au secour !!!!!

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar hb » 25 Août 2003 23:02

je regarde mes log IDS et que vois-je : on m'envoi de l'ICMP sur mon IP privée !!! <BR>comment est-ce possible je croyais le subnet 192.168/24 non routable sur internet ? <BR>extrait le la log <BR>---------------------------------------- <BR>Date: 08/25 22:40:13 Nom: ICMP Destination Unreachable (Communication with Destination Network is Administratively Prohibited) <BR>Priorité: 3 Type: Misc activity <BR>Informations sur l'adresse IP: 212.47.251.65:n/a -> 192.168.0.12:n/a <BR>Références: aucune entrée trouvée <BR>---------------------------------------- <BR>j'en ai 11 en 1 minutes <BR> <BR>j'interroge pour connaitre son auteur et que vois-je GULP <BR>212.47.251.65 (1-c-1.tnt01.lyo.net.tiscali.fr) <BR>ce serait pas une machine de mon provider ça ???? <BR> <BR>qu'est ce qu'il faut en penser ? <BR>dois-je m'inquiéter ? <BR> <BR>config : IPCOP130 et regles par defauts (j'ai pas encore fermer l'ICMP) <BR>QQ forward de ports SMTP,HTTP,FTP,et autres P2P <BR> <BR>subnet green 192.168.0/24 <BR>subnet orange 192.168.1/24 <BR>
Avatar de l’utilisateur
hb
Amiral
Amiral
 
Messages: 1513
Inscrit le: 06 Juin 2002 00:00
Localisation: Nord Isere, 50kms Lyon

Messagepar Gesp » 25 Août 2003 23:09

Tout ce que je sais, c'est les modems Eicon Diva fourni par Tiscaly ont une adresse d'administration par défaut en 192.168.1.1 et qu'ils peuvent être mis à jour à distance (si l'option est validée sur l'interface). Mais peut-être que le processus est au niveau ATM et pas IP? <BR> <BR>N'importe qui ou presque peut t'envoyer des paquets avec une adresse d'expéditeur contrefaite.
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar tomtom » 26 Août 2003 08:01

Oui par contre il n'y a aucune chance qu'un paquet travers internet jusqu'à toi avec une adresse ip destination provée. <BR> <BR>En clair, ça ne peut venir que de ton modem/routeur ou de la passerelel de ton FAI qui serait configurée n'importe comment (sisi ça arrive plus souvent qu'on ne croit). Je pense que l'hypothèse de Gesp est la bonne. <BR> <BR>T.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar hb » 26 Août 2003 17:04

je ne sais pas de quel modem vous parlez les gars, j'ai pas l'ADSL <IMG SRC="images/smiles/icon_bawling.gif"> <BR>y'a pas de ça par ici, y'a que des vaches donc je suis contraint à ne faire que du RTC !! <BR>le modem est un olitec bleu (provenance package Wanadoo) + flashage pour faire n'importe quel n° <BR> <BR>donc l'hypothese d'1 matos mal configuré chez tiscali me parrait etre la seul piste mais est ce vraiment possible ??? je n'y pensais pas !! <BR> <BR>je m'inquietais plutot que se soit intensionel afin de m'espionner (je sais chuis parano) <BR>l'1 d'entre vous à t il bossez chez 1 FAI ? n'a t il jamais fais (ou vu faire) des modif dans le genre pour s'amuser (un mauvais employé quoi) ??? <BR> <BR>ou bien c'est parce que une machine (192.168.0.x) ferait du Kazaa chez moi ?????? <BR>PS: y'a pas kazaa sur la 192.168.0.12 !!! <BR> <BR>_________________ <BR><BR><BR><font size=-2></font>
Avatar de l’utilisateur
hb
Amiral
Amiral
 
Messages: 1513
Inscrit le: 06 Juin 2002 00:00
Localisation: Nord Isere, 50kms Lyon

Messagepar rvtt » 26 Août 2003 20:09

ton message me fait bien rire, en effet, j'ai bossé pour wanadoo pendant 2 ans mais ce genre de pratique (espionnage) ne se fait pas au azard et ne peut etre fait que sur la demande d'un jure ou d'un procureur... l'hypothese d'un mauvais employe qui te ferai un blague ne tient pas non plus car ce genre de pratique demande un acces aux serveurs principaux de l'annuaire wanadoo et seul 2 personnes en fance (pour wanadoo en 1999) sont abilité a faire ce genre de modification....
S'chui p'tetre po bon, mais à ce tarif la, s'chui meilleur ! @++ Mr. TT
Avatar de l’utilisateur
rvtt
Premier-Maître
Premier-Maître
 
Messages: 60
Inscrit le: 27 Juil 2003 00:00
Localisation: La Rochelle / Charentes Maritimes / France

Messagepar tomtom » 26 Août 2003 22:07

De plus la manip est forcemment au niveau de l'equipement frontal puisque tous les autres routeurs ne pourraient pas forwarder des paquets de ce type.. Inenvisageable qu'ils aient d'ailleurs des tables de routage avec des adresses privées (en tout cas pas les tiennes <IMG SRC="images/smiles/icon_wink.gif"> ) <BR> <BR>No souci, c'est sur que c'est un problème de conf, sont pas très doués pour ça chez wanadoo (cherche dans les forums, tu trouveras un post sympa sur wanadoo et les adresses privées....) <BR> <BR>T.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar Gesp » 26 Août 2003 22:09

Je crois bien me souvenir que IE montre l'adresse IP de la machine sur lequel il tourne donc c'est possible pour un serveur web de récupérer ton adresse Green. <BR> <BR>Maintenant je doute vraiment que les employés de ton FAI aillent fureter sur ton poste parce : <BR>- il n'en ont aucun besoin pour connaitre tout le traffic émis/reçu si besoin légal <BR>- hors demande légale, ils n'ont pas le droit <BR>- si c'était vraiment un employé qui faisait mumuse à son initiative, à mon avis, c'est direct la porte <BR> <BR>mon IPCop a déjà été sondé une série de fois par une machine dont l'adresse IP était un routeur de FT (qui n'était en plus pas sur ma route immédiate). Donc je pense que l'adresse d'origine était simplement contrefaite. Et tu ne peux pas faire grand chose contre cela. <BR>Il faudrait pouvoir interroger successivement tous les routeurs (potentiellement de FAI différents) sur le chemin du paquet pour remonter jusqu'à la machine d'origine. Autant dire que pour quelques paquets de sonde, le jeu n'en vaut pas la peine. <BR> <BR>Ou alors il y a un petit problème dans un échange quelconque, le routeur s'est enmélée les pinceaux dans une réponse à une des tes requètes (donc comme c'est toi qui a demandé, c'est sorti et c'est normal que cela rentre) et SNORT se rend compte du caratères anormal (par exemple trop tardif) de la réponse. <BR><BR><BR><font size=-2></font>
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar tomtom » 26 Août 2003 22:24

Non mais arrêtez, il n'y a pas de c'est normal ou quoi.... <BR>U/routeur d'internet NE DOIT PAS FORWARDER UN PAQUET DONT L'IP D configuré de l'autre coté bien sur !)ESTINATION EST PRIVEE. <BR> <BR>Donc ce n'est pas une adresse spoofée ni rien.. A la limite si c'etait l'adresse source qui etait privée, pourquoi pas, pour tenter de franchir le firewall. Mais l'adresse destination, NON ! De plus, le paquet ne peut en aucun cas atteindre la machine destination du lan, puisque IPCop evidemment ne routera pas ce paquet arrivant par son Interface RED (n'est ce pas ? Merci l'antispoofing <IMG SRC="images/smiles/icon_wink.gif"> ). <BR> <BR>Donc c'est clair : ce paquet ne peut provenir QUE DU ROUTEUR LE PLUS PROCHE, donc il y a en plus des chances pour que ce soit ta passerelle par defaut chez wanadoo. <BR> <BR>Pour le jeu et pour les abonnés wanadoo, essayez donc un traceroute vers 192.168.0.32, certains seront surpris (si vous n'avez pas de reseau 192.168.0.0/24 configuré bien sur !) <BR>Wanadoo semble avoir certains problèmes de config, je leur avais envoyé un mail il y a quelques mois pour leur signaler le soucis, je n'ai pas eu de reponse mais ils ont peut-etre corrigé... <BR> <BR>T.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar grosbedos » 26 Août 2003 22:39

pour repondre a tomtom lol : <BR> <BR> <BR>Détermination de l'itinéraire vers 192.168.0.32 avec un maximum de 30 sauts. <BR> <BR> 1 * * * Délai d'attente de la demande dépassé. <BR> 2 78 ms 31 ms 63 ms .abo.wanadoo.fr [80.8.x.x] <BR> 3 110 ms 15 ms 94 ms 172.19.4x.x <BR> <BR> 4 <10 ms 62 ms 16 ms 193.253.x.x <BR> 5 187 ms 16 ms 78 ms Px-0.xxxx.xxxxx.francetelecom.net [193.252.x.x] <BR> 6 93 ms 79 ms 109 ms P14-0.nrsta104.Paris.francetelecom.net [193.252.x.x] <BR> 7 94 ms 31 ms 31 ms 193.252.x.x <BR> 8 63 ms 31 ms 109 ms Px-0.xxxx.francetelecom.net [193.252.x.x] <BR> 9 16 ms 94 ms 125 ms 193.252.x.x <BR> 10 94 ms 62 ms 172 ms Px-0.xxxx.francetelecom.net [193.252.x.x] <BR> 11 * Px-0.xxx.xxx.francetelecom.net [193.252.x.x] rapport <BR>s : Impossible de joindre le réseau de destination. <BR> <BR>Itinéraire déterminé.
Pour retrouver une aiguille dans une botte de foin, il suffit d'y mettre le feu puis de fouiller les cendres avec un aimant. Bernard Werber
Avatar de l’utilisateur
grosbedos
Amiral
Amiral
 
Messages: 1493
Inscrit le: 27 Sep 2002 00:00

Messagepar Gesp » 26 Août 2003 22:53

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE>puisque IPCop evidemment ne routera pas ce paquet arrivant par son Interface RED (n'est ce pas ? Merci l'antispoofing ). </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Cela est vrai puisque j'ai du désactivé la règle en 192.168 pour communiquer avec le DIVA routeur. Mais c'est aussi la preuve que la règle peut aussi être désactivée dans un routeur <IMG SRC="images/smiles/icon_rolleyes.gif"> <BR> <BR>Il n'y a plus de réponse pour 192.168.0.32 <BR>Détermination de l'itinéraire vers 192.168.0.32 avec un maximum de 30 sauts. <BR> <BR> 1 <10 ms <10 ms <10 ms test [myip] <BR> 2 * * * Délai d'attente de la demande dépassé. <BR> 3 * * * Délai d'attente de la demande dépassé. <BR> <BR>j'ai pensé que cela pouvait être le modem routeur DIVA qui filtre. <BR>j'ai changé pour un simple modem usb et je n'ai pas plus de réponse. <BR>je suis sur DSLAM ECI plaque Ste Geneviève des bois.<BR><BR><font size=-2></font>
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar nemesis » 26 Août 2003 23:39

tiens j'en ai un joli de log aujourd'hui!!!!! et c tt neuf vu que hier avec la meme config j'avais rien ! <BR> <BR>Date: 08/26 18:16:55 Nom: BAD TRAFFIC loopback traffic <BR>Priorité: 2 Type: Potentially Bad Traffic <BR>Informations sur l'adresse IP: 127.0.0.1:80 -> 82.67.155.38:1921 <BR>Références: aucune entrée trouvée SID: 528 <BR>
ce n'est pas parce qu'il n'y a pas de preuve qu'une chose existe qu'elle ne peut pas exister
Avatar de l’utilisateur
nemesis
Amiral
Amiral
 
Messages: 1954
Inscrit le: 01 Jan 2003 01:00
Localisation: 75

Messagepar tomtom » 27 Août 2003 07:13

Ca par contre c'est tres probablement du spoofing d'adresse source. Et vilain avec ça <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar antolien » 27 Août 2003 07:45

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-08-26 22:53, Gesp a écrit: <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE>puisque IPCop evidemment ne routera pas ce paquet arrivant par son Interface RED (n'est ce pas ? Merci l'antispoofing ). </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Cela est vrai puisque j'ai du désactivé la règle en 192.168 pour communiquer avec le DIVA routeur. </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Quelle règle ?? tu l'as ajoutée où elle y était déjà ? il me semble qu'il n'y a pas d'antispoofing sur ipcop 1.3+
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar Gesp » 27 Août 2003 08:01

Celle-là que j'ai commenté <BR># /sbin/iptables -t nat -A RED -o $IFACE --destination 192.168.0.0/16 -j DROP # Private addresses
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar tomtom » 27 Août 2003 08:48

Oui, il y a l'antispoofing "sortant" <BR> <BR>
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron