Help cherche conseils : attaque virale : 2 Xserves HS
16 réponses
patrick.noXmail.esnault
Non : le virus n'est pas sur Mac...
(encore que ?)
....mais sur un portable PC d'un stagiaire branché directement sur le
réseau interne et donc sans antivurus et avant le FW :-((
Je n'ai pas encore identifié le virus (le pc est dans un bocal en
attendant) mais il scannait toutes les adresses 192.168.x.x à raison de
36 adresses /secondes en usurpant l'adresse du FW en 128.0.0.0 (je sais
c'est étrange, mais c'est le message d'alerte de mon FW : cf
ci-dessous).
C'est le FW qui a donné l'alerte, mais en 90 mn il avait scanné 149 000
fois le réseau !!!
Bref on isole le PC, mais mes deux Xserve sont devenus des Zombies :
* ils ne sont pas morts (pingables)
* ssh impossible
* fichiers logs inexistants durant cette période.
L'un des deux a redémarré sans faire d'histoires (il était sur une
partie du réseau accessible en IPSec)
L'autre (la messagerie...) a obstinément (trois essais) refusé de
démarrer avec une liaison internet active mais il a démarré sans
problème avec un réseau qui n'avait PAS de liaison internet.
Pire : il s'est remis en mode zombie dès que j'ai rallumé internet.
J'ai réinstallé les sauvegardes de la nuit, activé les FW des XServe
(qui ne l'étaient pas), fermé tout ce qui pouvait l'être sur le FW du
réseau et tout remarche. Mais...
...il me reste trop de questions sans réponse (dont l'état de mon réseau
demain matin).
Merci de vos lumières ou conseils.
*********
Message du FW :
"Le spoofing IP est une technique permettant à un hacker d'envoyer à une
machine des paquets semblant provenir d'une adresse IP autre que celle
de la machine du hacker. Le spoofing IP n'est pas pour autant un
changement d'adresse IP. Plus exactement il s'agit d'un masquage de
l'adresse IP au niveau des paquets émis, c'est-à-dire que les paquets
envoyés sont modifiés afin qu'ils semblent parvenir d'une machine.
En partant du principe que le firewall se fait confiance à lui-même, un
attaquant peut essayer de masquer son adresse IP par l'adresse de boucle
du firewall afin de tromper le firewall. Celle-ci est du type
127.0.0.0/8."
In article <1gnpva8.2f4h321e46ou0N%, (Patrick ESNAULT) wrote:
....mais sur un portable PC d'un stagiaire branché directement sur le réseau interne et donc sans antivurus et avant le FW :-((
tue le stagiaire après avoir détruit son portable devant lui.
Je n'ai pas encore identifié le virus (le pc est dans un bocal en attendant) mais il scannait toutes les adresses 192.168.x.x à raison de 36 adresses /secondes en usurpant l'adresse du FW en 128.0.0.0 (je sais c'est étrange, mais c'est le message d'alerte de mon FW : cf ci-dessous).
128.0.0.0 ? c'est sérieux ?
C'est le FW qui a donné l'alerte, mais en 90 mn il avait scanné 149 000 fois le réseau !!! Bref on isole le PC, mais mes deux Xserve sont devenus des Zombies : * ils ne sont pas morts (pingables) * ssh impossible * fichiers logs inexistants durant cette période.
j'ai deja eu ce genre de chose sur un xserve pourri. Il faut savoir que sshd est lancé par xinetd, ce qui est d'une bétise crasse en terme de ressources/performance. Le Xserve dont je parle était particulièrement sensible, il mourrait tout seul après une journée de scan par un outils de monitoring (Nagios). Juste un scan par minute sur le port SSH et PAF, 24h apres plus de xserve. Ces crash absolument reproductibles et ponctuels à 10min près, ont complétement disparu le jour ou on a désactivé la sonde nagios.
Il n'est pas exclu que ton soucis vienne de la (ie. du même mécanisme)
L'un des deux a redémarré sans faire d'histoires (il était sur une partie du réseau accessible en IPSec)
L'autre (la messagerie...) a obstinément (trois essais) refusé de démarrer avec une liaison internet active mais il a démarré sans problème avec un réseau qui n'avait PAS de liaison internet. Pire : il s'est remis en mode zombie dès que j'ai rallumé internet.
il ne continuerait pas par hasard à recevoir des paquets ?
...il me reste trop de questions sans réponse (dont l'état de mon réseau demain matin).
tcpdump est ton ami (et netstat, et tout et tout)
patpro
In article
<1gnpva8.2f4h321e46ou0N%patrick.noXmail.esnault@cfd.noXmail.fr>,
patrick.noXmail.esnault@cfd.noXmail.fr (Patrick ESNAULT) wrote:
....mais sur un portable PC d'un stagiaire branché directement sur le
réseau interne et donc sans antivurus et avant le FW :-((
tue le stagiaire après avoir détruit son portable devant lui.
Je n'ai pas encore identifié le virus (le pc est dans un bocal en
attendant) mais il scannait toutes les adresses 192.168.x.x à raison de
36 adresses /secondes en usurpant l'adresse du FW en 128.0.0.0 (je sais
c'est étrange, mais c'est le message d'alerte de mon FW : cf
ci-dessous).
128.0.0.0 ? c'est sérieux ?
C'est le FW qui a donné l'alerte, mais en 90 mn il avait scanné 149 000
fois le réseau !!!
Bref on isole le PC, mais mes deux Xserve sont devenus des Zombies :
* ils ne sont pas morts (pingables)
* ssh impossible
* fichiers logs inexistants durant cette période.
j'ai deja eu ce genre de chose sur un xserve pourri. Il faut savoir que
sshd est lancé par xinetd, ce qui est d'une bétise crasse en terme de
ressources/performance. Le Xserve dont je parle était particulièrement
sensible, il mourrait tout seul après une journée de scan par un outils
de monitoring (Nagios). Juste un scan par minute sur le port SSH et PAF,
24h apres plus de xserve. Ces crash absolument reproductibles et
ponctuels à 10min près, ont complétement disparu le jour ou on a
désactivé la sonde nagios.
Il n'est pas exclu que ton soucis vienne de la (ie. du même mécanisme)
L'un des deux a redémarré sans faire d'histoires (il était sur une
partie du réseau accessible en IPSec)
L'autre (la messagerie...) a obstinément (trois essais) refusé de
démarrer avec une liaison internet active mais il a démarré sans
problème avec un réseau qui n'avait PAS de liaison internet.
Pire : il s'est remis en mode zombie dès que j'ai rallumé internet.
il ne continuerait pas par hasard à recevoir des paquets ?
...il me reste trop de questions sans réponse (dont l'état de mon réseau
demain matin).
In article <1gnpva8.2f4h321e46ou0N%, (Patrick ESNAULT) wrote:
....mais sur un portable PC d'un stagiaire branché directement sur le réseau interne et donc sans antivurus et avant le FW :-((
tue le stagiaire après avoir détruit son portable devant lui.
Je n'ai pas encore identifié le virus (le pc est dans un bocal en attendant) mais il scannait toutes les adresses 192.168.x.x à raison de 36 adresses /secondes en usurpant l'adresse du FW en 128.0.0.0 (je sais c'est étrange, mais c'est le message d'alerte de mon FW : cf ci-dessous).
128.0.0.0 ? c'est sérieux ?
C'est le FW qui a donné l'alerte, mais en 90 mn il avait scanné 149 000 fois le réseau !!! Bref on isole le PC, mais mes deux Xserve sont devenus des Zombies : * ils ne sont pas morts (pingables) * ssh impossible * fichiers logs inexistants durant cette période.
j'ai deja eu ce genre de chose sur un xserve pourri. Il faut savoir que sshd est lancé par xinetd, ce qui est d'une bétise crasse en terme de ressources/performance. Le Xserve dont je parle était particulièrement sensible, il mourrait tout seul après une journée de scan par un outils de monitoring (Nagios). Juste un scan par minute sur le port SSH et PAF, 24h apres plus de xserve. Ces crash absolument reproductibles et ponctuels à 10min près, ont complétement disparu le jour ou on a désactivé la sonde nagios.
Il n'est pas exclu que ton soucis vienne de la (ie. du même mécanisme)
L'un des deux a redémarré sans faire d'histoires (il était sur une partie du réseau accessible en IPSec)
L'autre (la messagerie...) a obstinément (trois essais) refusé de démarrer avec une liaison internet active mais il a démarré sans problème avec un réseau qui n'avait PAS de liaison internet. Pire : il s'est remis en mode zombie dès que j'ai rallumé internet.
il ne continuerait pas par hasard à recevoir des paquets ?
...il me reste trop de questions sans réponse (dont l'état de mon réseau demain matin).
tcpdump est ton ami (et netstat, et tout et tout)
patpro
gabriel blazquez
"patpro ~ patrick proniewski" a écrit dans le message de news:
In article <1gnpva8.2f4h321e46ou0N%, (Patrick ESNAULT) wrote:
....mais sur un portable PC d'un stagiaire branché directement sur le réseau interne et donc sans antivurus et avant le FW :-((
tue le stagiaire après avoir détruit son portable devant lui.
Ne pas oublier de le recouvrir d'une couche de chaux vive (3 cm d'epaisseur) ce type d'organisme pouvant se regenerer spontanement .
Je n'ai pas encore identifié le virus (le pc est dans un bocal en attendant) mais il scannait toutes les adresses 192.168.x.x à raison de 36 adresses /secondes en usurpant l'adresse du FW en 128.0.0.0 (je sais c'est étrange, mais c'est le message d'alerte de mon FW : cf ci-dessous).
128.0.0.0 ? c'est sérieux ?
C'est le FW qui a donné l'alerte, mais en 90 mn il avait scanné 149 000 fois le réseau !!! Bref on isole le PC, mais mes deux Xserve sont devenus des Zombies : * ils ne sont pas morts (pingables) * ssh impossible * fichiers logs inexistants durant cette période.
j'ai deja eu ce genre de chose sur un xserve pourri. Il faut savoir que sshd est lancé par xinetd, ce qui est d'une bétise crasse en terme de ressources/performance. Le Xserve dont je parle était particulièrement sensible, il mourrait tout seul après une journée de scan par un outils de monitoring (Nagios). Juste un scan par minute sur le port SSH et PAF, 24h apres plus de xserve. Ces crash absolument reproductibles et ponctuels à 10min près, ont complétement disparu le jour ou on a désactivé la sonde nagios.
Il n'est pas exclu que ton soucis vienne de la (ie. du même mécanisme)
L'un des deux a redémarré sans faire d'histoires (il était sur une partie du réseau accessible en IPSec)
L'autre (la messagerie...) a obstinément (trois essais) refusé de démarrer avec une liaison internet active mais il a démarré sans problème avec un réseau qui n'avait PAS de liaison internet. Pire : il s'est remis en mode zombie dès que j'ai rallumé internet.
il ne continuerait pas par hasard à recevoir des paquets ?
...il me reste trop de questions sans réponse (dont l'état de mon réseau demain matin).
tcpdump est ton ami (et netstat, et tout et tout)
patpro
"patpro ~ patrick proniewski" <patpro@boleskine.patpro.net> a écrit dans le
message de news: patpro-5D3FF2.19233023112004@individual.net...
In article
<1gnpva8.2f4h321e46ou0N%patrick.noXmail.esnault@cfd.noXmail.fr>,
patrick.noXmail.esnault@cfd.noXmail.fr (Patrick ESNAULT) wrote:
....mais sur un portable PC d'un stagiaire branché directement sur le
réseau interne et donc sans antivurus et avant le FW :-((
tue le stagiaire après avoir détruit son portable devant lui.
Ne pas oublier de le recouvrir d'une couche de chaux vive (3 cm d'epaisseur)
ce type d'organisme pouvant se regenerer spontanement .
Je n'ai pas encore identifié le virus (le pc est dans un bocal en
attendant) mais il scannait toutes les adresses 192.168.x.x à raison de
36 adresses /secondes en usurpant l'adresse du FW en 128.0.0.0 (je sais
c'est étrange, mais c'est le message d'alerte de mon FW : cf
ci-dessous).
128.0.0.0 ? c'est sérieux ?
C'est le FW qui a donné l'alerte, mais en 90 mn il avait scanné 149 000
fois le réseau !!!
Bref on isole le PC, mais mes deux Xserve sont devenus des Zombies :
* ils ne sont pas morts (pingables)
* ssh impossible
* fichiers logs inexistants durant cette période.
j'ai deja eu ce genre de chose sur un xserve pourri. Il faut savoir que
sshd est lancé par xinetd, ce qui est d'une bétise crasse en terme de
ressources/performance. Le Xserve dont je parle était particulièrement
sensible, il mourrait tout seul après une journée de scan par un outils
de monitoring (Nagios). Juste un scan par minute sur le port SSH et PAF,
24h apres plus de xserve. Ces crash absolument reproductibles et
ponctuels à 10min près, ont complétement disparu le jour ou on a
désactivé la sonde nagios.
Il n'est pas exclu que ton soucis vienne de la (ie. du même mécanisme)
L'un des deux a redémarré sans faire d'histoires (il était sur une
partie du réseau accessible en IPSec)
L'autre (la messagerie...) a obstinément (trois essais) refusé de
démarrer avec une liaison internet active mais il a démarré sans
problème avec un réseau qui n'avait PAS de liaison internet.
Pire : il s'est remis en mode zombie dès que j'ai rallumé internet.
il ne continuerait pas par hasard à recevoir des paquets ?
...il me reste trop de questions sans réponse (dont l'état de mon réseau
demain matin).
"patpro ~ patrick proniewski" a écrit dans le message de news:
In article <1gnpva8.2f4h321e46ou0N%, (Patrick ESNAULT) wrote:
....mais sur un portable PC d'un stagiaire branché directement sur le réseau interne et donc sans antivurus et avant le FW :-((
tue le stagiaire après avoir détruit son portable devant lui.
Ne pas oublier de le recouvrir d'une couche de chaux vive (3 cm d'epaisseur) ce type d'organisme pouvant se regenerer spontanement .
Je n'ai pas encore identifié le virus (le pc est dans un bocal en attendant) mais il scannait toutes les adresses 192.168.x.x à raison de 36 adresses /secondes en usurpant l'adresse du FW en 128.0.0.0 (je sais c'est étrange, mais c'est le message d'alerte de mon FW : cf ci-dessous).
128.0.0.0 ? c'est sérieux ?
C'est le FW qui a donné l'alerte, mais en 90 mn il avait scanné 149 000 fois le réseau !!! Bref on isole le PC, mais mes deux Xserve sont devenus des Zombies : * ils ne sont pas morts (pingables) * ssh impossible * fichiers logs inexistants durant cette période.
j'ai deja eu ce genre de chose sur un xserve pourri. Il faut savoir que sshd est lancé par xinetd, ce qui est d'une bétise crasse en terme de ressources/performance. Le Xserve dont je parle était particulièrement sensible, il mourrait tout seul après une journée de scan par un outils de monitoring (Nagios). Juste un scan par minute sur le port SSH et PAF, 24h apres plus de xserve. Ces crash absolument reproductibles et ponctuels à 10min près, ont complétement disparu le jour ou on a désactivé la sonde nagios.
Il n'est pas exclu que ton soucis vienne de la (ie. du même mécanisme)
L'un des deux a redémarré sans faire d'histoires (il était sur une partie du réseau accessible en IPSec)
L'autre (la messagerie...) a obstinément (trois essais) refusé de démarrer avec une liaison internet active mais il a démarré sans problème avec un réseau qui n'avait PAS de liaison internet. Pire : il s'est remis en mode zombie dès que j'ai rallumé internet.
il ne continuerait pas par hasard à recevoir des paquets ?
...il me reste trop de questions sans réponse (dont l'état de mon réseau demain matin).
tcpdump est ton ami (et netstat, et tout et tout)
patpro
patrick.noXmail.esnault
tue le stagiaire après avoir détruit son portable devant lui. c'est prévu.
j'ai deja eu ce genre de chose sur un xserve pourri. Il faut savoir que sshd est lancé par xinetd, ce qui est d'une bétise crasse en terme de ressources/performance. Il n'est pas exclu que ton soucis vienne de la (ie. du même mécanisme) Intéressant.
Pire : il s'est remis en mode zombie dès que j'ai rallumé internet. il ne continuerait pas par hasard à recevoir des paquets ?
Je n'avais pas envisagé, mais c'est possible.
tcpdump est ton ami (et netstat, et tout et tout) C'est bon d'avoir des amis :-)
tue le stagiaire après avoir détruit son portable devant lui.
c'est prévu.
j'ai deja eu ce genre de chose sur un xserve pourri. Il faut savoir que
sshd est lancé par xinetd, ce qui est d'une bétise crasse en terme de
ressources/performance.
Il n'est pas exclu que ton soucis vienne de la (ie. du même mécanisme)
Intéressant.
Pire : il s'est remis en mode zombie dès que j'ai rallumé internet.
il ne continuerait pas par hasard à recevoir des paquets ?
Je n'avais pas envisagé, mais c'est possible.
tcpdump est ton ami (et netstat, et tout et tout)
C'est bon d'avoir des amis :-)
j'ai deja eu ce genre de chose sur un xserve pourri. Il faut savoir que sshd est lancé par xinetd, ce qui est d'une bétise crasse en terme de ressources/performance. Il n'est pas exclu que ton soucis vienne de la (ie. du même mécanisme) Intéressant.
Pire : il s'est remis en mode zombie dès que j'ai rallumé internet. il ne continuerait pas par hasard à recevoir des paquets ?
Je n'avais pas envisagé, mais c'est possible.
tcpdump est ton ami (et netstat, et tout et tout) C'est bon d'avoir des amis :-)
Nicolas.Michel
Patrick ESNAULT wrote:
Non : le virus n'est pas sur Mac...
(encore que ?)
....mais sur un portable PC d'un stagiaire branché directement sur le réseau interne et donc sans antivurus et avant le FW :-(( [snip]
Merci pour ce post. Celà me conforte dans l'idée qu'il faut activer le fw en local sur chaque machines. (Je travaille aussi dans un reseau plein de stagiaires et autres intrus, soit en moyenne 40 machines infectées en permanance, on doit se protéger non-seulement de l'extérieur, mais aussi de l'intérieur)
-- Nicolas Michel
Patrick ESNAULT <patrick.noXmail.esnault@cfd.noXmail.fr> wrote:
Non : le virus n'est pas sur Mac...
(encore que ?)
....mais sur un portable PC d'un stagiaire branché directement sur le
réseau interne et donc sans antivurus et avant le FW :-((
[snip]
Merci pour ce post.
Celà me conforte dans l'idée qu'il faut activer le fw en local sur
chaque machines.
(Je travaille aussi dans un reseau plein de stagiaires et autres intrus,
soit en moyenne 40 machines infectées en permanance, on doit se protéger
non-seulement de l'extérieur, mais aussi de l'intérieur)
....mais sur un portable PC d'un stagiaire branché directement sur le réseau interne et donc sans antivurus et avant le FW :-(( [snip]
Merci pour ce post. Celà me conforte dans l'idée qu'il faut activer le fw en local sur chaque machines. (Je travaille aussi dans un reseau plein de stagiaires et autres intrus, soit en moyenne 40 machines infectées en permanance, on doit se protéger non-seulement de l'extérieur, mais aussi de l'intérieur)
-- Nicolas Michel
patpro ~ patrick proniewski
In article <1gnt66j.evzchlsrg5ruN%, (Nicolas.Michel) wrote:
....mais sur un portable PC d'un stagiaire branché directement sur le réseau interne et donc sans antivurus et avant le FW :-(( [snip]
Merci pour ce post. Celà me conforte dans l'idée qu'il faut activer le fw en local sur chaque machines. (Je travaille aussi dans un reseau plein de stagiaires et autres intrus, soit en moyenne 40 machines infectées en permanance, on doit se protéger non-seulement de l'extérieur, mais aussi de l'intérieur)
je ne suis pas d'accord avec cette conclusion. Si ton réseau interne n'est pas sûr tu places simplement tes serveurs sur un autre réseau protégé, ou tu fais passer tout le monde par le firewall, ou encore tu créés un sous réseau pour les ordinateurs portables qui est filtré par le firewall (ce que font les grosses boites en général). Activer le firewall de chaque machine est, je pense, une mauvaise idée.
patpro
In article <1gnt66j.evzchlsrg5ruN%Nicolas.Michel@bonbon.net>,
Nicolas.Michel@bonbon.net (Nicolas.Michel) wrote:
....mais sur un portable PC d'un stagiaire branché directement sur le
réseau interne et donc sans antivurus et avant le FW :-((
[snip]
Merci pour ce post.
Celà me conforte dans l'idée qu'il faut activer le fw en local sur
chaque machines.
(Je travaille aussi dans un reseau plein de stagiaires et autres intrus,
soit en moyenne 40 machines infectées en permanance, on doit se protéger
non-seulement de l'extérieur, mais aussi de l'intérieur)
je ne suis pas d'accord avec cette conclusion. Si ton réseau interne
n'est pas sûr tu places simplement tes serveurs sur un autre réseau
protégé, ou tu fais passer tout le monde par le firewall, ou encore tu
créés un sous réseau pour les ordinateurs portables qui est filtré par
le firewall (ce que font les grosses boites en général).
Activer le firewall de chaque machine est, je pense, une mauvaise idée.
In article <1gnt66j.evzchlsrg5ruN%, (Nicolas.Michel) wrote:
....mais sur un portable PC d'un stagiaire branché directement sur le réseau interne et donc sans antivurus et avant le FW :-(( [snip]
Merci pour ce post. Celà me conforte dans l'idée qu'il faut activer le fw en local sur chaque machines. (Je travaille aussi dans un reseau plein de stagiaires et autres intrus, soit en moyenne 40 machines infectées en permanance, on doit se protéger non-seulement de l'extérieur, mais aussi de l'intérieur)
je ne suis pas d'accord avec cette conclusion. Si ton réseau interne n'est pas sûr tu places simplement tes serveurs sur un autre réseau protégé, ou tu fais passer tout le monde par le firewall, ou encore tu créés un sous réseau pour les ordinateurs portables qui est filtré par le firewall (ce que font les grosses boites en général). Activer le firewall de chaque machine est, je pense, une mauvaise idée.
patpro
patrick.noXmail.esnault
je ne suis pas d'accord avec cette conclusion. Si ton réseau interne n'est pas sûr tu places simplement tes serveurs sur un autre réseau protégé, ou tu fais passer tout le monde par le firewall, ou encore tu créés un sous réseau pour les ordinateurs portables qui est filtré par le firewall (ce que font les grosses boites en général). Activer le firewall de chaque machine est, je pense, une mauvaise idée.
patpro
Mon stagiaire part demain (avec son PC) et je n'ai pas de temps à perdre à examiner sa machine. Il semble effectivement que l'explication soit dans une attaque type denis de service qui a saturé les serveurs. C'est la seule explication que j'ai à la disparition des logs durant l'attaque.
Ce que je ne comprends pas, c'est pourquoi mes deux Xserve sont tombés et pas trois autres serveurs PC sous NT4 et W2000 sur le même réseau.
Epuis normalement le denis de service sert à em...er cisco ou microsoft. Bloquer un serveur isolé n'a aucun sens si on en prends pas le contrôle, ce qui ne semble pas avoir été le cas chez moi.
Sur la remarque des FW internes : créer un sous réseau avec les portables me semble quasi irréalisable car le câblage physique n'est pas modifiable (sauf à jouer avec le tableau de brassage à chaque changement d'utilisateur et/ou de bureau) et se contenter d'un sous réseau logique n'est pas suffisant car dans mon cas "il" a scanné toutes les adresses autorisées en adresse privé !
Enfermer les serveurs derrière un autre FW hard est par contre plus simple à réaliser.
Questions annexe : sait-on ce que consomme le FW soft d'un Xserve ? pourquoi est-ce une mauvaise idée de l'activer ? un FW soft est-il capable de détecter l'intrusion de quelqu'un qui se fait passer pour 127.0.0.1 ?
je ne suis pas d'accord avec cette conclusion. Si ton réseau interne
n'est pas sûr tu places simplement tes serveurs sur un autre réseau
protégé, ou tu fais passer tout le monde par le firewall, ou encore tu
créés un sous réseau pour les ordinateurs portables qui est filtré par
le firewall (ce que font les grosses boites en général).
Activer le firewall de chaque machine est, je pense, une mauvaise idée.
patpro
Mon stagiaire part demain (avec son PC) et je n'ai pas de temps à perdre
à examiner sa machine.
Il semble effectivement que l'explication soit dans une attaque type
denis de service qui a saturé les serveurs. C'est la seule explication
que j'ai à la disparition des logs durant l'attaque.
Ce que je ne comprends pas, c'est pourquoi mes deux Xserve sont tombés
et pas trois autres serveurs PC sous NT4 et W2000 sur le même réseau.
Epuis normalement le denis de service sert à em...er cisco ou microsoft.
Bloquer un serveur isolé n'a aucun sens si on en prends pas le contrôle,
ce qui ne semble pas avoir été le cas chez moi.
Sur la remarque des FW internes : créer un sous réseau avec les
portables me semble quasi irréalisable car le câblage physique n'est pas
modifiable (sauf à jouer avec le tableau de brassage à chaque changement
d'utilisateur et/ou de bureau) et se contenter d'un sous réseau logique
n'est pas suffisant car dans mon cas "il" a scanné toutes les adresses
autorisées en adresse privé !
Enfermer les serveurs derrière un autre FW hard est par contre plus
simple à réaliser.
Questions annexe :
sait-on ce que consomme le FW soft d'un Xserve ?
pourquoi est-ce une mauvaise idée de l'activer ?
un FW soft est-il capable de détecter l'intrusion de quelqu'un qui se
fait passer pour 127.0.0.1 ?
je ne suis pas d'accord avec cette conclusion. Si ton réseau interne n'est pas sûr tu places simplement tes serveurs sur un autre réseau protégé, ou tu fais passer tout le monde par le firewall, ou encore tu créés un sous réseau pour les ordinateurs portables qui est filtré par le firewall (ce que font les grosses boites en général). Activer le firewall de chaque machine est, je pense, une mauvaise idée.
patpro
Mon stagiaire part demain (avec son PC) et je n'ai pas de temps à perdre à examiner sa machine. Il semble effectivement que l'explication soit dans une attaque type denis de service qui a saturé les serveurs. C'est la seule explication que j'ai à la disparition des logs durant l'attaque.
Ce que je ne comprends pas, c'est pourquoi mes deux Xserve sont tombés et pas trois autres serveurs PC sous NT4 et W2000 sur le même réseau.
Epuis normalement le denis de service sert à em...er cisco ou microsoft. Bloquer un serveur isolé n'a aucun sens si on en prends pas le contrôle, ce qui ne semble pas avoir été le cas chez moi.
Sur la remarque des FW internes : créer un sous réseau avec les portables me semble quasi irréalisable car le câblage physique n'est pas modifiable (sauf à jouer avec le tableau de brassage à chaque changement d'utilisateur et/ou de bureau) et se contenter d'un sous réseau logique n'est pas suffisant car dans mon cas "il" a scanné toutes les adresses autorisées en adresse privé !
Enfermer les serveurs derrière un autre FW hard est par contre plus simple à réaliser.
Questions annexe : sait-on ce que consomme le FW soft d'un Xserve ? pourquoi est-ce une mauvaise idée de l'activer ? un FW soft est-il capable de détecter l'intrusion de quelqu'un qui se fait passer pour 127.0.0.1 ?
patpro ~ patrick proniewski
In article <1gnt7r4.107z1fq1wa9sa0N%, (Patrick ESNAULT) wrote:
Mon stagiaire part demain (avec son PC) et je n'ai pas de temps à perdre à examiner sa machine.
meme post mortem ? tu les mets les deux dans un frigo, tu les sortiras qiand tu auras le temps...
Ce que je ne comprends pas, c'est pourquoi mes deux Xserve sont tombés et pas trois autres serveurs PC sous NT4 et W2000 sur le même réseau.
parce que comme je l'expliquais, MacOS X sert le SSH (entre autre) par xinetd, et que chaque connexion coute bien plus cher en CPU que si le SSHd était lancé en permanance.
Epuis normalement le denis de service sert à em...er cisco ou microsoft. Bloquer un serveur isolé n'a aucun sens si on en prends pas le contrôle, ce qui ne semble pas avoir été le cas chez moi.
<emphase théatrale> virus, avez vous donc une ame ? </emphase>
Sur la remarque des FW internes : créer un sous réseau avec les portables me semble quasi irréalisable car le câblage physique n'est pas modifiable (sauf à jouer avec le tableau de brassage à chaque changement d'utilisateur et/ou de bureau) et se contenter d'un sous réseau logique n'est pas suffisant car dans mon cas "il" a scanné toutes les adresses autorisées en adresse privé !
si tu as plusieurs sous-réseau tu as un routeur entre les réseaux, qui devrait interdir le spoofing d'IP, mais bon, je suis pas spécialiste en réseau donc je dis peut etre une énormité. Sinon il est aussi simple d'interdir aux portables de se connecter au réseau physique, et les forcer à utiliser un sous réseau Wifi, qui serait filtré par le firewall.
Enfermer les serveurs derrière un autre FW hard est par contre plus simple à réaliser.
c'est sur
Questions annexe : sait-on ce que consomme le FW soft d'un Xserve ?
assez peu, il est dans le kernel et il est assez performant.
pourquoi est-ce une mauvaise idée de l'activer ?
Ce n'est pas une mauvaise idée à l'échelle d'un ou deux serveurs. C'est une mauvaise idée de l'activer sur toutes les machines d'un parc.
un FW soft est-il capable de détecter l'intrusion de quelqu'un qui se fait passer pour 127.0.0.1 ?
probablement qu'il laisserait tomber le packet, je crois que la config par défaut sur OSXS filtre effectivement ces entrées.
patpro
In article
<1gnt7r4.107z1fq1wa9sa0N%patrick.noXmail.esnault@cfd.noXmail.fr>,
patrick.noXmail.esnault@cfd.noXmail.fr (Patrick ESNAULT) wrote:
Mon stagiaire part demain (avec son PC) et je n'ai pas de temps à perdre
à examiner sa machine.
meme post mortem ? tu les mets les deux dans un frigo, tu les sortiras
qiand tu auras le temps...
Ce que je ne comprends pas, c'est pourquoi mes deux Xserve sont tombés
et pas trois autres serveurs PC sous NT4 et W2000 sur le même réseau.
parce que comme je l'expliquais, MacOS X sert le SSH (entre autre) par
xinetd, et que chaque connexion coute bien plus cher en CPU que si le
SSHd était lancé en permanance.
Epuis normalement le denis de service sert à em...er cisco ou microsoft.
Bloquer un serveur isolé n'a aucun sens si on en prends pas le contrôle,
ce qui ne semble pas avoir été le cas chez moi.
<emphase théatrale>
virus, avez vous donc une ame ?
</emphase>
Sur la remarque des FW internes : créer un sous réseau avec les
portables me semble quasi irréalisable car le câblage physique n'est pas
modifiable (sauf à jouer avec le tableau de brassage à chaque changement
d'utilisateur et/ou de bureau) et se contenter d'un sous réseau logique
n'est pas suffisant car dans mon cas "il" a scanné toutes les adresses
autorisées en adresse privé !
si tu as plusieurs sous-réseau tu as un routeur entre les réseaux, qui
devrait interdir le spoofing d'IP, mais bon, je suis pas spécialiste en
réseau donc je dis peut etre une énormité.
Sinon il est aussi simple d'interdir aux portables de se connecter au
réseau physique, et les forcer à utiliser un sous réseau Wifi, qui
serait filtré par le firewall.
Enfermer les serveurs derrière un autre FW hard est par contre plus
simple à réaliser.
c'est sur
Questions annexe :
sait-on ce que consomme le FW soft d'un Xserve ?
assez peu, il est dans le kernel et il est assez performant.
pourquoi est-ce une mauvaise idée de l'activer ?
Ce n'est pas une mauvaise idée à l'échelle d'un ou deux serveurs. C'est
une mauvaise idée de l'activer sur toutes les machines d'un parc.
un FW soft est-il capable de détecter l'intrusion de quelqu'un qui se
fait passer pour 127.0.0.1 ?
probablement qu'il laisserait tomber le packet, je crois que la config
par défaut sur OSXS filtre effectivement ces entrées.
In article <1gnt7r4.107z1fq1wa9sa0N%, (Patrick ESNAULT) wrote:
Mon stagiaire part demain (avec son PC) et je n'ai pas de temps à perdre à examiner sa machine.
meme post mortem ? tu les mets les deux dans un frigo, tu les sortiras qiand tu auras le temps...
Ce que je ne comprends pas, c'est pourquoi mes deux Xserve sont tombés et pas trois autres serveurs PC sous NT4 et W2000 sur le même réseau.
parce que comme je l'expliquais, MacOS X sert le SSH (entre autre) par xinetd, et que chaque connexion coute bien plus cher en CPU que si le SSHd était lancé en permanance.
Epuis normalement le denis de service sert à em...er cisco ou microsoft. Bloquer un serveur isolé n'a aucun sens si on en prends pas le contrôle, ce qui ne semble pas avoir été le cas chez moi.
<emphase théatrale> virus, avez vous donc une ame ? </emphase>
Sur la remarque des FW internes : créer un sous réseau avec les portables me semble quasi irréalisable car le câblage physique n'est pas modifiable (sauf à jouer avec le tableau de brassage à chaque changement d'utilisateur et/ou de bureau) et se contenter d'un sous réseau logique n'est pas suffisant car dans mon cas "il" a scanné toutes les adresses autorisées en adresse privé !
si tu as plusieurs sous-réseau tu as un routeur entre les réseaux, qui devrait interdir le spoofing d'IP, mais bon, je suis pas spécialiste en réseau donc je dis peut etre une énormité. Sinon il est aussi simple d'interdir aux portables de se connecter au réseau physique, et les forcer à utiliser un sous réseau Wifi, qui serait filtré par le firewall.
Enfermer les serveurs derrière un autre FW hard est par contre plus simple à réaliser.
c'est sur
Questions annexe : sait-on ce que consomme le FW soft d'un Xserve ?
assez peu, il est dans le kernel et il est assez performant.
pourquoi est-ce une mauvaise idée de l'activer ?
Ce n'est pas une mauvaise idée à l'échelle d'un ou deux serveurs. C'est une mauvaise idée de l'activer sur toutes les machines d'un parc.
un FW soft est-il capable de détecter l'intrusion de quelqu'un qui se fait passer pour 127.0.0.1 ?
probablement qu'il laisserait tomber le packet, je crois que la config par défaut sur OSXS filtre effectivement ces entrées.
patpro
Nicolas.Michel
patpro ~ patrick proniewski wrote:
je ne suis pas d'accord avec cette conclusion.
Note bien que c'est pas la mienne, mais celle du spécialiste sécurité de notre reseau
Si ton réseau interne n'est pas sûr tu places simplement tes serveurs sur un autre réseau protégé,
ça ne protège pas les workstations, ça.
ou tu fais passer tout le monde par le firewall,
C'est pas moi qui le gère Et je sais pas mettre ça en place. Tu philtres tout ce qui bouges sur le switch dirrectement ?
ou encore tu créés un sous réseau pour les ordinateurs portables qui est filtré par le firewall (ce que font les grosses boites en général).
Lourd. Et ça protège pas les portables les uns des autres.
Activer le firewall de chaque machine est, je pense, une mauvaise idée.
Pourquoi ? Si je ponds (après étude) un bon fichier de config pour fw, je le balance sur tous mes postes, quel seront les conséquences négatives ?
Note qu'on a déjà activé un fw soft sur les serveurs, avec relativement peu d'ennuis derrières (quelques réglages parcequ'on avait oublié certains utilisateurs avec des ip spéciales)
-- Nicolas Michel
patpro ~ patrick proniewski <patpro@boleskine.patpro.net> wrote:
je ne suis pas d'accord avec cette conclusion.
Note bien que c'est pas la mienne, mais celle du spécialiste sécurité de
notre reseau
Si ton réseau interne
n'est pas sûr tu places simplement tes serveurs sur un autre réseau
protégé,
ça ne protège pas les workstations, ça.
ou tu fais passer tout le monde par le firewall,
C'est pas moi qui le gère
Et je sais pas mettre ça en place.
Tu philtres tout ce qui bouges sur le switch dirrectement ?
ou encore tu
créés un sous réseau pour les ordinateurs portables qui est filtré par
le firewall (ce que font les grosses boites en général).
Lourd. Et ça protège pas les portables les uns des autres.
Activer le firewall de chaque machine est, je pense, une mauvaise idée.
Pourquoi ?
Si je ponds (après étude) un bon fichier de config pour fw, je le
balance sur tous mes postes, quel seront les conséquences négatives ?
Note qu'on a déjà activé un fw soft sur les serveurs, avec relativement
peu d'ennuis derrières (quelques réglages parcequ'on avait oublié
certains utilisateurs avec des ip spéciales)
Note bien que c'est pas la mienne, mais celle du spécialiste sécurité de notre reseau
Si ton réseau interne n'est pas sûr tu places simplement tes serveurs sur un autre réseau protégé,
ça ne protège pas les workstations, ça.
ou tu fais passer tout le monde par le firewall,
C'est pas moi qui le gère Et je sais pas mettre ça en place. Tu philtres tout ce qui bouges sur le switch dirrectement ?
ou encore tu créés un sous réseau pour les ordinateurs portables qui est filtré par le firewall (ce que font les grosses boites en général).
Lourd. Et ça protège pas les portables les uns des autres.
Activer le firewall de chaque machine est, je pense, une mauvaise idée.
Pourquoi ? Si je ponds (après étude) un bon fichier de config pour fw, je le balance sur tous mes postes, quel seront les conséquences négatives ?
Note qu'on a déjà activé un fw soft sur les serveurs, avec relativement peu d'ennuis derrières (quelques réglages parcequ'on avait oublié certains utilisateurs avec des ip spéciales)
-- Nicolas Michel
patpro ~ patrick proniewski
In article <1gnth3f.9a4zqh1takc0qN%, (Nicolas.Michel) wrote:
patpro ~ patrick proniewski wrote:
je ne suis pas d'accord avec cette conclusion.
Note bien que c'est pas la mienne, mais celle du spécialiste sécurité de notre reseau
il veut déléguer son taff aux admin ? ;)))
ou tu fais passer tout le monde par le firewall,
C'est pas moi qui le gère Et je sais pas mettre ça en place. Tu philtres tout ce qui bouges sur le switch dirrectement ?
j'imagine que ça dépend de l'architecture du réseau, mais comme je disais, le réseau c'est pas mon métier...
ou encore tu créés un sous réseau pour les ordinateurs portables qui est filtré par le firewall (ce que font les grosses boites en général).
Lourd. Et ça protège pas les portables les uns des autres.
ça peut, si tout le trafic est bien fliqué par le firewall
Activer le firewall de chaque machine est, je pense, une mauvaise idée.
Pourquoi ? Si je ponds (après étude) un bon fichier de config pour fw, je le balance sur tous mes postes, quel seront les conséquences négatives ?
en environnement hétérogène tu fais comment ? et quand les utilisateurs en changent les réglages ou les coupent carrément pour essayer de faire du p2p ou du chat personne ne s'en apperçoit jusqu'a la prochaine attaque virale et quand il y'a un réglage particulier a faire il faut changer le(s) fichier(s) de conf, les réinjecter sur les machines ad-hoc, ..., galère.
Note qu'on a déjà activé un fw soft sur les serveurs, avec relativement peu d'ennuis derrières (quelques réglages parcequ'on avait oublié certains utilisateurs avec des ip spéciales)
vala, sur les serveurs ca suffit, sur tout le parc c'est la porte ouverte aux emmerdements.
patpro
In article <1gnth3f.9a4zqh1takc0qN%Nicolas.Michel@bonbon.net>,
Nicolas.Michel@bonbon.net (Nicolas.Michel) wrote:
patpro ~ patrick proniewski <patpro@boleskine.patpro.net> wrote:
je ne suis pas d'accord avec cette conclusion.
Note bien que c'est pas la mienne, mais celle du spécialiste sécurité de
notre reseau
il veut déléguer son taff aux admin ? ;)))
ou tu fais passer tout le monde par le firewall,
C'est pas moi qui le gère
Et je sais pas mettre ça en place.
Tu philtres tout ce qui bouges sur le switch dirrectement ?
j'imagine que ça dépend de l'architecture du réseau, mais comme je
disais, le réseau c'est pas mon métier...
ou encore tu
créés un sous réseau pour les ordinateurs portables qui est filtré par
le firewall (ce que font les grosses boites en général).
Lourd. Et ça protège pas les portables les uns des autres.
ça peut, si tout le trafic est bien fliqué par le firewall
Activer le firewall de chaque machine est, je pense, une mauvaise idée.
Pourquoi ?
Si je ponds (après étude) un bon fichier de config pour fw, je le
balance sur tous mes postes, quel seront les conséquences négatives ?
en environnement hétérogène tu fais comment ?
et quand les utilisateurs en changent les réglages ou les coupent
carrément pour essayer de faire du p2p ou du chat personne ne s'en
apperçoit jusqu'a la prochaine attaque virale
et quand il y'a un réglage particulier a faire il faut changer le(s)
fichier(s) de conf, les réinjecter sur les machines ad-hoc, ..., galère.
Note qu'on a déjà activé un fw soft sur les serveurs, avec relativement
peu d'ennuis derrières (quelques réglages parcequ'on avait oublié
certains utilisateurs avec des ip spéciales)
vala, sur les serveurs ca suffit, sur tout le parc c'est la porte
ouverte aux emmerdements.
In article <1gnth3f.9a4zqh1takc0qN%, (Nicolas.Michel) wrote:
patpro ~ patrick proniewski wrote:
je ne suis pas d'accord avec cette conclusion.
Note bien que c'est pas la mienne, mais celle du spécialiste sécurité de notre reseau
il veut déléguer son taff aux admin ? ;)))
ou tu fais passer tout le monde par le firewall,
C'est pas moi qui le gère Et je sais pas mettre ça en place. Tu philtres tout ce qui bouges sur le switch dirrectement ?
j'imagine que ça dépend de l'architecture du réseau, mais comme je disais, le réseau c'est pas mon métier...
ou encore tu créés un sous réseau pour les ordinateurs portables qui est filtré par le firewall (ce que font les grosses boites en général).
Lourd. Et ça protège pas les portables les uns des autres.
ça peut, si tout le trafic est bien fliqué par le firewall
Activer le firewall de chaque machine est, je pense, une mauvaise idée.
Pourquoi ? Si je ponds (après étude) un bon fichier de config pour fw, je le balance sur tous mes postes, quel seront les conséquences négatives ?
en environnement hétérogène tu fais comment ? et quand les utilisateurs en changent les réglages ou les coupent carrément pour essayer de faire du p2p ou du chat personne ne s'en apperçoit jusqu'a la prochaine attaque virale et quand il y'a un réglage particulier a faire il faut changer le(s) fichier(s) de conf, les réinjecter sur les machines ad-hoc, ..., galère.
Note qu'on a déjà activé un fw soft sur les serveurs, avec relativement peu d'ennuis derrières (quelques réglages parcequ'on avait oublié certains utilisateurs avec des ip spéciales)
vala, sur les serveurs ca suffit, sur tout le parc c'est la porte ouverte aux emmerdements.
patpro
patrick.noXmail.esnault
patpro ~ patrick proniewski wrote:
parce que comme je l'expliquais, MacOS X sert le SSH (entre autre) par xinetd, et que chaque connexion coute bien plus cher en CPU que si le SSHd était lancé en permanance.
Voulant me coucher moins ignorant qu'en me levant, j'ai demandé à Google ce qu'est xinetd.
Le site : http://www.linuxfocus.org/Francais/November2000/article175.shtml#lfindex 0 M'explique :
"xinetd - extented Internet services daemon - fournit une excellente sécurité contre les intrusions, et limite certains risques d'attaques par Deny of Services (DoS)."
Apparement, c'est pas gagné. Si l'outil censé protéger agrave l'attaque...
Sinon, j'ai fini de décodé les logs du FW. Le PC scannait donc tous les ports uniquement entre 1000 et 1999 pris au hasard et toutes les adresses du réseau, entre 192.168.0.0 et 192.168.254.254 au hasard aussi. En 90 minutes, chaque adresse a été en moyenne scannée sur 2 à 3 ports.
patpro ~ patrick proniewski <patpro@boleskine.patpro.net> wrote:
parce que comme je l'expliquais, MacOS X sert le SSH (entre autre) par
xinetd, et que chaque connexion coute bien plus cher en CPU que si le
SSHd était lancé en permanance.
Voulant me coucher moins ignorant qu'en me levant, j'ai demandé à Google
ce qu'est xinetd.
Le site :
http://www.linuxfocus.org/Francais/November2000/article175.shtml#lfindex
0
M'explique :
"xinetd - extented Internet services daemon - fournit une excellente
sécurité contre les intrusions, et limite certains risques d'attaques
par Deny of Services (DoS)."
Apparement, c'est pas gagné. Si l'outil censé protéger agrave
l'attaque...
Sinon, j'ai fini de décodé les logs du FW.
Le PC scannait donc tous les ports uniquement entre 1000 et 1999 pris au
hasard et toutes les adresses du réseau, entre 192.168.0.0 et
192.168.254.254 au hasard aussi.
En 90 minutes, chaque adresse a été en moyenne scannée sur 2 à 3 ports.
parce que comme je l'expliquais, MacOS X sert le SSH (entre autre) par xinetd, et que chaque connexion coute bien plus cher en CPU que si le SSHd était lancé en permanance.
Voulant me coucher moins ignorant qu'en me levant, j'ai demandé à Google ce qu'est xinetd.
Le site : http://www.linuxfocus.org/Francais/November2000/article175.shtml#lfindex 0 M'explique :
"xinetd - extented Internet services daemon - fournit une excellente sécurité contre les intrusions, et limite certains risques d'attaques par Deny of Services (DoS)."
Apparement, c'est pas gagné. Si l'outil censé protéger agrave l'attaque...
Sinon, j'ai fini de décodé les logs du FW. Le PC scannait donc tous les ports uniquement entre 1000 et 1999 pris au hasard et toutes les adresses du réseau, entre 192.168.0.0 et 192.168.254.254 au hasard aussi. En 90 minutes, chaque adresse a été en moyenne scannée sur 2 à 3 ports.
