Re: question sur les ports TCP

2002-08-14 Par sujet Frederid LEGER 
Le Wednesday 14 August 2002 à , Frédéric Giquel a écrit:
> Le 14 août 2002 à 09:59 (+0200), sylvain ferriol a tapoté sur son
> clavier :
> > - et puis connaissez vous un outils qui me permette de savoir quel démon ou
> > appli, se cache derrière un port TCP
> >
> 
> Sous root:
> netstat -lp --ip
> et dans la dernière colonne, on a le pid et le nom du programme qui est
> derrière le port TCP.

lsof -i tcp :))

Fred

-- 
setenv OS="Debian Gnu/Linux 3.0"
setenv XMAILER="mutt"
http://dodger.web.free.fr
___
Do You Yahoo!? -- Une adresse @yahoo.fr gratuite et en français !
Yahoo! Mail : http://fr.mail.yahoo.com

Re: question sur les ports TCP

2002-08-14 Par sujet Frédéric Giquel 
Le 14 août 2002 à 09:59 (+0200), sylvain ferriol a tapoté sur son
clavier :
> - et puis connaissez vous un outils qui me permette de savoir quel démon ou
> appli, se cache derrière un port TCP
>

Sous root:
netstat -lp --ip
et dans la dernière colonne, on a le pid et le nom du programme qui est
derrière le port TCP.

Fred

Re: question sur les ports TCP

2002-08-14 Par sujet Frederid LEGER 
Le Wednesday 14 August 2002 à , frederic massot a écrit:
> http://www.networksorcery.com/enp/topic/ipsuite.htm
> 
> Et pour chargen tu peux aller voir la RFC : 
> 
> http://www.faqs.org/rfcs/rfc864.html
> 
> Il semble que se soit un génerateur de caractères, pour les tests et
> débogage.

C'est exactement ça :))

Dans le meme ordre, discard est un bouffeur de caracteres...

Dans les services a commenter absolument si on ne sait pas pourquoi ils
sont ouverts tu as :

* Chargen
* Discard
* echo
* qotd
* daytime
* time
* tftp
* bootpc

Et encore c'est un minimum, je pense...


-- 
setenv OS="Debian Gnu/Linux 3.0"
setenv XMAILER="mutt"
http://dodger.web.free.fr
___
Do You Yahoo!? -- Une adresse @yahoo.fr gratuite et en français !
Yahoo! Mail : http://fr.mail.yahoo.com

Re: question sur les ports TCP

2002-08-14 Par sujet frederic massot 
sylvain ferriol wrote:
> 
> frederic massot wrote:
> > sylvain ferriol wrote:
> >
> >>Par contre, j'aimerais bien avoir:
> >>- une doc stipulant tous les services, à quoi ils servent et leur niveau
> >>de sécurité.
> >>   Parce que savoir avec nmap que "9/tcp open discard" ça ne m'apporte
> >>pas grand chose.
> >
> >
> > D'après moi, toutes les entrées de "inetd.conf" sont à commenter, même
> > les entrées notées "interne" comme : echo, chargen, discard, daytime,
> > time.
> 
> pour ma part, je voudrais savoir par exemple à quoi et à qui servent
> toutes ces entrées
> je cherche une doc.si tu as, je suis preneur
> 

http://www.networksorcery.com/enp/topic/ipsuite.htm

Et pour chargen tu peux aller voir la RFC : 

http://www.faqs.org/rfcs/rfc864.html

Il semble que se soit un génerateur de caractères, pour les tests et
débogage.
-- 
==
|  FREDERIC MASSOT   |
| http://www.juliana-multimedia.com  |
|   mailto:[EMAIL PROTECTED]   |
===Debian=GNU/Linux===

Re: question sur les ports TCP

2002-08-14 Par sujet sylvain ferriol 

frederic massot wrote:

sylvain ferriol wrote:


Par contre, j'aimerais bien avoir:
- une doc stipulant tous les services, à quoi ils servent et leur niveau
de sécurité.
  Parce que savoir avec nmap que "9/tcp open discard" ça ne m'apporte
pas grand chose.



D'après moi, toutes les entrées de "inetd.conf" sont à commenter, même
les entrées notées "interne" comme : echo, chargen, discard, daytime,
time.


pour ma part, je voudrais savoir par exemple à quoi et à qui servent 
toutes ces entrées

je cherche une doc.si tu as, je suis preneur

Sylvain

Re: question sur les ports TCP

2002-08-14 Par sujet frederic massot 
sylvain ferriol wrote:
> 
> Par contre, j'aimerais bien avoir:
> - une doc stipulant tous les services, à quoi ils servent et leur niveau
> de sécurité.
>Parce que savoir avec nmap que "9/tcp open discard" ça ne m'apporte
> pas grand chose.

D'après moi, toutes les entrées de "inetd.conf" sont à commenter, même
les entrées notées "interne" comme : echo, chargen, discard, daytime,
time.
-- 
==
|  FREDERIC MASSOT   |
| http://www.juliana-multimedia.com  |
|   mailto:[EMAIL PROTECTED]   |
===Debian=GNU/Linux===

Re: question sur les ports TCP

2002-08-14 Par sujet sylvain ferriol 

frederic massot wrote:

Régis Grison wrote:


Le lun 12/08/2002 à 14:10, sylvain ferriol a écrit :


bonjour à tous

je voulais juste savoir si on peut sous debian ouvrir des ports TCP en
local et non pour l'exterieur??

et peut on le voir avec nmap par exemple


Oui, avec des règles iptables (noyau 2.4) ou ipchains (noyau 2.2).




Je me posais une question relative à la sécurité d'un réseau local
connecté à l'internet.

Les points habituels :

- Placer un firewall entre le routeur et les serveurs/postes clients.
- Supprimer tous les services inutiles sur chaques machines.
- Commenter toutes les lignes inutiles de "/etc/inetd.conf".


Mais pourquoi ne pas activer (et configurer) les fonctions de
firewalling sur chaques machines Linux, qu'elles soient serveurs ou
postes clients ?

Est-ce trop parano, ou inutiles ?


je pense que plus tu rajoutes de "filtres" TCP/IP, plus tu pompes du CPU
à vérifier..
Par contre, j'aimerais bien avoir:
- une doc stipulant tous les services, à quoi ils servent et leur niveau 
de sécurité.
  Parce que savoir avec nmap que "9/tcp open discard" ça ne m'apporte 
pas grand chose.
- et puis connaissez vous un outils qui me permette de savoir quel démon 
ou appli, se cache derrière un port TCP


Sylvain

Re: question sur les ports TCP

2002-08-14 Par sujet Charles Goyard 
Ainsi parlait frederic massot :
> - Placer un firewall entre le routeur et les serveurs/postes clients.

oui

> - Supprimer tous les services inutiles sur chaques machines.

oui

> - Commenter toutes les lignes inutiles de "/etc/inetd.conf".

oui, mais inutile si les services ne sont pas installés.


> Mais pourquoi ne pas activer (et configurer) les fonctions de
> firewalling sur chaques machines Linux, qu'elles soient serveurs ou
> postes clients ?

C'est du boulot pour pas grand chose.

Supprimer les services inutiles protège des attaques pour ces services.
Ça ne sert à rien de filtrer un port en local sur lequel rien ne tourne.


-- 
Charles

Re: question sur les ports TCP

2002-08-14 Par sujet frederic massot 
Régis Grison wrote:
> 
> Le lun 12/08/2002 à 14:10, sylvain ferriol a écrit :
> > bonjour à tous
> >
> > je voulais juste savoir si on peut sous debian ouvrir des ports TCP en
> > local et non pour l'exterieur??
> >
> > et peut on le voir avec nmap par exemple
> 
> Oui, avec des règles iptables (noyau 2.4) ou ipchains (noyau 2.2).
> 

Je me posais une question relative à la sécurité d'un réseau local
connecté à l'internet.

Les points habituels :

- Placer un firewall entre le routeur et les serveurs/postes clients.
- Supprimer tous les services inutiles sur chaques machines.
- Commenter toutes les lignes inutiles de "/etc/inetd.conf".


Mais pourquoi ne pas activer (et configurer) les fonctions de
firewalling sur chaques machines Linux, qu'elles soient serveurs ou
postes clients ?

Est-ce trop parano, ou inutiles ?
-- 
==
|  FREDERIC MASSOT   |
| http://www.juliana-multimedia.com  |
|   mailto:[EMAIL PROTECTED]   |
===Debian=GNU/Linux===

Re: question sur les ports TCP

2002-08-13 Par sujet Frédéric Giquel 
Le 13 août 2002 à 16:41 (+0200), sylvain ferriol a tapoté sur son
clavier :

[...]

>
> j'ai essayé et ça me donne ça :
> ...
> tcp0  0 127.0.0.1:427   0.0.0.0:* LISTEN
> tcp0  0 0.0.0.0:13  0.0.0.0:* LISTEN
> tcp0  0 0.0.0.0:111 0.0.0.0:* LISTEN
> tcp0  0 0.0.0.0:80800.0.0.0:* LISTEN
> tcp0  0 0.0.0.0:80810.0.0.0:* LISTEN
> tcp0  0 0.0.0.0:631 0.0.0.0:* LISTEN
> 
>
> par contre quand tu as une adresse 0.0.0.0 ça veut dire quoi 
>

Je me suis trompé, quand le service écoute sur toutes les interfaces, on
a 0.0.0.0:no_port (c'est quand on n'utilise pas l'option -n de netstat
que l'on a *:no_port).

> sylvain
>

Fred

Re: question sur les ports TCP

2002-08-13 Par sujet sylvain ferriol 

Frédéric Giquel wrote:

Le 12 août 2002 à 23:13 (+0200), Yannick Roehlly a tapoté sur son
clavier :


Ainsi parlait Régis Grison <[EMAIL PROTECTED]> :



Le lun 12/08/2002 à 14:10, sylvain ferriol a écrit :


je voulais juste savoir si on peut sous debian ouvrir des
ports TCP en local et non pour l'exterieur??

et peut on le voir avec nmap par exemple


Oui, avec des règles iptables (noyau 2.4) ou ipchains (noyau
2.2).


Hello !

En plus du firewall (deux sécurités c'est mieux qu'une) si
tu utilises xinetd, tu peux rajouter la ligne

defaults
{
only_from = localhost, nnn
}




Personnellement, j'utilise l'option bind = 127.0.0.1 pour n'autoriser
que les acces à partir de localhost. Mais l'inconvenient c'est que l'on
ne peut spécifier que l'adresse IP d'une interface (ici lo). A priori,
l'avantage c'est que le programme n'ecoute que sur l'interface locale
avec bind alors qu'avec only_from, xinetd ecoute sur toutes les
interfaces et fait le tri après (je ne suis pas vraiment sur de ça).



à /etc/xinetd.conf où localhost, nnn représente tous les noms des
machines pouvant accéder aux services. Tu peux même configurer
séparément les divers services gérés par xinted en mettant le
only_from au bon endroit.

Par contre pour que nmap te dise que ce n'est accessible qu'en
local, je sèche...




Pour connaitre ce qui n'est accesible qu'en local, on peut utiliser la
commande netstat (pas besoin d'être root) et faire 'netstat -ln
--ip'. Un service accessible seulement en local aura une chaine de type
127.0.0.1:no_port dans la colonne 'Local Address', sinon on a
*:no_port. On peut aussi utliser nmap en faisant 'nmap 127.0.0.1' pour
connaitre les services accessible en local et 'nmap
adresse_ip_de_l'interface_reseau' pour connaitre les services
accessibles de l'extérieur. Pour savoir ce qui n'est accessible qu'en
local, on regarde les différences.


j'ai essayé et ça me donne ça :

tcp0  0 127.0.0.1:427   0.0.0.0:* 
LISTEN
tcp0  0 0.0.0.0:13  0.0.0.0:* 
LISTEN
tcp0  0 0.0.0.0:111 0.0.0.0:* 
LISTEN
tcp0  0 0.0.0.0:80800.0.0.0:* 
LISTEN
tcp0  0 0.0.0.0:80810.0.0.0:* 
LISTEN
tcp0  0 0.0.0.0:631 0.0.0.0:* 
LISTEN

.

par contre quand tu as une adresse 0.0.0.0 ça veut dire quoi 

sylvain





Yannick



Fred

Re: question sur les ports TCP

2002-08-13 Par sujet Frédéric Giquel 
Le 12 août 2002 à 23:13 (+0200), Yannick Roehlly a tapoté sur son
clavier :
> Ainsi parlait Régis Grison <[EMAIL PROTECTED]> :
>
>> Le lun 12/08/2002 à 14:10, sylvain ferriol a écrit :
>> > je voulais juste savoir si on peut sous debian ouvrir des
>> > ports TCP en local et non pour l'exterieur??
>> >
>> > et peut on le voir avec nmap par exemple
>>
>> Oui, avec des règles iptables (noyau 2.4) ou ipchains (noyau
>> 2.2).
>
> Hello !
>
> En plus du firewall (deux sécurités c'est mieux qu'une) si
> tu utilises xinetd, tu peux rajouter la ligne
>
> defaults
> {
> only_from = localhost, nnn
> }
>

Personnellement, j'utilise l'option bind = 127.0.0.1 pour n'autoriser
que les acces à partir de localhost. Mais l'inconvenient c'est que l'on
ne peut spécifier que l'adresse IP d'une interface (ici lo). A priori,
l'avantage c'est que le programme n'ecoute que sur l'interface locale
avec bind alors qu'avec only_from, xinetd ecoute sur toutes les
interfaces et fait le tri après (je ne suis pas vraiment sur de ça).

> à /etc/xinetd.conf où localhost, nnn représente tous les noms des
> machines pouvant accéder aux services. Tu peux même configurer
> séparément les divers services gérés par xinted en mettant le
> only_from au bon endroit.
>
> Par contre pour que nmap te dise que ce n'est accessible qu'en
> local, je sèche...
>

Pour connaitre ce qui n'est accesible qu'en local, on peut utiliser la
commande netstat (pas besoin d'être root) et faire 'netstat -ln
--ip'. Un service accessible seulement en local aura une chaine de type
127.0.0.1:no_port dans la colonne 'Local Address', sinon on a
*:no_port. On peut aussi utliser nmap en faisant 'nmap 127.0.0.1' pour
connaitre les services accessible en local et 'nmap
adresse_ip_de_l'interface_reseau' pour connaitre les services
accessibles de l'extérieur. Pour savoir ce qui n'est accessible qu'en
local, on regarde les différences.

> Yannick

Fred

Re: question sur les ports TCP

2002-08-12 Par sujet Yannick Roehlly 
Ainsi parlait Régis Grison <[EMAIL PROTECTED]> :

> Le lun 12/08/2002 à 14:10, sylvain ferriol a écrit :
> > je voulais juste savoir si on peut sous debian ouvrir des
> > ports TCP en local et non pour l'exterieur??
> > 
> > et peut on le voir avec nmap par exemple
> 
> Oui, avec des règles iptables (noyau 2.4) ou ipchains (noyau
> 2.2).

Hello !

En plus du firewall (deux sécurités c'est mieux qu'une) si
tu utilises xinetd, tu peux rajouter la ligne

defaults
{
only_from = localhost, nnn
}

à /etc/xinetd.conf où localhost, nnn représente tous les noms des
machines pouvant accéder aux services. Tu peux même configurer
séparément les divers services gérés par xinted en mettant le
only_from au bon endroit.

Par contre pour que nmap te dise que ce n'est accessible qu'en
local, je sèche...

Yannick


-- 
Etiquette is for those with no breeding; fashion for those with
no taste.

Re: question sur les ports TCP

2002-08-12 Par sujet Régis Grison 
Le lun 12/08/2002 à 14:10, sylvain ferriol a écrit :
> bonjour à tous
> 
> je voulais juste savoir si on peut sous debian ouvrir des ports TCP en 
> local et non pour l'exterieur??
> 
> et peut on le voir avec nmap par exemple

Oui, avec des règles iptables (noyau 2.4) ou ipchains (noyau 2.2).

Régis.

question sur les ports TCP

2002-08-12 Par sujet sylvain ferriol 

bonjour à tous

je voulais juste savoir si on peut sous debian ouvrir des ports TCP en 
local et non pour l'exterieur??


et peut on le voir avec nmap par exemple

Merci