Ports ouvert ? Je suis perdu !

[boulate]

Bonjour à tous.

Je viens juste poser une petite question. La connexion au boulot est assez limitée, et certains ports (pourtant utiles comme l'imap etc...) sont fermés.

Jusque là, OK.

J'ai lancé un Nmap sur la passerelle/IPcop en local :
Je vois 3 ports ouverts (squid, le port d'admin web de l'IPcop, et le port DNS (23)).

Donc, sur la patte LAN, j'ai ces ports d'ouverts sur la passerelle.


Mon "probleme" est le suivant : Un beau jour, par pur désespoir, j'ai tenté depuis le boulot une connexion SSH sur mon serveur maison (qui écoute sur le port 22). Le port 22 n'est pas donné comme "ouvert" par Nmap lors du scan précédent, mais la connexion sur mon serveur maison se fait bien (donc il laisse passer le 22).
Je me suis donc créé un petit tunnel SSH avec un proxy sur mon serveur pour pouvoir acceder au net sans etre filtrer (gmail, site du zero, etc... etaient bloqués).

Par curiosité, j'ai donc scanné le coté "wan" de ma passerelle boulot en passant par chez moi (donc j'ai lancé un Nmap via mon serveur perso), et là, je vois seulement 2 ports ouverts (113 et 222).

Toujours pas de port 22 ouvert ... alors que je passe par celui ci tous les jours (pour créer mon tunnel SSH).

Il y a donc un truc que je ne comprends pas ...
- Comment se fait il que je puisse sortir sur le port 22 alors que celui ci parait fermé ?
- Comment puis je savoir quels sont les autres ports sur lesquels j'ai le droit de sortir ? (afin par exemple, de me créer un VPN entre mon serv maison et mon PDT au boulot). Il me faut un serveur à l'extérieur prêt à écouter sur tous les ports ? Apparement, chaque adresse MAC à droit à certains ports ? Comment connaitre ceux qu'il a autoriser pour mon PC ?

Merci d'avance,

Boulate.

[ccnet]

et le port DNS (23)).

UDP 53, pour ceux qui vous liraient distraitement.

Comment se fait il que je puisse sortir sur le port 22 alors que celui ci parait fermé ?

Nmap est un outil puisant ... et complexe, avec des dizaines de paramètres possibles pour les scans. Et comme vous ne donnez aucune information sur la topologie du réseau, ni le scan que vous avez effectué et bien il est impossible de vous répondre.

Un exemple avec Nmap. Une machine peut sembler de pas être présente sur le réseau. Mais si, par exemple, on utilise l'option qui va bien (he non je ne vous dit pas laquelle et dans quelles conditions l'employer) , elle devient visible ! Magique ? Non il faut savoir comment fonctionne Nmap.

Je ne vous aiderai pas à tromper votre administrateur, bien qu'il mérite manifestement une leçon. La première leçon est que les risques et les dangers sont presque autant à l'extérieur qu'à l'intérieur du réseau. Nous sommes plusieurs à répéter que le contrôle étroit du trafic sortant est aussi important que celui du trafic en provenance d'internet. En voici un exemple.

Autre leçon : ne pas faire confiance (contrairement à ce que je lis souvent ici). Nous avons ici un utilisateur qui contourne délibérément et de façon active la politique de sécurité de l'entreprise. C'est bien sûr tout à fait incorrect mais le propos n'est pas là. Il est qu'en effet on ne peut pas justifier une sécurité insuffisament efficace et se basant sur la confiance. C'est une argumentation que je lis aussi souvent ici.

Troisième leçon, une sécurité simplement dissuasive mais pas réellement efficace ou encore basée sur l'obscurité mais pas obtenu de part sa conception n'est pas suffisante. On voit bien que cet utilisateur à l'intention de persister et qu'il va éventuellement découvrir certaines choses qui ne le concernent pas en principe.

Désolé, vous servez de bête de foire, mais à cet égard le message est édifiant.

[jdh]

Il y a des choses qui me choquent :
- vous n'êtes pas l'administrateur du réseau de votre entreprise, et pourtant vous essayer de forcer les "portes" de celui-ci;
- vous remettez en cause les politiques de filtrage du réseau ("imap utile");
- vous disposez d'une machine avec les droits root, et vous jouez avec;
- vous truander les filtrages mis en place.

Bref, pas top ! Et c'est le moins que l'on puisse dire. Il n'y a pas de charte dans votre entreprise
(J'aurais un collègue qui ferait le quart du début de cela, ce ne serait pas mon copain ... et je serais plus fort que lui ...)


Il peut y avoir des administrateurs un peu juste au niveau compétence : si j'autoriserais la sortie ssh, ce serait uniquement ma machine !
Il peut y avoir des administrateurs qui filtrent ce qui est inutile ... en accord avec leur patron : s'il y a une messagerie en interne, il n'y a pas de raison de permettre pop3 et imap à n'importe qui.
Il peut y avoir des utilisateurs qui papillonnent : avec moi, ils vont avoir des problèmes ... c'est (une partie de) mon job.

Si je filtre en sortie, c'est parce il n'y a pas de nécessité à permettre ce trafic : BOT obligatoire pour IPCOP, connaissance des protocoles obligatoire !
Si je filtre les sites porno (et d'autres) dans mon entreprise, c'est d'abord parce que les collègues ne sont pas au boulot quand ils sont sur ces sites.

Bref je ne vais pas expliquer les infos que l'on peut obtenir avec des outils comme ....

[boulate]

Ah ... je crois que vous vous méprenez sur mes intentions...

Je ne cherche pas à "craquer" quoi que ce soit ... je ne cherches pas à découvrir des choses qui ne me regardent pas.

Nous ne sommes pas sensés être limité au niveau des accès HTTP, et pourtant des dizaines de sites sont bloqués.
Exemples :
- Ma messagerie pro est sur Gmail, et Gmail est bloqué sur quelques postes. Même adressage, même Vlan, même salle, mêmes droits. C'etait juste la loterie au moment ou l'on a choisi nos postes de travail le jour de notre arrivée.
- Devellopez.com : Seul certaines pages bloquent, et seulement sur certains PC.
- Quelques postes n'ont pas accès au port 21 alors que certaines de nos données sont stockés sur un FTP distant.

Si j'avais vraiment voulu "forcer", il m'aurait suffi de prendre la mac du PC d'un collègue sur lequel Gmail passait.

L'administrateur est loin d'être incompétent, il est juste dépassé (il administre plus de 10 sites distants comptant plus de 300 machines chacun).
Il sait que certains sites sont bloqués sans raison, que certains ports sont fermés alors qu'ils n'ont pas lieu de l'être (993, 21, etc.), mais il n'a pas eu le temps, et je le comprends, de faire quoi que ce soit pour le moment.

Il sait également que nous utilisons un tunnel SSH pour les sites tels que Gmail, devellopez, etc...
La seule chose qu'il ai pu faire pour le moment, c'est nous demander de lui envoyer un mail listant les ports que l'on "réclamait" (ports <1024, et bien entendu, il valide ou non par la suite, pour éviter les ports jeux, msn, etc...)

En aucun cas je ne demandais comment contourner une protection. Mes questions étaient :
- Comment se fait il que je puisse passer par un port que je ne voie ni ouvert de l'extérieur, ni ouvert de l'intérieur.
- Comment connaître les ports sur lesquels j'ai le droit de sortir.

Je suis déjà passé, j'ai déjà accès à ce que je voulais (sites bloqués sans raison apparente). Je cherchais juste une explication, pas une solution.

Je comprends vos résistances et votre réactions, mais vous n'avez pas à faire à une personne cherchant à tous prix l'escalade de privilège et la mise à sac d'un réseau.

[jdh]

"Créer un tunnel pour contourner le filtrage mis en place" est ce respecter la charte de l'entreprise ?

Votre entreprise vous fournit une adresse email. Alors avez-vous besoin d'accéder à votre boite personnelle ?

Vous réclamez des ports ? Eh bien dansez maintenant ! C'est ça la sécurité d'une entreprise ? Il n'est pas débordé votre responsable réseau !

Un IPCOP pour 10 sites de 300 machines ? Avec une taille de réseau telle (que j'ai personnellement connue), votre entreprise ne prend pas d'autres mesures ? Peut-être l'accès Internet ne coute rien ! Peut-être l'accès Internet n'a pas besoin d'être filtré ? Peut-être que le DRH ne connait pas le coût des heures gaspillées à batifoler sur Internet !

La responsabilité de l'entreprise c'est de définir une politique et de mettre les moyens nécessaires au respect de cette politique. Enfin c'est comme ça que je vois mon métier et mon expertise.



J'aurais préféré une question comme : pourquoi nmap peut indiquer un port "closed" alors qu'il est ouvert ?

Cela est une question intéressante.

[ccnet]

Je me suis donc créé un petit tunnel SSH avec un proxy sur mon serveur pour pouvoir acceder au net sans etre filtrer

et

Je ne cherche pas à "craquer" quoi que ce soit ...

Haaaaa booonnn ??

Tout ce que vous nous racontez est incohérent. Un seul administrateur pour 10 réseaux et 3 000 postes mais rien de marche correctement et il n'a pas le temps ? Adresse professionnelle sur Gmail ? Gmail en ssh ? Ipcop avec une telle infrastructure derrière ?
Si l'administrateur est loin d'être incompétent alors il y a bien des choses qui ne se tiennent pas.

Le moindre de mes clients aurait simplement 10% des problèmes réseaux mentionnés que je n'arriverai plus à refroidir mon téléphone portable.

Rien de tout cela ne tient debout.

[boulate]

Bon ...

Visiblement, je suis tombé sur deux juristes connaissant mieux que moi le réseau dans lequel j'évolue et la politique de la maison. Je respecte le fait que vous ne souhaitiez pas me répondre ... en revanche, le fait vous me jugiez me plait moins.

Je le répète : je demandais une explication sur un fait avéré, pas une solution.

"Pourquoi je pouvais passer une connexion SSH par un port que je vois fermé ?" Je ne vois pas trop où est le problème.

Respectueusement,

[jdh]

Je regrette que tu ne comprennes pas que ce n'est pas bien de ne pas respecter le fonctionnement de ton entreprise.

Je regrette que tu ne comprennes pas que tu n'es pas payé pour "bosser" pour toi sur le temps de travail.

Je regrette que tu ne comprennes pas que cela pourrait t'en couter surtout cette saison.



Concernant une session, la logique c'est qu'une session puisse s'établir ou non.

Quand on teste un ipcop (par nmap), on teste le firewall lui-même et pas vraiment les sessions pouvant s'établir au travers du firewall.

Il est donc parfaitement possible de ne pas pouvoir faire "ssh (fw)" mais faire "ssh (serveur au delà du fw)".

Netfilter propose plusieurs chaines de filtre dont INPUT et FORWARD.
- INPUT concerne l'accès à la machine elle-même,
- FORWARD concerne les sessions traversant la machine.

"Nmap (fw)" test donc la chaine INPUT de (fw) mais pas la chaine FORWARD.



Mets toi à TON boulot. Cela serait mieux.

[ccnet]

Pour ceux qui s'intéressent à Nmap, comme l'explique juste jdh :

Quand on teste un ipcop (par nmap), on teste le firewall lui-même et pas vraiment les sessions pouvant s'établir au travers du firewall.

Il ne faut pas confondre un port ouvert sur ipcop lui même, en ce cas un handshake TCP devrait aboutir, et un port accessible au delà d'ipcop. Dans ce dernier cas le handshoke positif est réalisé (ou non) sur la machine de destination. La traversée du firewall n'implique (ipcop ou un autre) n'implique pas que l'on ouvre un session au sens TCP sur ce firewall pour pouvoir le traverser. Cette précision ne concerne évidement que TCP. C'est un point sur lequel les débutants avec nmap se prennent souvent les pieds dans le tapis et en tire éventuellement des conclusions erronées. Encore une fois une très bonne connaissance du détail du fonctionnement des protocoles est indispensable pour comprendre ce que l'on fait. De même l'utilisation de Nmap derrière une box en mode routeur peut fausser le résultat de certains tests.