Question sur les ports ouverts (iptables et portsentry)

Le
debian-user-french
--=_c1c8e20f60d8e1cfce5894f7319f9677
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain; charset=UTF-8



Bonjour "la liste",

J'ai une question à vous soumettre, à
laquelle je ne trouve pas de réponse:

J'ai installé portsentry sur une
squeeze. Iptables est déjà configuré.

Portsentry ne détecte pas les
scans de ports, car il ne "lie" que les ports inutilisés; Or, évi=
demment
ceux ci sont protégés par iptables (INPUT DROP)

Pour que portsentry
fasse son travail (banissement des ip des vilains) j'ai ouvert des ports
inutilisés (20-22-23). Aucun programmes n'écoute sur ces ports.=


Cela
me permet de bloquer les scans avant qu'il ne s'intéressent à des=
ports
plus élevés

Est-ce une aberration au niveau de la sécurité ?


Merci d'avance,

Laurent
--=_c1c8e20f60d8e1cfce5894f7319f9677
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html; charset=UTF-8

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN">
<html><body>
<p>Bonjour "la liste",</p>
<p>J'ai une question &agrave; vous soumettre, &agrave; laquelle je ne trouv=
e pas de r&eacute;ponse:</p>
<p>&nbsp;</p>
<p>J'ai install&eacute; portsentry sur une squeeze. Iptables est d&eacute;j=
&agrave; configur&eacute;.</p>
<p>Portsentry ne d&eacute;tecte pas les scans de ports, car il ne "lie" que=
les ports inutilis&eacute;s; Or, &eacute;videmment ceux ci sont prot&eacut=
e;g&eacute;s par iptables (INPUT DROP)</p>
<p>Pour que portsentry fasse son travail (banissement des ip des vilains) j=
'ai ouvert des ports inutilis&eacute;s (20-22-23). Aucun programmes n'&eacu=
te;coute sur ces ports.</p>
<p>Cela me permet de bloquer les scans avant qu'il ne s'int&eacute;ressent&=
nbsp;&agrave; des&nbsp;ports plus &eacute;lev&eacute;s</p>
<p>&nbsp;</p>
<p>Est-ce une aberration au niveau de la s&eacute;curit&eacute; ?</p>
<p>&nbsp;</p>
<p>Merci d'avance,</p>
<p>Laurent</p>
</body></html>

--=_c1c8e20f60d8e1cfce5894f7319f9677--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/87b593f6829948035bd60591c2c4f2b1@isalo.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Bernard Schoenacker
Le #23919631
Le Sun, 30 Oct 2011 18:27:22 +0300,
a écrit :



Bonjour "la liste",

J'ai une question à vous soumettre, à
laquelle je ne trouve pas de réponse:

J'ai installé portsentry sur une
squeeze. Iptables est déjà configuré.

Portsentry ne détecte pas les
scans de ports, car il ne "lie" que les ports inutilisés; Or,
évidemment ceux ci sont protégés par iptables (INPUT DROP) ...

Pour que portsentry
fasse son travail (banissement des ip des vilains) j'ai ouvert des
ports inutilisés (20-22-23). Aucun programmes n'écoute sur ces ports.

Cela
me permet de bloquer les scans avant qu'il ne s'intéressent à d es
ports plus élevés...

Est-ce une aberration au niveau de la sécurité ?


Merci d'avance,

Laurent




bonjour,


serait il possible d'installer les paquets suivants :

-a) fail2ban
-b) denyhosts


denyhosts - Utility to help sys admins thwart SSH crackers
fail2ban - ban hosts that cause multiple authentication error


attention :

il faut configurer Iptables en V4 et V6

slt
bernard

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Lucas
Le #23919791
--0015174c15bac6587d04b089031c
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

99% des scanneurs scannent aléatoirement les ports.
Fait les tests toi même avec nmap en essayant les différentes méthode s.

--0015174c15bac6587d04b089031c
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

99% des scanneurs scannent aléatoirement les ports.
--0015174c15bac6587d04b089031c--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/CAOS7NB0D+C=gzDYwXLX4GbAo6bDDWjLxd9kMV0EmqCpJXNV+
debian-user-french
Le #23919801
--=_82ddf05d034368f162a7588807eb1ad3
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain; charset=UTF-8



Bonjour,

Fail2ban est déjà installé. Mais Fail2ban n'est pas
fiable à 100%... http://bugs.debian.org/cgi-bin/bugreport.cgi?bugU 4162
[6]

Ne s'appuyer que sur lui est à mon sens une erreur.

Et ça ne
répond pas à ma question...

Est-ce dangereux d'avoir des ports (sur
lesquels aucun programme n'écoute) ouverts ?

Merci

On Sun, 30 Oct
2011 19:35:59 +0100, Bernard Schoenacker wrote:

Le Sun, 30 Oct 2011


18:27:22 +0300,
[1]a écrit :






Bonjour "la liste", J'ai une question à vous soumettre, à laquell e je ne
trouve pas de réponse: J'ai installé portsentry sur une squeeze .
Iptables est déjà configuré. Portsentry ne détecte pas les scans de
ports, car il ne "lie" que les ports inutilisés; Or, évidemment c eux ci
sont protégés par iptables (INPUT DROP)... Pour que portsentry fa sse son
travail (banissement des ip des vilains) j'ai ouvert des ports
inutilisés (20-22-23). Aucun programmes n'écoute sur ces ports. C ela me
permet de bloquer les scans avant qu'il ne s'intéressent à des po rts
plus élevés... Est-ce une aberration au niveau de la sécurit é ? Merci
d'avance, Laurent

bonjour,

serait il possible d'installer les


paquets suivants :

-a) fail2ban
-b) denyhosts

denyhosts -


Utility to help sys admins thwart SSH crackers
fail2ban - ban hosts


that cause multiple authentication error

attention :

il faut


configurer Iptables en V4 et V6

slt
bernard

-- Lisez la FAQ


de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists [2] Pour vous DESABONNER, envoyez
un message avec comme objet "unsubscribe" vers
[3] En cas de soucis,
contactez EN ANGLAIS [4] Archive:
http://lists.debian.org/
[5]


Links:
------
[1] mailto:
[2]
http://wiki.debian.org/fr/FrenchLists
[3]
mailto:
[4]
mailto:
[5]
http://lists.debian.org/
[6]
http://bugs.debian.org/cgi-bin/bugreport.cgi?bugU4162

--=_82ddf05d034368f162a7588807eb1ad3
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html; charset=UTF-8

<html><body>
<p>Bonjour,</p>
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>Est-ce dangereux d'avoir des ports (sur lesquels aucun programme n'&eacu te;coute) ouverts ?</p>
<p>&nbsp;</p>
<p>Merci</p>
<p>&nbsp;</p>
<div>&nbsp;</div>
<p>On Sun, 30 Oct 2011 19:35:59 +0100, Bernard Schoenacker wrote:</p>
<blockquote type="cite" style="padding-left:5px; border-left:#1010ff 2p x solid; margin-left:5px; width:100%"><!-- html ignored --><!-- head ignore d --><!-- meta ignored -->
<pre>Le Sun, 30 Oct 2011 18:27:22 +0300,
<pre>
bonjour,


serait il possible d'installer les paquets suivants :

-a) fail2ban
-b) denyhosts


denyhosts - Utility to help sys admins thwart SSH crackers
fail2ban - ban hosts that cause multiple authentication error


attention :

il faut configurer Iptables en V4 et V6

slt
bernard

</blockquote>
</body></html>

--=_82ddf05d034368f162a7588807eb1ad3--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
debian-user-french
Le #23919951
--=_2ef5b0299418e556a97ce9c61ce25cb9
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain; charset=UTF-8



Re,

nmap -v 127.0.0.1

Starting Nmap 5.00 ( http://nmap.org ) at
2011-10-30 21:03 CET
NSE: Loaded 0 scripts for scanning.
Initiating SYN
Stealth Scan at 21:03
Scanning localhost.localdomain (127.0.0.1) [1000
ports]
Discovered open port 25/tcp on 127.0.0.1
Discovered open port
80/tcp on 127.0.0.1
Discovered open port 3306/tcp on
127.0.0.1
Discovered open port 110/tcp on 127.0.0.1
Discovered open port
143/tcp on 127.0.0.1
Discovered open port 21/tcp on 127.0.0.1
Discovered
open port 993/tcp on 127.0.0.1
Discovered open port 443/tcp on
127.0.0.1
Discovered open port 53/tcp on 127.0.0.1
Discovered open port
995/tcp on 127.0.0.1
Discovered open port 8080/tcp on
127.0.0.1
Discovered open port 8081/tcp on 127.0.0.1
Discovered open
port 10024/tcp on 127.0.0.1
Discovered open port 10025/tcp on
127.0.0.1
Completed SYN Stealth Scan at 21:03, 0.07s elapsed (1000 total
ports)
Host localhost.localdomain (127.0.0.1) is up (0.0000060s
latency).
Interesting ports on localhost.localdomain (127.0.0.1):
Not
shown: 986 closed ports
PORT STATE SERVICE
21/tcp open ftp
25/tcp open
smtp
53/tcp open domain
80/tcp open http
110/tcp open pop3
143/tcp open
imap
443/tcp open https
993/tcp open imaps
995/tcp open pop3s
3306/tcp
open mysql
8080/tcp open http-proxy
8081/tcp open
blackice-icecap
10024/tcp open unknown
10025/tcp open unknown

Read data
files from: /usr/share/nmap
Nmap done: 1 IP address (1 host up) scanned
in 0.15 seconds
Raw packets sent: 1000 (44.000KB) | Rcvd: 2014
(84.616KB)

Bien entendu 127.0.0.1 est dans la liste blanche de
portsentry, sinon le résultat, de l'extérieur, c'est ça:

nmap -PN
xxx.xxx.xxx.xxx

Starting Nmap 5.00 ( http://nmap.org ) at 2011-10-30
06:27 CET
All 1000 scanned ports on nsxxxxxx.ovh.net (xxx.xxx.xxx.xxx)
are filtered

Nmap done: 1 IP address (1 host up) scanned in 201.38
seconds

Et c'est bien ce que je souhaite: aucun port visible, et l'ip
de la machine qui me scanne blacklistés.

Donc le résultat est à la
hauteur de mes espérances, sauf que... J'ai ouvert dans iptables les
ports 20-22 et 23. Et je ne sais pas si c'est dangereux ou pas ?

On
Sun, 30 Oct 2011 20:27:46 +0100, Bernard Schoenacker wrote:

Le Sun,


30 Oct 2011 22:09:47 +0300,
[2]a écrit


:

Bonjour, Fail2ban est déjà installé. Mais Fail2ban n'est pas




fiable à 100%... http://bugs.debian.org/cgi-bin/bugreport.cgi?bugU 4162
[1] [6] Ne s'appuyer que sur lui est à mon sens une erreur. Et ça ne
répond pas à ma question... Est-ce dangereux d'avoir des ports (s ur
lesquels aucun programme n'écoute) ouverts ? Merci

bonjour,




que donne : nmap -v localhost

slt
bernard




Links:
------
[1]
http://bugs.debian.org/cgi-bin/bugreport.cgi?bugU4162
[2]
mailto:

--=_2ef5b0299418e556a97ce9c61ce25cb9
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html; charset=UTF-8

<html><body>
<pre>Re,</pre>
<pre>&nbsp;</pre>
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>&nbsp;</p>
<div>&nbsp;</div>
<p>On Sun, 30 Oct 2011 20:27:46 +0100, Bernard Schoenacker wrote:</p>
<blockquote type="cite" style="padding-left:5px; border-left:#1010ff 2p x solid; margin-left:5px; width:100%"><!-- html ignored --><!-- head ignore d --><!-- meta ignored -->
<pre>Le Sun, 30 Oct 2011 22:09:47 +0300,
<pre>
bonjour,

que donne : nmap -v localhost


slt
bernard<span class="Apple-style-span" style="white-space: normal;"> </ span></pre>
</blockquote>
</body></html>

--=_2ef5b0299418e556a97ce9c61ce25cb9--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
debian-user-french
Le #23927971
Bonjour,
Merci pour la réponse.
Effectivement, c'est ce que je pensais, mais une confirmation me rassure.
Tous mes utilisateurs sont dans des jailshell.

Portsentry fonctionne à merveille; Toutes les tentatives de scans so nt
stoppées nettes.
Mes ports sont invisibles, du coup j'échappe à tout plein de vi laines
tentatives.

Merci beaucoup.

Le 01/11/2011 21:41, Shutdown76 a écrit :
Salut,

Le seul danger que je pourrai voir c'est qu'une personne ayant obtenu u n
accès utilisateur à ton serveur puisse mettre un service en à ©coute sur
l'un de ses ports (netcat par exemple). Sauf que les simple utilisateur s
ne sont pas en mesure de mettre un service en écoute sur un port
inférieur à 1024.

$ nc -l 22
nc: Permission denied

Hormis ça, je ne pense pas que ca soit gênant.

---
Shutdown76
http://www.shutdown76.net/
http://www.mynooblife.org/

On Sun, 30 Oct 2011 23:09:13 +0300, wrote:

Re,

nmap -v 127.0.0.1

Starting Nmap 5.00 ( http://nmap.org ) at 2011-10-30 21:03 CET
NSE: Loaded 0 scripts for scanning.
Initiating SYN Stealth Scan at 21:03
Scanning localhost.localdomain (127.0.0.1) [1000 ports]
Discovered open port 25/tcp on 127.0.0.1
Discovered open port 80/tcp on 127.0.0.1
Discovered open port 3306/tcp on 127.0.0.1
Discovered open port 110/tcp on 127.0.0.1
Discovered open port 143/tcp on 127.0.0.1
Discovered open port 21/tcp on 127.0.0.1
Discovered open port 993/tcp on 127.0.0.1
Discovered open port 443/tcp on 127.0.0.1
Discovered open port 53/tcp on 127.0.0.1
Discovered open port 995/tcp on 127.0.0.1
Discovered open port 8080/tcp on 127.0.0.1
Discovered open port 8081/tcp on 127.0.0.1
Discovered open port 10024/tcp on 127.0.0.1
Discovered open port 10025/tcp on 127.0.0.1
Completed SYN Stealth Scan at 21:03, 0.07s elapsed (1000 total ports)
Host localhost.localdomain (127.0.0.1) is up (0.0000060s latency).
Interesting ports on localhost.localdomain (127.0.0.1):
Not shown: 986 closed ports
PORT STATE SERVICE
21/tcp open ftp
25/tcp open smtp
53/tcp open domain
80/tcp open http
110/tcp open pop3
143/tcp open imap
443/tcp open https
993/tcp open imaps
995/tcp open pop3s
3306/tcp open mysql
8080/tcp open http-proxy
8081/tcp open blackice-icecap
10024/tcp open unknown
10025/tcp open unknown

Read data files from: /usr/share/nmap
Nmap done: 1 IP address (1 host up) scanned in 0.15 seconds
Raw packets sent: 1000 (44.000KB) | Rcvd: 2014 (84.616KB)

Bien entendu 127.0.0.1 est dans la liste blanche de portsentry, sinon le
résultat, de l'extérieur, c'est ça:

nmap -PN xxx.xxx.xxx.xxx

Starting Nmap 5.00 ( http://nmap.org ) at 2011-10-30 06:27 CET
All 1000 scanned ports on nsxxxxxx.ovh.net (xxx.xxx.xxx.xxx) are
filtered

Nmap done: 1 IP address (1 host up) scanned in 201.38 seconds

Et c'est bien ce que je souhaite: aucun port visible, et l'ip de la
machine qui me scanne blacklistés.

Donc le résultat est à la hauteur de mes espérances, sa uf que... J'ai
ouvert dans iptables les ports 20-22 et 23. Et je ne sais pas si c'est
dangereux ou pas ?

On Sun, 30 Oct 2011 20:27:46 +0100, Bernard Schoenacker wrote:

Le Sun, 30 Oct 2011 22:09:47 +0300,
[2]a écrit :

Bonjour, Fail2ban est déjà installé. Mais Fail2ban n' est pas
fiable à 100%...
http://bugs.debian.org/cgi-bin/bugreport.cgi?bugU4162 [1] [6] Ne
s'appuyer que sur lui est à mon sens une erreur. Et ça ne répond
pas à ma question... Est-ce dangereux d'avoir des ports (sur
lesquels aucun programme n'écoute) ouverts ? Merci



bonjour,

que donne : nmap -v localhost

slt
bernard






Links:
------
[1] http://bugs.debian.org/cgi-bin/bugreport.cgi?bugU4162
[2] mailto:



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme