NAT is not a security feature?

[emmebì]

La rete interna dell'ufficio dove lavoro viene nattata dal router di frontiera sull'indirizzo:

codice:

80.67.X.80

Il personal firewall di un PC desktop in LAN avverte che vi è un tentativo di INGRESSO da parte di:

codice:

80.67.Y.234

al PC stesso, porta 3.

Qualcuno scavalca il NAT od il firewall è svarionato?
Che c'è sulla "porta 3"? TCP probabilmente. Io non l'ho mai sentita.

[emmebì]

In altri frangenti di tempo, arpwatch, installato su uno dei nostri server, dà segnali di new station con indirizzi non appartenenti alla nostra rete, nè simili.

Investigndo, il MAC riportato per uno di tali IP coincide con quello di una delle schede di rete del PC incriminato, che però è settata correttamente (secondo Windows).

Idee?

[SocciO]

come hai scritto sul titolo...NAT non è una soluzione x la sicurezza ma per il risparmio di IP pubblici!!

Tornando al tuo problema, se posso esprimere un parere, io penso che si tratti di qualche PC infettato, magari proprio quello di cui parli.
Mi spiego meglio: i worm nella fase di propagazione cercano di "replicarsi" scegliendo IP a caso, e quindi anche IP che tu non utilizzi nella rete!

L'unica soluzione che mi viene in mente è questa....hai qualche altra info in merito?

ciao

[emmebì]

Originariamente inviato da SocciO
Mi spiego meglio: i worm nella fase di propagazione cercano di "replicarsi" scegliendo IP a caso, e quindi anche IP che tu non utilizzi nella rete!

Questo sì, però essi scelgono a caso IP destinazione, sono propenso a credere, non IP sorgente, altrimenti non comunicherebbero nulla nella rete in cui si trovano..

Dando un

codice:

netdiscover -i eth0

su un host *nix, al fine di trovare gli indirizzi IP associati agli host, non appare nulla di strano!
Solo saltuariamente, come detto, arpwatch mi dà notizia di nuovi IP.

Promiscan non rileva modalità promiscua su nessuna delle interfacce di rete di quel PC.

Il PC potrebbe essere sicuramente infetto, per carità (anzi è molto probabile che ora o nella sua storia lo sia stato), però i sintomi appaiono solo saltuariamente? E in maniera "sconclusionata"?

[emmebì]

^

[emmebì]

ultimo ^