Ports visibles

[Hauwee]

Bonjour,
Pourquoi certains ports sont visibles sous SME Server (tests faits par Internet) ? --> 25, 80, 113, 443 et 465 ...
Est-ce un problème connu ?
Comment corrigé ça manuellement ?
Merci

[ccnet]

Bonjour,
Pourquoi certains ports sont visibles sous SME Server (tests faits par Internet) ? --> 25, 80, 113, 443 et 465 ...
Est-ce un problème connu ?
Comment corrigé ça manuellement ?
Merci

SME ne fait sans doute que ce que vous lui avez demandé.
Le port 25 permet de recevoir des mails de l'extérieur.
Le port 465 permet la même chose en SSL.
Le port 80 permet de se connecter avec un navigateur en http, sur les ebays par exemple.
Le port 443 la même chose en https.
Le port 113 est utilisé dans des mécanismes d'authentification.

Utilisez vous ces services ?

[Hauwee]

Bonsoir,
Oui je sais à quoi servent ces ports
Ports 25, 465 : j'utilise directement le webmail et normalement les autres utilisateurs de mon réseau local aussi.
Ports 80, 443 : il s'agit des ports "standards" de navigation web. Vous dites "accéder aux i-bays par exemple". Donc l'utilisation courante d'Internet n'est pas à prendre en compte ? Si je bloque par exemple le port 443, je ne vais pas avoir de problèmes pour accéder à mon compte webmail en https ?
Port 113 : ben là je ne sais trop si je l'utilise ou pas --> recevoir des authentifications FTP ?

De plus, la logique veut que les ports soient masqués, ce qui n'empêche pas leur utilisation

Comment faire pour bloquer et masquer si besoin ces ports ?
Merci pour votre aide.

[ccnet]

De plus, la logique veut que les ports soient masqués, ce qui n'empêche pas leur utilisation

Bon, et bien comme d'habitude : le site de Christian Caleca : http://irp.nain-t.net/doku.php/start
Je ne sais pas ce que vous appelez des ports "masqués". Pour le concombre je vois mais pas pour les ports.
Plus sérieusement, commencez par décrire exactement votre configuration SME et le réseau qui est autour, adressage etc ... Et l'on va essayer de vous mettre au clair.
Je ne sais pas d'où vient votre" logique". Une chose est certaine : un port est ouvert ou fermé, il répond ou non à une demande de connexion (de deux façons possibles), il est visible (ce terme est déjà discutable) ou non.

[Hauwee]

Bonjour,

Ma logique vient tout simplement de ce que je connais/appris/lu. De plus, vu votre description, c'est exactement ce j'ai dit mais d'une manière différente
Il est toujours conseillé de tester son parefeu afin de voir si des des ports sont ouverts/fermés/masqués (invisibles) --> avec des sites comme :
http://www.zebulon.fr/outils/scanports/ ... curite.php
http://www.pcflank.com/
http://check.sdv.fr/

J'ai trouvé le site que vous m'indiquez hier. J'ai justement essayé d'y aller mais je n'arrivais pas à accéder aux contenu. Apparemment aujourd'hui, ça va. Ca va me faire un peu de lecture (même s'il y a pas mal de trucs que je connais déjà)

Sinon voici ma config SME --> par défaut, rien n'a été changé après installation :


PS : Ah ce fameux concombre masqué

[ccnet]

Si je comprend bien le schéma, tout est connecté sur la freebox en utilisation les différents ports du hub intégré ?

Sinon pour être clair sur les bases :

De plus, vu votre description, c'est exactement ce j'ai dit Wink mais d'une manière différente

Non. Ce que vous dites, je cite "la logique veut que les ports soient masqués, ce qui n'empêche pas leur utilisation". La réalité est différente.

Cas 1
Une demande d'ouverture sur le port (Flag SYN) provoque de la part de votre machine une réponse positive (Flag ACK). Après le 3 handshake la session tcp est ouverte. Le port est ouvert et il apparait comme tel lors d'un scan de port.

Cas 2
Une demande d'ouverture sur le port (Flag SYN) provoque de la part de votre machine une réponse négative (Flag RST). La communication n'ira pas plus loin, votre machine refuse d'entamer le dialogue sur ce port. On sait néanmoins que le port existe, mais que les connexions sont refusées. Cela se voit dans un scan de port puisque votre machine retourne un "paquet de reset".

Cas 3
Une demande d'ouverture sur le port (Flag SYN) ne provoque pas de la part de votre machine une réponse. Le paquet est ignoré en silence et aucune réponse n'est envoyé. Le port n'existe pas pour un scanner de port.

Il n'y a dans aucun de ces cas de place pour un port "masqué" que l'on puisse néanmoins utiliser.
Pour le reste j'attends la réponse à ma première question.

[Hauwee]

Oui tout à fait, afin d'éviter l'ajout d'un switch et vu le nombre de mes PC Ethernet, j'utilise uniquement la Freebox, en laissant le mode routeur activé. (2 interfaces pour SME et 2 interfaces pour mes PC)

Votre explication est très simple et très claire
Toutefois, au risque de paraitre têtu , votre cas 3 reprend justement le principe de "la logique veut que les ports soient masqués, ce qui n'empêche pas leur utilisation". En effet, le port masqué est justement le port qui ne répond pas mais qui reste utilisable. Par exemple, si le port 443 ressort masqué cela signifie bien que de l'extérieur il n'est pas joignable mais pour moi, cela ne m'empêche pas d'accéder à des sites en https.

[ccnet]

En effet, le port masqué est justement le port qui ne répond pas mais qui reste utilisable. Par exemple, si le port 443 ressort masqué cela signifie bien que de l'extérieur il n'est pas joignable mais pour moi, cela ne m'empêche pas d'accéder à des sites en https.

C'est vraiment n'importe quoi. Vous n'êtes pas tétu, vous mélangez tout et n'avez pas compris le fonctionnement basique de TCP, vous confondez pour source et port de destination. Si le port 443 ne répond pas il n'est utilisable. On ne peut établir de connexion vers ce port. Ce dont vous parlez c'est une connexion depuis votre navigateur vers le port 443 du serveur de votre banque par exemple. La façon dont vous interprétez cela est totalement fausse. C'est le cas 1, car votre navigateur utilise un port éphémère, choisi dynamiquement au dessus de 1024, pour réaliser une ouverture de session TCP vers le port 443 de destination. Le port 443 de votre SME n'est pas concerné dans ce scénario. Et le serveur de votre banque ne tente pas d'établir de connexion (SYN) vers votre SME (en fait votre PC).

Il est vraiment indispensable que vous compreniez ce qui est écrit sur le site de Christian Caleca. Vous en savez beaucoup moins que vous ne le pensez.

Venons en maintenant à la topologie de votre réseau. Elle est totalement inadaptée à un minimum de sécurité. La bonne configuration consiste à utiliser la freebox en pont, l'ip publique étant portée par l'interface externe de SME. Les pc sont connectés à un hub ou switch coté interface lan. On ne peut faire confiance au switch d'une freebox d'un point de vue sécurité. On ne le fait pas même avec des Catalyst Cisco, ou de façon très spécifique même avec des vlans. Le prix actuel d'un hub ou d'un switch de quelques ports n'est franchement pas prohibitif. Installez une topologie réseau correcte, on se penchera ensuite sur les question de ports.

Est-ce un problème connu ?

Le plus connu des problèmes de sécurité est les conditions de mise en oeuvre des matériels et logiciels. SME correctement configuré ne laisse pas de ports indûment ouverts.

[Hauwee]

D'accord je comprends mieux A la base, je ne suis pas administrateur réseau. J'apprends sur le tas, tous les jours.
Moi je pensais que quand on se connectait sur un site en https, on partait du port source 443 (moi) au port destination 443 (serveur), justement pour préserver le côté SSL. Donc si j'ai bien compris, côté local on utilise un port aléatoire au dessus de 1024 ?

Donc si je comprends bien votre remarque sur la sécurité, l'exemple Ipcop avec routeur (2ème image) sur ce post n'est pas fiable non plus ?

Je sais que les hubs/switchs ne sont pas très chers. J'ai d'ailleurs un Netgear, le prolème c'est qu'il faut encore ajouter un élément dans le salon et de plus je n'ai plus de place au niveau électrique

PS : J'utilise également le wifi de ma Freebox d'où mon installation atypique mais qui n'est pas un cas isolé comme vous le constaterez avec l'exemple Ipcop

[ccnet]

Moi je pensais que quand on se connectait sur un site en https, on partait du port source 443 (moi) au port destination 443 (serveur), justement pour préserver le côté SSL.

SSL utilise certes un port par défaut. Par commodité, mais on peut faire du SSL sur n'importe quel port disponible.Il va de même pour http, smtp, pop imap, ... bref cela n'est qu'une question de paramétrage. Le numéro de port ne fait pas partie de "l'intelligence" du protocole considéré. Le mécanisme de SSL ne dépend pas du numéro de port. C'est bien plus simple et bien plus compliqué. SSL ne vous garantit pas l'identité de la machine (la personne c'est encore autre chose) qui est en face. Il vous garantit juste que vous pouvez parler ensemble sans que l'on puise vous écouter. C'est comme parler avec une seule personne dans le noir, dans une pièce hermétiquement fermée. C'est tout. En fait vous n'avez aucune garantie sur l'identité de la machine en face. Bref.

Donc si j'ai bien compris, côté local on utilise un port aléatoire au dessus de 1024 ?

Oui, mais plusieurs ports. Chaque élément de la page Web (comme les images), provoque l'ouverture d'une session TCP et votre navigateur utilise les ports au dessus de 1024 en tant que de besoin. Il peut y avoir 5, 10, 20 sessions TCP ouvertes alors que vous n'avez qu'une page affichée.

Donc si je comprends bien votre remarque sur la sécurité, l'exemple Ipcop avec routeur (2ème image) sur ce post n'est pas fiable non plus ?

Oui.

Vous avez les informations en main. A vous de décider, personne ne peut le faire à votre place. Cet exemple montre pourquoi la sécurité est étroitement dépendante de la façon dont les outils (matériel et logiciels) sont mis en ouvre. Par exemple le cryptage le plus puissant est quasi inopérant si la clé est mal choisie ou faible.

[Hauwee]

Merci pour toutes ces précisions
Vous déclarez que mon installation, ou celle évoquée dans le lien que j'ai mis sur Ipcop, n'est pas sécurisée.
Pourriez-vous en quelques mots m'expliquer pourquoi ?
Pensez-vous que mon installation soit plus ou moins sécurisée qu'une utilisation standard de la Freebox ?
Merci encore pour le temps que vous me consacrez

[Hauwee]

Sinon pour bloquer ce port 443, faut-il utiliser la commande :

iptables -A INPUT -p tcp --dport 443 -j DROP

Ou peut-on ajouter un module à SME pour gérer cela ?

[sibsib]

Hauwee,

Ccnet a été (comme souvent) d'une patience exemplaire, et de plus ces explications sont excellentes.

Maintenant, si tu ne comprends pas ce que tu fais, un conseil : désactives le mode DMZ sur ta freebox. Tu auras là un niveau de sécurité 'acceptable' dans le sens ou la freebox se fera un plaisir de refuser toute connexion entrante. Et donc, tu pourras aller sur tes chers sites de tests, et tout te semblera conforme (et le sera, dans une certaine mesure).

D'autre part, SME dispose d'un mode private server & gateway qui ferme également tous les ports entrants.

Mais pas la peine de nous sortir des commandes iptables dont tu ne sembles pas en mesure de comprendre (pour le moment) la signification.

Je suis probablement plus (trop ???) direct que ccnet, mais tu joues là avec *ta* sécurité informatique.

A+,
Pascal

[Hauwee]

Il est vrai que les explications de ccnet sont très bien détaillées.
C'est vrai que pour le moment je ne connais pas grand chose à Linux, je suis windowsien, toujours curieux de découvrir de nouvelles choses.
C'est la première fois que je m'aventure dans l'utilisation d'un serveur Linux pour justement essayer de comprendre, d'améliorer ma sécurité et d'améliorer certaines choses dans la vie de tous les jours (serveur FTP accessible localement et par le net, pouvoir ajouter des redirections de ports sans devoir redémarrer la Freebox ...)
J'essaie justement de comprendre mais pour le moment, j'ai plutôt l'impression que je ne suis pas là le bienvenu, même si ccnet a pris le temps de m'expliquer.
Le mode Serveur privé et passerelle, sauf si je me trompe encore, ne me conviendrait pas étant donné que je veux y accéder en FTP par le net.
Tu dis que je joues avec ma sécurité informatique, je veux bien mais je n'ai toujours pas de réponse à ma question : qu'est-ce qui ne va pas avec ma configuration SME/Freebox ? Je ne suis pas le premier à faire ce genre de réalisation et certains qui l'ont fait se prétendent "en sécurité" ou "expert". Je veux juste comprendre pourquoi la sécurité n'est pas bonne, tout simplement. Si avec les explications, je constate effectivement un risque, je repasserai tout sur ma Freebox. Sauf si j'obtiens une réponse positive à la question "ma configuation actuelle SME/Freebox est-elle quand même plus sécurisée que si tout passait par la Freebox ?" auquel cas je laisserai peut être comme ça. On va surement me répondre qu'il suffirait d'ajouter un hub/switch mais comme je l'ai dit je n'ai plus de place pour mettre une nouvelle prise électrique (et en plus il y a aussi l'utilisation du wifi de la Freebox) où il faudrait que je décuple ma multiprise et là au niveau sécurité électrique, ce n'est pas terrible

[Hauwee]

A moins que je ne me trompe dans la lecture de ce post, mais ma configuration SME/Freebox ressemble à ce qui est décrit. Et d'après les protagonistes, cette solution a l'air d'être correcte
A savoir : Internet -- Freebox mode routeur activé -- SME en DMZ -- LAN
Justement comme j'utilise la fonction routeur de la Freebox pour relier 2 PC par Ethernet au SME, ne faut-il pas justement laisser la DMZ pour forcer ce qui arrive par la Freebox à partir sur l'adresse externe de SME ?