Empécher les scan de ports

On Fri, 6 Feb 2004 14:03:20 +0100, Xes <pierrepinon@free.fr> wrote:

Je cherche un logiciel qui permet de bloquer les scan de ports. J'en ai

Là je vois pas bien ce que tu veux dire... si les ports sont accessibles
ils peuvent être scannés, tu peux mettre un firewall devant mais ça
n'empechera pas de scanner les ports du firewall.

Ah si il y a un bouton spécial pour ça sur les PC : il y a souvent |O
marqué dessus, ça marche bien :)

Dans la news : 40239098$0$28287$636a15ce@news.free.fr,
Xes <pierrepinon@free.fr> ecrivait (justement !) :

Si le NewsGroup n'est pas approprié à cette question, merci de me
rediriger ...

fr.comp.securite...

Je cherche un logiciel qui permet de bloquer les scan de ports. J'en
ai bien trouvé sur google malheureusement ils ne semblent pas
fonctionner sur le noyau 2.6

iptable, netfilter ne suffisent pas ?!

Merci

de rien !
@+

Dans l'article news:40239098$0$28287$636a15ce@news.free.fr,
Xes <pierrepinon@free.fr> écrivait :

Si le NewsGroup n'est pas approprié à cette question, merci de me
rediriger ...

fr.comp.securite

Je cherche un logiciel qui permet de bloquer les scan de ports. J'en
ai bien trouvé sur google malheureusement ils ne semblent pas
fonctionner sur le noyau 2.6

Sur un réseau, on ne peut pas empêcher ce qui arrive vers une machine (que
ça soit un scan ou autre chose) si ce n'est de filtrer au niveau de la
passerelle et comme généralement la passerelle se situe au niveau de votre
FAI vous ne pouvez rien faire à ce niveau, à moins que votre FAI vend un
service de filtrage.
La question qui faudrait plutôt se poser c'est pourquoi vouloir empêcher
d'être scanné.
Il vaut mieux avoir une machine saine et à jour de toutes failles, en ne
laissant que les services utiles mais dont un scan découragera vite le
curieux quand il s'apercevra qu'il ne pourra rien faire dessus, qu'une
machine mal administrée qui "drop" tout, car là le curieux saura qu'on
essaye de cacher quelque chose et sera plus persévérant.
Il faut bien comprendre qu'un scan de ports ne fait pas de "mal" à une
machine, les ressources demandées sont faibles et dans le cas de scans
répétés et poussés on peut alors se prémunir en limitant ces scans soit avec
quelques règles Netfilter élémentaires ou soit avec des outils IDS (snort
par exemple).

Si j'avais quelques conseils à vous donner, ça serait de ne laisser ouvert
que les services dont vous avez besoin, de rejeter (et pas droper !) les
requêtes sur les autres services, de ne pas bloquer l'icmp mais juste le
limiter.
Et surtout, assurez-vous que les services qui tournent sont à jour.

Merci

De rien.

--
TiChou

Je cherche un logiciel qui permet de bloquer les scan de ports. J'en ai

Là je vois pas bien ce que tu veux dire... si les ports sont accessibles
ils peuvent être scannés, tu peux mettre un firewall devant mais ça
n'empechera pas de scanner les ports du firewall.

Non, tu confonds firewall et logiciel qui permet de bloquer les scan.
Le logiciel qui bloque les scans, détecte quand plusieurs ports successifs
sont scanné ! (Voir portsentry)

Ah si il y a un bouton spécial pour ça sur les PC : il y a souvent |O
marqué dessus, ça marche bien :)

Je vois que tu as une vision très particulière de la sécurité ...

Je cherche un logiciel qui permet de bloquer les scan de ports. J'en
ai bien trouvé sur google malheureusement ils ne semblent pas
fonctionner sur le noyau 2.6

Sur un réseau, on ne peut pas empêcher ce qui arrive vers une machine (que
ça soit un scan ou autre chose) si ce n'est de filtrer au niveau de la
passerelle et comme généralement la passerelle se situe au niveau de votre
FAI vous ne pouvez rien faire à ce niveau, à moins que votre FAI vend un
service de filtrage.

Si c'est possible (voir postsentry)

La question qui faudrait plutôt se poser c'est pourquoi vouloir empêcher
d'être scanné.

Ca parait pourtant évident ! Question de sécurité !
Moins on a d'informations sur la bécane, plus c'est difficile d'y foutre la
m**de ...

Il vaut mieux avoir une machine saine et à jour de toutes failles, en ne
laissant que les services utiles mais dont un scan découragera vite le
curieux quand il s'apercevra qu'il ne pourra rien faire dessus, qu'une
machine mal administrée qui "drop" tout, car là le curieux saura qu'on
essaye de cacher quelque chose et sera plus persévérant.

Oui mais le curieux fait un scan de ports en premier lieu.
Si il y a un logiciel comme portsentry d'installé, le scan est interrompu
des le début et sont adresse ip est bannie !

Si j'avais quelques conseils à vous donner, ça serait de ne laisser ouvert
que les services dont vous avez besoin, de rejeter (et pas droper !) les
requêtes sur les autres services, de ne pas bloquer l'icmp mais juste le
limiter.
Et surtout, assurez-vous que les services qui tournent sont à jour.

Bien sur, j'ai évidamment commencer par là ! Le firewall est mis en place
...

Bonjour,

Si le NewsGroup n'est pas approprié à cette question, merci de me rediriger
...

Je cherche un logiciel qui permet de bloquer les scan de ports. J'en ai bien
trouvé sur google malheureusement ils ne semblent pas fonctionner sur le
noyau 2.6

En fait, il faut que ton noyau soit capable de le faire, et que
netfilter soit installé.

Extrait de mon fichier de conf :

echo "[Pas de synflood]"
echo 1 > /proc/sys/net/ipv4/tcp_syncookies

echo "[Pas de ping]"
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

# et d'autres choses...

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

N.B : pour supprimer, echo 0 > ..... est la bonne commande.
Toutes les infos sont dans /usr/src/linux/Documentation/... ;-)

Ma passerelle : Une Debian Sid en noyau 2.6

Si tu veux***, j'ai une solution que j'utilise sur une passerelle, à
base de masquerade + netfilter dont je suis très content.

J'ai trouvé le fichier de config (presque tout prêt pour ma config) sur

http://www.trustonme.net (excellent site, soit dit en passant)

Quelqu'un connaitrait il le nom d'un programme qui remplirait cette fonction
?

C'est le noyau qui permet de faire cela. A condition qu'il soit bien
configuré...

Merci

Avec plaisir

*** En dehors du forum : prénom point nom at free point fr

--
NO ePATENTS / NON AUX BREVETS SUR LES LOGICIELS. See / Voir
http://swpat.ffii.org/

eric bachard

Bonjour,

Si le NewsGroup n'est pas approprié à cette question, merci de me rediriger
...

Je crois qu'il y en a un qui concerne reseaux.securité, mais je n'ai pas
la bonne machine sous les yeux.

Je cherche un logiciel qui permet de bloquer les scan de ports. J'en ai bien
trouvé sur google malheureusement ils ne semblent pas fonctionner sur le
noyau 2.6

iptables ne marche pas avec le 2.6 ?

Sinon, il me semble qu'ipsec est intégré au 2.6.X (je ne l'utilise pas
encore).

Ma passerelle : Une Debian Sid en noyau 2.6

Oui, une sid aussi, mais en 2.4.X

Quelqu'un connaitrait il le nom d'un programme qui remplirait cette fonction
?

(sous réserve que cela fonctionne avec un 2.6.x), je suggère le noyau
linux + les bons modules + iptables

Chez-moi, cela me permet d'avoir une passerelle fiable, et beaucoup de
liberté. Regarde les commentaires pour le ftp.


As-tu essayé le script firewall ?


http://www.trustonme.net/scripts/index.php

Merci

Päs de quoi


Cordialement


--
NO ePATENTS / NON AUX BREVETS SUR LES LOGICIELS. See / Voir
http://swpat.ffii.org/

eric bachard

Précision :

Je ne suis pas l'auteur du script que l'on trouve sur Trustonme.net , je
me suis juste contenté de le personnaliser...


--
NO ePATENTS / NON AUX BREVETS SUR LES LOGICIELS. See / Voir
http://swpat.ffii.org/

eric bachard

Dans l'article news:4023a494$0$28263$636a15ce@news.free.fr,
Xes <pierrepinon@free.fr> écrivait :

Je cherche un logiciel qui permet de bloquer les scan de ports. J'en
ai bien trouvé sur google malheureusement ils ne semblent pas
fonctionner sur le noyau 2.6

Sur un réseau, on ne peut pas empêcher ce qui arrive vers une
machine (que ça soit un scan ou autre chose) si ce n'est de filtrer
au niveau de la passerelle et comme généralement la passerelle se
situe au niveau de votre FAI vous ne pouvez rien faire à ce niveau,
à moins que votre FAI vend un service de filtrage.

Si c'est possible (voir postsentry)

Non, ce n'est pas possible. Un paquet qui vous est destiné, quel qu'il soit,
une fois qu'il a passé votre passerelle vous arrivera, vous n'y pouvez rien.
Le seul contrôle que vous avez c'est sur les paquets que vous envoyez.

La question qui faudrait plutôt se poser c'est pourquoi vouloir
empêcher d'être scanné.

Ca parait pourtant évident ! Question de sécurité !
Moins on a d'informations sur la bécane, plus c'est difficile d'y
foutre la m**de ...

On ne peut foutre la m**de, pour vous citer, que si la machine est
vulnérable.
Une machine correctement configuré, ne donnant que les informations utiles
aux clients qui se connectent sur ses services, n'a rien à craindre d'un
scan de ports.

Il vaut mieux avoir une machine saine et à jour de toutes failles,
en ne laissant que les services utiles mais dont un scan découragera
vite le curieux quand il s'apercevra qu'il ne pourra rien faire
dessus, qu'une machine mal administrée qui "drop" tout, car là le
curieux saura qu'on essaye de cacher quelque chose et sera plus
persévérant.

Oui mais le curieux fait un scan de ports en premier lieu.
Si il y a un logiciel comme portsentry d'installé, le scan est
interrompu des le début et sont adresse ip est bannie !

Le scan n'est pas interrompu. Le scan du curieux continue toujours à se
dérouler. Seul les réponses à son scan vont changer ce qui lui donne déjà
suffisement d'information pour savoir qu'on cherche à cacher quelque chose.
Alors si il est malin, il procédera autrement, il aura sûrement la
possibilité de changer d'IP, etc. Que le curieux malin qui voit de suite les
services qui tournent et rien d'autre passera plus rapidement son chemin.
Faut bien comprendre que ceux qui sont à craindre, ce n'est pas les curieux
amateurs (les "kiddies" la plupart du temps) qui eux ne se contentent
d'utiliser des scripts dont ils ne comprennent rien mais qui vont exploiter
facilement des machines mal administrées, mais c'est bien le curieux malin
qui est à craindre et qui lui saura trouvé les informations qu'ils
recherchent, afin d'aller plus loin éventuellement.

Si j'avais quelques conseils à vous donner, ça serait de ne laisser
ouvert que les services dont vous avez besoin, de rejeter (et pas
droper !) les requêtes sur les autres services, de ne pas bloquer
l'icmp mais juste le limiter.
Et surtout, assurez-vous que les services qui tournent sont à jour.

Bien sur, j'ai évidamment commencer par là ! Le firewall est mis en
place ...

Alors pourquoi s'inquiéter d'être scanné ? Si votre système est à jour et
protégé par votre firewall, vous craignez quoi ? A moins que vous ne soyez
pas sûr ? :p

Mon avis, c'est que les logiciels du type portsentry ou snort sont
intéressants pour un but pédagogique et pour les "paranos" (ne le prennez
pas pour vous non plus) qui ont peur ne sachant pas comment se prémunir
correctement.

--
TiChou

On Fri, 6 Feb 2004 15:23:04 +0100, Xes <pierrepinon@free.fr> wrote:

Non, tu confonds firewall et logiciel qui permet de bloquer les scan.
Le logiciel qui bloque les scans, détecte quand plusieurs ports
successifs sont scanné ! (Voir portsentry)

Ok, et il fait quoi après ton logiciel une fois qu'il a détecté ça ?
Je vois pas bien ce qu'il peut bloquer...

Ah si il y a un bouton spécial pour ça sur les PC : il y a souvent |O
marqué dessus, ça marche bien :)

Je vois que tu as une vision très particulière de la sécurité ...

et toi de l'humour...