Hi! On 2003 Jul 16, Kosa Attila wrote:
Jul 15 16:06:26 fw zorp_ftp[26764]: (zorp-ftp@cegnev.hu/intra_ftp:4/ftp): Possibly bounce attack; connect='TRUE', remote='AF_INET(192.168.1.1:42774)'
Mit akar ez jelenteni? Mar megkerestem, hogy ki volt az, csak milyen szerszammal menjek ki hozza? :) Tehat milyen tevekenyseget minosit igy a Zorp?
Az adatkapcsolat es a parancskapcsolat nem ugyanazt az ip-t akarta hasznalni. Sajnos azt nem tudom megallapitani, hogy a kliens vagy a szerver oldalon, ezert most a kliens oldalt feltetelezve mondom el: Szoval ha aktiv ftp-t hasznalunk, akkor a kliens mondja meg, hogy hova keri a csatlakozast. Pl.: PORT 192,168,1,1,23,45 Namost itt nem a sajat ip cimet adta meg. Tehat o mondjuk a .2 es a .1-re kerte az adatkapcsolatot. Ennek ebben a esetben tul sok veszelyet nem latom. Ket tamadas lehet bounce attack-kent. 1., Ha korlatozod, hogy honnan lehet letolteni bizonyos file-okat, akkor igy meg lehet kerulni. (Ennek napjainkban azt hiszem nem tul sok ertelme van) 2., Mindenfele taviranyitott dolgokat lehet vegezni. (Pl. spamkuldesre is hasznaljak) 3., Tuzfal szabalyok megkerulesere. Ebben sokat nehezit, hogy a zorp-ban a kapcsoalt egyiranyu. :) -- Szalay Attila BalaBit IT BiztonsƔgtechnikai Kft. tel:(36-1)-371-05-40 1116 Bp. Csurgoi ut 20/b fax:(36-1)-208-08-75 http://www.balabit.hu/