Jean-Marc TOMCZYK a écrit :
Bonjour à tous
Via mcc j'ai interdit l'accés à tous les services par l'internet (pare-feu).
Et cependant :
nmap -p 1-65535 localhost
Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2006-04-21 15:26 CEST
Interesting ports on localhost (127.0.0.1):
(The 65526 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
111/tcp open rpcbind
631/tcp open ipp
896/tcp open unknown
5335/tcp open unknown
6000/tcp open X11
7741/tcp open unknown
10000/tcp open snet-sensor-mgmt
Dans tous les cas, certains des ports cités s'ils sont ouverts en
localhost ils le sont sur l'interface:
22 / SSH
80 / APACHE
111 / RPC (NFS/SMB, etc..)
631 / ipp (CUPS)
6000 / X11 ( Désactiver XDCMP dans la configuration de gdm ou kdm)
10000 / Webmin (ne l'actiuver que quand tu en as besoin, via ssh par
exemple, mais pas besoin de la laisser en permanence)
Ensuite quand tu utilise des applciations particulière sur un port
particulier, met à jour ton fichier /etc/services ca evite les unknown,
comme c'est le cas pour tes ports 896,5335 et 7741
le 5535 c'est mDNSResponder <-- suprimer ca sur une machine connectée à
internet ca vaut mieux
le 896 c'est mountd je crois <-- auquel cas, si ce n'est qu'en local
tres bien sinon à supprimer (tu as surement des choses actives dans
xinetd ou inet qui ne le devaient pas, car d'une facon generale pour une
machine connectée sur le net, mieux vaut eviter d'utiliser completement
xinetd)
le 7741 c'est lisa <-- pas forcement utile pour ne pas dire pas utile du
tout.
En regle simple, tout port qui n'est pas expressement utile sur une
interface connectée à internet est un port indésirable.
Le pare-feu ne fait pas tout et notament il ne strictement rien quand au
contenu des paquet. Il est possible très simplement de leurrer un
parefeu par recouvrement de pacquets par exemple. c'est a dire de forcer
le systeme à ecraser une partie d'un paquet par un autre et ce faisait
determinant un resultat final complement different de ce que les paquet
laissaient présumer au pare-feu et voire meme à l'IDS (Intrusion
Detection Syetem - Systeme de detection d'intrusion)
pour connaitre sinon les ports en ecoute sur ton poste tu peux aussi
utiliser netstat, l'option -p de netstat te donnera le process id et le
nom du porcessus qui ecoute sur ce port
Enfin, il faut systématiquement fermer les ports inutilisés. Si un port
est ouvert pour un usage strictement en boucle locale (localhost aka
127.0.0.1) il faut "binder" l'interface d'ecoute sur la boucle locale.
Par exemple, il est possible de dire à apache de n'ecouter QUE sur
127.0.0.1. Ce qui fait que meme sans parefeu, toute connexion sur le
port 80 de l'exterieur ne donnera rien, et on n'y verra rien.
Car meme avec un parefeu, il est possible de determiner si le port est
ouvert mais bloqué ou s'il n'est pas ouvert.
Dans le premier cas, l'attaquant sait qu'un pare-feu bloque l'accès au
port, mais que celui ci est ouvert et qu'il est donc possible sous
certaines conditions de l'utiliser. Ne serait que pour faire un deni de
service.
Laurent
____________________________________________________
Want to buy your Pack or Services from Mandriva?
Go to http://store.mandriva.com
Join the Club : http://www.mandrivaclub.com
____________________________________________________
