Un avis sur logs SNORT - IP Spoofing ?

[Thorn]

<BR>Bonjour, <BR> <BR>Après la recherche d'usage avant de poster j'ai lu entre autre le long fil sur les différences d'anti-spoofing entre la v1.3 et la v1.2. <BR>Pas très rassurant parce que justement j'ai l'impression qu'un pervers essaie quotidiennement de se farcir mon LAN depuis une dizaine de jours. <BR> <BR>Ma config : <BR>+ Modem Alcatel STP sans FW utilisé en routeur. Sa config est : <!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Forwarding on <BR>Firewalling on (interne ne protège que le modem) <BR>Sendredirects on (pas top je sais) <IMG SRC="images/smiles/icon_frown.gif"> <BR>Sourcerouting off <BR>Default TTL 64 <BR>Fraglimit 64 fragments <BR>Fragcount currently 0 fragments <BR>Defragment mode : nat <BR> <BR>PAT: 4662 et 4672...<IMG SRC="images/smiles/icon_biggrin.gif"> <BR>DefServer = une adresse bidon (les paquets entrants vont aux fraises)</BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>+ 486DX2 avec ipcop (v1.3+fix1&2) depuis 1 mois <BR> -RED -> STP <BR> -ORANGE pas encore utilisé <BR> -GREEN -> LAN <BR> <BR>Exemple des logs SNORT (X.X = adr RED) : <!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Date: 08/03 16:12:49 Nom: (snort_decoder) WARNING: TCP Data Offset is less than 5! <BR>Priorité: n/a Type: n/a <BR>Informations sur l'adresse IP: 192.168.1.10:0 -> 192.168.X.X:0 <BR>Références: aucune entrée trouvée SID: n/a <BR> <BR>Date: 08/03 16:12:51 Nom: (snort_decoder) WARNING: TCP Header length exceeds packet length! <BR>Priorité: n/a Type: n/a <BR>Informations sur l'adresse IP: 192.168.1.10:0 -> 192.168.X.X:0 <BR>Références: aucune entrée trouvée SID: n/a <BR> <BR>Date: 08/03 23:01:58 Nom: (snort_decoder) WARNING: TCP Data Offset is less than 5! <BR>Priorité: n/a Type: n/a <BR>Informations sur l'adresse IP: 192.168.2.8:0 -> 192.168.X.X:0 <BR>Références: aucune entrée trouvée SID: n/a </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Les premières semaines d'utilisation d'IPCOP ces règles d'intrusions n'étaient pas activées. <BR>Les adr IP du log ne sont pas utilisées sur mon LAN hormis celle de l'interface RED. <BR>Je n'ai pas de serveur ni sur mon LAN ni dans la DMZ. <BR>Cet usage du port 0 est caractéristique du premier test d'une tentative de fingerprinting de l'OS. <BR> <BR>Les questions que je me pose : <BR>- Est-ce bien une tentative d'intrusion par IP spoofing ? <BR>- Serait-ce un disfonctionnement (proc trop faible etc) ? <BR>- Si c'est bien de l'IP spoofing un IPCOP "d'origine" est-il fiable ? <BR>- Si ces paquets provenaient de mon LAN (troyen accedant directement à l'interface eth) comment réagirait SNORT ? <BR>- Les paquets entrant dans le modem par l'extérieur étant envoyés aux fraises (defserver=adr bidon) comment SNORT peut-il en détecter ? Se fait-il abuser ? <BR>- J'envisage de nater le port 0 dans le modem, est-ce la solution ? <BR> <BR>Voilà, vos avis éclairés seraient les bienvenus, d'avance merci. <BR>

[tomtom]

Ben ce n'est pas du spoofing, c'est simplement ton modem qui t'envoie des paquets un peu zarb...... <BR> <BR>Il n'y a rien d'autre que le ipcop de branché sur le routeur ? <BR> <BR>Sinon, clairment les log snort proviennent d'un add-on appelé phad qui verifie des longueurs d'entêtes de paquets tcp, or comme les paquets que tu recois semblent mauvais, il remonte des erreurs.... <BR> <BR>voir là : <!-- BBCode auto-link start --><a href="http://forums.ixus.net/viewtopic.php?t=3773" target="_blank">http://forums.ixus.net/viewtopic.php?t=3773</a><!-- BBCode auto-link end --> <BR> <BR> <BR> <BR>Thomas

[Thorn]

<BR>Oui le modem/routeur STP est directement sur l'interface RED. <BR> <BR>Donc si je suis bien ton post du 8 mai, il y a de fortes chances que ce soit bénin et du à un changement de config de mon FAI. Ce qui pourrait en effet correspondre à une maintenance globale du réseau chez Free le 18 juillet. Ils ont upgradé leurs Cisco (h**p://www.cisco.com/warp/public/707/cisco-sa-20030717-blocked.shtml) <BR> <BR>Néanmoins... que ça soit toujours sur le port 0 avec des paquets mal taillés (fingerprinting), que les adresses IP semblent logiques pour un réseau privé et que ça se reproduise régulièrement (1 ou 2 fois par jour) d'une façon si caractéristique (des séries de 3 règles activées ou une seule) ... ça fait bizarre. <BR> <BR>Beaucoup plus que les scans de ports (les fameux scans d'ixus..). Qui, soit dit en passant ne devraient pas non plus passer mon modem/routeur je crois. J'ai l'impression que ce dernier est un peu léger. <BR> <BR>SNORT n'est pas bon pour la <IMG SRC="images/smiles/icon_eek.gif"> parano <IMG SRC="images/smiles/icon_eek.gif"> et ça ce n'est pas une impression <IMG SRC="images/smiles/icon_biggrin.gif"> <BR> <BR>En tout cas merci pour ton approche <IMG SRC="images/smiles/icon_bise.gif">

[tomtom]

Moui ca pourrait eventuellement etre un scan mais je ne pige pas trop, car avec des adresses non routables, impossible d'obtenir la moindre reponse, donc comment avoir les resultats du scan ?? <BR> <BR>Sinon pourquoi pas un DoS, ca serait peut etre plus logique puisque ces paquets sont tres mal gerés par les equipements, j'ai deja vu ça, mais alors la frequence des connexions serait beaucoup plus grande.... On a eu une attaque de ce genre, mais avec des numeros de ports aleatoires et non pas 0, mais le nombre de paquets reçus etait loin d'etre 3 par jours <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR> <BR>Ou alors un test d'un petit rigolo (un petit rigolo bien calé quand mêem <IMG SRC="images/smiles/icon_wink.gif"> ) juste pour voir comment ça réagit, mais dans ce cas je ne vois pas trop par quel moyen il peut obtenir des résultats.... <IMG SRC="images/smiles/icon_eek.gif"> <BR> <BR> <BR>T.

[Thorn]

D'un autre coté, sur le modem j'avais laissé l'option "Send ICMP redirects" ON alors que c'était découseillé. Je l'ai mise OFF hier soir et j'attends encore un ou deux jours pour voir si ça change quelque chose. <BR> <BR>

Code: Tout sélectionner

[redirects] Disable (off) or enable (on) the sending of ICMP redirect messages. <BR>A router can send a redirect message in case a shorter path than the <BR>path followed is discovered. For security reasons this parameter is disabled per default.

<BR> <BR>Un pote aussi avait tout de suite pensé à un DoS. Mais un DoS light comme tu dis <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> Moui ca pourrait eventuellement etre un scan mais je ne pige pas trop, car avec des adresses non routables, impossible d'obtenir la moindre reponse, donc comment avoir les resultats du scan ?? </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR>D'autant que des paquets avec des adresses de retour non routables ne devraient pas parvenir jusqu'à mon modem. A moins qu'au niveau des routeurs des FAI l'adr retour ne soit pas vérifiée. Ca j'ignore. <BR>Mais tu as raison ça élimine bien une quelconque tentative. <BR> <BR>A moins de compter les N° des paquets au $%#&! de mon modem ou de profiter de ma bourde (ICMP redirects - je ne vois pas comment). Donc de monitorer ma ligne ! Càd qu'il devrait se trouver soit au niveau du DSLAM (F.Telecom) soit au niveau de mon point d'access au MAN de free et dans les deux cas avoir des privilèges et toucher sa bille. <BR>Non.. je vais couper SNORT, ça sera mieux <IMG SRC="images/smiles/icon_lol.gif"> <BR> <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> mais dans ce cas je ne vois pas trop par quel moyen il peut obtenir des résultats.... </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR>En lisant mes <IMG SRC="images/smiles/icon_mad.gif"> <IMG SRC="images/smiles/icon_mad.gif"> <IMG SRC="images/smiles/icon_mad.gif"> ici !?! <BR> <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Dans tous les cas il faut que je comprenne comment des paquets comme ça et pas autrement sont détectés sur mon FW. Je vais creuser... <BR>

[Thorn]

<BR>Pendant que je suis lancé.. <BR> <BR>La suggestion d'un pote (+ pervers et + documenté que moi) <IMG SRC="images/smiles/icon_biggrin.gif"> <BR> <BR>Les windows présenteraient des "faiblesses" <IMG SRC="images/smiles/icon_razz.gif"> dans leur utilisation du <!-- BBCode Start --><B>port 0</B><!-- BBCode End -->. <BR>Les paquets que trouve mon SNORT pourraient s'apparenter à des tentatives de plantage d'un PC windows. Un peu comme un ping de la mort. <BR> <BR>Le vilain n'aurait alors pas besoin de voir revenir une réponse (adr non routable) ce qui en ferait alors un acte gratuit. Le fait de savoir s'il a vraiement marché est trivial. Vu le nombre de PC zindows installés non protégés, ça en foutrait toujours un paquet aux choux (pour changer des fraises). <BR> <BR>Ca se tient bien. Mais tant que je n'ai pas retrouvé, dumpé et identifié ces paquets c'est toujours une hypothèse. Pour l'instant je vais chercher des infos sur ce type d'attaque. <BR>Si vous avez des idées ou des pistes... n'hésitez pas. <BR>Ca creuse toujours. <BR>