[FW] Log avec une adresse privee 10/8 (ex L'IANA fait du P2P ???)
4 réponses
Steph
Bonjour,
XP+Kerio où j'ai crée des règles pour tout ce qui est autres réseaux
locaux private. Phénomène rare (2/mois) mais sans explication claire
pour la sécu.
Copie log:
1,[14/Dec/2003 15:13:20] Rule 'Réseau local Classe A': Blocked: Ent UDP,
(null) [10.2.2.95:1026]->localhost:137, Owner: no owner
1) Comment est-ce possible, un UDP d'une classe privée classe A
(RFC1918) sur mon port 137 (=netbios-ns) ?
2) Si mon FW autorise TOUT sur des IP locales sur un rézo en 10.*.*.*,
trou de sécu !?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Jacques Caron
On 14 Dec 2003 20:43:08 GMT, Steph wrote:
1) Comment est-ce possible, un UDP d'une classe privée classe A (RFC1918) sur mon port 137 (=netbios-ns) ?
Au choix, IP spoofing, ou un réseau qui utilise ce type d'adresses et un paquet qui est "sorti" sans être NATé alors qu'il aurait du (ou qui est sorti alors qu'il n'aurait pas du).
2) Si mon FW autorise TOUT sur des IP locales sur un rézo en 10.*.*.*, trou de sécu !?
Ca fait partie des bonnes règles que de filtrer sur les interfaces externes les adresses IP utilisées en interne, qui ne devraient jamais arriver depuis l'extérieur...
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
On 14 Dec 2003 20:43:08 GMT, Steph
<steph@lavillerose.com.adressebidon.invalid> wrote:
1) Comment est-ce possible, un UDP d'une classe privée classe A
(RFC1918) sur mon port 137 (=netbios-ns) ?
Au choix, IP spoofing, ou un réseau qui utilise ce type d'adresses et un
paquet qui est "sorti" sans être NATé alors qu'il aurait du (ou qui est
sorti alors qu'il n'aurait pas du).
2) Si mon FW autorise TOUT sur des IP locales sur un rézo en 10.*.*.*,
trou de sécu !?
Ca fait partie des bonnes règles que de filtrer sur les interfaces
externes les adresses IP utilisées en interne, qui ne devraient jamais
arriver depuis l'extérieur...
Jacques.
--
Interactive Media Factory
Création, développement et hébergement
de services interactifs: SMS, SMS+, Audiotel...
http://www.imfeurope.com/
1) Comment est-ce possible, un UDP d'une classe privée classe A (RFC1918) sur mon port 137 (=netbios-ns) ?
Au choix, IP spoofing, ou un réseau qui utilise ce type d'adresses et un paquet qui est "sorti" sans être NATé alors qu'il aurait du (ou qui est sorti alors qu'il n'aurait pas du).
2) Si mon FW autorise TOUT sur des IP locales sur un rézo en 10.*.*.*, trou de sécu !?
Ca fait partie des bonnes règles que de filtrer sur les interfaces externes les adresses IP utilisées en interne, qui ne devraient jamais arriver depuis l'extérieur...
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
Steph
Jacques Caron wrote:
Ca fait partie des bonnes règles que de filtrer sur les interfaces externes les adresses IP utilisées en interne, qui ne devraient jamais arriver depuis l'extérieur...
Y-a-t-il eu des tentatives d'intrusion utilisant (ou étant encapsulées) dans de tels datagrammes venant d'adresses privées ?
donc un rézo simple (avec un poste relié au web servant de passerelle avec un FW du type Kerio), est vulnérable ?
Si oui, que faut-il comme config. matérielle et/ou logicielle ?
Steph
-- Enlever l'adresse bidon invalide pour m'écrire
Jacques Caron wrote:
Ca fait partie des bonnes règles que de filtrer sur les interfaces
externes les adresses IP utilisées en interne, qui ne devraient jamais
arriver depuis l'extérieur...
Y-a-t-il eu des tentatives d'intrusion utilisant (ou étant encapsulées)
dans de tels datagrammes venant d'adresses privées ?
donc un rézo simple (avec un poste relié au web servant de passerelle
avec un FW du type Kerio), est vulnérable ?
Si oui, que faut-il comme config. matérielle et/ou logicielle ?
Ca fait partie des bonnes règles que de filtrer sur les interfaces externes les adresses IP utilisées en interne, qui ne devraient jamais arriver depuis l'extérieur...
Y-a-t-il eu des tentatives d'intrusion utilisant (ou étant encapsulées) dans de tels datagrammes venant d'adresses privées ?
donc un rézo simple (avec un poste relié au web servant de passerelle avec un FW du type Kerio), est vulnérable ?
Si oui, que faut-il comme config. matérielle et/ou logicielle ?
Steph
-- Enlever l'adresse bidon invalide pour m'écrire
Jacques Caron
On 15 Dec 2003 17:49:15 GMT, Steph wrote:
Jacques Caron wrote:
Ca fait partie des bonnes règles que de filtrer sur les interfaces externes les adresses IP utilisées en interne, qui ne devraient jamais arriver depuis l'extérieur...
Y-a-t-il eu des tentatives d'intrusion utilisant (ou étant encapsulées) dans de tels datagrammes venant d'adresses privées ?
Au minimum, de nombreuses attaques de type DoS utilisent cette méthode (par exemple les attaques TCP SYN). Au pire, les implémentations de TCP un peu "faibles" permettent à un attaquant d'ouvrir une session TCP sans recevoir les réponses, ce qui leur permettra au miminum de faire une DoS indétectable, au maximum d'exécuter du code pour installer un accès root (par exemple).
donc un rézo simple (avec un poste relié au web servant de passerelle avec un FW du type Kerio), est vulnérable ?
S'il est vulnérable aux attaques sous-jacentes, oui. Ce n'est pas le fait qu'on envoie du trafic depuis une adresse IP privée qui pose problème, c'est l'exploitation d'une faille existante depuis ces adresses, puisque ça ne permet alors pas de remonter à la source...
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
On 15 Dec 2003 17:49:15 GMT, Steph
<steph@lavillerose.com.adressebidon.invalid> wrote:
Jacques Caron wrote:
Ca fait partie des bonnes règles que de filtrer sur les interfaces
externes les adresses IP utilisées en interne, qui ne devraient jamais
arriver depuis l'extérieur...
Y-a-t-il eu des tentatives d'intrusion utilisant (ou étant encapsulées)
dans de tels datagrammes venant d'adresses privées ?
Au minimum, de nombreuses attaques de type DoS utilisent cette méthode
(par exemple les attaques TCP SYN). Au pire, les implémentations de TCP un
peu "faibles" permettent à un attaquant d'ouvrir une session TCP sans
recevoir les réponses, ce qui leur permettra au miminum de faire une DoS
indétectable, au maximum d'exécuter du code pour installer un accès root
(par exemple).
donc un rézo simple (avec un poste relié au web servant de passerelle
avec un FW du type Kerio), est vulnérable ?
S'il est vulnérable aux attaques sous-jacentes, oui. Ce n'est pas le fait
qu'on envoie du trafic depuis une adresse IP privée qui pose problème,
c'est l'exploitation d'une faille existante depuis ces adresses, puisque
ça ne permet alors pas de remonter à la source...
Jacques.
--
Interactive Media Factory
Création, développement et hébergement
de services interactifs: SMS, SMS+, Audiotel...
http://www.imfeurope.com/
Ca fait partie des bonnes règles que de filtrer sur les interfaces externes les adresses IP utilisées en interne, qui ne devraient jamais arriver depuis l'extérieur...
Y-a-t-il eu des tentatives d'intrusion utilisant (ou étant encapsulées) dans de tels datagrammes venant d'adresses privées ?
Au minimum, de nombreuses attaques de type DoS utilisent cette méthode (par exemple les attaques TCP SYN). Au pire, les implémentations de TCP un peu "faibles" permettent à un attaquant d'ouvrir une session TCP sans recevoir les réponses, ce qui leur permettra au miminum de faire une DoS indétectable, au maximum d'exécuter du code pour installer un accès root (par exemple).
donc un rézo simple (avec un poste relié au web servant de passerelle avec un FW du type Kerio), est vulnérable ?
S'il est vulnérable aux attaques sous-jacentes, oui. Ce n'est pas le fait qu'on envoie du trafic depuis une adresse IP privée qui pose problème, c'est l'exploitation d'une faille existante depuis ces adresses, puisque ça ne permet alors pas de remonter à la source...
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
Steph
Jacques Caron wrote:
On 15 Dec 2003 17:49:15 GMT, Steph wrote:
donc un rézo simple (avec un poste relié au web servant de passerelle avec un FW du type Kerio), est vulnérable ?
S'il est vulnérable aux attaques sous-jacentes, oui. Ce n'est pas le fait qu'on envoie du trafic depuis une adresse IP privée qui pose problème, c'est l'exploitation d'une faille existante depuis ces adresses, puisque ça ne permet alors pas de remonter à la source...
Si j'ai bien compris, un FW comme Kerio ne sait pas faire la différence entre des paquets reçus via le modem ou via Ethernet ??? OK. Bon... pourrais-tu me dire quelle est la configuration minimale matérielle et ou logicielle d'un rézo de 2 ou 3 PC sous WindowsXP, dont un (avec Kerio*) fait seulement passerelle web (pas de site web, pas de ftp, etc), pour pallier à se genre de faille ?
*Kerio ou autres FW à règles comme Outpost ou Look'n'Stop
Steph
-- Enlever l'adresse bidon invalide pour m'écrire
Jacques Caron wrote:
On 15 Dec 2003 17:49:15 GMT, Steph
<steph@lavillerose.com.adressebidon.invalid> wrote:
donc un rézo simple (avec un poste relié au web servant de passerelle
avec un FW du type Kerio), est vulnérable ?
S'il est vulnérable aux attaques sous-jacentes, oui. Ce n'est pas le
fait qu'on envoie du trafic depuis une adresse IP privée qui pose
problème, c'est l'exploitation d'une faille existante depuis ces
adresses, puisque ça ne permet alors pas de remonter à la source...
Si j'ai bien compris, un FW comme Kerio ne sait pas faire la différence
entre des paquets reçus via le modem ou via Ethernet ???
OK. Bon... pourrais-tu me dire quelle est la configuration minimale
matérielle et ou logicielle d'un rézo de 2 ou 3 PC sous WindowsXP, dont
un (avec Kerio*) fait seulement passerelle web (pas de site web, pas de
ftp, etc), pour pallier à se genre de faille ?
*Kerio ou autres FW à règles comme Outpost ou Look'n'Stop
donc un rézo simple (avec un poste relié au web servant de passerelle avec un FW du type Kerio), est vulnérable ?
S'il est vulnérable aux attaques sous-jacentes, oui. Ce n'est pas le fait qu'on envoie du trafic depuis une adresse IP privée qui pose problème, c'est l'exploitation d'une faille existante depuis ces adresses, puisque ça ne permet alors pas de remonter à la source...
Si j'ai bien compris, un FW comme Kerio ne sait pas faire la différence entre des paquets reçus via le modem ou via Ethernet ??? OK. Bon... pourrais-tu me dire quelle est la configuration minimale matérielle et ou logicielle d'un rézo de 2 ou 3 PC sous WindowsXP, dont un (avec Kerio*) fait seulement passerelle web (pas de site web, pas de ftp, etc), pour pallier à se genre de faille ?
*Kerio ou autres FW à règles comme Outpost ou Look'n'Stop