Si le NewsGroup n'est pas approprié à cette question, merci de me rediriger
...
Je cherche un logiciel qui permet de bloquer les scan de ports. J'en ai bien
trouvé sur google malheureusement ils ne semblent pas fonctionner sur le
noyau 2.6
Ma passerelle : Une Debian Sid en noyau 2.6
Quelqu'un connaitrait il le nom d'un programme qui remplirait cette fonction
?
Non, tu confonds firewall et logiciel qui permet de bloquer les scan. Le logiciel qui bloque les scans, détecte quand plusieurs ports successifs sont scanné ! (Voir portsentry)
Ok, et il fait quoi après ton logiciel une fois qu'il a détecté ça ? Je vois pas bien ce qu'il peut bloquer...
c'est justement la ou intervient le firewall : on peut configurer portsentry pour ajouter au firewall une regles de filtrage de l'adresse ip qui scanne ... -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.0.7 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
On Fri, 6 Feb 2004 15:23:04 +0100, Xes <pierrepinon@free.fr> wrote:
Non, tu confonds firewall et logiciel qui permet de bloquer les scan.
Le logiciel qui bloque les scans, détecte quand plusieurs ports
successifs sont scanné ! (Voir portsentry)
Ok, et il fait quoi après ton logiciel une fois qu'il a détecté ça ?
Je vois pas bien ce qu'il peut bloquer...
c'est justement la ou intervient le firewall : on peut configurer portsentry
pour ajouter au firewall une regles de filtrage de l'adresse ip qui scanne ...
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.7 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
Non, tu confonds firewall et logiciel qui permet de bloquer les scan. Le logiciel qui bloque les scans, détecte quand plusieurs ports successifs sont scanné ! (Voir portsentry)
Ok, et il fait quoi après ton logiciel une fois qu'il a détecté ça ? Je vois pas bien ce qu'il peut bloquer...
c'est justement la ou intervient le firewall : on peut configurer portsentry pour ajouter au firewall une regles de filtrage de l'adresse ip qui scanne ... -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.0.7 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
Non, tu confonds firewall et logiciel qui permet de bloquer les scan. Le logiciel qui bloque les scans, détecte quand plusieurs ports successifs sont scanné ! (Voir portsentry)
Ok, et il fait quoi après ton logiciel une fois qu'il a détecté ça ? Je vois pas bien ce qu'il peut bloquer...
iptables -I INPUT -s adresse_ip -j DROP
Non, tu confonds firewall et logiciel qui permet de bloquer les scan.
Le logiciel qui bloque les scans, détecte quand plusieurs ports
successifs sont scanné ! (Voir portsentry)
Ok, et il fait quoi après ton logiciel une fois qu'il a détecté ça ?
Je vois pas bien ce qu'il peut bloquer...
Non, tu confonds firewall et logiciel qui permet de bloquer les scan. Le logiciel qui bloque les scans, détecte quand plusieurs ports successifs sont scanné ! (Voir portsentry)
Ok, et il fait quoi après ton logiciel une fois qu'il a détecté ça ? Je vois pas bien ce qu'il peut bloquer...
iptables -I INPUT -s adresse_ip -j DROP
Tibi
On Fri, 06 Feb 2004 16:23:57 +0100, GERBIER Eric wrote:
c'est justement la ou intervient le firewall : on peut configurer portsentry pour ajouter au firewall une regles de filtrage de l'adresse ip qui scanne ...
Ok, merci de la précision. Je doute toujours de l'efficacité car l'attaquant peut changer d'IP après sont portscan pour exploiter les failles trouvées. Il me semble aussi qu'en étant suffisemment malin il y a moyen de changer l'ip source dans un paquet ip et ainsi de remplir la table du firewall en question :)
On Fri, 06 Feb 2004 16:23:57 +0100, GERBIER Eric <eric.gerbier@meteo.fr>
wrote:
c'est justement la ou intervient le firewall : on peut configurer
portsentry
pour ajouter au firewall une regles de filtrage de l'adresse ip qui
scanne ...
Ok, merci de la précision.
Je doute toujours de l'efficacité car l'attaquant peut changer d'IP après
sont portscan pour exploiter les failles trouvées. Il me semble aussi
qu'en étant suffisemment malin il y a moyen de changer l'ip source dans un
paquet ip et ainsi de remplir la table du firewall en question :)
On Fri, 06 Feb 2004 16:23:57 +0100, GERBIER Eric wrote:
c'est justement la ou intervient le firewall : on peut configurer portsentry pour ajouter au firewall une regles de filtrage de l'adresse ip qui scanne ...
Ok, merci de la précision. Je doute toujours de l'efficacité car l'attaquant peut changer d'IP après sont portscan pour exploiter les failles trouvées. Il me semble aussi qu'en étant suffisemment malin il y a moyen de changer l'ip source dans un paquet ip et ainsi de remplir la table du firewall en question :)
Xes
Non, ce n'est pas possible. Un paquet qui vous est destiné, quel qu'il soit,
une fois qu'il a passé votre passerelle vous arrivera, vous n'y pouvez rien.
L'intéret de ce genre de programme et d'interrompre le scan et de bloquer l'acces furur au serveur après un scan. Une simple règle du genre : "iptables -I INPUT -s adresse_ip -j DROP"
Le seul contrôle que vous avez c'est sur les paquets que vous envoyez.
Soit j'ai mal compris votre phrase ou soit vous avez mal compris l'intéret de netfilter. On peut justement à l'aide d'iptables définir des règles qui par exemple ne laisseront passé sur un port donné que les paquets provenant d'une connexion précédemment établie. (module state)
La question qui faudrait plutôt se poser c'est pourquoi vouloir empêcher d'être scanné.
Ca parait pourtant évident ! Question de sécurité ! Moins on a d'informations sur la bécane, plus c'est difficile d'y foutre la m**de ...
On ne peut foutre la m**de, pour vous citer, que si la machine est vulnérable. Une machine correctement configuré, ne donnant que les informations utiles aux clients qui se connectent sur ses services, n'a rien à craindre d'un scan de ports.
Une machine qui offre un minimum de services à toujours à craindre car la moindre information que l'on peut trouver sur elle est une information qui sera utile pour une éventuelle intrusion...
Bien sur, j'ai évidamment commencer par là ! Le firewall est mis en place ...
Alors pourquoi s'inquiéter d'être scanné ? Si votre système est à jour et protégé par votre firewall, vous craignez quoi ? A moins que vous ne soyez pas sûr ? :p
Peut on vraiment être sur à 100% de son firewall ?
Si on peut rajouter un niveau de sécurité supplémentaire, pourquoi s'en priver ?
Mon avis, c'est que les logiciels du type portsentry ou snort sont intéressants pour un but pédagogique et pour les "paranos" (ne le prennez pas pour vous non plus) qui ont peur ne sachant pas comment se prémunir correctement.
Je ne pense pas être parano. Je voulais juste installer ce programme qui me semblait un bon outil :-D
A+
Non, ce n'est pas possible. Un paquet qui vous est destiné, quel qu'il
soit,
une fois qu'il a passé votre passerelle vous arrivera, vous n'y pouvez
rien.
L'intéret de ce genre de programme et d'interrompre le scan et de bloquer
l'acces furur au serveur après un scan. Une simple règle du genre :
"iptables -I INPUT -s adresse_ip -j DROP"
Le seul contrôle que vous avez c'est sur les paquets que vous envoyez.
Soit j'ai mal compris votre phrase ou soit vous avez mal compris l'intéret
de netfilter.
On peut justement à l'aide d'iptables définir des règles qui par exemple ne
laisseront passé sur un port donné que les paquets provenant d'une connexion
précédemment établie. (module state)
La question qui faudrait plutôt se poser c'est pourquoi vouloir
empêcher d'être scanné.
Ca parait pourtant évident ! Question de sécurité !
Moins on a d'informations sur la bécane, plus c'est difficile d'y
foutre la m**de ...
On ne peut foutre la m**de, pour vous citer, que si la machine est
vulnérable.
Une machine correctement configuré, ne donnant que les informations utiles
aux clients qui se connectent sur ses services, n'a rien à craindre d'un
scan de ports.
Une machine qui offre un minimum de services à toujours à craindre car la
moindre information que l'on peut trouver sur elle est une information qui
sera utile pour une éventuelle intrusion...
Bien sur, j'ai évidamment commencer par là ! Le firewall est mis en
place ...
Alors pourquoi s'inquiéter d'être scanné ? Si votre système est à jour et
protégé par votre firewall, vous craignez quoi ? A moins que vous ne soyez
pas sûr ? :p
Peut on vraiment être sur à 100% de son firewall ?
Si on peut rajouter un niveau de sécurité supplémentaire, pourquoi s'en
priver ?
Mon avis, c'est que les logiciels du type portsentry ou snort sont
intéressants pour un but pédagogique et pour les "paranos" (ne le prennez
pas pour vous non plus) qui ont peur ne sachant pas comment se prémunir
correctement.
Je ne pense pas être parano. Je voulais juste installer ce programme qui me
semblait un bon outil :-D
Non, ce n'est pas possible. Un paquet qui vous est destiné, quel qu'il soit,
une fois qu'il a passé votre passerelle vous arrivera, vous n'y pouvez rien.
L'intéret de ce genre de programme et d'interrompre le scan et de bloquer l'acces furur au serveur après un scan. Une simple règle du genre : "iptables -I INPUT -s adresse_ip -j DROP"
Le seul contrôle que vous avez c'est sur les paquets que vous envoyez.
Soit j'ai mal compris votre phrase ou soit vous avez mal compris l'intéret de netfilter. On peut justement à l'aide d'iptables définir des règles qui par exemple ne laisseront passé sur un port donné que les paquets provenant d'une connexion précédemment établie. (module state)
La question qui faudrait plutôt se poser c'est pourquoi vouloir empêcher d'être scanné.
Ca parait pourtant évident ! Question de sécurité ! Moins on a d'informations sur la bécane, plus c'est difficile d'y foutre la m**de ...
On ne peut foutre la m**de, pour vous citer, que si la machine est vulnérable. Une machine correctement configuré, ne donnant que les informations utiles aux clients qui se connectent sur ses services, n'a rien à craindre d'un scan de ports.
Une machine qui offre un minimum de services à toujours à craindre car la moindre information que l'on peut trouver sur elle est une information qui sera utile pour une éventuelle intrusion...
Bien sur, j'ai évidamment commencer par là ! Le firewall est mis en place ...
Alors pourquoi s'inquiéter d'être scanné ? Si votre système est à jour et protégé par votre firewall, vous craignez quoi ? A moins que vous ne soyez pas sûr ? :p
Peut on vraiment être sur à 100% de son firewall ?
Si on peut rajouter un niveau de sécurité supplémentaire, pourquoi s'en priver ?
Mon avis, c'est que les logiciels du type portsentry ou snort sont intéressants pour un but pédagogique et pour les "paranos" (ne le prennez pas pour vous non plus) qui ont peur ne sachant pas comment se prémunir correctement.
Je ne pense pas être parano. Je voulais juste installer ce programme qui me semblait un bon outil :-D
A+
doug
Le Vendredi 6 Février 2004 16:52, Xes s'est exprimé de la sorte sur fr.comp.os.linux.configuration :
L'intéret de ce genre de programme et d'interrompre le scan et de bloquer l'acces furur au serveur après un scan. Une simple règle du genre : "iptables -I INPUT -s adresse_ip -j DROP"
Comment interrompre un scan (un programme) qui tourne sur une autre machine ? Ne pas confondre, rejeter les paquets arrivant et stopper le processus distant !!! Quel que soit l'efficacité du programme en question, il ne peut pas bloquer l'emission des paquets qui vous sont destinés.
Soit j'ai mal compris votre phrase ou soit vous avez mal compris l'intéret de netfilter. On peut justement à l'aide d'iptables définir des règles qui par exemple ne laisseront passé sur un port donné que les paquets provenant d'une connexion précédemment établie. (module state)
En quoi iptables empechera l'emission des paquets depuis le poste du "pirate" ???? Que les paquets soient filtrés n'empèche pas leur émission ! Ils arrivent nécessairement à destination. Ensuite ils sont traités ou ignorés, c'est tout.
Enfin, je crois mais croire ne suffit pas ;-)
-- @+ Doug [Pourquoi t'es qui, qu'est ce que tu fais par où ?] -- Pour me contacter enlever no-spam (2X) --
Le Vendredi 6 Février 2004 16:52, Xes s'est exprimé de la sorte sur
fr.comp.os.linux.configuration :
L'intéret de ce genre de programme et d'interrompre le scan et de bloquer
l'acces furur au serveur après un scan. Une simple règle du genre :
"iptables -I INPUT -s adresse_ip -j DROP"
Comment interrompre un scan (un programme) qui tourne sur une autre
machine ?
Ne pas confondre, rejeter les paquets arrivant et stopper le processus
distant !!!
Quel que soit l'efficacité du programme en question, il ne peut pas bloquer
l'emission des paquets qui vous sont destinés.
Soit j'ai mal compris votre phrase ou soit vous avez mal compris l'intéret
de netfilter.
On peut justement à l'aide d'iptables définir des règles qui par exemple
ne laisseront passé sur un port donné que les paquets provenant d'une
connexion précédemment établie. (module state)
En quoi iptables empechera l'emission des paquets depuis le poste du
"pirate" ???? Que les paquets soient filtrés n'empèche pas leur émission !
Ils arrivent nécessairement à destination. Ensuite ils sont traités ou
ignorés, c'est tout.
Enfin, je crois mais croire ne suffit pas ;-)
--
@+
Doug
[Pourquoi t'es qui, qu'est ce que tu fais par où ?]
-- Pour me contacter enlever no-spam (2X) --
Le Vendredi 6 Février 2004 16:52, Xes s'est exprimé de la sorte sur fr.comp.os.linux.configuration :
L'intéret de ce genre de programme et d'interrompre le scan et de bloquer l'acces furur au serveur après un scan. Une simple règle du genre : "iptables -I INPUT -s adresse_ip -j DROP"
Comment interrompre un scan (un programme) qui tourne sur une autre machine ? Ne pas confondre, rejeter les paquets arrivant et stopper le processus distant !!! Quel que soit l'efficacité du programme en question, il ne peut pas bloquer l'emission des paquets qui vous sont destinés.
Soit j'ai mal compris votre phrase ou soit vous avez mal compris l'intéret de netfilter. On peut justement à l'aide d'iptables définir des règles qui par exemple ne laisseront passé sur un port donné que les paquets provenant d'une connexion précédemment établie. (module state)
En quoi iptables empechera l'emission des paquets depuis le poste du "pirate" ???? Que les paquets soient filtrés n'empèche pas leur émission ! Ils arrivent nécessairement à destination. Ensuite ils sont traités ou ignorés, c'est tout.
Enfin, je crois mais croire ne suffit pas ;-)
-- @+ Doug [Pourquoi t'es qui, qu'est ce que tu fais par où ?] -- Pour me contacter enlever no-spam (2X) --
Xes
L'intéret de ce genre de programme et d'interrompre le scan et de bloquer
l'acces furur au serveur après un scan. Une simple règle du genre : "iptables -I INPUT -s adresse_ip -j DROP"
Comment interrompre un scan (un programme) qui tourne sur une autre machine ?
Bien sur que ca n'interromp pas le scan mais ca rejete définitivement tout les paquets provenant de l'ip du gars qui scan.
Ne pas confondre, rejeter les paquets arrivant et stopper le processus distant !!!
J'avais compris merci
Quel que soit l'efficacité du programme en question, il ne peut pas bloquer
l'emission des paquets qui vous sont destinés.
Non mais il peut ignorer l'ip du gras.
Soit j'ai mal compris votre phrase ou soit vous avez mal compris l'intéret
de netfilter. On peut justement à l'aide d'iptables définir des règles qui par exemple ne laisseront passé sur un port donné que les paquets provenant d'une connexion précédemment établie. (module state)
En quoi iptables empechera l'emission des paquets depuis le poste du "pirate" ???? Que les paquets soient filtrés n'empèche pas leur émission !
Bien sur que non ca n'empèche pas l'émission, c'est au niveau de la réception et de la réponse que ca ce joue !!
Ils arrivent nécessairement à destination. Ensuite ils sont traités ou ignorés, c'est tout.
Enfin, je crois mais croire ne suffit pas ;-)
Pas contre, je crois que tu n'as rien compris à ce que j'ai dit :-D
A+
-- @+ Doug [Pourquoi t'es qui, qu'est ce que tu fais par où ?] -- Pour me contacter enlever no-spam (2X) --
L'intéret de ce genre de programme et d'interrompre le scan et de
bloquer
l'acces furur au serveur après un scan. Une simple règle du genre :
"iptables -I INPUT -s adresse_ip -j DROP"
Comment interrompre un scan (un programme) qui tourne sur une autre
machine ?
Bien sur que ca n'interromp pas le scan mais ca rejete définitivement tout
les paquets provenant de l'ip du gars qui scan.
Ne pas confondre, rejeter les paquets arrivant et stopper le processus
distant !!!
J'avais compris merci
Quel que soit l'efficacité du programme en question, il ne peut pas
bloquer
l'emission des paquets qui vous sont destinés.
Non mais il peut ignorer l'ip du gras.
Soit j'ai mal compris votre phrase ou soit vous avez mal compris
l'intéret
de netfilter.
On peut justement à l'aide d'iptables définir des règles qui par exemple
ne laisseront passé sur un port donné que les paquets provenant d'une
connexion précédemment établie. (module state)
En quoi iptables empechera l'emission des paquets depuis le poste du
"pirate" ???? Que les paquets soient filtrés n'empèche pas leur émission !
Bien sur que non ca n'empèche pas l'émission, c'est au niveau de la
réception et de la réponse que ca ce joue !!
Ils arrivent nécessairement à destination. Ensuite ils sont traités ou
ignorés, c'est tout.
Enfin, je crois mais croire ne suffit pas ;-)
Pas contre, je crois que tu n'as rien compris à ce que j'ai dit :-D
A+
--
@+
Doug
[Pourquoi t'es qui, qu'est ce que tu fais par où ?]
-- Pour me contacter enlever no-spam (2X) --
L'intéret de ce genre de programme et d'interrompre le scan et de bloquer
l'acces furur au serveur après un scan. Une simple règle du genre : "iptables -I INPUT -s adresse_ip -j DROP"
Comment interrompre un scan (un programme) qui tourne sur une autre machine ?
Bien sur que ca n'interromp pas le scan mais ca rejete définitivement tout les paquets provenant de l'ip du gars qui scan.
Ne pas confondre, rejeter les paquets arrivant et stopper le processus distant !!!
J'avais compris merci
Quel que soit l'efficacité du programme en question, il ne peut pas bloquer
l'emission des paquets qui vous sont destinés.
Non mais il peut ignorer l'ip du gras.
Soit j'ai mal compris votre phrase ou soit vous avez mal compris l'intéret
de netfilter. On peut justement à l'aide d'iptables définir des règles qui par exemple ne laisseront passé sur un port donné que les paquets provenant d'une connexion précédemment établie. (module state)
En quoi iptables empechera l'emission des paquets depuis le poste du "pirate" ???? Que les paquets soient filtrés n'empèche pas leur émission !
Bien sur que non ca n'empèche pas l'émission, c'est au niveau de la réception et de la réponse que ca ce joue !!
Ils arrivent nécessairement à destination. Ensuite ils sont traités ou ignorés, c'est tout.
Enfin, je crois mais croire ne suffit pas ;-)
Pas contre, je crois que tu n'as rien compris à ce que j'ai dit :-D
A+
-- @+ Doug [Pourquoi t'es qui, qu'est ce que tu fais par où ?] -- Pour me contacter enlever no-spam (2X) --
Arnaud Gomes-do-Vale
"Xes" writes:
L'intéret de ce genre de programme et d'interrompre le scan et de bloquer l'acces furur au serveur après un scan. Une simple règle du genre : "iptables -I INPUT -s adresse_ip -j DROP"
Oh le joli déni de service que voilà !
Je ne pense pas être parano. Je voulais juste installer ce programme qui me semblait un bon outil :-D
En dehors des conférences de paran^Wconsultants en sécurité, je n'ai vu ce genre de chose qu'une seule fois. Tout ce que j'en ai retenu, c'est qu'il faut un admin compétent (ce n'était pas le cas) pour que ça ne soit pas trop nuisible (je ne parle pas d'utilité, je n'ai pas pu me faire une opinion là-dessus).
-- Arnaud Gomes-do-Vale -*-*-*- http://www.glou.org/~arnaud/ -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=- En savoir plus sur GNU/Linux : http://www.linux-france.org/
"Xes" <pierrepinon@free.fr> writes:
L'intéret de ce genre de programme et d'interrompre le scan et de bloquer
l'acces furur au serveur après un scan. Une simple règle du genre :
"iptables -I INPUT -s adresse_ip -j DROP"
Oh le joli déni de service que voilà !
Je ne pense pas être parano. Je voulais juste installer ce programme qui me
semblait un bon outil :-D
En dehors des conférences de paran^Wconsultants en sécurité, je n'ai
vu ce genre de chose qu'une seule fois. Tout ce que j'en ai retenu,
c'est qu'il faut un admin compétent (ce n'était pas le cas) pour que
ça ne soit pas trop nuisible (je ne parle pas d'utilité, je n'ai pas
pu me faire une opinion là-dessus).
--
Arnaud Gomes-do-Vale -*-*-*- arnaud@carrosse.frmug.org
http://www.glou.org/~arnaud/
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
En savoir plus sur GNU/Linux : http://www.linux-france.org/
L'intéret de ce genre de programme et d'interrompre le scan et de bloquer l'acces furur au serveur après un scan. Une simple règle du genre : "iptables -I INPUT -s adresse_ip -j DROP"
Oh le joli déni de service que voilà !
Je ne pense pas être parano. Je voulais juste installer ce programme qui me semblait un bon outil :-D
En dehors des conférences de paran^Wconsultants en sécurité, je n'ai vu ce genre de chose qu'une seule fois. Tout ce que j'en ai retenu, c'est qu'il faut un admin compétent (ce n'était pas le cas) pour que ça ne soit pas trop nuisible (je ne parle pas d'utilité, je n'ai pas pu me faire une opinion là-dessus).
-- Arnaud Gomes-do-Vale -*-*-*- http://www.glou.org/~arnaud/ -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=- En savoir plus sur GNU/Linux : http://www.linux-france.org/
doug
Le Samedi 7 Février 2004 18:21, Xes s'est exprimé de la sorte sur fr.comp.os.linux.configuration :
Pas contre, je crois que tu n'as rien compris à ce que j'ai dit :-D
Vraissemblablement, je n'étais pas le seul !! -- @+ Doug [Pourquoi t'es qui, qu'est ce que tu fais par où ?] -- Pour me contacter enlever no-spam (2X) --
Le Samedi 7 Février 2004 18:21, Xes s'est exprimé de la sorte sur
fr.comp.os.linux.configuration :
Pas contre, je crois que tu n'as rien compris à ce que j'ai dit :-D
Vraissemblablement, je n'étais pas le seul !!
--
@+
Doug
[Pourquoi t'es qui, qu'est ce que tu fais par où ?]
-- Pour me contacter enlever no-spam (2X) --
Le Samedi 7 Février 2004 18:21, Xes s'est exprimé de la sorte sur fr.comp.os.linux.configuration :
Pas contre, je crois que tu n'as rien compris à ce que j'ai dit :-D
Vraissemblablement, je n'étais pas le seul !! -- @+ Doug [Pourquoi t'es qui, qu'est ce que tu fais par où ?] -- Pour me contacter enlever no-spam (2X) --
Xes
L'intéret de ce genre de programme et d'interrompre le scan et de bloquer
l'acces furur au serveur après un scan. Une simple règle du genre : "iptables -I INPUT -s adresse_ip -j DROP"
Oh le joli déni de service que voilà !
Je ne pense pas être parano. Je voulais juste installer ce programme qui me
semblait un bon outil :-D
En dehors des conférences de paran^Wconsultants en sécurité, je n'ai vu ce genre de chose qu'une seule fois. Tout ce que j'en ai retenu, c'est qu'il faut un admin compétent (ce n'était pas le cas) pour que ça ne soit pas trop nuisible (je ne parle pas d'utilité, je n'ai pas pu me faire une opinion là-dessus).
Alors il y a aucun problèmes ...
-- Arnaud Gomes-do-Vale -*-*-*- http://www.glou.org/~arnaud/ -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=- En savoir plus sur GNU/Linux : http://www.linux-france.org/
L'intéret de ce genre de programme et d'interrompre le scan et de
bloquer
l'acces furur au serveur après un scan. Une simple règle du genre :
"iptables -I INPUT -s adresse_ip -j DROP"
Oh le joli déni de service que voilà !
Je ne pense pas être parano. Je voulais juste installer ce programme qui
me
semblait un bon outil :-D
En dehors des conférences de paran^Wconsultants en sécurité, je n'ai
vu ce genre de chose qu'une seule fois. Tout ce que j'en ai retenu,
c'est qu'il faut un admin compétent (ce n'était pas le cas) pour que
ça ne soit pas trop nuisible (je ne parle pas d'utilité, je n'ai pas
pu me faire une opinion là-dessus).
Alors il y a aucun problèmes ...
--
Arnaud Gomes-do-Vale -*-*-*- arnaud@carrosse.frmug.org
http://www.glou.org/~arnaud/
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
En savoir plus sur GNU/Linux : http://www.linux-france.org/
L'intéret de ce genre de programme et d'interrompre le scan et de bloquer
l'acces furur au serveur après un scan. Une simple règle du genre : "iptables -I INPUT -s adresse_ip -j DROP"
Oh le joli déni de service que voilà !
Je ne pense pas être parano. Je voulais juste installer ce programme qui me
semblait un bon outil :-D
En dehors des conférences de paran^Wconsultants en sécurité, je n'ai vu ce genre de chose qu'une seule fois. Tout ce que j'en ai retenu, c'est qu'il faut un admin compétent (ce n'était pas le cas) pour que ça ne soit pas trop nuisible (je ne parle pas d'utilité, je n'ai pas pu me faire une opinion là-dessus).
Alors il y a aucun problèmes ...
-- Arnaud Gomes-do-Vale -*-*-*- http://www.glou.org/~arnaud/ -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=- En savoir plus sur GNU/Linux : http://www.linux-france.org/
Xes
c'est justement la ou intervient le firewall : on peut configurer portsentry pour ajouter au firewall une regles de filtrage de l'adresse ip qui scanne ...
Ok, merci de la précision. Je doute toujours de l'efficacité car l'attaquant peut changer d'IP après sont portscan pour exploiter les failles trouvées. Il me semble aussi qu'en étant suffisemment malin il y a moyen de changer l'ip source dans un paquet ip et ainsi de remplir la table du firewall en question :)
Un firewall aussi ne sert à rien car on peut toujours trouver une faille dans un service ouvert donc ca aussi ca ne sert à rien ...
c'est justement la ou intervient le firewall : on peut configurer
portsentry
pour ajouter au firewall une regles de filtrage de l'adresse ip qui
scanne ...
Ok, merci de la précision.
Je doute toujours de l'efficacité car l'attaquant peut changer d'IP après
sont portscan pour exploiter les failles trouvées. Il me semble aussi
qu'en étant suffisemment malin il y a moyen de changer l'ip source dans un
paquet ip et ainsi de remplir la table du firewall en question :)
Un firewall aussi ne sert à rien car on peut toujours trouver une faille
dans un service ouvert donc ca aussi ca ne sert à rien ...
c'est justement la ou intervient le firewall : on peut configurer portsentry pour ajouter au firewall une regles de filtrage de l'adresse ip qui scanne ...
Ok, merci de la précision. Je doute toujours de l'efficacité car l'attaquant peut changer d'IP après sont portscan pour exploiter les failles trouvées. Il me semble aussi qu'en étant suffisemment malin il y a moyen de changer l'ip source dans un paquet ip et ainsi de remplir la table du firewall en question :)
Un firewall aussi ne sert à rien car on peut toujours trouver une faille dans un service ouvert donc ca aussi ca ne sert à rien ...
