# [routeur-ADSL] ports admin coté WAN ? (résolu)

## Untux

Bonjour à tous,

J'ai un mini LAN composé de deux PC et d'un modem/routeur-ADSL (qui fait également serveur DHCP et NAT-SUA), le tout branché sur un petit hub ethernet... et donc, les deux PC obtiennent leurs adresses IP par le modem/routeur. Je suis récemment tombé sur un message alarmiste indiquant que mon modèle de routeur était livré, par défaut, avec les ports admin (ftp et telnet) ouverts coté WAN. J'ai donc configuré un filtre, sur le modem/routeur, pour droper les connexions ftp/telnet en provenance d'Internet.

Mais, ce faisant, je me suis posé une question : Ce routeur est configuré pour forwarder toutes les requêtes en provenance d'Internet vers la première adresse IP du Pool d'adresses du serveur DHCP. Par conséquent, si je comprends bien, il n'y avait aucun risque qu'on puisse telneter ou ftper directement mon modem/routeur non ? Même sans le filtre que je viens d'ajouter, le modem/routeur n'est pas censé y répondre lui même... me trompe-je ? Ca me semble logique mais j'ai un petit doute.Last edited by Untux on Fri Apr 28, 2006 9:08 pm; edited 1 time in total

----------

## k-root

c'est ce que fait le mien, mais utilise nmap sur ton routeur pour etre sur .

----------

## Untux

Salut K-root,

Merci pour ta confirmation/suggestion. Donc, il faudrait que j'utilise nmap depuis un autre réseau que le mien, afin que le test aboutisse sur l'interface WAN de mon propre réseau. (ça me re-semble logique mais j'ai toujours un petit doute, lol).

Du coup je me pose cette question (enfin... je vous la pose à vous ;) : existe-t-il des serveurs publics, sur Internet, qui « miroitent » les données qu'on leur envoie, afin de tester son propre réseau depuis l'extérieur, tout en restant à l'intérieur... (je me fais comprendre ?). C'est pas que je suis flemmard mais... en fait si !

----------

## k-root

 *tutux wrote:*   

> Merci pour ta confirmation/suggestion. Donc, il faudrait que j'utilise nmap depuis un autre réseau que le mien, afin que le test aboutisse sur l'interface WAN de mon propre réseau. (ça me re-semble logique mais j'ai toujours un petit doute, lol).

 tu a juste à specifier l'ip externe, pas besoin d'etre a l'exterieur.

----------

## Untux

Ah ouais, lol... que je suis con ! Je me fais pitié.

Merci K-root

----------

## PabOu

Euh, je ferais quand même le test de l'extérieur, par mesure de sécurité. On ne sait pas comment est le firewall à l'intérieur de ce produit non libre.

----------

## Untux

Salut Pab0u,

Merci pour ton message. Je crois effectivement qu'il faudra que je fasse ça... parce qu'il y a quelque chose qui m'échape. D'une part, nmap sur l'adresse « WAN/Internet » me répond que tout est fermé, même lorsque j'ouvre tout (et que je me suis triple assuré que mon routeur était configuré pour tout forwarder sur mon adresse LAN-locale). C'est louche... et puis ce qui suit ne fait qu'ajouter à ma confusion :

J'ai apache qui tourne :

```

# lsof -i | grep apache

apache2   19570      root    3u  IPv4 149478       TCP *:http (LISTEN)

apache2   19571    apache    3u  IPv4 149478       TCP *:http (LISTEN)

apache2   19572    apache    3u  IPv4 149478       TCP *:http (LISTEN)

apache2   19574    apache    3u  IPv4 149478       TCP *:http (LISTEN)

```

Je désactive mon firewall et je vérifie que tout est ouvert :

```

# iptables -L

Chain INPUT (policy ACCEPT)

target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)

target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination 

```

Je teste une connexion sur apache en local :

```

# telnet 192.168.0.10 http

Trying 127.0.0.1...

Connected to localhost.

```

...ça fonctionne.

Dans ethereal, ça me donne ça :

```

No.     Time        Source                Destination           Protocol Info

1 0.000000    192.168.0.10          192.168.0.10          TCP      5224 > http [SYN] Seq=0 Ack=0 Win=32767 Len=0 MSS=16396 WS=2

2 0.000037    192.168.0.10          192.168.0.10          TCP      http > 5224 [SYN, ACK] Seq=0 Ack=1 Win=32767 Len=0 MSS=16396 WS=2

```

rien à signaler.

Je teste la connexion sur apache avec mon adresse Internet :

```

# telnet 83.76.102.42 http

Trying 83.76.102.42...

telnet: Unable to connect to remote host: Connection refused

```

...ça passe pas et ethereal me donne ça :

```

No.     Time        Source                Destination           Protocol Info

1 0.000000    192.168.0.10          83.76.102.42          TCP      3410 > http [SYN] Seq=0 Ack=0 Win=5840 Len=0 MSS=1460 WS=2

2 0.000924    83.76.102.42          192.168.0.10          TCP      http > 3410 [RST, ACK] Seq=0 Ack=0 Win=0 Len=0

```

... je ne comprends pas pour quelle raison il rentre avec un [RST, ACK] ?!

Y-a-t-il une explication logique à ce comportement ? Serait-ce le routeur qui débloque... ou moi qui ne comprend rien à TCP-IP ?

----------

## BuBuaBu

J'avais posé une question sur le faite que depuis l'interieur mon routeur ne transmetais pas les requetes faite vers l'ip externe.

Donc il se peu que ton routeur ne passe pas ce genre de connection (et c'est assez courant dans le petit hardware)

Pour tester ta sécurité, il vaut quand même mieu aller dehors   :Smile: 

----------

## Untux

Salut Bubuabu,

Merci pour ta réponse. Bon bin... merdum. C'est nul ces machins, en plus il m'avait au moins coûté un oeil. Bref, faudra que je m'organise une session test depuis l'extérieur à l'occase.

PS arrête de me scanner, je sais que c'est toi. lol

----------

## -KuRGaN-

Bonjur à vous tous,

voilà je profite de ce thread pour poser une petite question, est-ce que le port-knocking est bien à mettre en place niveau sécurité? Il me semble en plus qu'il y a différentes façon de s'authentifier sur le serveur afin qu'il ouvre le port, laquelle est la meilleure ?

Merci, et putain que c'est bon de poster ici, ça faisait longtemps   :Wink: 

----------

## boozo

'alute   :Smile: 

dsl pour l'apparté...

@ KuRGan : avec du portknocking, grosso modo tu envois avant de te connecter une séquence de paquets sur un/des port(s) donné(s), le serveur qui fait tourner le deamon compare à sa signature de référence et si c'est la même, il t'ouvre le port du service que tu as configuré ; sinon c'est iptables qui prend le relais et te fait un log/drop.

Pour les méthodes d'authentification, il en existe plusieurs en effet, des sequences fixes données (ports, fréquence de knock,...), des séquences à usage uniques et mais je ne me souviens plus très bien, il doit en exister une intermédiaire... voir ici pour plus de détais (y'en a d'autres aussi : exple ici, là ou là encore,...).

Après pour ce qui est de l'usage/pertinence en production... là je ne saurais te dire mais je doute que des sysadmin compétents s'y risquent trop (probablement par culture), ceci dit je ne suis pas une référence en la matière   :Razz: 

Même si cela semble intelligent comme stratégie, il ne faut pas perdre de vue qu'une activité de knocking se "sniffe" comme toutes autres donc il est tout-à-fait faisable de répérer la séquence si elle est simple et surtout fréquente ; c'est pourquoi la méthode "à usage unique" existe je pense. Néanmoins je ne sais pas ce que celà peut représenter en terme de gestion si tu as pas mal d'utilisateurs/services...   :Rolling Eyes: 

Enfin, si tu teste à échelle 1, ton avis/retour/stratégie m'intéresse car je m'étais penché sur la question il y a qq temps mais à titre informatif seulement  :Wink: 

----------

## Untux

forum_thread_knoking_daemon_log:

in=-KuRGaN-

sender_title>=initial_poster=True

content_analyser:cultural_improvement_of_thread_initiator=True

content_analyser:potential_troll=False

content_analyser:polite_form=True

action:ACCEPT

in=boozo

sender_title>=initial_poster=True

content_analyser:cultural_improvement_of_thread_initiator=True

content_analyser:potential_troll=False

content_analyser:polite_form=True

action:ACCEPT

in=tutux

sender_title>=initial_poster=True

content_analyser:cultural_improvement_of_thread_initiator=False

content_analyser:potential_troll=False

content_analyser:polite_form=ERROR

content_analyser:humour=ERROR

action:REJECT

----------

## xaviermiller

sinon, essaie un scan avec des outils genre

- Security Scan - Sygate Online Services

- Symantec Security Check

et il y en a d'autres  :Wink: 

----------

## Untux

 *XavierMiller wrote:*   

> sinon, essaie un scan avec des outils genre
> 
> - Security Scan - Sygate Online Services
> 
> - Symantec Security Check
> ...

 

Salut XavierMiller,

Bonne idée (remarque : le test Symantec ne fonctionne qu'avec l'OS du toutou milliardaire apparemment).

Merci.

----------

## Untux

Bon, selon Sygate tout est stealth jusqu'à 1024. Pratique ce truc, mais pas très instructif. Je vais quand même installer GNU/Linux sur ma X-Box. Ca lui fera les pieds. Je mettrai ce bâtard sur un autre réseau, et j'en prendrai le contrôle depuis chez moi, pour m'auto-attaquer.

Aaaah, foutre Linux sur une X-Box... ça va être jouisif !

----------

