Attaque de mon orange vers REd c quoi ? (ids)

[jamiroq]

j'ai des trucs dingue ! <BR> <BR>mon serveu de dmz et ma ipcop elle mem e genere des attaques vers des iop inconnu ??? why

[Gesp]

C'est surtout ta syntaxe qui est dingue. <BR> <BR>Et puis si tu ne précises pas ce qui se passe, comment veux-tu qu'on le fasse à ta place! <BR>

[nemesis]

Hum t'as quoi comme serveur dans ta dmz... <BR> <BR>Est tu sûr qu'il soit propre ... <BR> <BR> <BR>Enfin c'est sûr que si tu donnes pas plus de détails on va pas pouvir aller bien loin.. <BR> <BR>@+ <BR> <BR>Nem.

[mich2704]

j'ai le meme pb ... remarque, on ne peut pas trop parler de pb mais plus d'informations remontées par le firewall ... <BR> <BR>ma config : <BR>GREEN : 192.168.0.0/24 <BR>ORANGE : 10.0.0.0/8 <BR>RED : @IP publique <BR> <BR>voici les logs de mon firewall <BR> <BR> <BR>12:58:04 OUTPUT eth1 UDP 10.0.0.2 137(NETBIOS-NS) 192.168.0.4 <BR> 137(NETBIOS-NS) <BR>12:58:04 INPUT eth1 UDP 10.0.0.2 137(NETBIOS-NS) 192.168.0.255 <BR> 137(NETBIOS-NS) <BR>12:58:04 OUTPUT eth1 UDP 10.0.0.2 137(NETBIOS-NS) 192.168.0.4 <BR> 137(NETBIOS-NS) <BR>12:58:06 OUTPUT eth1 UDP 10.0.0.2 137(NETBIOS-NS) 192.168.0.4 <BR> 137(NETBIOS-NS) <BR> <BR>comment faire pour que cela ne soit pas pris en compte dans le firewall ??? car cala n'a pas a etre considéré comme un attaque ???

[nemesis]

Bha désactiver le protocole netbios sur le serveur windows qui traine en dmz <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>Perso j'ai un serveur en linux et j'ai pas ce genre de transfert lol <BR> <BR>@++ <BR> <BR>Nem.

[fioul666]

perso j'ai aussi c genre de pb sur une serveur linux en dmz. <BR>je vous post ca ce soir.

[Franck78]

C'est le service "browser" qui cherche ses collègues windows. <BR>Pas seulement sur netbios. En fait sur tout les protocoles. <BR> <BR>Donc:arretez les services inutiles des machines windozs en DMZ. <BR>

[mich2704]

c'est un serveur linux sur ma dmz ... jamais de windows <IMG SRC="images/smiles/icon_wink.gif">

[gla]

t'as pas un samba ?

[tomtom]

Pour les INPUT, on peut penser à un sevreur samba en orange... <BR> <BR>Par contre les OUTPUT bloqués, là je suis surpris.. Tu n'aurais pas essyé d'installer samba sur ton IPCop ?? <BR> <BR>t.

[gla]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2004-03-15 13:39, mich2704 a écrit: <BR>j'ai le meme pb ... remarque, on ne peut pas trop parler de pb mais plus d'informations remontées par le firewall ... <BR> <BR>ma config : <BR>GREEN : 192.168.0.0/24 <BR>ORANGE : 10.0.0.0/8 <BR>RED : @IP publique <BR> <BR>voici les logs de mon firewall <BR> <BR> <BR>12:58:04 OUTPUT eth1 UDP 10.0.0.2 137(NETBIOS-NS) 192.168.0.4 <BR> 137(NETBIOS-NS) <BR>12:58:04 INPUT eth1 UDP 10.0.0.2 137(NETBIOS-NS) 192.168.0.255 <BR> 137(NETBIOS-NS) <BR>12:58:04 OUTPUT eth1 UDP 10.0.0.2 137(NETBIOS-NS) 192.168.0.4 <BR> 137(NETBIOS-NS) <BR>12:58:06 OUTPUT eth1 UDP 10.0.0.2 137(NETBIOS-NS) 192.168.0.4 <BR> 137(NETBIOS-NS) <BR> <BR>comment faire pour que cela ne soit pas pris en compte dans le firewall ??? car cala n'a pas a etre considéré comme un attaque ??? <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>a mon avis, t'as un serveur SAMBA en DMZ (10.0.0.2) qui repond à une requête d'un de tes postes en GREEN (192.168.0.4) <BR>l'input est une recherche de noms par ton poste en GREEN (election du master browser peut être ?)

[fioul666]

voici une attaque que je comprend pas (ds log ids): <BR> <BR>Date: 03/15 21:23:39 <BR>Name: (http_inspect) BARE BYTE UNICODE ENCODING <BR>Priority: n/a <BR>Type: n/a <BR>IP Info: 192.168.1.1 -> 82.121.2.130 <BR>SID: n/a <BR>Refs: <BR> <BR>Date: 03/15 19:31:09 <BR>Name: (http_inspect) BARE BYTE UNICODE ENCODING <BR>Priority: n/a <BR>Type: n/a <BR>IP Info: 192.168.1.1 -> 62.147.147.173 <BR>SID: n/a <BR>Refs: <BR> <BR>de mon serveur dmz 192.168.1.1 vers "dehors" <BR> <BR> <BR>Et la ca tabasse severe les freebox sont interessante a ce point pour les hackeurs ? <BR> <BR> <BR>ou ca (ip spoofing on dirait ..): <BR> <BR>Date: 03/15 19:57:04 <BR>Name: (snort_decoder) WARNING: TCP Data Offset is less than 5! <BR>Priority: n/a <BR>Type: n/a <BR>IP Info: 192.168.0.3 -> monIP_RED <BR>SID: n/a <BR>Refs: <BR> <BR> <BR>la c plus claire : <BR> <BR>Date: 03/15 19:48:00 <BR>Name: ICMP PING NMAP <BR>Priority: 2 <BR>Type: Attempted Information Leak <BR>IP Info: 62.179.8.90 -> monIP_RED <BR>SID: 469 <BR>Refs: <BR> <BR>Date: 03/15 19:39:34 <BR>Name: SCAN Squid Proxy attempt <BR>Priority: 2 <BR>Type: Attempted Information Leak <BR>IP Info: 66.57.252.161 -> monIP_RED <BR>SID: 618 <BR>Refs: