Lecture Interessante

freddec · 18/01/2007 19:46:52

Salut

Bien que ce ne soir pas ma revue préférée (a cause de son prix 8,50 €) je voulais signaler 3 article interessant dans le dernier numéro de Linux + DVD
1 -Un article sur la sécurisation SSH --> surement de la routine pour vous les geek, mais il fut trés instructif pour moi.
2- Un article sur le scan de port via nmap --> même remarque que ci dessus
3 - Un article sur l'utilisation de Linux (ici Ubuntu) dans WinXp sans passer par un produit type Qemu grace a Colinux.

Voila, si ça peut en intéresser d'autre:)

freddec · 18/01/2007 20:08:58

Pour faire suite a ce message, je viens de faire deux test de scan depuis des services internets:
Pour mémoire je suis en ADSL derrière une livebox (inventel) dans sa configuration de base:(dhcp et parefeu en réglage usine)

Voici ce que me renvoi un nmap sur localhost

nmap localhost a écrit :

Interesting ports on localhost.localdomain (127.0.0.1):
Not shown: 1675 closed ports
PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
111/tcp open rpcbind
113/tcp open auth
631/tcp open ipp

Et voici ce que me disent les deux sites de test visités:

http://www.zebulon.fr/outils/scanports/ a écrit :

Félicitation ! Votre sécurité semble optimale !
La totalité des ports TCP testés sont masqués, votre ordinateur ne donne donc aucune réponse aux tests de ports effectués. Votre machine est donc invisible aux yeux de pirates potentiels.
Ports TCP ouverts
Aucun port détecté
Ports TCP fermés
Aucun port détecté

et

http://check.sdv.fr:3658/cgi/scan a écrit :

Résultat du scan (effectué en 23 secondes):
Votre ip 83.203.xx.xxx (APoitiers-157-1-84-224.w83-203.abo.wanadoo.fr)
Votre systéme Linux i686
Liste des ports visibles:
Nom Status Numéro Information
Conclusion:
Aucun port ne semble ouvert sur votre machine.
Votre securité est excellente.

1- Ces tests sont ils fiables ? et suis-je réelment à l'abri des intrus ?
2- Si oui, puis-je "oublier" de me pencher sur iptable et netfilter (même si cela m'intéresse d'un point de vue culturel)
3- C'est bien configuré d'entrée une bobox de chez Naranja (en espagnole dans le texte )
4- Le plus surprenant: c'est que l'ip vue est celle de la box (logique) mais l'os vu c'est le miens ou celui de la box ?
(ce que j'ai vu dans le paramétrage avancé de la box m'a fait penser a iptable, est ce a dire que la box tourne sur un Pinguoin ?)
Edit--> viens de trouver la réponse à la question 4 --> la live box heberge bien un pingouin http://www.neuneu.org/article.php3?id_article=49

Merci de vos avis

Dernière modification par freddec (18/01/2007 20:18:59)

Tihz · 19/01/2007 00:16:20

Salut,

freddec a écrit :

Votre ip 83.203.xx.xxx (APoitiers-157-1-84-224.w83-203.abo.wanadoo.fr)

Alors juste une petite remarque, rien de sers de mettre 83.203.xxx.xxx si tu laisse l'adresse 'DNS' en clair. Sinon un ping suffit pour avoir la correspondance.

freddec a écrit :

1- Ces tests sont ils fiables ?

La fiabilité des tests je ne la connais pas mais ils doivent être bon. Pourquoi je l'explique plus bas.

freddec a écrit :

et suis-je réelment à l'abri des intrus ?

Non ... Theoriquement le seul moyen que personne n'accede a ton ordinateur et de ne pas avoir d'ordinateur. Dans la pratique, cela dépend du degré d'importance des données qu'il renferme. En tout cas, il y a le strict minimum (aucun port d'ouvert en entrée et un *n[iu]x derrière) pour ne pas intéressé ce que les médias appelle les 'script-kiddies' qui cherche en géneral la facilité.

freddec a écrit :

2- Si oui, puis-je "oublier" de me pencher sur iptable et netfilter (même si cela m'intéresse d'un point de vue culturel)

Si ça t'intéresse, pourquoi oublier ? En tout cas, tu pourra avoir le luxe de te permettre de faire des erreurs pendant la configuration.

freddec a écrit :

3- C'est bien configuré d'entrée une bobox de chez Naranja (en espagnole dans le texte )

Alors j'arrive au point le plus important. Comme je le sous entendais au dessus, en entrée les ports de la box sont bien fermé et nécessite que tu les débloques lorsque tu en a besoin (politique Novell comme j'aime a l'appeler contrairement a la politique Microsoft). Ensuite pourquoi tu vois des ports ouverts et que les sites les voient fermé, je suppose que tu a compris que c'était la box qui bloque les ports (même si c'est evident, ca passe mieux quand c'est écrit).

freddec a écrit :

4- Le plus surprenant: c'est que l'ip vue est celle de la box (logique) mais l'os vu c'est le miens ou celui de la box ?
(ce que j'ai vu dans le paramétrage avancé de la box m'a fait penser a iptable, est ce a dire que la box tourne sur un Pinguoin ?)
Edit--> viens de trouver la réponse à la question 4 --> la live box heberge bien un pingouin http://www.neuneu.org/article.php3?id_article=49

A priori la box fait du masquerading (pas sur a verifier) donc c'est bien l'OS de la box que tu vois (desolé je suis pas aller voir ton lien.

J'espere que je me suis pas trop étalé

Tihz qui adore parler de sécu

freddec · 19/01/2007 10:54:42

Votre ip 83.203.xx.xxx (APoitiers-157-1-84-224.w83-203.abo.wanadoo.fr)

Mouarff, ça m'avait échappé

Le lien neuneu.org donne une méthode de décryptage du firmware de la box --> on se rend compte que l'architecture des répertoires est de type Unix, et une commande #nmap -sS -O 192.168.1.1 (ou qque chose d'approchant) renvoi Linux comme OS

ioguix · 19/01/2007 13:35:48

Salut,

En fait il y a une explication tout simlpe au fait que tu trouve des ports ouverts et pas les autrs sites : tu scan ton localhost - sur ta machine et dont toi seul a accès - et eux ton ip publique - sur ta box.

freddec · 19/01/2007 14:17:04

ioguix a écrit :

En fait il y a une explication tout simlpe au fait que tu trouve des ports ouverts et pas les autrs sites : tu scan ton localhost - sur ta machine et dont toi seul a accès - et eux ton ip publique - sur ta box.

oui oui, j'avais bien compris cela , le but du scan sur localhost était juste de voir lesquels de mes ports étaient ouverts à cet instant et de voir si, malgré le pare feu de la box, certains étaient vues de l'extérieur.

On peut conclure que non.

ioguix · 19/01/2007 15:20:23

localhost ne peut être atteint QUE par ta machine. C'est un port réseau virtuel commun à tous les systèmes d'exploitation que je connaisse.

Le réseau virtuel dont la plage réservée est 127.0.0.0/8 étant commun à toute machine, une machine lancant une attaque sur ce réseau s'attaquerais elle même.

En conclusion, ton localhost n'est vu QUE par toi...

freddec · 19/01/2007 16:49:38

je sais, je voulais juste avoir le listing des ports ouverts en local pour pouvoir comparé avec ceux qui auraient éventuellement vu de l'exterieur.

bz31 · 19/01/2007 17:17:31

Je ne sais pas si j'ai bien compris ioguix. Corrige moi si je me trompe.

Il voulait dire que tes tests dans ton deuxième message ne sont pas comaprables.
Quand tu testes 127.0.0.1, tu testes l'interface virtuelle lo.
Les tests online testent l'interface eth0 par exemple.
Il y a donc pas de sens de comparere les ports vus dans ces deux types de tests.

L'interface lo n'est vu que par ta machine, aucune autre machine ne peut voir ton interface lo.
Même si tu veux tester l'ip de ton interafce eth0 depuis ta machine, ça bascule automatiquement par passer par l'interface lo.
Conclusion : il est impossible de tester sa machine depuis sa machine.

Korova · 19/01/2007 17:18:13

[mode ="je profite honteusement du fil pour poser ma question à moi toute seule"]
J'ai fait le test avec les sites indiqués, et il me note que le port telnet (le 23) est ouvert, alors que normalement il est fermé par mon firewall (le 80 et le 443 sont ouverts aussi, mais ça c'est normal). Se pourrait-il que sur mon modem-routeur le port 23 soit ouvert ? (si c'est le cas, quelle c****)
[/mode]

armen · 19/01/2007 17:57:33

ton routeur il est avant ou après ton firewall ? Tu fais de la redirection des ports 80 et 443 sur ta machine, c'est bien ça ?

S'il est avant, c'est que son port 23 est ouvert. Bonne lecture de sa doc pour voir comment le fermer

ioguix · 19/01/2007 18:02:20

Salut,

Nan nan, pas du tout, depuis ta machine, tu peux tout à fait tester tes ports externes, ils ne seront pas redirigé vers le port localhost...j'ai juste constaté dans le post de freddec celà :

freddec a écrit :

nmap localhost a écrit:
Interesting ports on localhost.localdomain (127.0.0.1):
Not shown: 1675 closed ports
PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
111/tcp open rpcbind
113/tcp open auth
631/tcp open ipp

Korova, le scan que tu effectue se fait sur ton ip publique ! Donc, sur la machine en frontale d'internet. Donc, comme tu as un routeur, c'est bien le port telnet de ton routeur qui est vu.

En revanche, si tu avais eu un modem en pppoe par exemple, ça aurait bel et bien été les ports de ton firewall qui auraient été détecté, car dans ce cas, c'est ton fw qui aurait l'IP publique.

/ioguix, dégouté que le livebox pro ne soit pas en pppoe...et exclusivement en mode routeur...

Tihz · 19/01/2007 18:16:34

Korova a écrit :

[mode ="je profite honteusement du fil pour poser ma question à moi toute seule"]
J'ai fait le test avec les sites indiqués, et il me note que le port telnet (le 23) est ouvert, alors que normalement il est fermé par mon firewall (le 80 et le 443 sont ouverts aussi, mais ça c'est normal). Se pourrait-il que sur mon modem-routeur le port 23 soit ouvert ? (si c'est le cas, quelle c****)
[/mode]

Si il s'agit bien d'un olitec sx202 (si j'ai bien tout compris), il semble que ce soit normal comme le suggère ce post-ci http://forum.zebulon.fr/index.php?s=49c … ntry859093

Heureusement, il semble qu'olitec soit au courant de cette histoire et qu'il faille mettre a jour le routeur si ce n'est pas fait comme le suggère le post que je mentionne ci-dessous. Si le firmware de ton routeur est bien 3.006 (ou supérieur je suppose), il suffit de le reconfigurer.

Le post en question : http://www.commentcamarche.net/forum/af … x-et-swxxx

resumé a écrit :

Amélioration apportée dans cette nouvelle version "3.006" :
_ Interface HTML modifiée,
_ Synchronisation ADSL optimisée,
_ Ports "TCP : 21, 254, 255" et UDP : 67 sont fermés
(Exemple de réglage : « Accès au serveur FTP limité au réseau local LAN »)
_ Ports "Telnet : 23" réglable dans "Configurations diverses" (Ex: "Accès Telnet limité au LAN"),
_ Gestion de l'horaire du routeur configurable (protocole SNTP),
_ Gestion de plages de ports possibles dans "Serveurs virtuels",
_ Gestion de futures mises à jour en local depuis l'interface HTML du Routeur,
_ Fonction "Diagnostic" en français avec aide agrémentée d'astuces.

Vérifie bien qu'il s'agisse de la bonne version de ton modem, j'ai lu ce dernier post en diagonale

Dernière modification par Tihz (19/01/2007 18:18:16)

freddec · 19/01/2007 18:40:14

Profite koro, profite

OK, je crois comprendre ce que voulais dire Ioguix, tu veux dire que j'aurai du lancer le test sur mon IP reel donnée par la box ?

nmap 192.168.1.135 a écrit :

Not shown: 1676 closed ports
PORT STATE SERVICE
22/tcp open ssh
111/tcp open rpcbind
113/tcp open auth
6000/tcp open X11
Nmap finished: 1 IP address (1 host up) scanned in 0.152 seconds

ioguix · 19/01/2007 21:25:59

Salut,

Exactement.

Maintenant, l'ip que tu viens de scaner est l'IP de ta machine sur ton réseau privé.

         )           +-------+              +---------+
 Internet ) -----ip1-| TaBox |-ip2------ipX-| PC      |
         )           +-------+              |    lo1  |   
        )                                   +---------+

Ici, ip1 est ton adresse IP publique, celle que tout le monde voit de l'exterieur et qui dit-on est "routable" sur internet.
ip2 est l'IP privée de ta box, ici, certainement 192.168.1.1, appartenant donc au réseau 192.168.1.0/24.
Ta machine, grace au serveur dhcp de ton routeur récupère donc une ip (ipX) sur le même réseau interne.
Ce réseau 192.168.x.0/24 fait partie des plages d'IP dites "non routable" sur internet. C'est pour celà que vous rencontrez si souvent ces IP sur des réseaux locaux.
Il existe notament 3 plages d'ip réservées pour les réseaux locaux, une pour chaque classe de réseau (A, B et C) et couvrant un besoin en nombre d'ip différent:
- 10.x.x.0/8
- 172.16-31.0.0/16
- 192.168.x.0/24

S'ajoute à cela la plage des 224 pour les multicasts, mais c'est une autre histoire

Voilà, pour tout dire, j'ai dû aller voir sur kikipedia pour la plage des classes B, je suis jamais certain de la plage du second octet pour celle là. cf donc ici : http://fr.wikipedia.org/wiki/RFC_1918

PS: oui, j'ai galéré pour faire ce shema !!!

/ioguix, cassé par la piscine...

bz31 · 19/01/2007 22:04:17

Je ne suis pas tout à fait convaincu par vous deux.
On peux faire un test :
vous bloquer le ssh sur votre eth0 (par exemple le 192.168.1.135 de freddec) par un firewall.
et ensuite refait par exemple
nmap 192.168.1.135

Est-ce que ssh est open ou close ?

ioguix · 19/01/2007 22:21:20

ben close normalement...

bz31 · 19/01/2007 22:36:20

As-tu testé ?
Oui, c'est close pour les autres machine bien sûr (bloqué par le firewall).
Mais nmap donne toujours ssh open si tu teste depuis ta machine !!!
Ca confirme ce que j'ai dit : on ne peut pas bien tester la sécurité d'une machine depuis la même machine directement.

Dernière modification par bz31 (19/01/2007 22:39:20)

freddec · 19/01/2007 22:37:22

Merci pour cette explication lumineuse et ce magnifique schéma

Un tchic a tchic aie aie pour ioguix

ioguix · 20/01/2007 01:46:01

Non, toujours pas..

J'ai envi d'insister bz31

il n'y a aucune raison pour que ton eth0 local soit redirigé vers lo...

il faudrait pê faire plus de test, mais ça peut aussi venir de iptable ou de sa configuration...

Effectivement, ton interface eth0 est accessible depuis l'extérieur et l'interieur...il faudrait savoir si la couche réseau fait bien /sortir/ tes paquets d'eth0 pour les faire rerentrer...

Je ne sais pas trop comment est configuré ton iptable, mais pê bloc-t-il seulement tout trafique entrant ? mais quid des paquet étant déjà à /l'interieur/ ?
ou alors, pê ta configuration traque-t-elle des connexion active ? Dans ce cas, si tu n'a pas de règle empèchant des paquets de sortir de eth0 vers ssh et que la connexion est traquée, il n'a aucune raison de refuser des paquets d'une connexion active et autorisée...

Je serais curieux de voir comment pf ou la pile BSD se débrouilleraient dans ce cas...ça fait longtemps que je n'ai pas touché à iptable...

ioguix · 20/01/2007 01:49:34

Tiens, et si tu essayais via iptable de tout couper sur eth0 ? tu drop tout paquet entrant / sortant, tu balance tout, blackout !

et bien entendu, tu laisse ssh tourner sur lo...

(oui, je suis pas sous nux là mais sur groX qui n'a pas d'iptable)

++

bz31 · 20/01/2007 09:48:49

J'ai testé dans une utilisation normale de situation.
- le service ssh est installé
- Les commandes pour tester :

# iptables -F
# iptables -t nat -F
# iptables -P INPUT DROP
# iptables -P OUTPUT ACCEPT 
# iptables -A INPUT -i lo -j ACCEPT
# nmap 192.168.0.100
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2007-01-20 08:43 CET
Interesting ports on 192.168.0.100:
Not shown: 1676 closed ports
PORT    STATE SERVICE
22/tcp  open  ssh
25/tcp  open  smtp
80/tcp  open  http
515/tcp open  printer
Nmap finished: 1 IP address (1 host up) scanned in 13.314 seconds

Je voulais juste démontrer que le service ssh est "closed" pour l'extérieur, mais nmap donne "open". C'est-à-dire utiliser nmap à l'intérieur d'une machine ne donner pas de renseignement utile.

Dernière modification par bz31 (20/01/2007 09:49:30)

freddec · 20/01/2007 10:41:09

Je ne pensais pas lancer un telle polémique !

D'ailleurs, on ne dit pas "polémiquer " mais "paul et sa souris"

Si j'en crois http://olivieraj.free.fr/fr/linux/infor … index.html, il faut effectivement faire tester sa machine depuis l'extérieur pour être sur de ses réglages iptable ou de sa box.

ioguix · 20/01/2007 13:56:25

Salut,

Si on en crois le shema tiré d'une des pages de la source citée par freddec, il est normal que ssh soit toujours vu avec tes règles : http://olivieraj.free.fr/fr/linux/infor … 03-03.html
Ce qui est confirmé dans la doc (traduite ici) d'un développeur de netfilter : http://www.netfilter.org/documentation/ … WTO-6.html
Dans ce dernier liens, je rappelle que nous partons de la partie "Processus local"

Effectivement, d'après le schema, on voit bien que ta règle "iptables -P OUTPUT ACCEPT" autorise à un nmap lancé de l'interieur de voir ssh...

Bref, ce qui revient à ce que tu dis bz31...on ne peut tester proprement son script iptable depuis la machine elle même...à moins d'avoir les idées bien claires sur tous les processus en jeu....

Bon, je continue à me demander comment ça se passerait avec pf. il me semble que la différence étant que ce dernier considère input et output comme nous l'interprettons nous : un paquet entrant ou sortant d'une interface, quelque soit son sens. IPTable lui, considérant un paquets sortant (output) comme sortant de la couche applicative de la machine.
J'ai trouvé un zoli schema comparant les comportements de pf et IPTable à ce propos venant du certa svp : http://www.certa.ssi.gouv.fr/site/CERTA … g:filttrad

voilà, concentrez vous bien

++

ioguix · 20/01/2007 13:59:16

freddec a écrit :

Je ne pensais pas lancer un telle polémique !

C'est en ce posant les bonnes questions (et donc en polémiquant) que l'on avance, comprend et apprend toujours plus

freddec a écrit :

D'ailleurs, on ne dit pas "polémiquer " mais "paul et sa souris"

Haha

Andesi - forum

#1 18/01/2007 19:46:52

Lecture Interessante

#2 18/01/2007 20:08:58

Re : Lecture Interessante

#3 19/01/2007 00:16:20

Re : Lecture Interessante

#4 19/01/2007 10:54:42

Re : Lecture Interessante

#5 19/01/2007 13:35:48

Re : Lecture Interessante

#6 19/01/2007 14:17:04

Re : Lecture Interessante

#7 19/01/2007 15:20:23

Re : Lecture Interessante

#8 19/01/2007 16:49:38

Re : Lecture Interessante

#9 19/01/2007 17:17:31

Re : Lecture Interessante

#10 19/01/2007 17:18:13

Re : Lecture Interessante

#11 19/01/2007 17:57:33

Re : Lecture Interessante

#12 19/01/2007 18:02:20

Re : Lecture Interessante

#13 19/01/2007 18:16:34

Re : Lecture Interessante

#14 19/01/2007 18:40:14

Re : Lecture Interessante

#15 19/01/2007 21:25:59

Re : Lecture Interessante

#16 19/01/2007 22:04:17

Re : Lecture Interessante

#17 19/01/2007 22:21:20

Re : Lecture Interessante

#18 19/01/2007 22:36:20

Re : Lecture Interessante

#19 19/01/2007 22:37:22

Re : Lecture Interessante

#20 20/01/2007 01:46:01

Re : Lecture Interessante

#21 20/01/2007 01:49:34

Re : Lecture Interessante

#22 20/01/2007 09:48:49

Re : Lecture Interessante

#23 20/01/2007 10:41:09

Re : Lecture Interessante

#24 20/01/2007 13:56:25

Re : Lecture Interessante

#25 20/01/2007 13:59:16

Re : Lecture Interessante

Pied de page des forums