Afin de traverser sans soucis les routeurs les plus récalcitrants, j'ai
pensé sur les machines que je dois maintenir à distance à faire
tourner/écouter le serveur SSH sur le port 80 au lieu du classique port
22.
Est-ce que cela pose un problème particulier ?
En particulier, je ne sais pas comment fonctionnent les routeurs
existants... est-ce qu'ils transmettent effectivement tout ce qu'ils
reçoivent sur le port 80 ou bien ce port particulier est-il lui aussi
bloqué ?
J'ai une règle iptables de ce genre sur mon routeur qui n'accepte que
les demandes provenant d'une connexion initiée par moi...
Sinon j'ai configuré un des routeurs pour faire de la translation de
port sur le port 22 et je me suis posé la question : comme je me
connecte en utilisant l'adresse IP du routeur, quelle est la machine
qui me répond lorsque je fais un "ssh toto@adresse.ip.routeur" ?
Est-ce la première machine ou bien est-ce la première qui accepte la
connexion ?
Merci d'avance pour ces quelques éclaircissements...
Mais comme l'adresse MAC est facilement falsifiable/modifiable cela peut-être dangereux si on a un réseau ouvert ?
pourquoi? En imaginant que le modem renvoie les paquets vers
la mauvaise machine, en quoi est-ce dangereux?
Si la mauvaise machine écoute aussi. Exemple : 192.168.0.2 contient un Apache avec un site web public ; 192.168.0.3 contient un Apache avec un site web privé. Si le routeur redirige le port 80 vers 192.168.0.3 au lieu de 192.168.0.2, tout le monde a accès à ton serveur privé.
On Wed, 06 Jun 2007 06:05:09 -0700, octane@alinto.com:
Mais comme l'adresse MAC est facilement falsifiable/modifiable cela
peut-être dangereux si on a un réseau ouvert ?
pourquoi? En imaginant que le modem renvoie les paquets vers
la mauvaise machine, en quoi est-ce dangereux?
Si la mauvaise machine écoute aussi.
Exemple : 192.168.0.2 contient un Apache avec un site web public ;
192.168.0.3 contient un Apache avec un site web privé.
Si le routeur redirige le port 80 vers 192.168.0.3 au lieu de
192.168.0.2, tout le monde a accès à ton serveur privé.
Mais comme l'adresse MAC est facilement falsifiable/modifiable cela peut-être dangereux si on a un réseau ouvert ?
pourquoi? En imaginant que le modem renvoie les paquets vers
la mauvaise machine, en quoi est-ce dangereux?
Si la mauvaise machine écoute aussi. Exemple : 192.168.0.2 contient un Apache avec un site web public ; 192.168.0.3 contient un Apache avec un site web privé. Si le routeur redirige le port 80 vers 192.168.0.3 au lieu de 192.168.0.2, tout le monde a accès à ton serveur privé.
octane
On 6 juin, 17:28, Fabien LE LEZ wrote:
Mais comme l'adresse MAC est facilement falsifiable/modifiable cela peut-être dangereux si on a un réseau ouvert ?
pourquoi? En imaginant que le modem renvoie les paquets vers la mauvaise machine, en quoi est-ce dangereux?
Si la mauvaise machine écoute aussi. Exemple : 192.168.0.2 contient un Apache avec un site web public ; 192.168.0.3 contient un Apache avec un site web privé. Si le routeur redirige le port 80 vers 192.168.0.3 au lieu de 192.168.0.2, tout le monde a accès à ton serveur privé.
Effectivement, ca peut etre problematique dans certaines configurations. Je ne me suis jamais pose la question, utilisant iptables qui permet d'etre sur de rediriger vers la bonne machine :)
On 6 juin, 17:28, Fabien LE LEZ <grams...@gramster.com> wrote:
Mais comme l'adresse MAC est facilement falsifiable/modifiable cela
peut-être dangereux si on a un réseau ouvert ?
pourquoi? En imaginant que le modem renvoie les paquets vers
la mauvaise machine, en quoi est-ce dangereux?
Si la mauvaise machine écoute aussi.
Exemple : 192.168.0.2 contient un Apache avec un site web public ;
192.168.0.3 contient un Apache avec un site web privé.
Si le routeur redirige le port 80 vers 192.168.0.3 au lieu de
192.168.0.2, tout le monde a accès à ton serveur privé.
Effectivement, ca peut etre problematique dans certaines
configurations.
Je ne me suis jamais pose la question, utilisant iptables qui
permet d'etre sur de rediriger vers la bonne machine :)
Mais comme l'adresse MAC est facilement falsifiable/modifiable cela peut-être dangereux si on a un réseau ouvert ?
pourquoi? En imaginant que le modem renvoie les paquets vers la mauvaise machine, en quoi est-ce dangereux?
Si la mauvaise machine écoute aussi. Exemple : 192.168.0.2 contient un Apache avec un site web public ; 192.168.0.3 contient un Apache avec un site web privé. Si le routeur redirige le port 80 vers 192.168.0.3 au lieu de 192.168.0.2, tout le monde a accès à ton serveur privé.
Effectivement, ca peut etre problematique dans certaines configurations. Je ne me suis jamais pose la question, utilisant iptables qui permet d'etre sur de rediriger vers la bonne machine :)
Christophe PEREZ
Le Wed, 06 Jun 2007 13:42:35 +0200, Etienne Marcel a écrit:
on peut raisonnablement dire qu'il est bien protégé.
On est mieux protégé que si on était moins bien protégé ;-)
-- Christophe PEREZ Écrivez moi sans _faute !
Le Wed, 06 Jun 2007 13:42:35 +0200, Etienne Marcel a écrit:
on peut
raisonnablement dire qu'il est bien protégé.
On est mieux protégé que si on était moins bien protégé ;-)
Le Wed, 06 Jun 2007 13:42:35 +0200, Etienne Marcel a écrit:
on peut raisonnablement dire qu'il est bien protégé.
On est mieux protégé que si on était moins bien protégé ;-)
-- Christophe PEREZ Écrivez moi sans _faute !
sansflotusspam
Nina Popravka a commis :
On Wed, 06 Jun 2007 14:54:44 +0200, sansflotusspam wrote:
pas plus tard que ce matin, j'ai relevé dans les logs 378 attaques en deux jours sur le workgroup Win$ d'un client derrière une FreeBox V5 et une passerelle linux ; heureusement qu'iptables a fait son boulot, toutes les tentatives de connexion sur le lan (local) étaient faites à partir d'adresses 192.168.10.x spoofées et visaient les ports 137,139 et 445 en proto smb.
En bridge, ou en routeur, ta freeboîte ? A part ça, il est exact que je vois des paquets spoofés de temps en temps. Et entre nous soit dit, à la minute où je te cause, la foultitude d'attaques sur les ports netbios en tout genre me laissent totalement froide. Une bécane à jour s'en contrefout ; plante même pô, pffftttt...
ni l'un, ni l'autre ! je laisse eth0 (patte --> freebox) en dhcp, ip donnée par la freebox, et c'est la passerelle qui fait le nat ; le local est sur eth1, je bloque quasi tout sur eth0 (sauf established related), en particulier tout ce viserait 137,139,445, tout ce qui viendrait ou irait de et vers 10.x.x.x, 172.x.x.x et 192.x.x.x ya juste un détail sur lequel je bute : le wifi mimo de la freebox ; ya un pc portable qui se balade régulièrement dans la boîte (je soupçonne fortement que c'est du côté des commerciaux), mais qui ne se connecte que sur le nain ternet, heureusement pas sur le lan (il serait jeté par samba de toutes façons).
hé bien, c'est fou tout ce qu'on voit droppé !
Nina Popravka a commis :
On Wed, 06 Jun 2007 14:54:44 +0200, sansflotusspam
<sansalain.flotspam@free.fr> wrote:
pas plus tard que ce matin, j'ai relevé dans les logs 378 attaques en
deux jours sur le workgroup Win$ d'un client derrière une FreeBox V5
et une passerelle linux ; heureusement qu'iptables a fait son boulot,
toutes les tentatives de connexion sur le lan (local) étaient faites à
partir d'adresses 192.168.10.x spoofées et visaient les ports 137,139
et 445 en proto smb.
En bridge, ou en routeur, ta freeboîte ?
A part ça, il est exact que je vois des paquets spoofés de temps en
temps.
Et entre nous soit dit, à la minute où je te cause, la foultitude
d'attaques sur les ports netbios en tout genre me laissent totalement
froide. Une bécane à jour s'en contrefout ; plante même pô,
pffftttt...
ni l'un, ni l'autre !
je laisse eth0 (patte --> freebox) en dhcp, ip donnée par la freebox,
et c'est la passerelle qui fait le nat ; le local est sur eth1, je
bloque quasi tout sur eth0 (sauf established related), en particulier
tout ce viserait 137,139,445, tout ce qui viendrait ou irait de et vers
10.x.x.x, 172.x.x.x et 192.x.x.x
ya juste un détail sur lequel je bute : le wifi mimo de la freebox ; ya
un pc portable qui se balade régulièrement dans la boîte (je soupçonne
fortement que c'est du côté des commerciaux), mais qui ne se connecte
que sur le nain ternet, heureusement pas sur le lan (il serait jeté par
samba de toutes façons).
On Wed, 06 Jun 2007 14:54:44 +0200, sansflotusspam wrote:
pas plus tard que ce matin, j'ai relevé dans les logs 378 attaques en deux jours sur le workgroup Win$ d'un client derrière une FreeBox V5 et une passerelle linux ; heureusement qu'iptables a fait son boulot, toutes les tentatives de connexion sur le lan (local) étaient faites à partir d'adresses 192.168.10.x spoofées et visaient les ports 137,139 et 445 en proto smb.
En bridge, ou en routeur, ta freeboîte ? A part ça, il est exact que je vois des paquets spoofés de temps en temps. Et entre nous soit dit, à la minute où je te cause, la foultitude d'attaques sur les ports netbios en tout genre me laissent totalement froide. Une bécane à jour s'en contrefout ; plante même pô, pffftttt...
ni l'un, ni l'autre ! je laisse eth0 (patte --> freebox) en dhcp, ip donnée par la freebox, et c'est la passerelle qui fait le nat ; le local est sur eth1, je bloque quasi tout sur eth0 (sauf established related), en particulier tout ce viserait 137,139,445, tout ce qui viendrait ou irait de et vers 10.x.x.x, 172.x.x.x et 192.x.x.x ya juste un détail sur lequel je bute : le wifi mimo de la freebox ; ya un pc portable qui se balade régulièrement dans la boîte (je soupçonne fortement que c'est du côté des commerciaux), mais qui ne se connecte que sur le nain ternet, heureusement pas sur le lan (il serait jeté par samba de toutes façons).
hé bien, c'est fou tout ce qu'on voit droppé !
Etienne Marcel
Mais comme l'adresse MAC est facilement falsifiable/modifiable cela peut-être dangereux si on a un réseau ouvert ?
pourquoi? En imaginant que le modem renvoie les paquets vers
la mauvaise machine, en quoi est-ce dangereux?
Une idée au hasard : tu es en wifi et tu as configuré ton serveur SSH avec authentification par login/mot de passe (je sais c'est pas bien). Quelqu'un a piraté ton mot de passe WEP/WPA (je sais c'est pas bien) et simule ton adresse MAC. A la première tentative de connexion à ton serveur SSH tu vas en fait te brancher sur la machine du pirate qui va récupérer login et mot de passe...
le 8000 est le numero de port sur lequel le serveur web ecoute. Tu peux essayer de fairewww.google.fr:80, ca fonctionnera aussi.
Oui mais est-ce que c'est aussi le numéro du port sur lequel ma machine écoute ?
Eh non!
Reprenons un peu de theorie. L'egalite port <-> application est toujours respecte. Un serveur ecoute sur un port. Le 22 pour ssh par exemple. Un client n'ecoute sur aucun port. Un client qui va se connecter va utiliser un autre port, toujours superieur a 1024.
Ainsi, la machine A a un serveur ssh. La machine B veut se connecter dessus. Le client sur la machine B va utiliser le premier port disponible > a 1024. La connexion sera donc: B:1025 <---> A:22
Aaaaah soudainement tout s'éclaire ! Je viens de piger....
Si tu lances un navigateur web en direction d'une IP sur le port 80, sur laquelle ecoute non pas un serveur web mais un serveur ssh, la connexion ne va pas durer longtemps. Le client va parler HTTP, le serveur va parler SSH. Fin de la connexion.
Cf. réponse précédente.
Differencie bien le port client et le port serveur.
-Un port ne peut etre utilise que par une application a un moment donne. -Le port client est generalement different du port serveur. -Une connexion est caracterisee par le quadruplet {IP source:port source, IP destination: port destination}
Ok super, pas d'autres questions. Merci énormément pour ton aide !
Mais comme l'adresse MAC est facilement falsifiable/modifiable cela
peut-être dangereux si on a un réseau ouvert ?
pourquoi? En imaginant que le modem renvoie les paquets vers
la mauvaise machine, en quoi est-ce dangereux?
Une idée au hasard : tu es en wifi et tu as configuré ton serveur SSH
avec authentification par login/mot de passe (je sais c'est pas bien).
Quelqu'un a piraté ton mot de passe WEP/WPA (je sais c'est pas bien) et
simule ton adresse MAC. A la première tentative de connexion à ton
serveur SSH tu vas en fait te brancher sur la machine du pirate qui va
récupérer login et mot de passe...
le 8000 est le numero de port sur lequel le serveur web ecoute.
Tu peux essayer de fairewww.google.fr:80, ca fonctionnera aussi.
Oui mais est-ce que c'est aussi le numéro du port sur lequel ma
machine écoute ?
Eh non!
Reprenons un peu de theorie.
L'egalite port <-> application est toujours respecte.
Un serveur ecoute sur un port. Le 22 pour ssh par exemple. Un
client n'ecoute sur aucun port.
Un client qui va se connecter va utiliser un autre port, toujours
superieur a 1024.
Ainsi, la machine A a un serveur ssh. La machine B veut se connecter
dessus. Le client sur la machine B va utiliser le premier port
disponible > a 1024.
La connexion sera donc:
B:1025 <---> A:22
Aaaaah soudainement tout s'éclaire ! Je viens de piger....
Si tu lances un navigateur web en direction d'une IP sur le port
80, sur laquelle ecoute non pas un serveur web mais un serveur
ssh, la connexion ne va pas durer longtemps. Le client va parler
HTTP, le serveur va parler SSH. Fin de la connexion.
Cf. réponse précédente.
Differencie bien le port client et le port serveur.
-Un port ne peut etre utilise que par une application a un
moment donne.
-Le port client est generalement different du port serveur.
-Une connexion est caracterisee par le quadruplet
{IP source:port source, IP destination: port destination}
Ok super, pas d'autres questions. Merci énormément pour ton aide !
Mais comme l'adresse MAC est facilement falsifiable/modifiable cela peut-être dangereux si on a un réseau ouvert ?
pourquoi? En imaginant que le modem renvoie les paquets vers
la mauvaise machine, en quoi est-ce dangereux?
Une idée au hasard : tu es en wifi et tu as configuré ton serveur SSH avec authentification par login/mot de passe (je sais c'est pas bien). Quelqu'un a piraté ton mot de passe WEP/WPA (je sais c'est pas bien) et simule ton adresse MAC. A la première tentative de connexion à ton serveur SSH tu vas en fait te brancher sur la machine du pirate qui va récupérer login et mot de passe...
le 8000 est le numero de port sur lequel le serveur web ecoute. Tu peux essayer de fairewww.google.fr:80, ca fonctionnera aussi.
Oui mais est-ce que c'est aussi le numéro du port sur lequel ma machine écoute ?
Eh non!
Reprenons un peu de theorie. L'egalite port <-> application est toujours respecte. Un serveur ecoute sur un port. Le 22 pour ssh par exemple. Un client n'ecoute sur aucun port. Un client qui va se connecter va utiliser un autre port, toujours superieur a 1024.
Ainsi, la machine A a un serveur ssh. La machine B veut se connecter dessus. Le client sur la machine B va utiliser le premier port disponible > a 1024. La connexion sera donc: B:1025 <---> A:22
Aaaaah soudainement tout s'éclaire ! Je viens de piger....
Si tu lances un navigateur web en direction d'une IP sur le port 80, sur laquelle ecoute non pas un serveur web mais un serveur ssh, la connexion ne va pas durer longtemps. Le client va parler HTTP, le serveur va parler SSH. Fin de la connexion.
Cf. réponse précédente.
Differencie bien le port client et le port serveur.
-Un port ne peut etre utilise que par une application a un moment donne. -Le port client est generalement different du port serveur. -Une connexion est caracterisee par le quadruplet {IP source:port source, IP destination: port destination}
Ok super, pas d'autres questions. Merci énormément pour ton aide !
Etienne Marcel
On Wed, 06 Jun 2007 14:39:52 +0200, Fabien LE LEZ
La dernière fois je suis allé sur la configuration du routeur via http://192.168.1.1 et j'ai juste eu à demander d'activer la translation (ou traduction) de port pour le port 22 sans rien dire d'autre.
En allant sur http://192.168.1.1, tu ouvres une connexion de ta machine vers le routeur (sur le port 80). Le routeur connaît donc bien évidemment l'adresse IP de ta machine.
Hummm étant connecté en wifi il connaît plutôt mon adresse MAC car l'adresse IP est demandée dynamiquement à chaque fois que j'allume le PC. D'ailleurs c'est pas la même chose dans un LAN filaire classique ? on a pas une adresse IP qui change à chaque fois que l'on allume le PC ?
On Wed, 06 Jun 2007 14:39:52 +0200, Fabien LE LEZ
La dernière fois je suis allé sur la configuration du routeur via
http://192.168.1.1 et j'ai juste eu à demander d'activer la
translation (ou traduction) de port pour le port 22 sans rien dire
d'autre.
En allant sur http://192.168.1.1, tu ouvres une connexion de ta
machine vers le routeur (sur le port 80). Le routeur connaît donc bien
évidemment l'adresse IP de ta machine.
Hummm étant connecté en wifi il connaît plutôt mon adresse MAC car
l'adresse IP est demandée dynamiquement à chaque fois que j'allume le
PC.
D'ailleurs c'est pas la même chose dans un LAN filaire classique ? on a
pas une adresse IP qui change à chaque fois que l'on allume le PC ?
La dernière fois je suis allé sur la configuration du routeur via http://192.168.1.1 et j'ai juste eu à demander d'activer la translation (ou traduction) de port pour le port 22 sans rien dire d'autre.
En allant sur http://192.168.1.1, tu ouvres une connexion de ta machine vers le routeur (sur le port 80). Le routeur connaît donc bien évidemment l'adresse IP de ta machine.
Hummm étant connecté en wifi il connaît plutôt mon adresse MAC car l'adresse IP est demandée dynamiquement à chaque fois que j'allume le PC. D'ailleurs c'est pas la même chose dans un LAN filaire classique ? on a pas une adresse IP qui change à chaque fois que l'on allume le PC ?
Etienne Marcel
On Wed, 06 Jun 2007 14:21:21 +0200, Nina Popravka wrote :
La dernière fois je suis allé sur la configuration du routeur via http://192.168.1.1 et j'ai juste eu à demander d'activer la translation (ou traduction) de port pour le port 22 sans rien dire d'autre.
Tu as mal regardé. Ils demandent *tous* l'adresse IP de la machine du LAN et le port de destination (enfin je les connais pas *tous*, mais j'en connais un paquet)
Hum je suis pratiquement sûr qu'il ne m'a rien demandé. De plus dans ce cas particulier j'étais en wifi avec serveur DHCP, donc l'adresse IP était allouée dynamiquement (ou bien était liée à une adresse MAC ce qui revient au même). A mon avis ça se fait par adresse MAC (je vois pas d'autre bidouille possible), je vais tenter de vérifier...
On Wed, 06 Jun 2007 14:21:21 +0200, Nina Popravka <Nina@nospam.invalid>
wrote :
La dernière fois je suis allé sur la configuration du routeur via
http://192.168.1.1 et j'ai juste eu à demander d'activer la
translation (ou traduction) de port pour le port 22 sans rien dire
d'autre.
Tu as mal regardé. Ils demandent *tous* l'adresse IP de la machine du
LAN et le port de destination (enfin je les connais pas *tous*, mais
j'en connais un paquet)
Hum je suis pratiquement sûr qu'il ne m'a rien demandé.
De plus dans ce cas particulier j'étais en wifi avec serveur DHCP, donc
l'adresse IP était allouée dynamiquement (ou bien était liée à une
adresse MAC ce qui revient au même).
A mon avis ça se fait par adresse MAC (je vois pas d'autre bidouille
possible), je vais tenter de vérifier...
On Wed, 06 Jun 2007 14:21:21 +0200, Nina Popravka wrote :
La dernière fois je suis allé sur la configuration du routeur via http://192.168.1.1 et j'ai juste eu à demander d'activer la translation (ou traduction) de port pour le port 22 sans rien dire d'autre.
Tu as mal regardé. Ils demandent *tous* l'adresse IP de la machine du LAN et le port de destination (enfin je les connais pas *tous*, mais j'en connais un paquet)
Hum je suis pratiquement sûr qu'il ne m'a rien demandé. De plus dans ce cas particulier j'étais en wifi avec serveur DHCP, donc l'adresse IP était allouée dynamiquement (ou bien était liée à une adresse MAC ce qui revient au même). A mon avis ça se fait par adresse MAC (je vois pas d'autre bidouille possible), je vais tenter de vérifier...
Etienne Marcel
On Wed, 06 Jun 2007 14:54:44 +0200, sansflotusspam
Si je comprends bien une machine (même avec Windows !) située derrière un de ces modems-routeurs (Freebox, Livebox, Neufbox, etc...) n'a aucune chance de pouvoir être contactée (et par conséquent d'être piratée) si le firewall est activé et la translation de ports désactivée ? C'est l'idéal pour protéger son système alors ? Les utilisateurs de Windows peuvent être tranquille au moins pour les agressions extérieures sans avoir à se soucier de désactiver tous les serveurs...
D'autre part chaque machine située derrière le modem-routeur biduleBox a une adresse IP spécifique (je ne parle pas de l'adresse IP interne au réseau du genre 192.168.x.x) donc peut-être contacté de l'extérieure sans aucun problème ?
FAUX, désolé ! pas plus tard que ce matin, j'ai relevé dans les logs 378 attaques en deux jours sur le workgroup Win$ d'un client derrière une FreeBox V5 et une passerelle linux ; heureusement qu'iptables a fait son boulot, toutes les tentatives de connexion sur le lan (local) étaient faites à partir d'adresses 192.168.10.x spoofées et visaient les ports 137,139 et 445 en proto smb. si la passerelle avait été en NT, W2000 ou W2003, ça passait comme dans du beurre.
Je n'ai pas bien saisi : tu veux dire que même derrière un modem-routeur comme la Freebox avec la traduction de ports désactivée on peut quand même se connecter sur ta machine si on envoie des paquets spoofés ? Ben mince alors...
On Wed, 06 Jun 2007 14:54:44 +0200, sansflotusspam
Si je comprends bien une machine (même avec Windows !) située
derrière un de ces modems-routeurs (Freebox, Livebox, Neufbox,
etc...) n'a aucune chance de pouvoir être contactée (et par
conséquent d'être piratée) si le firewall est activé et la
translation de ports désactivée ?
C'est l'idéal pour protéger son système alors ? Les utilisateurs de
Windows peuvent être tranquille au moins pour les agressions
extérieures sans avoir à se soucier de désactiver tous les
serveurs...
D'autre part chaque machine située derrière le modem-routeur
biduleBox a une adresse IP spécifique (je ne parle pas de l'adresse
IP interne au réseau du genre 192.168.x.x) donc peut-être contacté
de l'extérieure sans aucun problème ?
FAUX, désolé !
pas plus tard que ce matin, j'ai relevé dans les logs 378 attaques en
deux jours sur le workgroup Win$ d'un client derrière une FreeBox V5
et une passerelle linux ; heureusement qu'iptables a fait son boulot,
toutes les tentatives de connexion sur le lan (local) étaient faites à
partir d'adresses 192.168.10.x spoofées et visaient les ports 137,139
et 445 en proto smb.
si la passerelle avait été en NT, W2000 ou W2003, ça passait comme
dans du beurre.
Je n'ai pas bien saisi : tu veux dire que même derrière un modem-routeur
comme la Freebox avec la traduction de ports désactivée on peut quand
même se connecter sur ta machine si on envoie des paquets spoofés ?
Ben mince alors...
On Wed, 06 Jun 2007 14:54:44 +0200, sansflotusspam
Si je comprends bien une machine (même avec Windows !) située derrière un de ces modems-routeurs (Freebox, Livebox, Neufbox, etc...) n'a aucune chance de pouvoir être contactée (et par conséquent d'être piratée) si le firewall est activé et la translation de ports désactivée ? C'est l'idéal pour protéger son système alors ? Les utilisateurs de Windows peuvent être tranquille au moins pour les agressions extérieures sans avoir à se soucier de désactiver tous les serveurs...
D'autre part chaque machine située derrière le modem-routeur biduleBox a une adresse IP spécifique (je ne parle pas de l'adresse IP interne au réseau du genre 192.168.x.x) donc peut-être contacté de l'extérieure sans aucun problème ?
FAUX, désolé ! pas plus tard que ce matin, j'ai relevé dans les logs 378 attaques en deux jours sur le workgroup Win$ d'un client derrière une FreeBox V5 et une passerelle linux ; heureusement qu'iptables a fait son boulot, toutes les tentatives de connexion sur le lan (local) étaient faites à partir d'adresses 192.168.10.x spoofées et visaient les ports 137,139 et 445 en proto smb. si la passerelle avait été en NT, W2000 ou W2003, ça passait comme dans du beurre.
Je n'ai pas bien saisi : tu veux dire que même derrière un modem-routeur comme la Freebox avec la traduction de ports désactivée on peut quand même se connecter sur ta machine si on envoie des paquets spoofés ? Ben mince alors...
Etienne Marcel
On Wed, 06 Jun 2007 17:26:32 +0200, Fabien LE LEZ
Ce n'est pas possible dans un parc de plusieurs machines de les faire toutes écouter sur le port 22
Si, bien sûr. Sauf que évidemment, si la connexion sur le port 22 vient de l'extérieur, elle sera routée vers au plus une machine .
et c'est au routeur de se démerder
Non. On contourne le problème soit par un VPN, soit en assignant un port différent par machine.
Bon là ça devient trop compliqué pour moi, je crois que je vais arrêter de pousser trop loin la compréhension. Décidément ça doit vraiment être compliqué d'être administrateur système...
Merci !
On Wed, 06 Jun 2007 17:26:32 +0200, Fabien LE LEZ
Ce n'est pas possible dans un parc de plusieurs machines de les faire
toutes écouter sur le port 22
Si, bien sûr.
Sauf que évidemment, si la connexion sur le port 22 vient de
l'extérieur, elle sera routée vers au plus une machine .
et c'est au routeur de se démerder
Non. On contourne le problème soit par un VPN, soit en assignant un
port différent par machine.
Bon là ça devient trop compliqué pour moi, je crois que je vais arrêter
de pousser trop loin la compréhension.
Décidément ça doit vraiment être compliqué d'être administrateur
système...
Ce n'est pas possible dans un parc de plusieurs machines de les faire toutes écouter sur le port 22
Si, bien sûr. Sauf que évidemment, si la connexion sur le port 22 vient de l'extérieur, elle sera routée vers au plus une machine .
et c'est au routeur de se démerder
Non. On contourne le problème soit par un VPN, soit en assignant un port différent par machine.
Bon là ça devient trop compliqué pour moi, je crois que je vais arrêter de pousser trop loin la compréhension. Décidément ça doit vraiment être compliqué d'être administrateur système...
Merci !
Nina Popravka
On Thu, 7 Jun 2007 11:55:27 +0200, Etienne Marcel wrote:
A mon avis ça se fait par adresse MAC (je vois pas d'autre bidouille possible), je vais tenter de vérifier...
Mais c'est une obsession, les adresses MAC ! Vous avez pas encore lu les chapitres suivants du bouquin ? C'est dommage, il se passe plein d'autres choses intéressantes au-dessus :-) -- Nina
On Thu, 7 Jun 2007 11:55:27 +0200, Etienne Marcel <etienne@marcel.fr>
wrote:
A mon avis ça se fait par adresse MAC (je vois pas d'autre bidouille
possible), je vais tenter de vérifier...
Mais c'est une obsession, les adresses MAC !
Vous avez pas encore lu les chapitres suivants du bouquin ? C'est
dommage, il se passe plein d'autres choses intéressantes au-dessus :-)
--
Nina
On Thu, 7 Jun 2007 11:55:27 +0200, Etienne Marcel wrote:
A mon avis ça se fait par adresse MAC (je vois pas d'autre bidouille possible), je vais tenter de vérifier...
Mais c'est une obsession, les adresses MAC ! Vous avez pas encore lu les chapitres suivants du bouquin ? C'est dommage, il se passe plein d'autres choses intéressantes au-dessus :-) -- Nina