Bonjour,
j'ai un firewall iptables direct sur ma machine, avec des règles
restrictives sur les chaînes input et output (je fais un reject sur tout
ce qui n'est pas autorisé explicitement) en plus du reste.
PB: le protocole MSN, en plus du port 1863, ouvre aléatoirement des
ports en écoute, notamment pour les transferts de fichiers.
J'ai contourné le problème en limitant manuellement la plage de ports
utilisée par GAIM, et en ajoutant les règles suivantes:
###########
iptables -A OUTPUT -o ppp0 -p TCP --dport XXXXX:YYYYY -m state \
--state NEW --syn -j ACCEPT
iptables -A OUTPUT -o ppp0 -p UDP --dport XXXXX:YYYYY -m state \
--state NEW -j ACCEPT
iptables -A bad-me -p TCP --dport XXXXX:YYYYY -m state --state \
NEW --syn -j ACCEPT
iptables -A bad-me -p UDP --dport XXXXX:YYYYY -m state --state \
NEW -j ACCEPT
##########
Évidemment, si un autre programme ouvre ces ports, ça va passer aussi.
Q: y-à-t'il un module iptables qui "comprenne" le protocole MSN, à
l'instar d'ip_conntrack_ftp ?
J'ai bien vu un programme en userland pour le nat (reaim), mais rien
en revanche pour l'ouverture de ports...
Attention : les options --pid-owner, --sid-owner et --cmd-owner ne sont plus supportées depuis de la version 2.6.14 du noyau Linux.
Pascal Hambourg
PB: le protocole MSN, en plus du port 1863, ouvre aléatoirement des ports en écoute, notamment pour les transferts de fichiers.
Pas si aléatoirement, il me semble : les port susceptibles d'être ouverts en écoute pour les transferts de fichiers sont 6891 à 6900 en TCP.
[...]
Évidemment, si un autre programme ouvre ces ports, ça va passer aussi.
Q: y-à-t'il un module iptables qui "comprenne" le protocole MSN, à l'instar d'ip_conntrack_ftp ?
Il me semble avoir vu des messages dans les archives de la liste netfilter-devel d'il y a quelques années au sujet du développement d'un "helper" pour le protocole de MSN Messenger mais je ne l'ai jamais vu dans le patch-o-matic.
Quand bien même s'il y avait un helper, un programme malveillant autre qu'un client de messagerie instantanée pourrait de toute façon imiter le protocole pour ouvrir des ports en entrée ou en sortie. De toute façon si le port 1863 est ouvert en sortie, c'est suffisant pour permettre à un programme malveillant de communiquer avec une machine extérieure complice.
PB: le protocole MSN, en plus du port 1863, ouvre aléatoirement des
ports en écoute, notamment pour les transferts de fichiers.
Pas si aléatoirement, il me semble : les port susceptibles d'être
ouverts en écoute pour les transferts de fichiers sont 6891 à 6900 en TCP.
[...]
Évidemment, si un autre programme ouvre ces ports, ça va passer aussi.
Q: y-à-t'il un module iptables qui "comprenne" le protocole MSN, à
l'instar d'ip_conntrack_ftp ?
Il me semble avoir vu des messages dans les archives de la liste
netfilter-devel d'il y a quelques années au sujet du développement d'un
"helper" pour le protocole de MSN Messenger mais je ne l'ai jamais vu
dans le patch-o-matic.
Quand bien même s'il y avait un helper, un programme malveillant autre
qu'un client de messagerie instantanée pourrait de toute façon imiter le
protocole pour ouvrir des ports en entrée ou en sortie. De toute façon
si le port 1863 est ouvert en sortie, c'est suffisant pour permettre à
un programme malveillant de communiquer avec une machine extérieure
complice.
PB: le protocole MSN, en plus du port 1863, ouvre aléatoirement des ports en écoute, notamment pour les transferts de fichiers.
Pas si aléatoirement, il me semble : les port susceptibles d'être ouverts en écoute pour les transferts de fichiers sont 6891 à 6900 en TCP.
[...]
Évidemment, si un autre programme ouvre ces ports, ça va passer aussi.
Q: y-à-t'il un module iptables qui "comprenne" le protocole MSN, à l'instar d'ip_conntrack_ftp ?
Il me semble avoir vu des messages dans les archives de la liste netfilter-devel d'il y a quelques années au sujet du développement d'un "helper" pour le protocole de MSN Messenger mais je ne l'ai jamais vu dans le patch-o-matic.
Quand bien même s'il y avait un helper, un programme malveillant autre qu'un client de messagerie instantanée pourrait de toute façon imiter le protocole pour ouvrir des ports en entrée ou en sortie. De toute façon si le port 1863 est ouvert en sortie, c'est suffisant pour permettre à un programme malveillant de communiquer avec une machine extérieure complice.
Thomas Harding
Le 15-02-2007, Pascal Hambourg a écrit :
PB: le protocole MSN, en plus du port 1863, ouvre aléatoirement des ports en écoute, notamment pour les transferts de fichiers.
Pas si aléatoirement, il me semble : les port susceptibles d'être ouverts en écoute pour les transferts de fichiers sont 6891 à 6900 en TCP.
C'est ce que dit la FAQ citée dans un autre msg de fcri, mais j'avais lu des infos contradictoires par ailleurs (port quelconque entre 1024 et 65535).
N'importe, j'ai réglé GAIM pour utiliser cette plage
[...]
Évidemment, si un autre programme ouvre ces ports, ça va passer aussi.
Q: y-à-t'il un module iptables qui "comprenne" le protocole MSN, à l'instar d'ip_conntrack_ftp ?
Il me semble avoir vu des messages dans les archives de la liste netfilter-devel d'il y a quelques années au sujet du développement d'un "helper" pour le protocole de MSN Messenger mais je ne l'ai jamais vu dans le patch-o-matic.
Quand bien même s'il y avait un helper, un programme malveillant autre qu'un client de messagerie instantanée pourrait de toute façon imiter le protocole pour ouvrir des ports en entrée ou en sortie. De toute façon si le port 1863 est ouvert en sortie, c'est suffisant pour permettre à un programme malveillant de communiquer avec une machine extérieure complice.
Je n'avais pas pensé à ça, mais même si la sortie ne peut être protégée contre un programme malveillant, l'entrée, elle, reste protégée dans le cas du helper (à moins d'imitation du protocole). C'est du moins vrai dans le cas de ftp.
En tous cas, merci de tes précisions. -- Thomas Harding
Le 15-02-2007, Pascal Hambourg <boite-a-spam@plouf.fr.eu.org> a écrit :
PB: le protocole MSN, en plus du port 1863, ouvre aléatoirement des
ports en écoute, notamment pour les transferts de fichiers.
Pas si aléatoirement, il me semble : les port susceptibles d'être
ouverts en écoute pour les transferts de fichiers sont 6891 à 6900 en TCP.
C'est ce que dit la FAQ citée dans un autre msg de fcri, mais j'avais lu
des infos contradictoires par ailleurs (port quelconque entre 1024 et
65535).
N'importe, j'ai réglé GAIM pour utiliser cette plage
[...]
Évidemment, si un autre programme ouvre ces ports, ça va passer aussi.
Q: y-à-t'il un module iptables qui "comprenne" le protocole MSN, à
l'instar d'ip_conntrack_ftp ?
Il me semble avoir vu des messages dans les archives de la liste
netfilter-devel d'il y a quelques années au sujet du développement d'un
"helper" pour le protocole de MSN Messenger mais je ne l'ai jamais vu
dans le patch-o-matic.
Quand bien même s'il y avait un helper, un programme malveillant autre
qu'un client de messagerie instantanée pourrait de toute façon imiter le
protocole pour ouvrir des ports en entrée ou en sortie. De toute façon
si le port 1863 est ouvert en sortie, c'est suffisant pour permettre à
un programme malveillant de communiquer avec une machine extérieure
complice.
Je n'avais pas pensé à ça, mais même si la sortie ne peut être protégée
contre un programme malveillant, l'entrée, elle, reste protégée dans le
cas du helper (à moins d'imitation du protocole). C'est du moins vrai
dans le cas de ftp.
En tous cas, merci de tes précisions.
--
Thomas Harding
PB: le protocole MSN, en plus du port 1863, ouvre aléatoirement des ports en écoute, notamment pour les transferts de fichiers.
Pas si aléatoirement, il me semble : les port susceptibles d'être ouverts en écoute pour les transferts de fichiers sont 6891 à 6900 en TCP.
C'est ce que dit la FAQ citée dans un autre msg de fcri, mais j'avais lu des infos contradictoires par ailleurs (port quelconque entre 1024 et 65535).
N'importe, j'ai réglé GAIM pour utiliser cette plage
[...]
Évidemment, si un autre programme ouvre ces ports, ça va passer aussi.
Q: y-à-t'il un module iptables qui "comprenne" le protocole MSN, à l'instar d'ip_conntrack_ftp ?
Il me semble avoir vu des messages dans les archives de la liste netfilter-devel d'il y a quelques années au sujet du développement d'un "helper" pour le protocole de MSN Messenger mais je ne l'ai jamais vu dans le patch-o-matic.
Quand bien même s'il y avait un helper, un programme malveillant autre qu'un client de messagerie instantanée pourrait de toute façon imiter le protocole pour ouvrir des ports en entrée ou en sortie. De toute façon si le port 1863 est ouvert en sortie, c'est suffisant pour permettre à un programme malveillant de communiquer avec une machine extérieure complice.
Je n'avais pas pensé à ça, mais même si la sortie ne peut être protégée contre un programme malveillant, l'entrée, elle, reste protégée dans le cas du helper (à moins d'imitation du protocole). C'est du moins vrai dans le cas de ftp.
En tous cas, merci de tes précisions. -- Thomas Harding
