au secour !!!!!

par hb » 25 Août 2003 23:02

je regarde mes log IDS et que vois-je : on m'envoi de l'ICMP sur mon IP privée !!! comment est-ce possible je croyais le subnet 192.168/24 non routable sur internet ? extrait le la log ---------------------------------------- Date: 08/25 22:40:13 Nom: ICMP Destination Unreachable (Communication with Destination Network is Administratively Prohibited) Priorité: 3 Type: Misc activity Informations sur l'adresse IP: 212.47.251.65:n/a -> 192.168.0.12:n/a Références: aucune entrée trouvée ---------------------------------------- j'en ai 11 en 1 minutes j'interroge pour connaitre son auteur et que vois-je GULP 212.47.251.65 (1-c-1.tnt01.lyo.net.tiscali.fr) ce serait pas une machine de mon provider ça ???? qu'est ce qu'il faut en penser ? dois-je m'inquiéter ? config : IPCOP130 et regles par defauts (j'ai pas encore fermer l'ICMP) QQ forward de ports SMTP,HTTP,FTP,et autres P2P subnet green 192.168.0/24 subnet orange 192.168.1/24

par **Gesp** » 25 Août 2003 23:09

Tout ce que je sais, c'est les modems Eicon Diva fourni par Tiscaly ont une adresse d'administration par défaut en 192.168.1.1 et qu'ils peuvent être mis à jour à distance (si l'option est validée sur l'interface). Mais peut-être que le processus est au niveau ATM et pas IP? N'importe qui ou presque peut t'envoyer des paquets avec une adresse d'expéditeur contrefaite.

par **tomtom** » 26 Août 2003 08:01

Oui par contre il n'y a aucune chance qu'un paquet travers internet jusqu'à toi avec une adresse ip destination provée. En clair, ça ne peut venir que de ton modem/routeur ou de la passerelel de ton FAI qui serait configurée n'importe comment (sisi ça arrive plus souvent qu'on ne croit). Je pense que l'hypothèse de Gesp est la bonne. T.

par hb » 26 Août 2003 17:04

je ne sais pas de quel modem vous parlez les gars, j'ai pas l'ADSL <IMG SRC="images/smiles/icon_bawling.gif"> y'a pas de ça par ici, y'a que des vaches donc je suis contraint à ne faire que du RTC !! le modem est un olitec bleu (provenance package Wanadoo) + flashage pour faire n'importe quel n° donc l'hypothese d'1 matos mal configuré chez tiscali me parrait etre la seul piste mais est ce vraiment possible ??? je n'y pensais pas !! je m'inquietais plutot que se soit intensionel afin de m'espionner (je sais chuis parano) l'1 d'entre vous à t il bossez chez 1 FAI ? n'a t il jamais fais (ou vu faire) des modif dans le genre pour s'amuser (un mauvais employé quoi) ??? ou bien c'est parce que une machine (192.168.0.x) ferait du Kazaa chez moi ?????? PS: y'a pas kazaa sur la 192.168.0.12 !!! _________________

par **rvtt** » 26 Août 2003 20:09

ton message me fait bien rire, en effet, j'ai bossé pour wanadoo pendant 2 ans mais ce genre de pratique (espionnage) ne se fait pas au azard et ne peut etre fait que sur la demande d'un jure ou d'un procureur... l'hypothese d'un mauvais employe qui te ferai un blague ne tient pas non plus car ce genre de pratique demande un acces aux serveurs principaux de l'annuaire wanadoo et seul 2 personnes en fance (pour wanadoo en 1999) sont abilité a faire ce genre de modification....

par **tomtom** » 26 Août 2003 22:07

De plus la manip est forcemment au niveau de l'equipement frontal puisque tous les autres routeurs ne pourraient pas forwarder des paquets de ce type.. Inenvisageable qu'ils aient d'ailleurs des tables de routage avec des adresses privées (en tout cas pas les tiennes <IMG SRC="images/smiles/icon_wink.gif"> ) No souci, c'est sur que c'est un problème de conf, sont pas très doués pour ça chez wanadoo (cherche dans les forums, tu trouveras un post sympa sur wanadoo et les adresses privées....) T.

par **Gesp** » 26 Août 2003 22:09

Je crois bien me souvenir que IE montre l'adresse IP de la machine sur lequel il tourne donc c'est possible pour un serveur web de récupérer ton adresse Green. Maintenant je doute vraiment que les employés de ton FAI aillent fureter sur ton poste parce : - il n'en ont aucun besoin pour connaitre tout le traffic émis/reçu si besoin légal - hors demande légale, ils n'ont pas le droit - si c'était vraiment un employé qui faisait mumuse à son initiative, à mon avis, c'est direct la porte mon IPCop a déjà été sondé une série de fois par une machine dont l'adresse IP était un routeur de FT (qui n'était en plus pas sur ma route immédiate). Donc je pense que l'adresse d'origine était simplement contrefaite. Et tu ne peux pas faire grand chose contre cela. Il faudrait pouvoir interroger successivement tous les routeurs (potentiellement de FAI différents) sur le chemin du paquet pour remonter jusqu'à la machine d'origine. Autant dire que pour quelques paquets de sonde, le jeu n'en vaut pas la peine. Ou alors il y a un petit problème dans un échange quelconque, le routeur s'est enmélée les pinceaux dans une réponse à une des tes requètes (donc comme c'est toi qui a demandé, c'est sorti et c'est normal que cela rentre) et SNORT se rend compte du caratères anormal (par exemple trop tardif) de la réponse.

par **tomtom** » 26 Août 2003 22:24

Non mais arrêtez, il n'y a pas de c'est normal ou quoi.... U/routeur d'internet NE DOIT PAS FORWARDER UN PAQUET DONT L'IP D configuré de l'autre coté bien sur !)ESTINATION EST PRIVEE. Donc ce n'est pas une adresse spoofée ni rien.. A la limite si c'etait l'adresse source qui etait privée, pourquoi pas, pour tenter de franchir le firewall. Mais l'adresse destination, NON ! De plus, le paquet ne peut en aucun cas atteindre la machine destination du lan, puisque IPCop evidemment ne routera pas ce paquet arrivant par son Interface RED (n'est ce pas ? Merci l'antispoofing <IMG SRC="images/smiles/icon_wink.gif"> ). Donc c'est clair : ce paquet ne peut provenir QUE DU ROUTEUR LE PLUS PROCHE, donc il y a en plus des chances pour que ce soit ta passerelle par defaut chez wanadoo. Pour le jeu et pour les abonnés wanadoo, essayez donc un traceroute vers 192.168.0.32, certains seront surpris (si vous n'avez pas de reseau 192.168.0.0/24 configuré bien sur !) Wanadoo semble avoir certains problèmes de config, je leur avais envoyé un mail il y a quelques mois pour leur signaler le soucis, je n'ai pas eu de reponse mais ils ont peut-etre corrigé... T.

par **grosbedos** » 26 Août 2003 22:39

pour repondre a tomtom lol : Détermination de l'itinéraire vers 192.168.0.32 avec un maximum de 30 sauts. 1 * * * Délai d'attente de la demande dépassé. 2 78 ms 31 ms 63 ms .abo.wanadoo.fr [80.8.x.x] 3 110 ms 15 ms 94 ms 172.19.4x.x 4 <10 ms 62 ms 16 ms 193.253.x.x 5 187 ms 16 ms 78 ms Px-0.xxxx.xxxxx.francetelecom.net [193.252.x.x] 6 93 ms 79 ms 109 ms P14-0.nrsta104.Paris.francetelecom.net [193.252.x.x] 7 94 ms 31 ms 31 ms 193.252.x.x 8 63 ms 31 ms 109 ms Px-0.xxxx.francetelecom.net [193.252.x.x] 9 16 ms 94 ms 125 ms 193.252.x.x 10 94 ms 62 ms 172 ms Px-0.xxxx.francetelecom.net [193.252.x.x] 11 * Px-0.xxx.xxx.francetelecom.net [193.252.x.x] rapport s : Impossible de joindre le réseau de destination. Itinéraire déterminé.

par **Gesp** » 26 Août 2003 22:53

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE>puisque IPCop evidemment ne routera pas ce paquet arrivant par son Interface RED (n'est ce pas ? Merci l'antispoofing ). </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Cela est vrai puisque j'ai du désactivé la règle en 192.168 pour communiquer avec le DIVA routeur. Mais c'est aussi la preuve que la règle peut aussi être désactivée dans un routeur <IMG SRC="images/smiles/icon_rolleyes.gif"> Il n'y a plus de réponse pour 192.168.0.32 Détermination de l'itinéraire vers 192.168.0.32 avec un maximum de 30 sauts. 1 <10 ms <10 ms <10 ms test [myip] 2 * * * Délai d'attente de la demande dépassé. 3 * * * Délai d'attente de la demande dépassé. j'ai pensé que cela pouvait être le modem routeur DIVA qui filtre. j'ai changé pour un simple modem usb et je n'ai pas plus de réponse. je suis sur DSLAM ECI plaque Ste Geneviève des bois.

par **nemesis** » 26 Août 2003 23:39

tiens j'en ai un joli de log aujourd'hui!!!!! et c tt neuf vu que hier avec la meme config j'avais rien ! Date: 08/26 18:16:55 Nom: BAD TRAFFIC loopback traffic Priorité: 2 Type: Potentially Bad Traffic Informations sur l'adresse IP: 127.0.0.1:80 -> 82.67.155.38:1921 Références: aucune entrée trouvée SID: 528

par **tomtom** » 27 Août 2003 07:13

Ca par contre c'est tres probablement du spoofing d'adresse source. Et vilain avec ça <IMG SRC="images/smiles/icon_wink.gif"> t.

par **antolien** » 27 Août 2003 07:45

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-08-26 22:53, Gesp a écrit: <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE>puisque IPCop evidemment ne routera pas ce paquet arrivant par son Interface RED (n'est ce pas ? Merci l'antispoofing ). </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Cela est vrai puisque j'ai du désactivé la règle en 192.168 pour communiquer avec le DIVA routeur. </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Quelle règle ?? tu l'as ajoutée où elle y était déjà ? il me semble qu'il n'y a pas d'antispoofing sur ipcop 1.3+

par **Gesp** » 27 Août 2003 08:01

Celle-là que j'ai commenté # /sbin/iptables -t nat -A RED -o $IFACE --destination 192.168.0.0/16 -j DROP # Private addresses

par **tomtom** » 27 Août 2003 08:48

Oui, il y a l'antispoofing "sortant"

au secour !!!!!

Qui est en ligne ?