:: Sicurezza nelle Reti - Prova scritta - Aprile 2008 ::
Spiegare in sintesi ma con precisione che cos'è un FTP Bounce Attack e come lo si può impedire attraverso tecnologie di firewalling.
La spiegazione dell'FTP Bounce Attack la si trova nella prova scritta di Novembre 2008.
Per impedire l'FTP Bounce Attack tramite il firewall, NON SI PUÒ! Come fa un firewall, analizzando l'header TCP di un pacchetto, a stabilire che si cerca di fare un PORT su di un host non autorizzato? Non può, semplicemente. Occorre filtraggio applicativo.
Un noto sistema di monitoraggio rileva come anomala una frammentazione IP costituita da frammenti aventi il flag More Fragments settato a 1 e dimensione dei datagram inferiore a 25 byte.
Considerando un firewall di tipo Static Packet Filter, spiegare il motivo per il quale tale particolare tipologia di frammenti può risultare pericolosa.
La dimensione così piccola del payload implica che anche l'header del livello di trasporto viene diviso in pezzi. Se arriva un header cattivo, e il FW non fa deframmentazione dei pacchetti, il FW non si accorgerà della malvagità di tale header. In effetti non ci sono molte ragioni per avere frammenti così piccoli, a meno che non sia l'ultimo: ma qui ho MF settato, quindi si assume che non sia l'ultimo... di sicuro è un pacchetto malvagio:)
Aggiungo anche che gli scanner come nmap usano frammenti fino a 24 byte: pertanto, è possibile che frammenti di tale dimensione siano segnale di uno scanning in corso. Vedi qui.