet. Por tanto, los puertos 80 y 443 están abiertos para Internet. La máquina tiene también Samba, en el lado LAN, pero este servicio no puede verse desde Internet (no hay NAT, no hay reglas de cortafuegos para Samba).

    No obstante, algunos de los ataques Raw IP llegan a ver que los puertos 139 y 445 están abiertos en esta máquina (¿?).

    Ejemplo:

    #(1 - 42473) [2007-05-14 14:59:53] [snort/122:27]  (portscan) Open Port
    IPv4: AAA.AAA.AAA.AAA -> XXX.XXX.XXX.XXXX
        hlen=5 TOS=0 dlen=35 ID=50276 flags=0 offset=0 TTL=0 chksum=20299
    Payload:  length = 15

    000 : 4F 70 65 6E 20 50 6F 72 74 3A 20 31 33 39 0A      Open Port: 139.

    AAA.AAA.AAA.AAA (IP origen del ataque, en Internet)
    XXX.XXX.XXX.XXX (IP local de mi máquina, en el lado LAN de pfSense)

    ¿Alguna idea?

    Gracias,

    Josep Pujadas



  • hola Josep,
    al parecer fue un scaneo de puertos , los cuales utilizan conexiones raw para determinar los servicios bajo los puertos.
    mira..
    The use of raw networking has several advantages, giving the scanner full control of the packets sent and the timeout for responses, and allowing detailed reporting of the responses
    . Supongo que la solución más inmediata es poner snort en modo activo bloqueando las ip's que hagan match con esa regla.
    por lo que entiendo en sistemas bsd se puede abrir sockets en modo raw, esto es capas más abajo que tcp/ip, y a veces las herramientas standard de monitoreo no sirven porque sólo escuchan capas más arriba, o más bien en paquetes manejados por el kernel (tcp/udp):

    En entornos de alta demanda de seguridad el uso de doble firewall (nateando en puertos diferentes) es altamente recomendado.
    Bueno, espero tengas suerte con alguna solucío más acabada..



  • ¡Hola de nuevo!

    Pues caramba con el Raw IP porque "traspasa" los routers ADSL y pfSense …

    En los routers tengo también filtrado tráfico. O sea que también hacen "algo" de cortafuegos.

    LAN <---> pfSense <---> Router ADSL <---> Internet

    Espero, por lo que veo, que sean simplemente algunos paquetes Raw IP que llegan pero que no permiten establecer conexión alguna.

    Saludos,

    Josep Pujadas


Log in to reply