Configuration d'iptables

tiramiseb · Le 23/12/2014, à 14:31

Mon bon Tira, le meilleur d'entre nous, là tu m'étonnes un peu, si le port 80 est utilisé un malware va utiliser le port 80? ben non puisqu'il est utilisé, le port 443? ça m'étonnerait, un autre?

Euh là on parle des flux en sortie et on parle du numéro de port destination.
Ce n'est pas parce qu'un logiciel s'est connecté à un port 80 distant qu'un autre ne peut pas faire la même chose.
Idem pour les autres ports.

Soit on s'est mal compris, soit tu dois vraiment apprendre comment fonctionnent les communications en réseau.

D'après mes observations chez Windows, les troyens demandent du TCP mais aussi de l'UDP, avec des ports plutôt exotiques, du genre 354...

Faires des généralités comme ça, c'est dangereux. S'il n'y a qu'un seul troyen qui utilise le port 80, alors ton affirmation tombe. Et je doute fort qu'aucun ne le fasse.

pires57 · Le 23/12/2014, à 14:59

1 - Nous n'avons fait fuire personnes, c'est simplement que les gens ne sont pas la H24 à attendre une réponse.
2 - C'est malin de donner une addresse mail comme cela personne ne pourra corriger les potentiels erreurs que tu lui donnera.
3 - Tes règles Iptables sont basique, tu les retrouveras sur quasi tout les tutos Iptables de bonne ou moins bonne qualité.
4 - Tes règles ne sont pas assez précise ni lisible, c'est vrai que par défaut c'est la table FILTER qui est utilisé mais cela ne mange pas de pain de le préciser, il n'y a pas que FILTER.
5 - C'est un peu prétentieux de dire que tu connais pratiquement tout à iptables avec le peu de contenu que tu viens de fournir, t'as encore pas mal de chose à apprendre.

Pator, qu'est ce qui empêcherais d'utiliser le port 80? rien du tout, si je configure mon port 80 pour recevoir du ssh je pourrais me connecter dessus en SSH...

Pator75 · Le 23/12/2014, à 15:01

"Ce n'est pas parce qu'un logiciel s'est connecté à un port 80 distant qu'un autre ne peut pas faire la même chose."

En fait c'est un dogme assez courant, mais peut être pas infaillible pour le port 80 (la preuve ouvrir plusieurs navigateurs), de toutes façons un malware peut essayer de se faire passer pour Firefox.

Troyen sur le port 80? jamais vu ou m'en rappelle pas, pourquoi? je ne sais pas, peut être trop risqué.

Dernière modification par Pator75 (Le 23/12/2014, à 15:01)

Compte supprimé · Le 23/12/2014, à 15:19

Hum... Utiliser Iptables sur une station de travail Ubntu est-il nécessaire ? Non. Pourquoi ? Aucun service n'est en écoute sur l'extérieur par défaut (pas de serveur), donc rien n'est ouvert ou fermé par défaut.
Sinon, avec la généralisation des pare-feu chez les kékés, le port 80 semble évident pour deux raisons:
- une station de travail est quasiment tout le temps connectée au net (http)
- un serveur est quasiment tout le temps connecté au net (http)
Une faille logiciel suffira à s'introduire dans une machine, pare-feu activé ou non et sur le port 80
Aller, on passe à l'anti-virus, moi je le conseille pas, na!

@: aux modos: Vous comptez laisser longtemps fleurir ce genre de post sur ubuntu-fr ? Les discutions sont toutes similaires sur ce sujet, cela semble être une méconnaissance. Il sera raisonnable à mon sens d'en épinglé un... Pour l'exemple

Bon, bin que tout ceci ne vous empêche pas de passer de bonnes fêtes de fin d'année.

Cordialement.

Ignus.

Bigorno33 · Le 23/12/2014, à 15:42

[modéré]

Dernière modification par Sir Na Kraïou (Le 24/12/2014, à 02:04)

Pator75 · Le 23/12/2014, à 16:05

"Une faille logiciel suffira à s'introduire dans une machine, pare-feu activé ou non et sur le port 80"

Pas obligatoirement, la proactivité de certains pare feu (filtrage de fuite) peut bloquer le flux, mais pas actuellement chez Linux.

Dernière modification par Pator75 (Le 23/12/2014, à 16:07)

Compte supprimé · Le 23/12/2014, à 19:49

Bon okay, puisque nous sommes toujours dans le kikoo lol, un scan de vulnérabilité de mon pc en ligne sans pare-feu sur ma machine et ma box Internet!-->

Attention ! Il existe un ou plusieurs ports détectés comme fermés !
Un ou plusieurs ports fermés ont été détecté. Bien qu'il soit protégé, un port fermé reste visible, un pirate potentiel peut donc tenter d'attaquer votre machine. Pour plus de sécurité, il est conseillé de masquer ces ports ou de modifier la configuration de votre firewall.
Ports TCP ouverts
Aucun port détecté
Ports TCP fermés
113 auth Utilisé par certains serveurs de messagerie ou de newsgroups (MiRC - Virc...). Des problèmes de performances peuvent survenir si ce port est masqué (:D bien le conseil du site hein!)
Ports TCP masqués
21 ftp Utilisé pour le transfert de fichier entre ordinateurs
22 ssh Le shell SSH permet de se connecter à un serveur de façon sécurisée
23 telnet Utilisé pour obtenir un shell distant
25 smtp Utilisé pour le transfert de courrier électronique entre deux hôtes. Si vous n'utilisez pas de serveur de messagerie, il est conseillé de fermer ce port.
79 finger Permet de connaître diverses informations relatives à votre profil
80 http Utilisé pour les services Web. Si vous n'utilisez pas de serveur web, il est conseillé de fermer ce port
110 pop3 Utilisé par les serveurs de messagerie Internet. Si vous n'utilisez pas de serveur de messagerie, il est conseillé de fermer ce port.
119 nntp Utilisé par les serveurs de news pour la distribution d'articles Usenet
135 epmap Utilisé pour les applications client/server basées sur des systèmes d'exploitation Microsoft
139 netbios-ssn Utilisé pour le partage de fichiers dans un réseau local
143 imap Utilisé par les serveurs de messagerie Internet pour l'envoi de messages électroniques. Si vous n'utilisez pas de serveur IMAP, il est conseillé de fermer ce port.
389 ldap LDAP (Lightweight Directory Access Protocol) : utilisé pour accéder automatiquement à des services d'annuaires en ligne
443 https Utilisé pour sécuriser les communications HTTP. Si vous n'utilisez pas de serveur web, il est conseillé de fermer ce port. Ce port est également utilisé par AOL Instant Messenger
445 microsoft-ds Utilisé pour le partage des protocoles SMB. Son exploitation peut permettre d'obtenir vos mots de passe
1002 N/A Port non standard
1024 N/A Port réservé
1025 N/A Port non standard
1026 N/A Port non standard
1027 N/A Port non standard
1028 N/A Port non standard
1029 N/A Port non standard
1030 N/A Port non standard
1720 h323hostcall Port non standard. Peut être utilisé par NetMeeting
5000 N/A Utilisé pour communiquer avec tous les périphériques UpnP reliés à votre réseau

C'est un poste de travail Debian 7.7 à jour. Un pare-feu est-il utile ?
D'autre site de test:
https://www.grc.com/x/ne.dll?bh0bkyd2
http://www.pcflank.com/

Sur pcflank, je passe tout les tests avec succès sans aucun pare-feu (box et pc). Donc si une intrusion est possible sur ma machine, trois choses à mon sens:
- faille logicielle non comblée
- machine infectée par un logiciel alakon téléchargé n'importe ou
- PEBKAC

Voilà, je vis sans pare-feu et sans anti-virus sur ma station de travail personnelle Gnu/Linux. Mais histoire d'alimenter votre parano, on peut se finir avec Fédora
http://books.google.fr/books?id=zz8cDAF … ux&f=false

Pator75 · Le 23/12/2014, à 20:11

"Sur pcflank, je passe tout les tests avec succès sans aucun pare-feu (box et pc). Donc si une intrusion est possible sur ma machine, trois choses à mon sens:
- faille logicielle non comblée
- machine infectée par un logiciel alakon téléchargé n'importe ou
- PEBKAC"

Pator, kikoolol en apprentissage, et troll biologique de son état, va apprendre au grand méchant barbu comment on teste ses ports chez GRC ou PC flank, il faut d'abord désactiver le pare feu de la box, si c'est possible... ensuite ouvrir une DMZ sur l'IP locale du PC testé, sinon comme dit kikoo, ça le fait pas.

Maintenant, les ports ça se teste avec Nmap, parce qu'un hacker teste les ports souvent avec Nmap, qui verra des ports à attaquer là où GRC et PC flank ne voient rien.

Dernière modification par Pator75 (Le 23/12/2014, à 20:17)

Compte supprimé · Le 23/12/2014, à 20:49

Pator75 a écrit :

Pator, kikoolol en apprentissage, et troll biologique de son état, va apprendre au grand méchant barbu comment on teste ses ports chez GRC ou PC flank, il faut d'abord désactiver le pare feu de la box, si c'est possible... ensuite ouvrir une DMZ sur l'IP locale du PC testé, sinon comme dit kikoo, ça le fait pas.

, écris que je suis un garçon limité, tu gagneras du temps... Maintenant si tu as une UBuntu en station de travail, teste avec les liens que je t'ai filé au-dessus en désactivant mieux que moi les pare-feu et puis tu redis, hein. . Sinon, Nmap, OPENVAS est le must, c'est un fork libre de nessus me semble t-il. Il est riche en plugin (dont ceux de Nikto)

Pator75 a écrit :

Maintenant, les ports ça se teste avec Nmap, parce qu'un hacker teste les ports souvent avec Nmap, qui verra des ports à attaquer là où GRC et PC flank ne voient rien.

Vivi, Nmap est un scanner de port mais si tu sais lire le résultat au dessus, ma machine n'offre aucune surface d'attaque sur ce plan, une station de travail Gnu/Linux est sécure par défaut de ce coté. Quel est l'intérêt de se faire chier avec Iptables ? stp, c'est l'objet de cette conversation tout de même. Tu conseille quoi toi ?

Sinon, je te conseille d'utiliser Nikto qui est un scanner de vulnérabilités système, il te file les OSVDB directement, tu gagnes du temps mon bon Pator75... Ça signifie Open Source Vulnerability Database qui est une base de donnee opensource qui collecte les failles de sécurités... pour les machines pas à jour
Look:

+ Server: Apache/2.2.22 (Ubuntu)
+ ETag header found on server, inode: 88877590, size: 121, mtime: 0x4c39ab05136e4
+ Allowed HTTP Methods: GET, HEAD, POST, OPTIONS
+ Retrieved x-powered-by header: PHP/5.3.10-1ubuntu3.4
+ OSVDB-3092: /info/: This might be interesting...
+ OSVDB-3092: /mail/: This might be interesting...
+ OSVDB-3268: /src/: Directory indexing found.
+ OSVDB-3268: /tmp/: Directory indexing found.
+ OSVDB-3092: /tmp/: This might be interesting...
+ OSVDB-3092: /mail/adminisist.nsf: This database can be read without authentication, which may reveal sensitive information.
+ OSVDB-3093: /mail/include.html: This might be interesting... has been seen in web logs from an unknown scanner.
+ OSVDB-3093: /mail/settings.html: This might be interesting... has been seen in web logs from an unknown scanner.
+ OSVDB-3093: /mail/src/read_body.php: This might be interesting... has been seen in web logs from an unknown scanner.
+ OSVDB-3233: /info.php: PHP is installed, and a test script which runs phpinfo() was found. This gives a lot of system information.
+ OSVDB-3233: /icons/README: Apache default file found.
+ OSVDB-5292: /info.php?file=http://cirt.net/rfiinc.txt?: RFI from RSnake's list (http://ha.ckers.org/weird/rfi-locations.dat) or from http://osvdb.org/
+ /phpmyadmin/: phpMyAdmin directory found
+ 6456 items checked: 0 error(s) and 16 item(s) reported on remote host
+ End Time:           2014-12-23 19:32:39 (7 seconds)
---------------------------------------------------------------------------
+ 1 host(s) tested

Une vieille UBuntu non à jour dans une machine virtuelle sur un de mes pcs personnels...

Avec Nmap:

Nmap scan report for ubapache;lan (192.168.1.19)
Host is up (0.000037s latency).
Not shown: 99 filtered ports
PORT    STATE SERVICE
22/tcp  open  ssh
80/tcp  open  http
443/tcp open  https
OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 8.75 seconds

Là, j'ai un serveur web qui tourne, c'est bien, le pare-feu est ouvert et Nmap trouve les ports ouverts, c'est mieux.

Dernière modification par ignus (Le 23/12/2014, à 20:56)

Pator75 · Le 23/12/2014, à 21:38

"Sinon, je te conseille d'utiliser Nikto qui est un scanner de vulnérabilités système, il te file les OSVDB directement, tu gagnes du temps mon bon Pator75... "

Non merci, y a mieux, mais comme dit l'autre, c'est plus cher, beaucoup plus.

Nathaly01 · Le 23/12/2014, à 22:09

Bonjour tout le monde !!!

Alors pour commencer, j'aimerais que tout le monde reste Zen, pas besoin de s'insulter ou je ne sais quoi uniquement parce qu'on est pas d'accord avec un autre membre !!! Merci de votre compréhension !!!

Si j'ai voulu demander ceci, c'est avant tout parce que pour tenter de mettre en place ma nouvelle connexion internet par la fibre, je fais des teste de connexion en direct sans passer par la (pseudo) box de mon FAI, et comme je suis pas complètement folle, je fais mes testes avec un vieux portable sous 10.04, dernière version qui arrive encore à tourner dessus.
D'autres part, par la suite, c'est mon serveur (un Dell PowerEdge 750 1U) installé avec Ubuntu Server 14.04 qui sera connecté en direct à la place de mon portable, et là, sauf erreur de ma part, je pense que je vais sérieusement avoir besoin d'iptables/netfilter pour sécuriser à la fois le serveur mais aussi mon réseau.
Au passage, les tablettes sous Androïd sont elles sécurisé ??? Parce que rien que ce qu’exigent les logiciels quand on les installe fait déjà peur !!! Déjà que j'ai pas trop confiance au connexion Wifi même si j'ai mis en WPA avec un MdP que j'ai fais avec 20 caractères totalement aléatoire .....

Mais revenons à Ubuntu !!

Bien sur que je suis preneuse de toutes infos pour bien sécuriser mon réseau, mais si on regarde les 3-4 premiers postes, j'ai eu plus l'impression de vous embêter qu'autre chose
Et seul Bigorno33 s'est proposé de m'aider si je le désirais
En plus, comme j'ai des millions de choses à apprendre, j'ai pas trop le temps de regarder les profils et en dehors de vos signatures (ou on peut très mettre ce qu'on veux !!), il n'y a rien pour me dire que vous êtes des Pro reconnu par la communauté au premier coup d’œil ... J'espère toutefois fâcher personne, c'est pas du tout ce que je désire, bien au contraire !!!

C'est vrai que je préférerai communiqué ici afin que ce qui sera dit puisse également un jour servir à quelqu'un d'autre, parce que les pages de Man, c'est bien mais on comprend pas toujours tout et il y en a tellement qu'on déprime vite en le lisant !!!
Mais si cela doit repartir à des mots pas très gentils, je sais pas ce qui c'est dit, je constate simplement les multiples interventions des modos, alors je préférerai communiquer avec Bigorno33 par mail, proposition que je trouve vraiment sympa de sa part ...

Donc déjà, pour ma sécurité, les règles chez moi sont simples, le wifi des tablettes et téléphones portable doit être désactivé avant de franchir la porte. Interdiction de se connecter à internet en dehors via des réseau que l'on ne connaît pas, même en 3G parce que j'ai aucune idée réelle des risques. Maintenant, si on me dit qu'on risque pas de choper avec un Tel une saloperie qui va ouvrir des portes de partout et transformer à terme mon serveur en passoire, j'en connais qui seront heureux.
Je m'occupe personnellement et si besoin plusieurs fois par semaine de mettre à jour les ordi de chacun chez moi, le mien étant celui de référence parce qu'on a tous le même OS, et seul moi détiens le mot de passe root ...

Voilà, vous savez tout, et je veux tout apprendre, sur iptables mais aussi sur le reste à mettre en place. La sécurité, c'est l'affaire de tous, en informatique comme dans la vie, mais elle est trop souvent négligée ...

Pis désolée pour le retard, mais je ne suis pas malheureusement en capacité d'être toujours connectée ...

PS : Comme je dispose encore de mon ancienne connexion ADSL, je vais en profiter pour lancer un test avec nmap sur mon serveur pour voir.
Au passage, si quelqu'un sait comment configurer l'adresse MAC de la carte réseau qui se trouve directement sur internet pour que cette adresse revienne automatiquement au démarrage, je suis preneuse, cela paraît très simple à faire avec un desktop mais sur le serveur en ligne de commande, je trouve pas dans quel fichier il faut le faire ...

Merci à tous ...

Nathaly01 · Le 23/12/2014, à 22:36

Oups !!!
Je manque à tous mes devoirs !!

Je vous souhaite de bonnes fêtes de Noël à tous !!

Haleth · Le 23/12/2014, à 22:57

pator75 a écrit :

Mon bon Tira, le meilleur d'entre nous, là tu m'étonnes un peu, si le port 80 est utilisé un malware va utiliser le port 80? ben non puisqu'il est utilisé, le port 443? ça m'étonnerait, un autre? pas possible sans modifier les règles, donc pas très restrictif oui, mais restrictif quand même.

Tu confonds port source et port destination.
Par exemple, je peux ouvrir plusieurs onglets / utiliser plusieurs navigateurs sur mon PC, http port 80

Bigorno33 a écrit :

je suis très pédagogue

Pédagogie implique transfert de connaissance.
Tu n'es donc pas pédagogue.

bigorno33 a écrit :

Je lui offre cet email pour être au calme tout simplement, et bien sûr, tous les points que je vais lui donner seront comme ici dans sa discussion, agrémentés de tous les liens vérifiables par elle-même, pointant bien sûr aussi vers les doc officielles d'Iptables, (traduites ou pas, mais je l'aiderai à leurs traductions évidemment), et vers les pages officielles du MAN d'Iptables, et ces deux choses sont quand même le meilleur support je pense...

L'aspect qui te manque, c'est l'utilisabilité du logiciel.

Métaphore : tu es un tireur d'élite.
Tu peux apprendre à un type à tirer au fusil.
Mais si tu ne lui apprends pas quand il peut le faire, et quand il ne doit pas le faire, alors ton action est délétère.
Comme ce que tu proposes ici, avec iptables.

pator75 a écrit :

Pator, kikoolol en apprentissage, et troll biologique de son état, va apprendre au grand méchant barbu comment on teste ses ports chez GRC ou PC flank, il faut d'abord désactiver le pare feu de la box, si c'est possible... ensuite ouvrir une DMZ sur l'IP locale du PC testé, sinon comme dit kikoo, ça le fait pas.
Maintenant, les ports ça se teste avec Nmap, parce qu'un hacker teste les ports souvent avec Nmap, qui verra des ports à attaquer là où GRC et PC flank ne voient rien.

Si tu veux :

1% [haleth:~]nmap 127.0.0.1

Starting Nmap 6.47 ( http://nmap.org ) at 2014-12-23 21:53 CET
Nmap scan report for localhost (127.0.0.1)
Host is up (0.00053s latency).
Not shown: 998 closed ports
PORT    STATE SERVICE
53/tcp  open  domain
111/tcp open  rpcbind

Nmap done: 1 IP address (1 host up) scanned in 0.13 seconds

1% [haleth:~]nmap -6 ::

Starting Nmap 6.47 ( http://nmap.org ) at 2014-12-23 21:53 CET
Nmap scan report for ::
Host is up (0.00035s latency).
Not shown: 999 closed ports
PORT    STATE SERVICE
111/tcp open  rpcbind

Nmap done: 1 IP address (1 host up) scanned in 0.09 seconds

Heureux ?

Nathaly01 a écrit :

Bien sur que je suis preneuse de toutes infos pour bien sécuriser mon réseau, mais si on regarde les 3-4 premiers postes, j'ai eu plus l'impression de vous embêter qu'autre chose
Et seul Bigorno33 s'est proposé de m'aider si je le désirais

En fait, tu as reçu l'aide nécessaire la plus stricte dans les quatres premiers post

Le vrai ami, c'est celui qui te dit quand tu fais une connerie.
Marche pareil pour l'aide

Compte supprimé · Le 23/12/2014, à 22:59

Bien sur que je suis preneuse de toutes infos pour bien sécuriser mon réseau, mais si on regarde les 3-4 premiers postes, j'ai eu plus l'impression de vous embêter qu'autre chose

Ton post initial demandait les avis de la communauté sur la règle Iptables pour ton pc, il me semble que tiramiseb en post #4 t'a répondu (puis d'autres) et il t'a même proposé de te conseiller pour sécuriser ta machine... Une station de travail Gnu/Linux n'ouvre pas de port pas défaut (comme te l'a précisé tiramiseb, pas besoin de pare-feu mais de mise à jour système très régulière pour palier aux vulnérabilités logicielles);)
Maintenant ton dernier post suggère une évolution et donc des demandes bien plus affinées qu'initialement...
Pour résumer, un port ouvert n'est pas une faille mais un service. Après c'est à l'administrateur du serveur de sécuriser se service par divers moyens ! Bonne fête de fin d'année à toi aussi

tiramiseb · Le 23/12/2014, à 23:01

Et seul Bigorno33 s'est proposé de m'aider si je le désirais

J'ai commencé à expliquer pourquoi un pare-feu est inutile. J'ai évoqué le fait qu'il y a bien d'autres choses à faire. J'attendais simplement ensuite une réaction de ta part pour la suite. Note que sur ce forum, rien que le fait de te répondre ça veut dire qu'on veut t'aider.

Au passage, si quelqu'un sait comment configurer l'adresse MAC de la carte réseau

J'imagine que tu configures le réseau par le fichier /etc/network/interfaces. Dans ce cas, il suffit d'ajouter une ligne "hwaddress" dans la configuration de l'interface.

Tu trouveras un exemple là :
http://www.howtogeek.com/howto/ubuntu/c … on-ubuntu/

et là, sauf erreur de ma part, je pense que je vais sérieusement avoir besoin d'iptables/netfilter pour sécuriser à la fois le serveur mais aussi mon réseau.

S'il s'agit de faire une passerelle, ça change tout. Il faut le dire dès le début

Concernant le blocage des flux en entrée, je reste sur la même position : ne rien ouvrir est la meilleure façon de sécuriser.

Pour la gestion des flux entre les différents réseaux, je te conseille d'installer Shorewall : tout gérer avec des commandes iptables, on faisait ça au XXe siècle ; aujourd'hui, on utilise des outils faits exprès pour ça.
Et puis vu que, dans ce cas, un logiciel de pare-feu est indispensable, bah bloquer les flux en entrée c'est juste un paramètre au sein d'un truc que tu utilises de toute façon, alors le faire ça ne mange pas de pain.

Mais il faut continuer à garder à l'esprit que c'est loin d'être la pièce angulaire de la sécurité informatique.

Compte supprimé · Le 23/12/2014, à 23:14

Haleth a écrit :

1% [haleth:~]nmap 127.0.0.1

Starting Nmap 6.47 ( http://nmap.org ) at 2014-12-23 21:53 CET
Nmap scan report for localhost (127.0.0.1)
Host is up (0.00053s latency).
Not shown: 998 closed ports
PORT    STATE SERVICE
53/tcp  open  domain
111/tcp open  rpcbind

Nmap done: 1 IP address (1 host up) scanned in 0.13 seconds

1% [haleth:~]nmap -6 ::

Starting Nmap 6.47 ( http://nmap.org ) at 2014-12-23 21:53 CET
Nmap scan report for ::
Host is up (0.00035s latency).
Not shown: 999 closed ports
PORT    STATE SERVICE
111/tcp open  rpcbind

Nmap done: 1 IP address (1 host up) scanned in 0.09 seconds

Heureux ?

root@debianwheezy:/home/ignus# nmap -sS -O -F 127.0.0.1
Starting Nmap 6.00 ( http://nmap.org ) at 2014-12-23 22:06 CET
Nmap scan report for localhost (127.0.0.1)
Host is up (0.00011s latency).
Not shown: 98 closed ports
PORT    STATE SERVICE
111/tcp open  rpcbind
631/tcp open  ipp
No exact OS matches for host (If you know what OS is running on it, see http://nmap.org/submit/ ).
TCP/IP fingerprint:
OS:SCAN(V=6.00%E=4%D=12/23%OT=111%CT=7%CU=34031%PV=N%DS=0%DC=L%G=Y%TM=5499D
OS:945%P=x86_64-unknown-linux-gnu)SEQ(SP=106%GCD=1%ISR=109%TI=Z%CI=I%II=I%T
OS:S=8)OPS(O1=MFFD7ST11NW7%O2=MFFD7ST11NW7%O3=MFFD7NNT11NW7%O4=MFFD7ST11NW7
OS:%O5=MFFD7ST11NW7%O6=MFFD7ST11)WIN(W1=AAAA%W2=AAAA%W3=AAAA%W4=AAAA%W5=AAA
OS:A%W6=AAAA)ECN(R=Y%DF=Y%T=41%W=AAAA%O=MFFD7NNSNW7%CC=Y%Q=)T1(R=Y%DF=Y%T=4
OS:1%S=O%A=S+%F=AS%RD=0%Q=)T2(R=N)T3(R=N)T4(R=Y%DF=Y%T=41%W=0%S=A%A=Z%F=R%O
OS:=%RD=0%Q=)T5(R=Y%DF=Y%T=41%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)T6(R=Y%DF=Y%T=41
OS:%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T7(R=Y%DF=Y%T=41%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q
OS:=)U1(R=Y%DF=N%T=41%IPL=164%UN=0%RIPL=G%RID=G%RIPCK=G%RUCK=G%RUD=G)IE(R=Y
OS:%DFI=N%T=41%CD=S)

Network Distance: 0 hops

OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 12.16 seconds

Là avec deux scans de nos machines, je sens que Pator75 va nous prodiguer ses conseils lumineux

tiramiseb · Le 23/12/2014, à 23:19

Faire un nmap sur 127.0.0.1 c'est un peu con, non ? Vu qu'il y a pas mal de trucs qui écoutent uniquement sur 127.0.0.1... (je pense notamment au serveur DNS dans le cas de Haleth (sauf si serveur DNS public), peut-être à CUPS dans le cas d'Ignus (sauf si partage d'imprimantes))...
Et puis un nmap vraiment utile, ce n'est pas un nmap où on limite les ports scannés

Tous les deux, êtres-vous sûrs d'avoir besoin de RPC ? Vous avez un client ou un serveur NFS ?

... oups désolé, vous attendiez une réponse de Pator75, il vous aurait peut-être dit de bloquer ces ports...

Compte supprimé · Le 23/12/2014, à 23:24

@tiramiseb: tu me gâches le plaisir, je voulais voir Pator75 me dire que j'avais des ports ouverts sur le loopback (127.0.0.1). Oui, j'ai un nfs

Nathaly01 · Le 23/12/2014, à 23:41

nmap teste tous les ports ou si on doit lui donner un argument en plus de l'adresse ip à scanner ??

tiramiseb · Le 23/12/2014, à 23:50

Par défaut, nmap scanne les ports jusqu'à 1024 ainsi que les ports nommés dans le fichier nmap-services. C'est beaucoup, mais ce n'est pas l'intégralité des ports. Si tu veux scanner les 65535 ports, il faut utiliser l'argument « -p- ».

Cela étant dit, scanner sa propre machine n'a que peu de sens...

Nathaly01 · Le 24/12/2014, à 00:11

Merci !!

J'avais déjà lancer nmap mais j'ai du mettre l'argument -PN après l'IP parce que mon serveur ne répond pas au ping

Mon premier résultat :

not shown : 999 filtered ports
PORT   STATE   SERVICE
22/tcp   open     ssh

Bon, celui là, je m'y attendais, c'est pour quand je suis en déplacement, comme j'oublie souvent de prendre tous les dossiers que j'ai besoin, je me connecte en ssh à mon serveur (avec un système de clé)
Mais je pourrais peut-être faire en sorte qu'il ne souvre qu'à la demande, je dis ça, mais j'en sais rien en fait !!!

Dernière modification par Nathaly01 (Le 24/12/2014, à 00:12)

Haleth · Le 24/12/2014, à 00:31

Idem, j'ai un NFS, et un bind

Mais je pourrais peut-être faire en sorte qu'il ne souvre qu'à la demande, je dis ça, mais j'en sais rien en fait !!!

À mon avis, ce n'est pas une idée propre / optimale

Des pistes pour faire un truc solide et logique :
- utiliser des clefs SSH (= pas de mot de passe, une clef est nettement plus sécurisé qu'un mot de passe)
- installer fail2ban : si quelqu'un tente de se connecter et échoue 3 fois (par défaut), il est banni (la durée du ban va en augmentant)

Inutile d'en faire trop; Ces deux actions te permettent d'être grandement sécurisé, et ne gène en rien ton confort (contrairement aux sécurités dites "sécurité par l'emmerde")

Nathaly01 · Le 24/12/2014, à 00:36

Je l'ai refait comme ça

nmap <address IP> -¹-65535 -PN
not shown : 65534 filtered ports
PORT   STATE    SERVICE
22/tcp   open      ssh

Je supprimerais bien la règle qui ouvre le 22, mais quand je part, je vais oubliée de la remettre et je serai dans l'embarras ...
J'avais mis cette règle pour ce port :

-A INPUT -i eth1 -p tcp -m tcp --dport 22 -j ACCEPT
-A OUTPUT -o eth1 -p tcp -m tcp --sport 22 -j ACCEPT

Peut on faire mieux ???

@tiramiseb : Merci pour la config de l'interface ainsi que pour le nmap ...

Bigorno33 · Le 24/12/2014, à 00:40

Bonjour Nathaly et merci de ton message, je te donne ce lien pour un serveur, cela sera déjà un bon début je pense : https://www.youtube.com/watch?v=5Qrtp0XcUAQ

(ses autres vidéos sont là : https://www.youtube.com/user/bvek1/videos )

Bonne soirée...

Dernière modification par Bigorno33 (Le 24/12/2014, à 00:43)

tiramiseb · Le 24/12/2014, à 00:42

Par curiosité, désactive ton pare-feu et réessaie ce nmap.

Et si tu pouvais nous montrer le retour de netstat -tulnp, ça permettrait de te donner d'autres avis sur la sécurisation de ta machine.

-A OUTPUT -o eth1 -p tcp -m tcp --sport 22 -j ACCEPT

Tu n'en as pas besoin car ton pare-feu est à états (il autorise les flux "ESTABLISHED" et "RELATED").

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#26 Le 23/12/2014, à 14:31

Re : Configuration d'iptables

#27 Le 23/12/2014, à 14:59

Re : Configuration d'iptables

#28 Le 23/12/2014, à 15:01

Re : Configuration d'iptables

#29 Le 23/12/2014, à 15:19

Re : Configuration d'iptables

#30 Le 23/12/2014, à 15:42

Re : Configuration d'iptables

#31 Le 23/12/2014, à 16:05

Re : Configuration d'iptables

#32 Le 23/12/2014, à 19:49

Re : Configuration d'iptables

#33 Le 23/12/2014, à 20:11

Re : Configuration d'iptables

#34 Le 23/12/2014, à 20:49

Re : Configuration d'iptables

#35 Le 23/12/2014, à 21:38

Re : Configuration d'iptables

#36 Le 23/12/2014, à 22:09

Re : Configuration d'iptables

#37 Le 23/12/2014, à 22:36

Re : Configuration d'iptables

#38 Le 23/12/2014, à 22:57

Re : Configuration d'iptables

#39 Le 23/12/2014, à 22:59

Re : Configuration d'iptables

#40 Le 23/12/2014, à 23:01

Re : Configuration d'iptables

#41 Le 23/12/2014, à 23:14

Re : Configuration d'iptables

#42 Le 23/12/2014, à 23:19

Re : Configuration d'iptables

#43 Le 23/12/2014, à 23:24

Re : Configuration d'iptables

#44 Le 23/12/2014, à 23:41

Re : Configuration d'iptables

#45 Le 23/12/2014, à 23:50

Re : Configuration d'iptables

#46 Le 24/12/2014, à 00:11

Re : Configuration d'iptables

#47 Le 24/12/2014, à 00:31

Re : Configuration d'iptables

#48 Le 24/12/2014, à 00:36

Re : Configuration d'iptables

#49 Le 24/12/2014, à 00:40

Re : Configuration d'iptables

#50 Le 24/12/2014, à 00:42

Re : Configuration d'iptables

Pied de page des forums