J'ai un petit problème sur mon serveur avec portsentry.
Avant d'installer ce logiciel j'avais un firewall grace à iptables plutot
restritif (j'ouvrai que les ports dont j'ai besoin donc 20,21,80,25).
J'ai alors décidé d'installé portsentry, que j'avais déjà installé
ailleurs, je le lance en atcp et audp , j'exclus aucun port et suprise,
après un scan nmap, portsentry ne bloque rien. (je précise que mon
firewall est toujours en marche).
Alors je me pose la question : Faut-il accepté tout les paquets sur mon
serveur (toutes les regles iptables à ACCEPT) pour que portsentry puisse
bloqué les scanners ? D'un côté ça me semble fort possible mais d'un
autre un peu sucidaire...
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
db
Romain Moyne wrote:
Bonsoir à tous ;)
J'ai un petit problème sur mon serveur avec portsentry. Avant d'installer ce logiciel j'avais un firewall grace à iptables plutot restritif (j'ouvrai que les ports dont j'ai besoin donc 20,21,80,25). J'ai alors décidé d'installé portsentry, que j'avais déjà installé ailleurs, je le lance en atcp et audp , j'exclus aucun port et suprise, après un scan nmap, portsentry ne bloque rien. (je précise que mon firewall est toujours en marche).
Alors je me pose la question : Faut-il accepté tout les paquets sur mon serveur (toutes les regles iptables à ACCEPT) pour que portsentry puisse bloqué les scanners ? D'un côté ça me semble fort possible mais d'un autre un peu sucidaire... Avant d'arriver à une application (portsentry), les paquets passent d'abord
par le noyau (iptables) n'est ce pas ?
db
Merci d'avance pour vos réponses ;)
-- email : usenet blas net
Romain Moyne wrote:
Bonsoir à tous ;)
J'ai un petit problème sur mon serveur avec portsentry.
Avant d'installer ce logiciel j'avais un firewall grace à iptables plutot
restritif (j'ouvrai que les ports dont j'ai besoin donc 20,21,80,25).
J'ai alors décidé d'installé portsentry, que j'avais déjà installé
ailleurs, je le lance en atcp et audp , j'exclus aucun port et suprise,
après un scan nmap, portsentry ne bloque rien. (je précise que mon
firewall est toujours en marche).
Alors je me pose la question : Faut-il accepté tout les paquets sur mon
serveur (toutes les regles iptables à ACCEPT) pour que portsentry puisse
bloqué les scanners ? D'un côté ça me semble fort possible mais d'un
autre un peu sucidaire...
Avant d'arriver à une application (portsentry), les paquets passent d'abord
J'ai un petit problème sur mon serveur avec portsentry. Avant d'installer ce logiciel j'avais un firewall grace à iptables plutot restritif (j'ouvrai que les ports dont j'ai besoin donc 20,21,80,25). J'ai alors décidé d'installé portsentry, que j'avais déjà installé ailleurs, je le lance en atcp et audp , j'exclus aucun port et suprise, après un scan nmap, portsentry ne bloque rien. (je précise que mon firewall est toujours en marche).
Alors je me pose la question : Faut-il accepté tout les paquets sur mon serveur (toutes les regles iptables à ACCEPT) pour que portsentry puisse bloqué les scanners ? D'un côté ça me semble fort possible mais d'un autre un peu sucidaire... Avant d'arriver à une application (portsentry), les paquets passent d'abord
par le noyau (iptables) n'est ce pas ?
db
Merci d'avance pour vos réponses ;)
-- email : usenet blas net
Djoume SALVETTI
Alors je me pose la question : Faut-il accepté tout les paquets sur mon serveur (toutes les regles iptables à ACCEPT) pour que portsentry puisse bloqué les scanners ? D'un côté ça me semble fort possible mais d'un autre un peu sucidaire...
Non je ne pense pas. Moi je m'en sert derrière mon firewall pour détecter d'éventuels problèmes de configuration. On peut également s'en servir sur une machine dédiée à la détection d'intrusion.
Avant d'arriver à une application (portsentry), les paquets passent d'abord par le noyau (iptables) n'est ce pas ?
ça dépend. Dans le cas de portsentry oui, mais dans le cas de programmes utilisant le libpcap (tcpdump, snort, ...) le programme voit les paquets avant Netfilter.
-- Djoumé SALVETTI
Alors je me pose la question : Faut-il accepté tout les paquets sur mon
serveur (toutes les regles iptables à ACCEPT) pour que portsentry puisse
bloqué les scanners ? D'un côté ça me semble fort possible mais d'un
autre un peu sucidaire...
Non je ne pense pas. Moi je m'en sert derrière mon firewall pour
détecter d'éventuels problèmes de configuration. On peut également s'en
servir sur une machine dédiée à la détection d'intrusion.
Avant d'arriver à une application (portsentry), les paquets passent d'abord
par le noyau (iptables) n'est ce pas ?
ça dépend. Dans le cas de portsentry oui, mais dans le cas de programmes
utilisant le libpcap (tcpdump, snort, ...) le programme voit les paquets
avant Netfilter.
Alors je me pose la question : Faut-il accepté tout les paquets sur mon serveur (toutes les regles iptables à ACCEPT) pour que portsentry puisse bloqué les scanners ? D'un côté ça me semble fort possible mais d'un autre un peu sucidaire...
Non je ne pense pas. Moi je m'en sert derrière mon firewall pour détecter d'éventuels problèmes de configuration. On peut également s'en servir sur une machine dédiée à la détection d'intrusion.
Avant d'arriver à une application (portsentry), les paquets passent d'abord par le noyau (iptables) n'est ce pas ?
ça dépend. Dans le cas de portsentry oui, mais dans le cas de programmes utilisant le libpcap (tcpdump, snort, ...) le programme voit les paquets avant Netfilter.
-- Djoumé SALVETTI
Romain Moyne
Le Tue, 01 Jun 2004 09:41:24 +0000, Djoume SALVETTI a écrit :
Alors je me pose la question : Faut-il accepté tout les paquets sur mon serveur (toutes les regles iptables à ACCEPT) pour que portsentry puisse bloqué les scanners ? D'un côté ça me semble fort possible mais d'un autre un peu sucidaire...
Non je ne pense pas. Moi je m'en sert derrière mon firewall pour détecter d'éventuels problèmes de configuration. On peut également s'en servir sur une machine dédiée à la détection d'intrusion.
Mon problème est que si j'active portsentry derrière mon firewall, et que je scan mon serveur je peux voir tous les ports ouverts. Or en installant portsentry mon but était qu'un pirate ne puisse pas voir les ports ouverts et qu'il soit bloqué. Chez moi portsentry bloque les intrus uniquement si mon firewall ne fonctionne pas... et ce n'est pas ce que je voulais à la base. Quelqu'un a une soluce ?
Avant d'arriver à une application (portsentry), les paquets passent d'abord par le noyau (iptables) n'est ce pas ?
ça dépend. Dans le cas de portsentry oui, mais dans le cas de programmes utilisant le libpcap (tcpdump, snort, ...) le programme voit les paquets avant Netfilter.
Le Tue, 01 Jun 2004 09:41:24 +0000, Djoume SALVETTI a écrit :
Alors je me pose la question : Faut-il accepté tout les paquets sur mon
serveur (toutes les regles iptables à ACCEPT) pour que portsentry puisse
bloqué les scanners ? D'un côté ça me semble fort possible mais d'un
autre un peu sucidaire...
Non je ne pense pas. Moi je m'en sert derrière mon firewall pour
détecter d'éventuels problèmes de configuration. On peut également s'en
servir sur une machine dédiée à la détection d'intrusion.
Mon problème est que si j'active portsentry derrière mon firewall, et
que je scan mon serveur je peux voir tous les ports ouverts. Or en
installant portsentry mon but était qu'un pirate ne puisse pas voir les
ports ouverts et qu'il soit bloqué.
Chez moi portsentry bloque les intrus uniquement si mon firewall ne
fonctionne pas... et ce n'est pas ce que je voulais à la base.
Quelqu'un a une soluce ?
Avant d'arriver à une application (portsentry), les paquets passent d'abord
par le noyau (iptables) n'est ce pas ?
ça dépend. Dans le cas de portsentry oui, mais dans le cas de programmes
utilisant le libpcap (tcpdump, snort, ...) le programme voit les paquets
avant Netfilter.
Le Tue, 01 Jun 2004 09:41:24 +0000, Djoume SALVETTI a écrit :
Alors je me pose la question : Faut-il accepté tout les paquets sur mon serveur (toutes les regles iptables à ACCEPT) pour que portsentry puisse bloqué les scanners ? D'un côté ça me semble fort possible mais d'un autre un peu sucidaire...
Non je ne pense pas. Moi je m'en sert derrière mon firewall pour détecter d'éventuels problèmes de configuration. On peut également s'en servir sur une machine dédiée à la détection d'intrusion.
Mon problème est que si j'active portsentry derrière mon firewall, et que je scan mon serveur je peux voir tous les ports ouverts. Or en installant portsentry mon but était qu'un pirate ne puisse pas voir les ports ouverts et qu'il soit bloqué. Chez moi portsentry bloque les intrus uniquement si mon firewall ne fonctionne pas... et ce n'est pas ce que je voulais à la base. Quelqu'un a une soluce ?
Avant d'arriver à une application (portsentry), les paquets passent d'abord par le noyau (iptables) n'est ce pas ?
ça dépend. Dans le cas de portsentry oui, mais dans le cas de programmes utilisant le libpcap (tcpdump, snort, ...) le programme voit les paquets avant Netfilter.
db
Romain Moyne wrote:
Le Tue, 01 Jun 2004 09:41:24 +0000, Djoume SALVETTI a écrit :
Alors je me pose la question : Faut-il accepté tout les paquets sur mon serveur (toutes les regles iptables à ACCEPT) pour que portsentry puisse bloqué les scanners ? D'un côté ça me semble fort possible mais d'un autre un peu sucidaire... Faut lire parfois pour bien comprendre le fonctionnement d'un logiciel.
Non je ne pense pas. Moi je m'en sert derrière mon firewall pour détecter d'éventuels problèmes de configuration. On peut également s'en servir sur une machine dédiée à la détection d'intrusion.
Mon problème est que si j'active portsentry derrière mon firewall, et que je scan mon serveur je peux voir tous les ports ouverts.
Or en installant portsentry mon but était qu'un pirate ne puisse pas voir les
ports ouverts et qu'il soit bloqué. Chez moi portsentry bloque les intrus uniquement si mon firewall ne fonctionne pas... et ce n'est pas ce que je voulais à la base. Quelqu'un a une soluce ?
Avant d'arriver à une application (portsentry), les paquets passent d'abord par le noyau (iptables) n'est ce pas ?
ça dépend. Dans le cas de portsentry oui, donc la réponse à la question du monsieur est donnée.
mais dans le cas de programmes utilisant le libpcap (tcpdump, snort, ...) le programme voit les paquets avant Netfilter. Parce que ces messieurs utilisent le capitaine Crochet. Si portsentry
faisait de même il détecterait sans cesse les paquets qu'il vient juste de faire bloquer par iptables. Ca ressemblerait alors beaucoup à une boucle infinie non ?
db
-- email : usenet blas net
Romain Moyne wrote:
Le Tue, 01 Jun 2004 09:41:24 +0000, Djoume SALVETTI a écrit :
Alors je me pose la question : Faut-il accepté tout les paquets sur
mon serveur (toutes les regles iptables à ACCEPT) pour que portsentry
puisse bloqué les scanners ? D'un côté ça me semble fort possible mais
d'un autre un peu sucidaire...
Faut lire parfois pour bien comprendre le fonctionnement d'un logiciel.
Non je ne pense pas. Moi je m'en sert derrière mon firewall pour
détecter d'éventuels problèmes de configuration. On peut également s'en
servir sur une machine dédiée à la détection d'intrusion.
Mon problème est que si j'active portsentry derrière mon firewall, et
que je scan mon serveur je peux voir tous les ports ouverts.
Or en
installant portsentry mon but était qu'un pirate ne puisse pas voir les
ports ouverts et qu'il soit bloqué.
Chez moi portsentry bloque les intrus uniquement si mon firewall ne
fonctionne pas... et ce n'est pas ce que je voulais à la base.
Quelqu'un a une soluce ?
Avant d'arriver à une application (portsentry), les paquets passent
d'abord par le noyau (iptables) n'est ce pas ?
ça dépend. Dans le cas de portsentry oui,
donc la réponse à la question du monsieur est donnée.
mais dans le cas de programmes
utilisant le libpcap (tcpdump, snort, ...) le programme voit les paquets
avant Netfilter.
Parce que ces messieurs utilisent le capitaine Crochet. Si portsentry
faisait de même il détecterait sans cesse les paquets qu'il vient juste de
faire bloquer par iptables.
Ca ressemblerait alors beaucoup à une boucle infinie non ?
Le Tue, 01 Jun 2004 09:41:24 +0000, Djoume SALVETTI a écrit :
Alors je me pose la question : Faut-il accepté tout les paquets sur mon serveur (toutes les regles iptables à ACCEPT) pour que portsentry puisse bloqué les scanners ? D'un côté ça me semble fort possible mais d'un autre un peu sucidaire... Faut lire parfois pour bien comprendre le fonctionnement d'un logiciel.
Non je ne pense pas. Moi je m'en sert derrière mon firewall pour détecter d'éventuels problèmes de configuration. On peut également s'en servir sur une machine dédiée à la détection d'intrusion.
Mon problème est que si j'active portsentry derrière mon firewall, et que je scan mon serveur je peux voir tous les ports ouverts.
Or en installant portsentry mon but était qu'un pirate ne puisse pas voir les
ports ouverts et qu'il soit bloqué. Chez moi portsentry bloque les intrus uniquement si mon firewall ne fonctionne pas... et ce n'est pas ce que je voulais à la base. Quelqu'un a une soluce ?
Avant d'arriver à une application (portsentry), les paquets passent d'abord par le noyau (iptables) n'est ce pas ?
ça dépend. Dans le cas de portsentry oui, donc la réponse à la question du monsieur est donnée.
mais dans le cas de programmes utilisant le libpcap (tcpdump, snort, ...) le programme voit les paquets avant Netfilter. Parce que ces messieurs utilisent le capitaine Crochet. Si portsentry
faisait de même il détecterait sans cesse les paquets qu'il vient juste de faire bloquer par iptables. Ca ressemblerait alors beaucoup à une boucle infinie non ?
db
-- email : usenet blas net
Benjamin Pineau
Le 31 May 2004 18:23:16 GMT, Romain Moyne écrivais:
Avant d'installer ce logiciel j'avais un firewall grace à iptables plutot restritif (j'ouvrai que les ports dont j'ai besoin donc 20,21,80,25). J'ai alors décidé d'installé portsentry, que j'avais déjà installé ailleurs, je le lance en atcp et audp , j'exclus aucun port et suprise, après un scan nmap, portsentry ne bloque rien. (je précise que mon firewall est toujours en marche).
Porsentry détecte les scans (enfin, certains scans...) en ouvrant et écoutant les ports indiqués dans son fichier de configuration.
Evidement, rien ne sert de le faire écouter sur un port si le pare-feu empêche tout traffic vers ce port.
Vous n'éte pas obligé pour autant de d'ouvrir complétement le pare feu: choissez une petite série de ports "significatifs" parmi ceux que vous n'utilisez pas (par exemple 23, 443, 8080 ...), débloquez les dans le pare-feu et configurez portsentry pour qu'il écoute sur ces ports.
Notes: - "j'exclus aucun port" : si votre portsentry tente d'écouter sur des ports déjà utilisés par vos services, vous aurez des soucis au prochain démmarage. - Contentez vous d'utiliser portsentry en IDS, ne le configurez pas pour générer des règles de filtrage dynamiquement tant que vous ne maîtrisez pas parfaitement l'outil (même après imho): un malfaiteur plus compétent saura utiliser vos erreurs à vos dépends. Mieux, regardez du coté des IDS senior (comme prelude ou snort).
Le 31 May 2004 18:23:16 GMT,
Romain Moyne <aero_climb@yahoo.fr> écrivais:
Avant d'installer ce logiciel j'avais un firewall grace à iptables plutot
restritif (j'ouvrai que les ports dont j'ai besoin donc 20,21,80,25).
J'ai alors décidé d'installé portsentry, que j'avais déjà installé
ailleurs, je le lance en atcp et audp , j'exclus aucun port et suprise,
après un scan nmap, portsentry ne bloque rien. (je précise que mon
firewall est toujours en marche).
Porsentry détecte les scans (enfin, certains scans...) en ouvrant et
écoutant les ports indiqués dans son fichier de configuration.
Evidement, rien ne sert de le faire écouter sur un port si le pare-feu
empêche tout traffic vers ce port.
Vous n'éte pas obligé pour autant de d'ouvrir complétement le pare feu:
choissez une petite série de ports "significatifs" parmi ceux que vous
n'utilisez pas (par exemple 23, 443, 8080 ...), débloquez les dans le
pare-feu et configurez portsentry pour qu'il écoute sur ces ports.
Notes:
- "j'exclus aucun port" : si votre portsentry tente d'écouter sur des
ports déjà utilisés par vos services, vous aurez des soucis au
prochain démmarage.
- Contentez vous d'utiliser portsentry en IDS, ne le configurez pas
pour générer des règles de filtrage dynamiquement tant que vous
ne maîtrisez pas parfaitement l'outil (même après imho): un
malfaiteur plus compétent saura utiliser vos erreurs à vos dépends.
Mieux, regardez du coté des IDS senior (comme prelude ou snort).
Le 31 May 2004 18:23:16 GMT, Romain Moyne écrivais:
Avant d'installer ce logiciel j'avais un firewall grace à iptables plutot restritif (j'ouvrai que les ports dont j'ai besoin donc 20,21,80,25). J'ai alors décidé d'installé portsentry, que j'avais déjà installé ailleurs, je le lance en atcp et audp , j'exclus aucun port et suprise, après un scan nmap, portsentry ne bloque rien. (je précise que mon firewall est toujours en marche).
Porsentry détecte les scans (enfin, certains scans...) en ouvrant et écoutant les ports indiqués dans son fichier de configuration.
Evidement, rien ne sert de le faire écouter sur un port si le pare-feu empêche tout traffic vers ce port.
Vous n'éte pas obligé pour autant de d'ouvrir complétement le pare feu: choissez une petite série de ports "significatifs" parmi ceux que vous n'utilisez pas (par exemple 23, 443, 8080 ...), débloquez les dans le pare-feu et configurez portsentry pour qu'il écoute sur ces ports.
Notes: - "j'exclus aucun port" : si votre portsentry tente d'écouter sur des ports déjà utilisés par vos services, vous aurez des soucis au prochain démmarage. - Contentez vous d'utiliser portsentry en IDS, ne le configurez pas pour générer des règles de filtrage dynamiquement tant que vous ne maîtrisez pas parfaitement l'outil (même après imho): un malfaiteur plus compétent saura utiliser vos erreurs à vos dépends. Mieux, regardez du coté des IDS senior (comme prelude ou snort).