Bonjour les experts.
Dans les logs de mon proxy il y a beaucoup de requêtes refusées (normal vu
les URL demandées ci-dessous) en provenance d'un ensemble de systèmes dont
j'ai l'accès. Les systèmes sont tous sous Linux/Fedora et le proxy est un
squid. Voici un petit extrait des logs :
1
2
3
4
5
6
1391149769.412 0 X.X.X.X TCP_DENIED/403 3681 GET
http://master_ibis.local/crossdomain.xml - NONE/- text/html
1391149769.444 0 X.X.X.X TCP_DENIED/403 3657 GET
http://127.0.0.1/crossdomain.xml - NONE/- text/html
1391149769.464 0 X.X.X.X TCP_DENIED/403 3681 GET
http://master_ibis.local/crossdomain.xml - NONE/- text/html
1391149769.560 0 X.X.X.X TCP_DENIED/403 3657 GET
http://127.0.0.1/crossdomain.xml - NONE/- text/html
1391149769.651 0 X.X.X.X TCP_DENIED/403 3657 GET
http://127.0.0.1/crossdomain.xml - NONE/- text/html
1391149769.682 0 X.X.X.X TCP_DENIED/403 3681 GET
http://master_ibis.local/crossdomain.xml - NONE/- text/html
Il doit y avoir un problème de config des systèmes en question, et cela
génère du trafic, donc de la conso réseau inutile, surtout que ces systèmes
sont derrière un routeur 3G.
Jusqu'ici je sais qu'il n'y a rien à faire du côté de mes firewal, et le
problème réside au niveau des systèmes qui font les requêtes.
J'ai mis à chaque fois *X.X.X.X* à la place de l'adresse ip du serveur qui
a effectué la requête, pour des question de confidentialité.
J'ai fait une analyse côté client et proxy.
Et en fait les ports *3681 *et* 3657* sont des pour universellement
reconnus et peuvent servir d'attaque. Ils sont par défaut rejetés par les
firewall (normalement) .
Ils correspondent respectivement aux services/protocoles :
1
2
3
4
[root@hostname~]# less /etc/services | grep 3681
bts-x73 3681/tcp# BTS X73 Port
bts-x73 3681/udp# BTS X73 Port
et :
1
2
3
4
[root@hostname]# less /etc/services | grep 3657
immedianet-bcn 3657/tcp# ImmediaNet Beacon
immedianet-bcn 3657/udp# ImmediaNet Beacon
et donc dans mon cas à chaque tentative il y a un accès refusé à ces
services.
Cependant quand je lance un * tcpdump* sur la bonne interface et chacun de
ces ports je ne capture pas de paquet, je vois juste quelques fois un
nombre de paquets filtrés mais pas capturés.
De même la commande *netstat* ne me donne aucun résultat qui match ces deux
ports, de façon à ce que je puisse récupérer le *process ID *et voir le
service derrière.
Du coup ma question. Comment empêcher à mes machines de tenter ces
connexions vers le *proxy*? Dois-je commenter la ligne correspondante dans
le fichier */etc/services * par exemple?
Comme vous pouvez donc le voir, ces ports et les services associés par
défaut sont présents sur tout système.
Le truc c'est que mon proxy identifie des connexions initiées par les
machines sur ces ports là, pourtant je ne vois aucun service les utilisant
sur la machine en question.
Je ne sais pas comment le proxy arrive lui à détecter ces tentatives de
connexions, je n'aririve pas à les voir passer, ni à identifier le service
associé en réalité sur la machine en question( ce sont des ports clients).
Pouvez-vous m'aider à lever le mystère s'il vous plaît.
Merci beaucoup pour votre aide et éclairage.
Cordialement,
Eugène NG
--
ngont...@epitech.net
sympav...@gmail.com
*Aux hommes il faut un chef, et au*
* chef il faut des hommes!L'habit ne fait pas le moine, mais lorsqu'on te
voit on te juge!*
---
Liste de diffusion du FRnOG
http://www.frnog.org/
