From fefe@fefe.de Mon Nov 6 23:26:51 2000 From: Felix von Leitner Message-Id: Newsgroups: de.comp.security.firewall Subject: Re: Port 113 References: <8tp83f$ja7$04$2@news.t-online.com> Organization: Miscatonic University Followup-To: Status: RO Content-Length: 2346 Lines: 56 Dietz Proepper wrote: > >Schlimmer. 113 auf Stealth führt dazu, daß viele Mailserver massiv > >ausgebremst werden. Das sind meßbare Schäden (habe mal mit T-Online und GMX > >darüber gesprochen). > Oh ja. Meßbare Schäden. In etwa genauso meßbar wie die "Schäden" die > mir entstehen wenn Dritte der Meinung sind, ungefragt "meine" Netze > debuggen zu müssen? Dietz, erzähl doch keine Scheiße sondern lies dir die RFCs durch. Im IDENT-RFC steht sogar explizit drin, für wen IDENT gedacht ist: für _dich_, den Betreiber des IDENT-Dienstes. Wenn du ein Multiuser-System fährst, und im Problemfall mehr Daten brauchst, dann richtest du einen IDENT-Server ein, der der Gegenseite einen Cookie gibt, mit dem du etwas anfangen kannst (d.h. den Übeltäter identifizieren kannst), wenn man ihn dir zurückliefert. Wenn du diese Daten nicht brauchst, dann richtest du halt keinen IDENT-Server ein und bist fertig. > Sorry Lutz, für inkompetente Mailserverbetreiber habe ich noch wesentlich > weniger Verständnis als für PF-Benutzer. Inkompetent ist derjenige, der Ident-Anfragen ohne Fehlermeldung auf den Boden fallen läßt. Wenn du eines Tages doch mal ein ernstzunehmendes System administrieren solltest, wirst du den Mailserverbetreibern dankbar sein, wenn sie dem Admin, dir, alle Daten zukommen lassen, die du brauchst, um Spammer zuzuordnen. > Wer der Meinung ist, ident voraussetzten zu können ist offensichtlich > auf dem Holzweg. Niemand tut das. Die Leute setzen allerdings voraus, daß du dich an die RFCs hälst. Die spezifizieren, daß auf ein TCP-SYN-Paket ein Paket zurückkriegst, wenn der Rechner oben ist. Und er muß oben sein, weil er gerade eine TCP- Verbindung zu dir aufgebaut hat. > Wer den Unterschied zwischen "MAY", "SHALL", "MUST" nicht realisiert > ist offenbar nicht in der Lage, Spezifikationen zu verstehen - > um mit Deinen Worten zu sprechen, Lutz, er ist unwillig zu lernen, > ein Idiot. Mich dünkt, du verwechselst hier gerade, wer die Spezifikationen nicht gelesen hat...? > Noch dazu da in der Spezifikation explizit steht daß aus einem nicht > erhaltenen "* unreachable" keine Rückschlüsse zu ziehen sind. Den Teil muß ich wohl überlesen haben. Wo steht das noch mal? Ich würde sogar so weit gehen, das Gegenteil zu behaupten. RFC761 spricht explizit von einem Timeout. Felix From fefe@fefe.de Tue Nov 7 15:07:32 2000 From: Felix von Leitner Message-Id: Newsgroups: de.comp.security.firewall Subject: Re: Port 113 References: <8tp83f$ja7$04$2@news.t-online.com> Organization: Miscatonic University Followup-To: Status: RO Content-Length: 3373 Lines: 81 Dietz Proepper wrote: > >Wenn du eines Tages doch mal ein ernstzunehmendes > >System administrieren solltest, > dann werde ich unter Garantie keinen SMTP-Server betreiben der > ident-Anfragen sendet. Ich sprach von der Gegenseite. Du betreibst einen Multiuser-Rechner, von dem aus jemand gespamt hat, ohne deinen MTA dafür zu benutzen. Er hat stattdessen ein l33t Bulkmail-Tool benutzt und in deinen Logs steht nichts. Wenn du einen identd fährst, dann kann der der Gegenseite z.B. verschlüsselt als base64-String sagen "das war der user hax0r um 15:32". Der gegenseitige Admin teilt dir dann den base64-String mit und du kannst ihn entschlüsseln und feststellen, daß er manipuliert war, wenn timestamp und/oder Signatur ungültig waren. > >wirst du den Mailserverbetreibern dankbar sein, wenn sie dem Admin, > >dir, alle Daten zukommen lassen, die du brauchst, um Spammer zuzuordnen. > Aha. Felix, was sollte mir in soeiner Situation ein ident-Ergebnis das > entweder ohnehin gefälscht ist oder garnicht ermittelt werden kann > nützen? Wenn jemand auf deinem Multiusersystem root ist und ident-Ergebnisse fälschen kann, dann hilft dir das nicht viel. Dann hast du als Admin aber eh verloren und Spamming ist dein kleinstes Problem. > >> Wer der Meinung ist, ident voraussetzten zu können ist offensichtlich > >> auf dem Holzweg. > >Niemand tut das. > Dann sollen die Leute nicht weinen. Um noch was klarzustellen. *Ident* > beantwortet man aus reiner Freundlichkeit - da ich ein freundlicher > Mensch bin tue ich es normalerweise. Nein, Ident betreibst du -- wenn überhaupt -- als Selbstzweck. Freundlich ist der MTA-Betreiber, der deinen Identd befragt und dir das Ergebnis mitteilt. > Man darf es (um im Kontext des threads zu bleiben) nur weder hier noch > generell voraussetzen. Niemand setzt es voraus. Aber wenn du es nicht betreibst, dann trete den Leuten, die dir helfen wollen, indem sie den Identd befragen wollen, nicht auch noch in den Hintern sondern rejecte die Anfrage sauber. > >Mich dünkt, du verwechselst hier gerade, wer die Spezifikationen nicht > >gelesen hat...? > Mich dünkt, Du hast Deine Hausaufgaben schlecht gemacht. Vielleicht wird dir klarer, worum es bei Ident geht, wenn du dir http://koeln.ccc.de/~drt/didentd-0.01.tar.gz angeschaut hast. Der implementiert leider keine digitalen Signaturen, aber es ist ein guter Start. > >> Noch dazu da in der Spezifikation explizit steht daß aus einem nicht > >> erhaltenen "* unreachable" keine Rückschlüsse zu ziehen sind. > >Den Teil muß ich wohl überlesen haben. Wo steht das noch mal? > Da solltest Du wohl nochmal lesen. > > RFC792: > If, in the destination host, the IP module cannot deliver the > datagram because the indicated protocol module or process port is > not active, the destination host may send a destination > unreachable message to the source host. Das sehe ich wohl, allein hilft es der Fragestellung wenig. > Zeig' mir bitte wo Du das MUST gelesen hast. > > >Ich würde sogar so weit gehen, das Gegenteil zu behaupten. > >RFC761 spricht explizit von einem Timeout. > Ein schneller grep auf "timeout" in rfc 761 führe zu keinem > Ergebnis. Kannst Du das präzisieren? Da steht, daß es einen Timeout gibt, wenn keine Antwort kommt. Ein Timeout ist anders als das normale Verhalten und damit ist ein Rückschluß gezogen worden. Felix From fefe@fefe.de Tue Nov 7 15:15:22 2000 From: Felix von Leitner Message-Id: Newsgroups: de.comp.security.firewall Subject: Re: Port 113 References: <8tp83f$ja7$04$2@news.t-online.com> Organization: Miscatonic University Followup-To: Status: RO Content-Length: 1833 Lines: 52 Dietz Proepper wrote: > Dumme Frage - kann Felix für sich selber sprechen? ;) Er bemüht sich. > Lutz, verzeih bitte meine Borniertheit aber was nützt mir hierzu > ident? Der identd des Spammers kann's nicht sein, der ist ohnehin > nicht vertrauenswürdig. Ident hilft dir, wenn du Admin des Multiuser-Rechners bist, von dem aus gespammt wurde. Nehmen wir an, der MTA von fefe.de wird heute um 15 Uhr von shellaccounts.franken.de gespammt. Nehmen wir weiter an, daß mir das um 15:01 auffällt und ich das dem Postmaster mitteile. Nehmen wir weiter an, daß du der Postmaster bist. Du liest dir Mail um 15:30. Was tust du? Zuerst machst du netstat und ps, falls der Spammer noch aktiv ist. Ist er nicht. Dann schaust du in die Mail-Logs und stellst fest, daß der Spammer ein l33t hax0r t00l benutzt hat und nicht deinen MTA. Nehmen wir an, daß du process accounting hast. Der Spammer war nicht blöde und hat sein t00l "ls" genannt. Du hast jetzt verloren. Außer du hattest Ident laufen, mein MTA war freundlich zu dir und hat selbigen befragt und dein Daemon hat meinem MTA mitgeteilt, daß der User "hartmann" heißt. > Die Informationen die mir der identd des vermittelnden MTA liefert > können das eigentlich auch nicht sein weil die Header ausreichend > Informationen beinhalten sollten. Das l33t hax0r t00l schreibt in seine Header natürlich rein, daß die Mails von "adamsd34@hongkong.com" kamen (frisch aus einem Spam extrahiert). > Wozu benötige ich ident im Zusammenhang mit smtp also nochmal genau? Jetzt sollte es dir endgültig klar sein. > >Du möchtest Kriminelle schützen. > Oder habe keine Lust, Speicher für ohnehin gefälschte Informationen > bereitzustellen? Kannst du mal kurz begründen, welche Informationen von wem an welcher Stelle gefälscht worden sein sollen? Felix