[zorp-hu] ftp bounce attack
SZALAY Attila
zorp-hu@lists.balabit.hu
Wed, 16 Jul 2003 11:26:10 +0200
Hi!
On 2003 Jul 16, Kosa Attila wrote:
>
> Jul 15 16:06:26 fw zorp_ftp[26764]: (zorp-ftp@cegnev.hu/intra_ftp:4/ftp): Possibly bounce attack; connect='TRUE', remote='AF_INET(192.168.1.1:42774)'
>
> Mit akar ez jelenteni? Mar megkerestem, hogy ki volt az, csak milyen
> szerszammal menjek ki hozza? :) Tehat milyen tevekenyseget minosit
> igy a Zorp?
Az adatkapcsolat es a parancskapcsolat nem ugyanazt az ip-t akarta
hasznalni.
Sajnos azt nem tudom megallapitani, hogy a kliens vagy a szerver oldalon,
ezert most a kliens oldalt feltetelezve mondom el:
Szoval ha aktiv ftp-t hasznalunk, akkor a kliens mondja meg, hogy hova
keri a csatlakozast.
Pl.:
PORT 192,168,1,1,23,45
Namost itt nem a sajat ip cimet adta meg. Tehat o mondjuk a .2 es a .1-re
kerte az adatkapcsolatot.
Ennek ebben a esetben tul sok veszelyet nem latom.
Ket tamadas lehet bounce attack-kent.
1., Ha korlatozod, hogy honnan lehet letolteni bizonyos file-okat, akkor igy
meg lehet kerulni. (Ennek napjainkban azt hiszem nem tul sok ertelme van)
2., Mindenfele taviranyitott dolgokat lehet vegezni. (Pl. spamkuldesre is
hasznaljak)
3., Tuzfal szabalyok megkerulesere. Ebben sokat nehezit, hogy a zorp-ban
a kapcsoalt egyiranyu. :)
--
Szalay Attila BalaBit IT Biztonságtechnikai Kft.
tel:(36-1)-371-05-40 1116 Bp. Csurgoi ut 20/b
fax:(36-1)-208-08-75 http://www.balabit.hu/