Logs douteux sur IPCOP

[Matcav]

Bonjour à tous !!

Je parcours votre forum depuis quelques temps, mais je me suis permis de m'enregistrer pour vous poser une question qui m'inquiète. Depuis peu, je trouve des logs bizarres du style:

Heure Chaîne Int Proto Source Port Source Destination Port Dest

10:30:25 NEW not SYN? eth0 TCP 192.168.x.x 3329 69.93.50.238 2555


J'ai remarqué aussi des logs sur les ports 445, 139...

L'adresse IP source change, ce n'est pas toujours la même machine tout comme l'adresse de destination (j'ai un réseau local derrière IPCOP).

J'avoue que je m'inquiète sérieusement !!

A votre avis que dois-je et que puis-je faire ?

Merci par avance pour vos réponse, et merci pour votre forum

[lucyfire]

Salut,

Ben y a pleins de choses à faire, genre passer un coup d'anti(virus+(spy+mal)ware) sur les clients concernés par les logs.

Tu peux installer BOT et interdire les flux sortants et laisser le proxy gérer les sorties

Analyser le traffic sortant des ip internes qui posent problèmes etc etc

lu²

[ccnet]

A votre avis que dois-je et que puis-je faire ?

Une recherche ici pour comprendre ce dont il s'agit. La question est posée régulièrement.

J'ai remarqué aussi des logs sur les ports 445, 139...

Là aussi comprendre. Ce sont les ports TCP utilisé pour les opérations réseaux dans le monde Microsoft.

Vos logs ne sont pas douteux, ils sont au contraire parfaitement normaux, c'est le signe qu'IPCOP fait son travail et bloque les tentatives de zozos qui cherchent des machines connectées et non protégées.

Ce qui est plus inquiétant, de mon point de vue, est que vous avez manifestement des connaissances très réduites. Elles ne vous permettent pas de gérer la situation sereinement et en connaissance de cause (sinon vous n'auriez pas posté ce message).

Nous avons tous débuté un jour, mais là c'est un peu mettre la charrue avant les boeufs. Un peu comme si vous preniez le volant d'une grosse voiture sur l'autoroute sans savoir bien conduire et en nous disant : Je vois des panneaux avec un gros chiffre rouge qui indique 90, je dépasse tout le monde très vite et je m'inquiète sérieusement. Que dois je faire ?

Freiner , mon bon monsieur, freiner !! Avant l'accident.

Nous sommes un peu dans la même situation, si ce n'est que personne ne risque sa vie avec votre réseau. J'espère que cela ne se passe pas dans une entreprise dont vous êtes un collaborateur. Je suis un peu dur, mais c'est pour vous réveiller et vous éviter de pointer à l'anpe si vous êtes salarié. Si vous l'êtes, arrangez vous pour que votre patron ne lise pas ce forum ! Je vous vanne un peu fort et voyons maintenant que faire.

Lire et comprendre (j'insiste : comprendre) http://christian.caleca.free.fr/. Après avoir assimilé tout ce qu'il y a dans ce site, lire la doc et les faq concernant IPCOP, ainsi que le newbie kit.
Après cela vous pourrez être plus détendu face aux logs d'ipcop. Vous pourrez même, en sachant ce que vous faites, vous même organiser pour que ces lignes, concernant les ports 445, 139 etc qui polluent les logs, ne soient plus dans les logs.
Bon courage car il y du travail, mais quels progrès ensuite !

Edit : installer BOT est une très bonne idée bien sur.
Par contre si il y ces lignes dans les logs, c'est qu'ipcop à bloqué le traffic. Par défaut et sans adon, ipcop ne log que ce qu'il rejette.

[lucyfire]

Edit : installer BOT est une très bonne idée bien sur.
Par contre si il y ces lignes dans les logs, c'est qu'ipcop à bloqué le traffic. Par défaut et sans adon, ipcop ne log que ce qu'il rejette.

Oui ta réponse est une preuve que j'avais lu le premier post en travers

lu²

[Matcav]

Merci pour vos réponses !!

Entre temps, oui j'ai installé puis configuré BOT. Je me doutais du scan des ports mais je voulais avoir vos lumières.

En fait, ce qui me titillait le plus c'était juste la partie 'NEW not SYN?'

En tout cas, merci pour vos réponses

[jdh]

(Voilà ce qui est appréciable : se poser des questions !)


Il manque un peu de précision : je suppose que eth0 est la carte Green (en ligne de commande faire "ifconfig" et regarder les adresses).

Si eth0 est la carte Green, alors les paquets arrêtés sont émis par des PC internes (avec adresse privée 192.168.1.x) vers des machines sur Internet. Il faut en effet regarder, alors, le port de destination (445, 137-139, ...) pour imaginer le protocole, ... Mais il N'est PAS normal que des micros internes fassent n'importe quoi. J'écris souvent que BOT devrait être obligatoire car il FAUT filtrer le trafic sortant. Et attaquer une machine pour des protocole Windows hors de son réseau n'a ni sens ni sécurité !


Si eth0 est la carte Red, il y a 2 erreurs : une machine 192.168.1.x, étant une machine privée ne peut arriver par la carte Red; pour en plus attaquer une ip publique ! Là, de base Ipcop doit rejeter ce type de paquet.


Qu'est que "New Not Syn" ? Pour une session TCP, on parle de "poignée de main" au début de la session entre 2 machines (en anglais "handshake"). Cette poignée correspond à un ensemble de paquets émis dans un certain ordre et avec des drapeaux bien précis :

(Source) -> New -> (Destination) : drapeaux : Syn=1, Ack=0
(Source) <- Ack <- (Destination) : drapeaux : Syn=1, Ack=1
(Source) -> Ack -> (Destination) : drapeaux : Syn=0, Ack=1

Tout autre façon de faire, n'établit pas correctement la session tcp ! Notamment un paquet initial présentant Syn=0 et Ack=0 ou 1, ou non suivi par un paquet "normal" de type Ack, se traduit par ce style de message "New Not Syn" ! Ce type d'ouverture de session est destiné à planter la machine en face, et est donc anormal "de nature" !



Je reviens sur le premier cas. Il est clair qu'il faut filtrer le trafic sortant ! Mais en cas d'anomalie, il FAUT passer update + test AV/AS sur les machines incriminées, bien sur.

[Matcav]

Bonjour et merci pour votre réponse et vos explications !

Effectivement, eth0 est la carte Green. Il y a un AV qui tourne sous toutes les machines (mais j'ai quand même lancé un scan manuel) et j'ai passé un AS->rien à signaler.

Je me penche sur les réglages de BOT (que je dois aussi configurer pour zerina), ainsi que sur le site de Christian Caleca.