Vous n'êtes pas identifié(e).
Pages : 1
Si vous êtes fan du « Si ce n’est pas cassé, ne le corrigez pas » , vous serez un grand fan de BSD. Mais si vous êtes du genre à avoir besoin que tout soit le plus récent possible, vous feriez mieux de migrer vers Linux aussi vite que possible histoire de ne pas être à la traîne.BSD a un système de base comprenant de nombreux outils, ils sont tous développés et packagés ensemble pour être cohésif.
Hors ligne
Firewall de la box plus ou moins parefeu logiciel(netfilter via iptables et ufw) bloquant tout les ports entrants. si besoin on ouvre juste les ports necessaires aux services installés (serveur SSH, serveur VNC, torrent, etc...) ; perso si la machine est unique sur le reseau, je désactive netfilter, si j'ai plusieurs machines, je l'active
Analyse régulière des ports en ecoute au moyen de netstat comme conseillé par Lorus
sniff régulier du réseau au moyen de wireshark, tshark ou tcpdump
Mise à jour de sécurité, le moins de dépôts tiers possible, le moins de logiciels à code fermé possible
utilisation de module complementaire dans firefox/iceweasel pour augmenter la sécurité (une liste de module complementaire conseillé par duckduckgo est disponible en bas de cette page : http://donttrack.us/ )
Moteur de recherche respectueux de la vie privée (duckduckgo, startpage ou ixquick) ; j'aime bien duckduckgo car l'auteur reverse une partie des revenus généré par celui-ci à des projets libres, ixquick et startpage proposent de passer par le proxy ixquick pour renforcer l'anonymat
Dernière modification par vince06fr (11-12-2012 19:36:48)
Hors ligne
Utiliser une faille ou un défaut de sécurité du logiciel pour pénétrer complète-
ment le système : c’est l’exploit.
Utiliser une faille du système pour exécuter du code : c’est installer un troyen,
par exemple.Voir la liste de nos amis de Fédora => http://books.google.fr/books?id=zz8cDAF … ux&f=false, Brrrrrrr
Utiliser une faille par accès distant répertorié.
/!\Toute l'équipe de Debian Facile vous rappelle que l'usage d'un scanner ne doit être que pour son réseau personnel! Si une plainte est déposée à votre FAI, votre connexion internet sera coupée. Je rappelle que nous sommes constructifs, nous cherchons à nous préserver de ceux qui utilisent cet outil à des fins destructrices, pas à les imiter /!\
Iptables supporte nativement la détection de scans avec l'option --tcp-flags, Nmap permet de pouvoir prévoir les futures attaques, avec plusieur type de scan entenant compte des six segments qui composent le protocole TCP: URG, ACK, SYN, FIN, PUSH, RST
URG : Signale la présence de données URGentes
ACK : Signale que le paquet est un accusé de réception (ACKnowledgement)
PSH : Données à envoyer tout de suite (PuSH)
RST : Rupture anormale de la connexion (ReSeT)
SYN : Demande de synchronisation (SYN) ou établissement de connexion
FIN : Demande la FIN de la connexion
Le scan en vanilla TCP connect qui est le scan par défaut de Nmap:
Les scans furtifs:
Le scan en connexion demi-ouverte, si un port est ouvert, il y a réponse positive
Le scan FIN consiste en l'envoi de paquets TCP avec seulement le flag FIN armé
Le scan NULL consiste en l'envoi de paquets TCP avec seulement le flag NULL armé
Le Xmas (joyeux noël ) scan consiste en l'envoi de paquets TCP avec les flags FIN/URG/PUSH armés.
L'otion -O permet de trouver le système d'exploitation:
Cette règle permet de détecter l'envoi un grand nombre de paquets TCP avec les flags précités...
Configurer Iptables pour empêcher les scans (ou les ralentir fortement)
Il faut noter que certains segments au niveau de la couche IP ou TCP sont propres à chaque système d'exploitation...
Chaque segment de la couche TCP a un but et celui-ci est déterminé, Ils permettent à l'expéditeur ou au destinataire de préciser quels indicateurs devraient être utilisés si le segment est géré correctement par l'autre extrémité.
Je détail un peu plus mon otion limit de ma règle:
Tout d'abord, ce module doit être spécifié explicitement avec `-m limit' ou `--match limit'
Comme vous pouvez le constater, le module --limit bloque le nombre maximum de correspondances acceptées par seconde. On peut spécifier son unité explicitement, en utilisant `/second', `/minute', `/hour' ou `/day', ou en abrégé (ainsi `1/second' est identique à `1/s'). Cela peut être pratique pour un serveur en surcharge également.
Quant à l'option --tcp-flags elle vous permet de filtrer les requêtes excessives du à un scanner sur des protocoles TCP avec les flags FIN et/ou SYN et/ou ACK et/ou RST armé(s) etc....
Mon serveur était configuré avec cette option, je n'ai jamais eu de souci particulier! Mais une sécurité n'est jamais parfaite
Sinon il y a la méthode bourrin...
On drop (refuse) tous les fanions et puis c'est tout. Na, nan mais!
ÉDIT: j'ajoute que le scan peut avoir lieu sur le protocole UDP, ce protocole est apparu avec le développement des réseaux locaux dont la fiabilité permet de s'affranchir des fonctions de contrôle... À vous d'adapter votre règle Iptables en conséquence.
@MaTTux_: Finalement, avec un Iptable correctement configuré, Snort est-il utile?
Dernière modification par lorus (12-12-2012 10:52:27)
Si vous êtes fan du « Si ce n’est pas cassé, ne le corrigez pas » , vous serez un grand fan de BSD. Mais si vous êtes du genre à avoir besoin que tout soit le plus récent possible, vous feriez mieux de migrer vers Linux aussi vite que possible histoire de ne pas être à la traîne.BSD a un système de base comprenant de nombreux outils, ils sont tous développés et packagés ensemble pour être cohésif.
Hors ligne
\o/ Le closedSource c'est tabou on a viendra tous à bout \o/
Hors ligne
Création d'un utilisateur
à login choisissez un nom d'utilisateur
authentification choisissez pass
rentrez 2 fois le mot de passe de votre choix
Ne definissez pas de regles (faites ctrl+D)
Répondre Y à la question Is that ok?
Lancez maintenant le serveur en faisant
Lancez ensuite le client
Connectez-vous au serveur en cliquant sur l'icone de connexion, vous pouvez ensuite lancer simplement un scan en utilisant l'assistant.
Dernière modification par vince06fr (12-12-2012 21:19:07)
Hors ligne
Si vous êtes fan du « Si ce n’est pas cassé, ne le corrigez pas » , vous serez un grand fan de BSD. Mais si vous êtes du genre à avoir besoin que tout soit le plus récent possible, vous feriez mieux de migrer vers Linux aussi vite que possible histoire de ne pas être à la traîne.BSD a un système de base comprenant de nombreux outils, ils sont tous développés et packagés ensemble pour être cohésif.
Hors ligne
À noter l'existence de ce site qui réalise plusieurs séries de test en ligne, fort pratique tout de même : http://www.pcflank.com/
Je doute de l'éfficacité du site, j'ai fais un test rapide et il trouve des ports qui sont fermés chez moi et ne trouve pas les ports ouvert comme le 22 par exemple.
\o/ Le closedSource c'est tabou on a viendra tous à bout \o/
Hors ligne
Dernière modification par vince06fr (22-12-2012 13:19:19)
Hors ligne
Dernière modification par jc1 (22-12-2012 13:47:14)
Hors ligne
lorus a écrit :À noter l'existence de ce site qui réalise plusieurs séries de test en ligne, fort pratique tout de même : http://www.pcflank.com/
Je doute de l'éfficacité du site, j'ai fais un test rapide et il trouve des ports qui sont fermés chez moi et ne trouve pas les ports ouvert comme le 22 par exemple.
Bah chez moi, avec ma machine en DMZ et quand ma mini livebox ne buggue pas , le scan est bon, j'ai fait tous les tests hormis le test rapide et la vitesse de connexion. Il a même trouvé lors du Stealth Test que des ports udp répondaient tandis que les tcp sont furtifs. 'Vais essayer de corriger cela.
Ceci dit, c'est basique mais je trouve l'idée pratique. Bien entendu, rien ne remplace un scan de son réseau avec des outils disponible comme l'évoquait vince
Édit
Merci JC1 pour le site que tu mentionnes, j'ai testé et tout semble OK
Dernière modification par lorus (22-12-2012 19:44:35)
Si vous êtes fan du « Si ce n’est pas cassé, ne le corrigez pas » , vous serez un grand fan de BSD. Mais si vous êtes du genre à avoir besoin que tout soit le plus récent possible, vous feriez mieux de migrer vers Linux aussi vite que possible histoire de ne pas être à la traîne.BSD a un système de base comprenant de nombreux outils, ils sont tous développés et packagés ensemble pour être cohésif.
Hors ligne
Les ports sont ils ouvert sur ta box? parce qu'en fait ce genre de site va bloquer sur le pare-feu de la box si celui-ci est activé (et normalement il l'est)
J'ai pas de box ici, et si tu tentes un ssh sur mon ip tu te conecte sans soucis
\o/ Le closedSource c'est tabou on a viendra tous à bout \o/
Hors ligne
Bonjour,
Il y a aussi ce site qui est une référence dans les tests : https://www.grc.com
Lien de test : https://www.grc.com/x/ne.dll?bh0bkyd2
Le site est lent (10-20s) de test
C'est normal que c'est lent, les tests ne peuvent se faire vite.
Salutation
MaTTuX_
\o/ Le closedSource c'est tabou on a viendra tous à bout \o/
Hors ligne
Alias Sangokuss pour Frama et SVTux ailleurs !
Hors ligne
Il y a le FTP bounce scan (technique désuète de nos jours) qui permet de se connecter à un serveur FTP qui peut se trouver derrière un pare-feu.
Le TCP reverse ident scan permet de révéler le nom d’utilisateur d’un processus quelconque et d’obtenir des informations sur les serveurs.
Le Decoy scan, cette technique permet de camoufler l’identité de l’attaquant.
Le Fragmentation scan, l’idée est de diviser un paquet en plusieurs fragments IP, en fractionnant l’en-tête TCP, afin de s’infiltrer dans un système sécurisé.
Le Spoofed scan, cette technique permet de rediriger les paquets
L'est puissant le Nmap
Amicalement.
Si vous êtes fan du « Si ce n’est pas cassé, ne le corrigez pas » , vous serez un grand fan de BSD. Mais si vous êtes du genre à avoir besoin que tout soit le plus récent possible, vous feriez mieux de migrer vers Linux aussi vite que possible histoire de ne pas être à la traîne.BSD a un système de base comprenant de nombreux outils, ils sont tous développés et packagés ensemble pour être cohésif.
Hors ligne
Pages : 1