modem/routeur & firewall

Fabien R a écrit, mardi 17 mai 2005, à 22:10 :

Salut à tous,

Je viens d'acquérir un modem/routeur Belkin ADSL2+ et la connexion marche
bien.
Seulement, j'ai des msg sur le routeur du genre klogd:
Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC5.36.205.245 DST5.36.193.131
LENH TOS=0x00 PREC=0x00 TTL7 ID#225 DF PROTO=TCP SPT28 DPTD5
WINDOWe535 RES=0x00 SYN URGP=0

Est-ce une tentative d'intrusion

google « 445 worm » => Sasser, un ver qui attaque le côté obscur sur
le port tcp/445 ;

ou une intrusion réussie ?

Tu aurais un XP ou W2000 dans ton routeur ??? Bah non, c'est trop cher
pour lui, et il ne doit pas avoir le bon processeur.

Faut-il faire confiance au firewall du modem ?

à force d'enregistrer ce bruit de fond, il va saturer son /var/log/ ...
autant ignorer les tentatives de connexion sur les ports comme 135,
13[789], 445, et j'en oublie.

Si non, peut-on en prendre le contrôle via iptables ?

Qui ça ? Toi, ou ceux de l'autre côté ?

D'avane merci,

de rien,
--
Jacques L'helgoualc'h


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

On Tuesday 17 May 2005 23:40, Jacques L'helgoualc'h wrote:

Fabien R a écrit, mardi 17 mai 2005, à 22:10 :
> Salut à tous,
>
> Je viens d'acquérir un modem/routeur Belkin ADSL2+ et la connexion marche
> bien.
> Seulement, j'ai des msg sur le routeur du genre klogd:
> Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC5.36.205.245
> DST5.36.193.131 LENH TOS=0x00 PREC=0x00 TTL7 ID#225 DF
> PROTO=TCP SPT28 DPTD5 WINDOWe535 RES=0x00 SYN URGP=0
>
> Est-ce une tentative d'intrusion

google « 445 worm » => Sasser, un ver qui attaque le côté obscur sur
le port tcp/445 ;

> ou une intrusion réussie ?

Tu aurais un XP ou W2000 dans ton routeur ??? Bah non, c'est trop cher
pour lui, et il ne doit pas avoir le bon processeur.

Nan. A priori, c'est du linux (msg klogd).

> Faut-il faire confiance au firewall du modem ?

à force d'enregistrer ce bruit de fond, il va saturer son /var/log/ ...
autant ignorer les tentatives de connexion sur les ports comme 135,
13[789], 445, et j'en oublie.

Donc ce sont seulement des tentatives.

> Si non, peut-on en prendre le contrôle via iptables ?

Qui ça ? Toi, ou ceux de l'autre côté ?

Moi bien sûr. Avant j'avais un modem interne et je voyais tout ce qui se
passait. Maintenant, je fais confiance au routeur...


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Fabien R a écrit, mercredi 18 mai 2005, à 20:41 :

On Tuesday 17 May 2005 23:40, Jacques L'helgoualc'h wrote:

[...]

Nan. A priori, c'est du linux (msg klogd).

Oui, comme beaucoup de petits routeurs.

> > Faut-il faire confiance au firewall du modem ?
>
> à force d'enregistrer ce bruit de fond, il va saturer son /var/log/ ...
> autant ignorer les tentatives de connexion sur les ports comme 135,
> 13[789], 445, et j'en oublie.
Donc ce sont seulement des tentatives.

Vouées à l'échec, Sasser n'attaque que les serveurs microsoft. Pour les
ports NetBIOS, il faudrait vraiment faire exprès d'ouvrir Samba en
partage à tout le nain Ternet à travers ton routeur ;)

> > Si non, peut-on en prendre le contrôle via iptables ?
>
> Qui ça ? Toi, ou ceux de l'autre côté ?
Moi bien sûr. Avant j'avais un modem interne et je voyais tout ce qui se
passait. Maintenant, je fais confiance au routeur...

Tu dois bien avoir une interface de configuration côté intérieur (http
ou telnet) ? Vérifie que c'est fermé à l'extérieur, tout de même.

Pour ton Belkin, je ne sais pas, demande à Google. Le routeur le mieux
doté de ce point de vue semble être le Linksys WRT54.
--
Jacques L'helgoualc'h


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Bonsoir a tous.

> Nan. A priori, c'est du linux (msg klogd).

Je ne saurai tarder de recevoir un routeur di-604
Quelqu'un pourrait-il me dire s'il y a moyen de savoir/logger ce qu'il
se passe in ze boiboite ?
Agir sur la boite par des batchs ?

Merci d'avance.



--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

>>Nan. A priori, c'est du linux (msg klogd).

Oui, comme beaucoup de petits routeurs.

mais c'est pas pour autant que tu pourras te logger dessus en ssh ou autre

pour ca, google est ton ami :)

@+
Jérôme


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org