Afin de traverser sans soucis les routeurs les plus récalcitrants, j'ai
pensé sur les machines que je dois maintenir à distance à faire
tourner/écouter le serveur SSH sur le port 80 au lieu du classique port
22.
Est-ce que cela pose un problème particulier ?
En particulier, je ne sais pas comment fonctionnent les routeurs
existants... est-ce qu'ils transmettent effectivement tout ce qu'ils
reçoivent sur le port 80 ou bien ce port particulier est-il lui aussi
bloqué ?
J'ai une règle iptables de ce genre sur mon routeur qui n'accepte que
les demandes provenant d'une connexion initiée par moi...
Sinon j'ai configuré un des routeurs pour faire de la translation de
port sur le port 22 et je me suis posé la question : comme je me
connecte en utilisant l'adresse IP du routeur, quelle est la machine
qui me répond lorsque je fais un "ssh toto@adresse.ip.routeur" ?
Est-ce la première machine ou bien est-ce la première qui accepte la
connexion ?
Merci d'avance pour ces quelques éclaircissements...
On Thu, 7 Jun 2007 12:00:27 +0200, Etienne Marcel :
Décidément ça doit vraiment être compliqué d'être administrateur système...
Pas tant que ça, mais faut aimer la lecture.
OpenVPN, par exemple, est très simple à installer et à configurer si on lit attentivement la doc, et quasi-impossible sinon.
Fabien LE LEZ
On Thu, 7 Jun 2007 11:58:21 +0200, Etienne Marcel :
Je n'ai pas bien saisi : tu veux dire que même derrière un modem-routeur comme la Freebox avec la traduction de ports désactivée on peut quand même se connecter sur ta machine si on envoie des paquets spoofés ?
Si tous les routeurs entre la machine du pirate et la tienne (y compris la freebox) sont foireux, alors oui, un paquet portant la destination "192.168.x.y" peut arriver jusqu'à ta machine.
On Thu, 7 Jun 2007 11:58:21 +0200, Etienne Marcel <etienne@marcel.fr>:
Je n'ai pas bien saisi : tu veux dire que même derrière un modem-routeur
comme la Freebox avec la traduction de ports désactivée on peut quand
même se connecter sur ta machine si on envoie des paquets spoofés ?
Si tous les routeurs entre la machine du pirate et la tienne (y
compris la freebox) sont foireux, alors oui, un paquet portant la
destination "192.168.x.y" peut arriver jusqu'à ta machine.
On Thu, 7 Jun 2007 11:58:21 +0200, Etienne Marcel :
Je n'ai pas bien saisi : tu veux dire que même derrière un modem-routeur comme la Freebox avec la traduction de ports désactivée on peut quand même se connecter sur ta machine si on envoie des paquets spoofés ?
Si tous les routeurs entre la machine du pirate et la tienne (y compris la freebox) sont foireux, alors oui, un paquet portant la destination "192.168.x.y" peut arriver jusqu'à ta machine.
Thierry B
--{ Etienne Marcel a plopé ceci: }--
D'ailleurs c'est pas la même chose dans un LAN filaire classique ? on a pas une adresse IP qui change à chaque fois que l'on allume le PC ?
Parfois oui, parfois non. man dhcpd.conf pour en savoir plus.
-- J'aime beaucoup cette tribune patatoïde des alpages.
--{ Etienne Marcel a plopé ceci: }--
D'ailleurs c'est pas la même chose dans un LAN filaire classique ? on a
pas une adresse IP qui change à chaque fois que l'on allume le PC ?
Parfois oui, parfois non. man dhcpd.conf pour en savoir plus.
--
J'aime beaucoup cette tribune patatoïde des alpages.
D'ailleurs c'est pas la même chose dans un LAN filaire classique ? on a pas une adresse IP qui change à chaque fois que l'on allume le PC ?
Parfois oui, parfois non. man dhcpd.conf pour en savoir plus.
-- J'aime beaucoup cette tribune patatoïde des alpages.
Fabien LE LEZ
On Thu, 7 Jun 2007 11:52:58 +0200, Etienne Marcel :
En allant sur http://192.168.1.1, tu ouvres une connexion de ta machine vers le routeur (sur le port 80). Le routeur connaît donc bien évidemment l'adresse IP de ta machine.
Hummm étant connecté en wifi il connaît plutôt mon adresse MAC car l'adresse IP est demandée dynamiquement à chaque fois que j'allume le PC.
Peut-être, mais en l'occurence, tu as une adresse IP fixe pendant la durée d'allumage de ton PC.
D'ailleurs c'est pas la même chose dans un LAN filaire classique ? on a pas une adresse IP qui change à chaque fois que l'on allume le PC ?
On peut avoir adresse IP assignée par le serveur DHCP[*]. Mais elle peut très bien être tout le temps la même (Et ici, l'adresse Mac joue : le serveur DHCP peut être configuré pour assigner tout le temps une adresse IP donnée à une addresse Mac.)
[*] (Perso, je n'aime pas trop, mais c'est question de goût)
On Thu, 7 Jun 2007 11:52:58 +0200, Etienne Marcel <etienne@marcel.fr>:
En allant sur http://192.168.1.1, tu ouvres une connexion de ta
machine vers le routeur (sur le port 80). Le routeur connaît donc bien
évidemment l'adresse IP de ta machine.
Hummm étant connecté en wifi il connaît plutôt mon adresse MAC car
l'adresse IP est demandée dynamiquement à chaque fois que j'allume le
PC.
Peut-être, mais en l'occurence, tu as une adresse IP fixe pendant la
durée d'allumage de ton PC.
D'ailleurs c'est pas la même chose dans un LAN filaire classique ? on a
pas une adresse IP qui change à chaque fois que l'on allume le PC ?
On peut avoir adresse IP assignée par le serveur DHCP[*]. Mais elle
peut très bien être tout le temps la même (Et ici, l'adresse Mac
joue : le serveur DHCP peut être configuré pour assigner tout le temps
une adresse IP donnée à une addresse Mac.)
[*] (Perso, je n'aime pas trop, mais c'est question de goût)
On Thu, 7 Jun 2007 11:52:58 +0200, Etienne Marcel :
En allant sur http://192.168.1.1, tu ouvres une connexion de ta machine vers le routeur (sur le port 80). Le routeur connaît donc bien évidemment l'adresse IP de ta machine.
Hummm étant connecté en wifi il connaît plutôt mon adresse MAC car l'adresse IP est demandée dynamiquement à chaque fois que j'allume le PC.
Peut-être, mais en l'occurence, tu as une adresse IP fixe pendant la durée d'allumage de ton PC.
D'ailleurs c'est pas la même chose dans un LAN filaire classique ? on a pas une adresse IP qui change à chaque fois que l'on allume le PC ?
On peut avoir adresse IP assignée par le serveur DHCP[*]. Mais elle peut très bien être tout le temps la même (Et ici, l'adresse Mac joue : le serveur DHCP peut être configuré pour assigner tout le temps une adresse IP donnée à une addresse Mac.)
[*] (Perso, je n'aime pas trop, mais c'est question de goût)
Fabien LE LEZ
On Thu, 7 Jun 2007 11:50:21 +0200, Etienne Marcel :
Une idée au hasard : tu es en wifi et tu as configuré ton serveur SSH avec authentification par login/mot de passe (je sais c'est pas bien). Quelqu'un a piraté ton mot de passe WEP/WPA (je sais c'est pas bien) et simule ton adresse MAC.
S'il n'y a pas de clé WPA (WEP ne suffit pas), ou si la clé WPA est trouvable, alors ton système est foutu, pas la peine de chercher plus loin.
A la première tentative de connexion à ton serveur SSH tu vas en fait te brancher sur la machine du pirate qui va récupérer login et mot de passe...
Pas du tout. L'id de la machine-destination aura changé, et SSH sait le reconnaître. Certains clients vont afficher un gros message d'alerte ; d'autres vont carrément refuser la connexion tant que tu n'as pas édité ton fichier known_hosts.
C'est un truc qui m'a beaucoup surpris au départ : en plus du chiffrage des données, SSH sert d'abord à authentifier le serveur. L'authentification du client (par clé ou mot de passe) se fait qu'à l'étape suivante.
On Thu, 7 Jun 2007 11:50:21 +0200, Etienne Marcel <etienne@marcel.fr>:
Une idée au hasard : tu es en wifi et tu as configuré ton serveur SSH
avec authentification par login/mot de passe (je sais c'est pas bien).
Quelqu'un a piraté ton mot de passe WEP/WPA (je sais c'est pas bien) et
simule ton adresse MAC.
S'il n'y a pas de clé WPA (WEP ne suffit pas), ou si la clé WPA est
trouvable, alors ton système est foutu, pas la peine de chercher plus
loin.
A la première tentative de connexion à ton
serveur SSH tu vas en fait te brancher sur la machine du pirate qui va
récupérer login et mot de passe...
Pas du tout. L'id de la machine-destination aura changé, et SSH sait
le reconnaître. Certains clients vont afficher un gros message
d'alerte ; d'autres vont carrément refuser la connexion tant que tu
n'as pas édité ton fichier known_hosts.
C'est un truc qui m'a beaucoup surpris au départ : en plus du
chiffrage des données, SSH sert d'abord à authentifier le serveur.
L'authentification du client (par clé ou mot de passe) se fait qu'à
l'étape suivante.
On Thu, 7 Jun 2007 11:50:21 +0200, Etienne Marcel :
Une idée au hasard : tu es en wifi et tu as configuré ton serveur SSH avec authentification par login/mot de passe (je sais c'est pas bien). Quelqu'un a piraté ton mot de passe WEP/WPA (je sais c'est pas bien) et simule ton adresse MAC.
S'il n'y a pas de clé WPA (WEP ne suffit pas), ou si la clé WPA est trouvable, alors ton système est foutu, pas la peine de chercher plus loin.
A la première tentative de connexion à ton serveur SSH tu vas en fait te brancher sur la machine du pirate qui va récupérer login et mot de passe...
Pas du tout. L'id de la machine-destination aura changé, et SSH sait le reconnaître. Certains clients vont afficher un gros message d'alerte ; d'autres vont carrément refuser la connexion tant que tu n'as pas édité ton fichier known_hosts.
C'est un truc qui m'a beaucoup surpris au départ : en plus du chiffrage des données, SSH sert d'abord à authentifier le serveur. L'authentification du client (par clé ou mot de passe) se fait qu'à l'étape suivante.
octane
On 7 juin, 14:16, Fabien LE LEZ wrote:
Une idée au hasard : tu es en wifi et tu as configuré ton serveur SSH avec authentification par login/mot de passe (je sais c'est pas bien). Quelqu'un a piraté ton mot de passe WEP/WPA (je sais c'est pas bien) et simule ton adresse MAC.
S'il n'y a pas de clé WPA (WEP ne suffit pas), ou si la clé WPA est trouvable, alors ton système est foutu, pas la peine de chercher plus loin.
Ca je ne suis pas d'accord. J'ai utilise du wifi en open.
Les deux machines etaient firewalles, et la discussion entre les deux ne se faisait qu'en ssh. Un attaquant passant par la ne serait pas alle tres loin dans mon systeme.
On 7 juin, 14:16, Fabien LE LEZ <grams...@gramster.com> wrote:
Une idée au hasard : tu es en wifi et tu as configuré ton serveur SSH
avec authentification par login/mot de passe (je sais c'est pas bien).
Quelqu'un a piraté ton mot de passe WEP/WPA (je sais c'est pas bien) et
simule ton adresse MAC.
S'il n'y a pas de clé WPA (WEP ne suffit pas), ou si la clé WPA est
trouvable, alors ton système est foutu, pas la peine de chercher plus
loin.
Ca je ne suis pas d'accord. J'ai utilise du wifi en open.
Les deux machines etaient firewalles, et la discussion entre les
deux ne se faisait qu'en ssh.
Un attaquant passant par la ne serait pas alle tres loin dans
mon systeme.
Une idée au hasard : tu es en wifi et tu as configuré ton serveur SSH avec authentification par login/mot de passe (je sais c'est pas bien). Quelqu'un a piraté ton mot de passe WEP/WPA (je sais c'est pas bien) et simule ton adresse MAC.
S'il n'y a pas de clé WPA (WEP ne suffit pas), ou si la clé WPA est trouvable, alors ton système est foutu, pas la peine de chercher plus loin.
Ca je ne suis pas d'accord. J'ai utilise du wifi en open.
Les deux machines etaient firewalles, et la discussion entre les deux ne se faisait qu'en ssh. Un attaquant passant par la ne serait pas alle tres loin dans mon systeme.
Nicolas George
Fabien LE LEZ wrote in message :
Si tous les routeurs entre la machine du pirate et la tienne (y compris la freebox) sont foireux, alors oui, un paquet portant la destination "192.168.x.y" peut arriver jusqu'à ta machine.
Ou s'ils acceptent le routage à la source, ce que je considérerais personnellement comme le contraire d'être foireux.
Fabien LE LEZ wrote in message
<obtf63ldk1m0pptl6ir5p976fa3q87of1d@4ax.com>:
Si tous les routeurs entre la machine du pirate et la tienne (y
compris la freebox) sont foireux, alors oui, un paquet portant la
destination "192.168.x.y" peut arriver jusqu'à ta machine.
Ou s'ils acceptent le routage à la source, ce que je considérerais
personnellement comme le contraire d'être foireux.
Si tous les routeurs entre la machine du pirate et la tienne (y compris la freebox) sont foireux, alors oui, un paquet portant la destination "192.168.x.y" peut arriver jusqu'à ta machine.
Ou s'ils acceptent le routage à la source, ce que je considérerais personnellement comme le contraire d'être foireux.
octane
On 7 juin, 18:16, Nicolas George <nicolas$ wrote:
Si tous les routeurs entre la machine du pirate et la tienne (y compris la freebox) sont foireux, alors oui, un paquet portant la destination "192.168.x.y" peut arriver jusqu'à ta machine.
Ou s'ils acceptent le routage à la source, ce que je considérerais personnellement comme le contraire d'être foireux.
Le source routing a ete banni de l'internet en raison des problemes de securite qu'il engendre. http://sid.rstack.org/blog/index.php/2007/05/26/188-ipv6-et-les-routing-hea ders
On 7 juin, 18:16, Nicolas George <nicolas$geo...@salle-s.org> wrote:
Si tous les routeurs entre la machine du pirate et la tienne (y
compris la freebox) sont foireux, alors oui, un paquet portant la
destination "192.168.x.y" peut arriver jusqu'à ta machine.
Ou s'ils acceptent le routage à la source, ce que je considérerais
personnellement comme le contraire d'être foireux.
Le source routing a ete banni de l'internet en raison des
problemes de securite qu'il engendre.
http://sid.rstack.org/blog/index.php/2007/05/26/188-ipv6-et-les-routing-hea ders
Si tous les routeurs entre la machine du pirate et la tienne (y compris la freebox) sont foireux, alors oui, un paquet portant la destination "192.168.x.y" peut arriver jusqu'à ta machine.
Ou s'ils acceptent le routage à la source, ce que je considérerais personnellement comme le contraire d'être foireux.
Le source routing a ete banni de l'internet en raison des problemes de securite qu'il engendre. http://sid.rstack.org/blog/index.php/2007/05/26/188-ipv6-et-les-routing-hea ders
Nicolas George
wrote in message :
Le source routing a ete banni de l'internet en raison des problemes de securite qu'il engendre.
Il n'y a pas de problèmes de sécurité inhérents, il n'y a que des mauvaises configurations.
octane@alinto.com wrote in message
<1181287650.656055.3120@q69g2000hsb.googlegroups.com>:
Le source routing a ete banni de l'internet en raison des
problemes de securite qu'il engendre.
Il n'y a pas de problèmes de sécurité inhérents, il n'y a que des mauvaises
configurations.
Le source routing a ete banni de l'internet en raison des problemes de securite qu'il engendre.
Il n'y a pas de problèmes de sécurité inhérents, il n'y a que des mauvaises configurations.
sansflotusspam
Nicolas George a commis :
wrote in message :
Le source routing a ete banni de l'internet en raison des problemes de securite qu'il engendre.
Il n'y a pas de problèmes de sécurité inhérents, il n'y a que des mauvaises configurations.
Napoleone Buonaparte disait à propos des dames : "il n'y a pas de citadelle imprenable, il n'y a que des citadelles mal attaquées". les bécanes, les pare-feux, ...., c'est pareil
Nicolas George a commis :
octane@alinto.com wrote in message
<1181287650.656055.3120@q69g2000hsb.googlegroups.com>:
Le source routing a ete banni de l'internet en raison des
problemes de securite qu'il engendre.
Il n'y a pas de problèmes de sécurité inhérents, il n'y a que des
mauvaises configurations.
Napoleone Buonaparte disait à propos des dames :
"il n'y a pas de citadelle imprenable, il n'y a que des citadelles mal
attaquées".
les bécanes, les pare-feux, ...., c'est pareil
Le source routing a ete banni de l'internet en raison des problemes de securite qu'il engendre.
Il n'y a pas de problèmes de sécurité inhérents, il n'y a que des mauvaises configurations.
Napoleone Buonaparte disait à propos des dames : "il n'y a pas de citadelle imprenable, il n'y a que des citadelles mal attaquées". les bécanes, les pare-feux, ...., c'est pareil
