[OT] tiscali e porta TCP 445: la filtrano?
Stefano Zamboni
da qualche tempo riscontro un problema che sembra riconducibile ad un
"filtraggio" del traffico diretto verso certe porte da parte di tiscali..
mi spiego: gestisco una decina di macchine remote (firewall) ed il servizio
si appoggia sulla porta 445.. tutte le macchine sono connesse con adsl e
solo la mia e quella di un collega sono adsl tiscali (320 la mia e 640 ip
statico la sua..)
orbene... da qualche settimana non c'è verso di entrare nelle nostre due
macchine appoggiate a tiscali.. mentre nessun problema a farlo sulle altre..
naturalmente nessuna configurazione è stata mutata.. semplicemente la porta
445 è invisibile all'esterno...
mi sono fatto fare anche una scansione con nessus che *non* mi ha rilevato
la 445 mentre qualche tempo fa l'ha rilevata correttamente, compreso il
servizio in ascolto e le sue caratteristiche..
ora.. visto che la 445 (se non sbaglio) è associata a qualche servizio
ciofeca di uindous ed è fonte di vulnerabilità e cavoli vari, vorrei sapere
se, a vostro avviso, è possibile che tiscali si sia messa a filtrare il
traffico su questa porta.. e se anche fosse, perchè non l'ha comunicato?
saluti
--
Stefano Zamboni - sz...@libero.it
Legge di Tussman:
Niente è inevitabile come un errore il cui momento è giunto.
ObiWan
> da qualche tempo riscontro un problema che sembra riconducibile ad un
> "filtraggio" del traffico diretto verso certe porte da parte di tiscali..
> ora.. visto che la 445 (se non sbaglio) è associata a qualche servizio
> ciofeca di uindous ed è fonte di vulnerabilità e cavoli vari, vorrei
sapere
> se, a vostro avviso, è possibile che tiscali si sia messa a filtrare il
> traffico su questa porta.. e se anche fosse, perchè non l'ha comunicato?
la 445 corrisponde ai "directory services" ovvero .. "Active Directory" per
quanto riguarda il filtraggio è possibilissimo che Tiscali l'abbia attivato
senza avvertire, dato che se da contratto *non* è prevista la possibilità
di usare "servers" remoti (di qualsiasi tipo) nessuno ti garantisce che una
porta sia disponibile o meno ... purtroppo :-(
Ciao
* ObiWan
DNS "fail-safe" for Windows 2000 and 9X clients.
http://ntcanuck.com
408 XP/2000 tweaks and tips
http://ntcanuck.com/tq/Tip_Quarry.htm
Fabio Panigatti
La 445/tcp e' la porta per SMB/CIFS over TCP e non ha nulla a che fare
con active directory. L'acronimo vuol dire, probabilmente, direct SMB.
Active Directory e' basata su LDAP ed usa le porte di LDAP. La 445/tcp
viene filtrata, probabilmente insieme alla 139/tcp, per arginare un po'
la recente epidemia di vermi e/o l'advertising via messenger, anche se
non ho ancora conferma dell'uso di messenger su SMB.
Per Stefano: tunneling (ssh, stunnel, ecc.).
Fabio
Stefano Zamboni
> la 445 corrisponde ai "directory services" ovvero .. "Active
> Directory" per quanto riguarda il filtraggio è possibilissimo che
> Tiscali l'abbia attivato senza avvertire, dato che se da contratto
> *non* è prevista la possibilità di usare "servers" remoti (di
> qualsiasi tipo) nessuno ti garantisce che una porta sia disponibile o
> meno ... purtroppo :-(
>
scusa l'espressione in tecnico forbito, ma sta cippa di c@##o mi disattivano
qualcosa senza avvisare.. nel contratto non si fa menzione a limitazioni di
questo genere ed anzi si dice che in caso di modifica ai servizi forniti (in
senso di limitazione), l'utente verrà informato..
se fino a 10 gg fa funzionava ed adesso no.. beh, possono farlo, ok.. ma
almeno ditelo...
assurdo..
ciao e grazie..
--
Stefano Zamboni - sz...@libero.it
Legge di Rudin:
In casi di crisi che obbligano la gente a scegliere tra varie linee di
condotta, la maggioranza sceglierà la peggiore possibile.
Stefano Zamboni
>
> Per Stefano: tunneling (ssh, stunnel, ecc.).
>
ciao Fabio e grazie per il suggerimento.. ho già l'accesso in ssh, su porta
non standard.. quella bloccata è l'interfaccia web su https su porta non
standard.. adesso modifico httpd.conf e la sparo su un'altra porta.. che
maroni.. :-)
saluti
--
Stefano Zamboni - sz...@libero.it
Legge di Biondi:
Se il tuo progetto non funziona, controlla la parte che non ti pareva
importante.
Fabio Panigatti
> qualcosa senza avvisare.. nel contratto non si fa menzione a limitazioni di
> questo genere ed anzi si dice che in caso di modifica ai servizi forniti (in
> senso di limitazione), l'utente verrà informato..
>
> se fino a 10 gg fa funzionava ed adesso no.. beh, possono farlo, ok.. ma
> almeno ditelo...
Ho riletto meglio il tuo primo post, a cui avevo dato solo un'occhiata
rapida. Se non ho capito male tu sei il cliente tiscali adsl e il server
che ascolta sulla 445/tcp appartiene ad un'altra rete, giusto? Se e'
cosi' mi sembra che tu abbia perfettamente ragione a inc@##arti, a
meno di specifiche clausole nel contratto.
Ma... toglimi una curiosita': chi diamine ha scelto la 445/tcp per una
attivita' che non sia legata SMB/CIFS? Non potete scegliere una porta
un po' piu'... furba? (salvo risolvere il problema con una redirezione
delle porte, come avevo detto nel post precedente).
Fabio
Fabio Panigatti
> attivita' che non sia legata SMB/CIFS? Non potete scegliere una porta
> un po' piu'... furba? (salvo risolvere il problema con una redirezione
> delle porte, come avevo detto nel post precedente).
Come non detto... ho letto adesso il tuo ultimo post :-)
Fabio
Stefano Zamboni
ciao Fabio..
chiarisco meglio il mio problema e la situazione..
- io cliente tiscali *non* ho problemi a contattare le macchine su altre
adsl sulla 445 (https di SmoothWall)
- tutti gli altri (e quindi anche io quando contatto la macchina del collega
con tiscali) *non* vedono la mia 445.. questo è seccante perchè quando sono
in giro spesso ho bisogno di aprirmi una porta al volo sul mio fw e tramite
interfaccia web è semplice, rapido e non richiede client ssh o simili.. solo
che.. mi hanno chiuso fuori.. (C/L/M/P/R)azzo! :-D
saluti abbacchiati..
--
Stefano Zamboni - sz...@libero.it
Sciagu
> ciofeca di uindous ed è fonte di vulnerabilità e cavoli vari, vorrei
sapere
La distribuzione Linux Smoothwall la utilizza per l'accesso all'interfaccia
grafica tramite https, quindi non credo che sia una porta riservata ai
servizi Microsoft...
Stefano Zamboni
> La distribuzione Linux Smoothwall la utilizza per l'accesso
> all'interfaccia grafica tramite https, quindi non credo che sia una
> porta riservata ai servizi Microsoft...
ahem... lo so! io con SW ci lavoro e, in parte, ci mangio pure.. (se fai una
ricerca su SW ed il mio nome su google magari lo vedi.. ;-))
solo che se fai una ricerca in giro vedrai che la 445 tcp è più famosa per
essere associata a servizi M$ che all'https di SW.. comunque sia, il
problema è che io *posso* anche accettare che mi si filtri il traffico a
monte, ma almeno che mi venga detto....
adesso quindi faccio una domanda: posto che devo spostarla dalla 445, su che
porta < 1024 la fiondo? idee, suggerimenti?
saluti dubbiosi..
--
Stefano Zamboni - sz...@libero.it
che differenza c'è tra windows e linux?
Piu' o meno quella che passa tra un Water e una vasca da bagno.
In entrambi ti ci puoi sciaquare, entrambi sono sanitari, entrambi
sono in ceramica ma in uno solo dei due ci devi cacare. (Cit.)
Fabio Panigatti
> adsl sulla 445 (https di SmoothWall)
> - tutti gli altri (e quindi anche io quando contatto la macchina del collega
> con tiscali) *non* vedono la mia 445.. questo è seccante perchè quando sono
> in giro spesso ho bisogno di aprirmi una porta al volo sul mio fw e tramite
> interfaccia web è semplice, rapido e non richiede client ssh o simili.. solo
> che.. mi hanno chiuso fuori.. (C/L/M/P/R)azzo! :-D
Ok, meno grave ma altrettanto seccante, soprattutto, come dici tu, per
la mancata notifica ai clienti. Magari puoi sollevare il problema su
qualche gruppo della gerarchia it.tlc.* (oltre che con tiscali stessa),
anche se l'articolo 7.1 del contratto di tiscali puo' dare loro qualche
ragionevole appiglio per giustificare il filtraggio.
Fabio
Fabio Panigatti
> su che porta < 1024 la fiondo? idee, suggerimenti?
Io andrei su porte alte. Potresti chiedere consiglio a:
~$ if grep -q \ <porta>\/tcp /usr/share/nmap/nmap-services; \
then echo nobbuono;else echo bbuono;fi
... magari scartando a priori le porte che trovi in:
http://isc.incidents.org/trends.html
Fabio
gio...@vecchio.it
Confermo che la 445 e` bloccata. E ti confermo (ho parlato con l'assistenza
telefonica) che fanno di queste cose per problemi di sicurezza.
Ti sei accorto che anche la 25 e` bloccata?
Stefano Zamboni
> Stefano Zamboni wrote:
[cut]
> Confermo che la 445 e` bloccata. E ti confermo (ho parlato con
> l'assistenza telefonica) che fanno di queste cose per problemi di
> sicurezza.
>
> Ti sei accorto che anche la 25 e` bloccata?
ciao.. che fosse bloccata la 445 ormai ne avevo solo la certezza.. non sono
riuscito a parlare con l'assistenza tecnica in quanto, dopo 57 minuti di
attesa, mi sono rotto le balle e li ho mandati cordialmente a fare in ....
(fill the blanks)
in merito alla 25.. no, non me ne ero accorto, anche perchè comunque è una
porta per noi bloccata di default e di nessun utilizzo per i nostri scopi..
comunque grazie dell'informazione...
a questo punto però, sarebbe da chiarire se Tiscali ha agito nel rispetto
delle condizioni contrattuali o meno.. ma evito di andare a perdere tempo
con queste cose.. :-)
saluti
--
Stefano Zamboni - sz...@libero.it
gio...@vecchio.it
> ciao.. che fosse bloccata la 445 ormai ne avevo solo la certezza.. non sono
> riuscito a parlare con l'assistenza tecnica in quanto, dopo 57 minuti di
> attesa, mi sono rotto le balle e li ho mandati cordialmente a fare in ....
> (fill the blanks)
>
> in merito alla 25.. no, non me ne ero accorto, anche perchè comunque è una
> porta per noi bloccata di default e di nessun utilizzo per i nostri scopi..
> comunque grazie dell'informazione...
>
> a questo punto però, sarebbe da chiarire se Tiscali ha agito nel rispetto
> delle condizioni contrattuali o meno.. ma evito di andare a perdere tempo
> con queste cose.. :-)
>
> saluti
nel punto 14 del contratto
14. Autorizzazioni del gestore di rete e specifiche tecniche del sistema
si tengono abbastanza larghi, pero` in effetti loro vendono
"il servizio di connettività alla rete Internet con tecnologia ADSL denominato
Tiscali ADSL."
ora la cosa divertente e che "connettivita`" mi sembra un termine meno forte
di "connessione".
Tempo fa` (un anno direi) scalai il servizio clienti al numero verde
(attaccavo la mattina il vivavoce e stavo li a sentire la musichetta sarda del
periodo, che mi piaceva pure) e parlai in ultimo con un tecnico, che mi disse
piu` o meno:
"si lo so, non e` giusto e sarebbe meglio che non ci fossero limitazioni, ma
facendo cosi` finireste (la rete IP delle adsl) in tutte le liste di dnsrbl
possibili e immaginabili, per via degli utenti con openrelay, proxy e simili".
Bhe ero abbastanza incavolato per questa storia, ma in effetti c'hanno ragione
loro. Si finirebbe come interbusiness e la cosa non mi va.
Giorgio
Fabio Panigatti
> c'hanno ragione loro. Si finirebbe come interbusiness e la cosa
> non mi va.
Interbusiness ha fatto la fine che ha fatto non solo perche' aveva
spammer sulle sue reti ma, soprattutto, perche' non faceva nulla a
fronte delle segnalazioni.
Fabio