Ports 135 et 445 visibles selon le FAI

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Ports 135 et 445 visibles selon le FAI

Messagepar Buscavidas » 20 Juil 2004 12:19

Bonjour,

Au cours d'un test sur PCflank, avec wanadoo 56k, j'ai remarqué que mes ports 135 et 445 étaient indiqués comme "closed" quand ils auraient dû être "stealthed"...

N'utilisant cette connexion wanadoo que lorsque mon forfait Free est limite, après maintes recherches infructueuses sur les causes du problème, je suis ensuite retourné sur Pcflank avec Free et là aucun problème bien que je n'ai rien changé à mes règles de firewall...

J'ai d'abord crû que le problème venait de Pcflank et j'ai donc fait un test sous wanadoo avec shieldUP! et là le résultat pour ces deux ports était "stealthed". Le problème c'est que lorsque j'ai regardé dans mes logs, il n'y avait aucune trace d'une attaque sur ces ports... conclusion, les paquets envoyés ne sont pas passés par la politique DROP en INPUT de mon firewall...

J'en déduis que wanadoo permet aux autres machines de voir mes ports 135 et 445 ( soupçon confirmé par le fait que sous wanadoo les logs s'affolent sur les autres ports, signe que je suis aisément repérable... ). Quelqu'un aurait-il une explication au phénomène ?

Je précise que j'utilise comme firewall un script iptables qui ne contient aucune règle spécifique ni sur le 135, ni sur le 445, logiquement les paquets les concernant devraient passer par :

iptables -t filter -P INPUT DROP

Merci de bien vouloir m'éclairer :idea:
Avatar de l’utilisateur
Buscavidas
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 19 Juil 2004 19:10

Messagepar Matchek67 » 20 Juil 2004 12:25

Salut montre nous ton script en cachant les ip pour qu'ont te disent ou est le problème surtout franck pourra t'aider ^^

@+
Avatar de l’utilisateur
Matchek67
Aspirant
Aspirant
 
Messages: 130
Inscrit le: 07 Mars 2004 01:00
Localisation: Strasbourg

Messagepar Buscavidas » 20 Juil 2004 12:57

ok... mais c'est plus par curiosité que par réel soucis de sécurité( ôtez moi d'un doute, ça risque pas grand chose d'avoir un port visible 8-[ ? )...

#!/bin/sh
#
#UN SCRIPT POUR IPTABLES
#
#



################
# TABLE FILTER #
################


#SUPPRESSION DES CHAINES EXISTANTES ( "filter" est en fait inutile )

#les chaînes prédéfinies
iptables -t filter -F

#les chaînes utilisateur
iptables -t filter -X

#POLITIQUES PAR DEFAUT ( tout fermer )
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP


#AUTORISER LE RESEAU VIRTUEL LOCALHOST

#sortantes de lo vers lo
iptables -t filter -A OUTPUT -o lo -s xxxxxxxx -d xxxxxxxx -j ACCEPT

#entrantes de lo vers lo
iptables -t filter -A INPUT -i lo -s xxxxxxxx -d xxxxxxxx -j ACCEPT

#ACTIVER LES DNS ( pour faire des requêtes avec des noms et non avec des adresses IP )

iptables -A INPUT -i ppp0 --protocol udp --source-port 53 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol udp --destination-port 53 -m state --state ! INVALID -j ACCEPT
iptables -A INPUT -i ppp0 --protocol tcp --source-port 53 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 53 -m state --state ! INVALID -j ACCEPT

#OUVRIR LES PORTS VOULUS ( n'autoriser que les connexions initialisées par localhost )

#http
iptables -t filter -A OUTPUT -o ppp0 -s xxxxxxxx -p tcp --dport 80 -m state --state ! INVALID -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -d xxxxxxxx -p tcp --sport 80 -m state --state RELATED,ESTABLISHED -j ACCEPT

#https
iptables -t filter -A OUTPUT -o ppp0 -s xxxxxxxx -p tcp --dport 443 -m state --state ! INVALID -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -d xxxxxxxx -p tcp --sport 443 -m state --state RELATED,ESTABLISHED -j ACCEPT

#pop3
iptables -t filter -A OUTPUT -o ppp0 -s xxxxxxxx -p tcp --dport 110 -m state --state ! INVALID -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -d xxxxxxxx -p tcp --sport 110 -m state --state RELATED,ESTABLISHED -j ACCEPT

#smtp
iptables -t filter -A OUTPUT -o ppp0 -s xxxxxxxx -p tcp --dport 25 -m state --state ! INVALID -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -d xxxxxxxx -p tcp --sport 25 -m state --state RELATED,ESTABLISHED -j ACCEPT

#amsn
iptables -t filter -A OUTPUT -o ppp0 -s xxxxxxxx -p tcp --dport 1863 -m state --state ! INVALID -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -d xxxxxxxx -p tcp --sport 1863 -m state --state RELATED,ESTABLISHED -j ACCEPT

#ftp
modprobe ip_conntrack_ftp
iptables -A INPUT -i ppp0 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
modprobe ip_conntrack_ftp

#icmp ( ping et traceroute )
iptables -A OUTPUT -o ppp0 -p icmp -m state --state ! INVALID -j ACCEPT
iptables -A INPUT -i ppp0 -p icmp -m state --state RELATED,ESTABLISHED -j ACCEPT


#GARDER TRACE DES REJETS EN INPUT ( sauf ports tcp 135 et 445 ) ET EN OUTPUT


iptables -t filter -A INPUT -p tcp --dport :134 -j ULOG --ulog-prefix= "FWT !"
iptables -t filter -A INPUT -p tcp --dport 136:444 -j ULOG --ulog-prefix="FWT !"
iptables -t filter -A INPUT -p tcp --dport 446: -j ULOG --ulog-prefix="FWT !"
iptables -t filter -A INPUT -p udp -j ULOG --ulog-prefix="FWU !"
iptables -t filter -A INPUT -p icmp -j ULOG --ulog-prefix="FWI !"
iptables -t filter -A OUTPUT -p all -j ULOG --ulog-prefix="!![OUT!]FW !!!"

#Ajouter les port 135 et 445 aux logs
#iptables -t filter -A INPUT -p tcp --dport 135 -j ULOG --ulog-prefix="FWT135 !"
#iptables -t filter -A INPUT -p tcp --dport 445 -j ULOG --ulog-prefix="FWT445 !"

#############
# TABLE NAT #
#############

#SUPPRESSION DES CHAINES EXISTANTES

iptables -t nat -F
iptables -t nat -X

#POLITIQUES PAR DEFAUT ( le "FORWARD DROP" de filter ferme déjà tout, on peut donc tout accepter )

iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT



################
# TABLE MANGLE #
################

#SUPPRESSION DES CHAINES EXISTANTES

iptables -t mangle -F
iptables -t mangle -X

#POLITIQUES PAR DEFAUT

iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P INPUT ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
iptables -t mangle -P POSTROUTING ACCEPT
iptables -t mangle -P FORWARD ACCEPT


#### SAUVEGARDE DES REGLES ( MDK uniquement ) ###
/etc/rc.d/init.d/iptables save

P-S: si vous avez des critiques sur mon script, étant loin d'être un spécialiste d'iptables, je suis tout ouïe... :)
Avatar de l’utilisateur
Buscavidas
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 19 Juil 2004 19:10

Messagepar Matchek67 » 20 Juil 2004 13:05

les modules faut les charger au début du script déjà ;) :D

Essai de loguer les packet avec log_drop et Ulog :D
Avatar de l’utilisateur
Matchek67
Aspirant
Aspirant
 
Messages: 130
Inscrit le: 07 Mars 2004 01:00
Localisation: Strasbourg

Messagepar Breizh-Tux » 20 Juil 2004 13:21

salut ;-)

es-tu bien sur que ce ne sont pas les ports de ton FAI que tu vois ?
Exemple :
Sur ixus.net [site bien connu] je fais un test de mon Firewall et voici ce que je reçois :
25/tcp ouvert smtp
80/tcp ouvert http
137/tcp filtré netbios-ns
138/tcp filtré netbios-dgm
139/tcp filtré netbios-ssn


Les ports 80 et 25 sont ouverts c'est ok.
Les 3 autres ne sont pas des ports de mes machines [toutes linux et BSD], ce sont donc les ports de mon FAI , numericable en l'occurence ...

J'espère que mon expérience à ce niveau pourra te servir à assouvir ta curiosité.

Cordialement,

bzh-tux : )
In God we Trust -- all others must submit an X.509 certificate.
(Charles Forsythe)
Breizh-Tux
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 305
Inscrit le: 23 Fév 2003 01:00
Localisation: BZH , Degemer Mad

Messagepar Buscavidas » 20 Juil 2004 14:11

->Matchek67

En fait pour les modules, je les charge selon un tuto que j'ai eu sur léa-linux. Par expérience, je sais qu'il faut bien charger le ip_conntrack_ftp 2 fois autrement selon le type de ftp, je peux me connecter au serveur mais lui pas à ma machine...

Pour les logs, j'ai déjà Ulog qui satisfait à tous mes besoins :-)

->Breizh-Tux

Merci pour ta piste, mais je ne pense pas que ce soit ça, ma machine est aussi sous linux et pourtant j'ai des logs sur ces ports ( 137-139 )... d'autre part "filtré" ( je ne sais pas comment fonctionne le firewall de inux, je n'arrive pas à m'y connecter... ) ressemble grandement à une traduction de ce que retourne nmap ( "filtered" ) lorsqu'on le force à faire un scan sur une machine et que celle-ci drop tous les paquets... il se peut donc, sauf si tu n'as pas de firewall, que ce soit ta machine et non ton FAI qui arrête les paquets... regarde dans tes logs pour en avoir le coeur net...
Avatar de l’utilisateur
Buscavidas
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 19 Juil 2004 19:10

Messagepar Matchek67 » 20 Juil 2004 14:39

Je pense que Ulog fait que ton port est fermer essai sans Ulog pour voir et réfère toi au site

viewtopic.php?t=5271&highlight=synflood

Essai ce script :)
Avatar de l’utilisateur
Matchek67
Aspirant
Aspirant
 
Messages: 130
Inscrit le: 07 Mars 2004 01:00
Localisation: Strasbourg

Messagepar Buscavidas » 20 Juil 2004 15:31

Je ne pense pas que le problème vienne d'ULOG et pour deux raisons:

1) Les ports 135 et 445 ne sont pas concernés par lui ( j'avais tellement de DROP dessus chez Free que ça rendait illisibles les autres logs... je pars donc du principe que je suis toujours attaqué sur ces ports... d'après ce que j'ai lu çà et là, ce sont des robots qui se chargent de ce type de scan... ).

2) Celle-ci est sans appel, je n'ai installé Ulog que récemment, le constat du problème ( si c'en est un ) est antérieur à la présence du démon sur ma machine... :wink:

Quant au script, il m'a l'air un peu complexe pour mes petits besoins ( monoPC n'ayant aucun service à autoriser en INPUT ) et comme j'ai formé le mien ( sauf pour le ftp, je dois avouer )pas à pas la doc sous les yeux, je maîtrise bien mieux les raisons pour lesquelles j'ai cru bon de mettre ça ou ça... merci quand même :-)

Au fait, petite question HS, est-ce vraiment la peine d'autoriser le DNS autrement qu'en UDP ?
Avatar de l’utilisateur
Buscavidas
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 19 Juil 2004 19:10

Messagepar Matchek67 » 20 Juil 2004 15:33

Moi j'autorise que en udp et sa marche très bien jme demande a quoi y sert en tcp ^^
Avatar de l’utilisateur
Matchek67
Aspirant
Aspirant
 
Messages: 130
Inscrit le: 07 Mars 2004 01:00
Localisation: Strasbourg

Messagepar Matchek67 » 20 Juil 2004 15:33

Je vois pas ou il est complexe lotre script :p
Avatar de l’utilisateur
Matchek67
Aspirant
Aspirant
 
Messages: 130
Inscrit le: 07 Mars 2004 01:00
Localisation: Strasbourg

Messagepar Buscavidas » 20 Juil 2004 15:50

Il est un peu complexe dans la mesure où il y a un LAN... chez moi c'est FORWARD DROP et basta ! on peut pas faire plus simple... :-p

Merci pour l'info sur DNS, je vais changer ça... autant serrer les règles au plus près...
Avatar de l’utilisateur
Buscavidas
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 19 Juil 2004 19:10

Messagepar Matchek67 » 20 Juil 2004 15:54

Bah suffi de viré la partie lan ;) et pi c'est bon et le VPN aussi ;)
Avatar de l’utilisateur
Matchek67
Aspirant
Aspirant
 
Messages: 130
Inscrit le: 07 Mars 2004 01:00
Localisation: Strasbourg

Messagepar Methos_Hi » 21 Juil 2004 11:34

le dns en tcp sert lorsque tu as toi même un serveur ftp et que tu fais du transfert de zone.
Avatar de l’utilisateur
Methos_Hi
Amiral
Amiral
 
Messages: 1520
Inscrit le: 07 Fév 2004 01:00
Localisation: Ile de France

Messagepar Buscavidas » 23 Juil 2004 18:21

Ok... merci pour l'info sur le DNS en tcp... j'ai restreint ma règle...

Autrement personne ne voit de faille ou de petites améliorations à apporter :?:

J'ai essayé de faire un script le plus simple et le plus clair possible...

Si quelqu'un pouvait également m'indiquer une doc pour utiliser mangle, je lui en serais très reconnaissant... C'est une table que je me contente d'initialiser mais j'aimerais en connaître plus sur son potentiel... :)
Avatar de l’utilisateur
Buscavidas
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 19 Juil 2004 19:10

Messagepar Matchek67 » 23 Juil 2004 18:24

Salut,

Comme dirait Franck Il faudrait juste optimiser ton script ;)
Avatar de l’utilisateur
Matchek67
Aspirant
Aspirant
 
Messages: 130
Inscrit le: 07 Mars 2004 01:00
Localisation: Strasbourg

Suivant

Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron