[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [linux] Re: SuSEfirewall2 - Episode II
Le Mardi 26 Février 2002 01:16, vous avez écrit :
> On Mon, Feb 25, 2002 at 12:29:59PM, Pascal Bleser wrote:
> > >= nmap vk01.mine.nu
> > >= Le scan, pareil: c'est pas ce qu'on voit de l'extérieur ;-)
> > >Et... comment je fais alors moi pour m'auto-nmaper? Une application à
> > >conseiller?
> >
> > C'est pas un problème de nmap.
> > C'est un problème parce que le kernel optimise les accès réseaux, ça ne
> > sort même pas sur le réseau en fait.
> >
> > Mais tout ça dépend de la façon dont tes démons sont configurés: la
> > plupart permettent de faire un bind sur une adresse IP bien précise => en
> > les mettant
> > sur 127.0.0.1, le service en question reste utilisable pour toi et pas
> > pour les machine à l'extérieur.
> > Ca dépend du service et de ce que tu veux en faire ;-)
> >
> > Note que je suis p'têt en train de raconter des couilles, je suis un peu
> > dans le gaz aujourd'hui (gastro-entérite is your friend... not!) mais il
> > ne me semble pas ;-))
> > Qqn va me corriger si c'est des bêtises, de toute manière ;-)
> >
> > >= Comment empêcher que quelqu'un puisse scanner mes ports?
> > >= Impossible
> > >
> > >|:=( Très fâché!
> >
> > Aaah, ben ça...
> >
> > C'est normal: les port-scanners (les bons, du moins) font un connect TCP
> > sur les ports et ils voient bien s'ils savent se connecter ou non.
> > Impossible à éviter puisqu'ils ne se distinguent pas, p.ex., d'un browser
> > ou d'un client IMAP ou POP...
> >
> > Par contre, il y a des softs (notamment snort, PSAD, ...) qui permettent
> > de détecter des port-scans et d'automatiquement black-lister les machines
> > (donc les bannir totalement de ta machine/ton firewall).
>
> Oui c'est une bonne idée. Surtout si le gars venait à scanner la machine
> en spoofant l'adresse de son serveur DNS ou de sa passerelle etc...
>
> Il faut être prudent avec ce genre de mesure même si elles sont bien
> pratique.
>
> > >Maintenant que j'y pense... Existe-t-il alors des solutions pour leurrer
> > >les scanners? Si non, cela peut être cool à développer [si c'est
> > > possible, je parle un peu dans le vide en fait...], non?
> >
> > il y a certainement déjà un truc comme ça qqe part ;-)
>
> Je pense que certains patchs kernel perturbent la détection d'OS
> associée aux scannerus récents en modifiant certains comportis mal
> définis de TCP/IP dans les rfc (genre valeur du ttl,...)
>
> Pour ce qui est de leurrer un scanner. Là le FW et klaxxon (ou
> portsentry) sont tes
> amis. Le premier va permettre de dropper les paquets que tu ne désires
> pas. C'est-à-dire de ne même pas répondre du tout au paquet. La machine
> est comme inexistante sur ce port. Le deuxième simule des ports ouverts.
> En fait il reçoit et bloque les paquets sur les ports qu'il écoute. Quel
> intérêt? Encore une fois embrouillé la détection d'OS. En effet, qui a
> le plus souvent ses port netbios ouverts? C'est M$ donc c'est surprenant
> qu'un linux les laisse lui ouvert.
>
> Voilà j'espère ne pas dire de conneries et être plus ou moins clairs.
Si une, mais c'est subtile:
Lorsque tu tente d'accéder à un service qui ne tourne pas, le machine renvoi
une réponse icmp "port unreachable"
Si l'adresse ip est inaccessible le dernier routeur renvoi "no route to host".
Donc "Pas de réponse", c'est déjà une réponse, mais tu ne bouffe de bande
passante à répondre.
Ensuite avec iptables tu peux tricher sur la réponse, par exemple faire
répondre à un machine sur le port 80 "no route to host". C'est marrant ce
genre de réponse tu ping une machine et elle te répond qu'elle n'a pas de
route vers elle-même ! Dans ce cas là c'est flagrant, y' a un truc.
--
Linux pour Mac !? Enfin le moyen de transformer
une pomme en véritable ordinateur.
JL.
/========================================>
| Olivier Thauvin - CNRS Service Aeronomie
| olivier.thauvin@aerov.jussieu.fr
| 01 64 47 43 60 à Verrières (lundi,mercredi et vendredi)
| 01 44 27 47 59 à Jussieu (Mardi et Jeudi)
| Fax:33 (0)1 69 20 29 99
| Service d'Aéronomie, Réduit de Verrieres
| Route des Gatines - BP 3
| 91371 Verrieres le Buisson Cedex
| France
\======>
_______________________________________________
Linux Mailing List
Archives: http://unixtech.be/mailman/listinfo/linux