* firewall/routeur linux:
- eth0 sans IP, connecté au modem adsl (pppoe)
- eth1 - 192.168.0.1/24
* hub 10/100
* 1 PC sur le hub - 192.168.0.10/24
* point d'accès 802.11b crypté sur le hub - 192.168.0.50/24
* 1 PC en 802.11b DHCP (il a toujours 192.168.0.254/24 en fait)
Les rapports snort me donnent des alertes avec des adresses IP:
- 'normales' (ie publiques, venant de DHCP de différents providers mais
surtout free ;-)
- de type 192.168.0.x mais non présentes sur mon réseau
- de type 192.168.1.x
- de type 192.168.3.x
- de type 10.x.x.x
Je ne comprends pas comment je peux avoir ces 4 dernieres tentatives
d'intrusion depuis des adresses privées ...
Il n'y a quasiment aucune possibilité d'intrusion via le 802.11b en raison
de l'éloignement des voisins et du cryptage. Côté cat5, je n'en parle même
pas ;-)
Quelqu'un a une idée?
Merci d'avance,
Lionel
PS: pour m'écrire en privé, vous déduirez facilement ma bonne adresse.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Annie D.
Lionel Zamouth wrote:
* firewall/routeur linux: - eth0 sans IP, connecté au modem adsl (pppoe) - eth1 - 192.168.0.1/24 * hub 10/100 * 1 PC sur le hub - 192.168.0.10/24 * point d'accès 802.11b crypté sur le hub - 192.168.0.50/24 * 1 PC en 802.11b DHCP (il a toujours 192.168.0.254/24 en fait)
Les rapports snort me donnent des alertes avec des adresses IP: - 'normales' (ie publiques, venant de DHCP de différents providers mais surtout free ;-)
<détail sans importance> N'oubliez pas qu'une bonne part des connexions aux FAI se fait avec PPP. Dans ce cas les adresses ne sont pas attribuées par DHCP mais IPCP.
- de type 192.168.0.x mais non présentes sur mon réseau - de type 192.168.1.x - de type 192.168.3.x - de type 10.x.x.x
Je ne comprends pas comment je peux avoir ces 4 dernieres tentatives d'intrusion depuis des adresses privées ...
Sur quelle(s) interface(s) de quelle(s) machine(s) ? Si c'est l'interface PPP publique du firewall, je reçois la même chose :
Ce sont juste des "paquets martiens" avec adresse source spoofée ou bien mal NATés, du bruit de fond. Tout le monde peut faire ça. On filtre et on oublie. Si c'est sur une interface intérieure du réseau local, c'est plus inquiétant et le recours au forum news:fr.comp.securite (modéré) est à considérer.
Lionel Zamouth wrote:
* firewall/routeur linux:
- eth0 sans IP, connecté au modem adsl (pppoe)
- eth1 - 192.168.0.1/24
* hub 10/100
* 1 PC sur le hub - 192.168.0.10/24
* point d'accès 802.11b crypté sur le hub - 192.168.0.50/24
* 1 PC en 802.11b DHCP (il a toujours 192.168.0.254/24 en fait)
Les rapports snort me donnent des alertes avec des adresses IP:
- 'normales' (ie publiques, venant de DHCP de différents providers mais
surtout free ;-)
<détail sans importance>
N'oubliez pas qu'une bonne part des connexions aux FAI se fait avec PPP.
Dans ce cas les adresses ne sont pas attribuées par DHCP mais IPCP.
- de type 192.168.0.x mais non présentes sur mon réseau
- de type 192.168.1.x
- de type 192.168.3.x
- de type 10.x.x.x
Je ne comprends pas comment je peux avoir ces 4 dernieres tentatives
d'intrusion depuis des adresses privées ...
Sur quelle(s) interface(s) de quelle(s) machine(s) ?
Si c'est l'interface PPP publique du firewall, je reçois la même chose :
Ce sont juste des "paquets martiens" avec adresse source spoofée ou bien
mal NATés, du bruit de fond. Tout le monde peut faire ça. On filtre et
on oublie.
Si c'est sur une interface intérieure du réseau local, c'est plus
inquiétant et le recours au forum news:fr.comp.securite (modéré) est à
considérer.
* firewall/routeur linux: - eth0 sans IP, connecté au modem adsl (pppoe) - eth1 - 192.168.0.1/24 * hub 10/100 * 1 PC sur le hub - 192.168.0.10/24 * point d'accès 802.11b crypté sur le hub - 192.168.0.50/24 * 1 PC en 802.11b DHCP (il a toujours 192.168.0.254/24 en fait)
Les rapports snort me donnent des alertes avec des adresses IP: - 'normales' (ie publiques, venant de DHCP de différents providers mais surtout free ;-)
<détail sans importance> N'oubliez pas qu'une bonne part des connexions aux FAI se fait avec PPP. Dans ce cas les adresses ne sont pas attribuées par DHCP mais IPCP.
- de type 192.168.0.x mais non présentes sur mon réseau - de type 192.168.1.x - de type 192.168.3.x - de type 10.x.x.x
Je ne comprends pas comment je peux avoir ces 4 dernieres tentatives d'intrusion depuis des adresses privées ...
Sur quelle(s) interface(s) de quelle(s) machine(s) ? Si c'est l'interface PPP publique du firewall, je reçois la même chose :
Ce sont juste des "paquets martiens" avec adresse source spoofée ou bien mal NATés, du bruit de fond. Tout le monde peut faire ça. On filtre et on oublie. Si c'est sur une interface intérieure du réseau local, c'est plus inquiétant et le recours au forum news:fr.comp.securite (modéré) est à considérer.
Lionel Zamouth
"Annie D." a écrit dans le message de news:
Lionel Zamouth wrote:
N'oubliez pas qu'une bonne part des connexions aux FAI se fait avec PPP.
Dans ce cas les adresses ne sont pas attribuées par DHCP mais IPCP. mea culpa, j'aurai du écrire 'dynamiques et appartenant à des FAI'. En plus
j'ai été de mauvaise foi en citant free. re ;-)
Je ne comprends pas comment je peux avoir ces 4 dernieres tentatives d'intrusion depuis des adresses privées ...
Sur quelle(s) interface(s) de quelle(s) machine(s) ? Si c'est l'interface PPP publique du firewall, je reçois la même chose : oui, c'est toujours vers la PPP publique.
Ce sont juste des "paquets martiens" avec adresse source spoofée ou bien mal NATés, du bruit de fond. Tout le monde peut faire ça. On filtre et on oublie. Je ne pensais pas que des paquets puissent arriver avec une adresse source
'privée' - même spoofée. J'ai été également été très étonné de voir que wanadoo routait des paquets à destinations de réseau privés. Je croyais que le routage était impossible quelque soit la passerelle (ou devrait être ...)
[ log]# traceroute -n 192.168.1.3 traceroute to 192.168.1.3 (192.168.1.3), 30 hops max, 38 byte packets 1 193.253.160.3 68.109 ms 53.422 ms 131.192 ms 2 80.10.175.65 96.671 ms 52.915 ms 133.246 ms 3 193.252.160.22 133.629 ms 98.661 ms 56.597 ms 4 193.251.126.106 98.461 ms 62.925 ms 196.000 ms 5 193.252.161.181 64.193 ms 63.268 ms 153.893 ms 6 193.252.98.205 64.949 ms 151.129 ms 135.898 ms 7 * * * De Toulouse à Aubervillier en passant par Poitier et Paris avant de se rendre compte que ça ne doit aller nulle part.
Si c'est sur une interface intérieure du réseau local, c'est plus inquiétant et le recours au forum news:fr.comp.securite (modéré) est à considérer. A priori c'est OK de ce côté là.
Merci pour les infos . Lionel
"Annie D." <annie.demur@free.fr> a écrit dans le message de
news:403748DF.2EB2DBF@free.fr...
Lionel Zamouth wrote:
N'oubliez pas qu'une bonne part des connexions aux FAI se fait avec PPP.
Dans ce cas les adresses ne sont pas attribuées par DHCP mais IPCP.
mea culpa, j'aurai du écrire 'dynamiques et appartenant à des FAI'. En plus
j'ai été de mauvaise foi en citant free. re ;-)
Je ne comprends pas comment je peux avoir ces 4 dernieres tentatives
d'intrusion depuis des adresses privées ...
Sur quelle(s) interface(s) de quelle(s) machine(s) ?
Si c'est l'interface PPP publique du firewall, je reçois la même chose :
oui, c'est toujours vers la PPP publique.
Ce sont juste des "paquets martiens" avec adresse source spoofée ou bien
mal NATés, du bruit de fond. Tout le monde peut faire ça. On filtre et
on oublie.
Je ne pensais pas que des paquets puissent arriver avec une adresse source
'privée' - même spoofée. J'ai été également été très étonné de voir que
wanadoo routait des paquets à destinations de réseau privés. Je croyais que
le routage était impossible quelque soit la passerelle (ou devrait être ...)
[root@aio log]# traceroute -n 192.168.1.3
traceroute to 192.168.1.3 (192.168.1.3), 30 hops max, 38 byte packets
1 193.253.160.3 68.109 ms 53.422 ms 131.192 ms
2 80.10.175.65 96.671 ms 52.915 ms 133.246 ms
3 193.252.160.22 133.629 ms 98.661 ms 56.597 ms
4 193.251.126.106 98.461 ms 62.925 ms 196.000 ms
5 193.252.161.181 64.193 ms 63.268 ms 153.893 ms
6 193.252.98.205 64.949 ms 151.129 ms 135.898 ms
7 * * *
De Toulouse à Aubervillier en passant par Poitier et Paris avant de se
rendre compte que ça ne doit aller nulle part.
Si c'est sur une interface intérieure du réseau local, c'est plus
inquiétant et le recours au forum news:fr.comp.securite (modéré) est à
considérer.
A priori c'est OK de ce côté là.
N'oubliez pas qu'une bonne part des connexions aux FAI se fait avec PPP.
Dans ce cas les adresses ne sont pas attribuées par DHCP mais IPCP. mea culpa, j'aurai du écrire 'dynamiques et appartenant à des FAI'. En plus
j'ai été de mauvaise foi en citant free. re ;-)
Je ne comprends pas comment je peux avoir ces 4 dernieres tentatives d'intrusion depuis des adresses privées ...
Sur quelle(s) interface(s) de quelle(s) machine(s) ? Si c'est l'interface PPP publique du firewall, je reçois la même chose : oui, c'est toujours vers la PPP publique.
Ce sont juste des "paquets martiens" avec adresse source spoofée ou bien mal NATés, du bruit de fond. Tout le monde peut faire ça. On filtre et on oublie. Je ne pensais pas que des paquets puissent arriver avec une adresse source
'privée' - même spoofée. J'ai été également été très étonné de voir que wanadoo routait des paquets à destinations de réseau privés. Je croyais que le routage était impossible quelque soit la passerelle (ou devrait être ...)
[ log]# traceroute -n 192.168.1.3 traceroute to 192.168.1.3 (192.168.1.3), 30 hops max, 38 byte packets 1 193.253.160.3 68.109 ms 53.422 ms 131.192 ms 2 80.10.175.65 96.671 ms 52.915 ms 133.246 ms 3 193.252.160.22 133.629 ms 98.661 ms 56.597 ms 4 193.251.126.106 98.461 ms 62.925 ms 196.000 ms 5 193.252.161.181 64.193 ms 63.268 ms 153.893 ms 6 193.252.98.205 64.949 ms 151.129 ms 135.898 ms 7 * * * De Toulouse à Aubervillier en passant par Poitier et Paris avant de se rendre compte que ça ne doit aller nulle part.
Si c'est sur une interface intérieure du réseau local, c'est plus inquiétant et le recours au forum news:fr.comp.securite (modéré) est à considérer. A priori c'est OK de ce côté là.
