port 22 ouvert

[le concombre masqué]

bonsoir à tous,

 

je suis sous XP Home, avec un routeur pare-feu Dlink;

 

j'ai fait un test symantec, qui me dit que mon port 22 est ouvert et que ce n'est pas bien du tout

 

que me conseillez vous de faire ? (NB, je suis en reseau 6 postes)

[Greywolf]

configurer ton routeur pour que le daemon ssh n'écoute pas sur l'interface internet si tu ne veux pas l'administrer à distance.

[le concombre masqué]

configurer ton routeur pour que le daemon ssh n'écoute pas sur l'interface internet si tu ne veux pas l'administrer à distance.

 

 

d'abord, merci de ta réponse.

 

en regardant sur d'autres sites, il semble que le routeur D link ne puisse etre configurer en fermeture du port 22.

 

je ne sais si c'est dangereux. un "topic" disait qu'avec la "force brute", il était facile de penetrer dans le routeur, en decouvrant le nom et le mot de passe de l'utilisateur .

 

cela t'évoque t-il qq chose ?

[Greywolf]

le brute-forcing c'est essayer toutes les combinaisons possibles de login/mdp, attaque généralement basée sur l'utilisation de dictionnaire.

 

=> première parade, modifier le mot de passe pour qu'il ne corresponde à aucun mot d'aucune langue connue (mdp avec des symboles de ponctuation et autres trucs bizarres)

 

es-tu certain que le service est en écoute sur cette interface? le port peut-être ouvert mais le service peut ne pas répondre aux requêtes en provenance d'internet

[Greywolf]

bon, je viens de regarder :-/

 

en effet, tu as laissé le mot de passe par défaut => il faut toujours changer le mot de passe par défaut des modems-routeurs

 

le serveur ssh écoute bien sur l'interface internet et on obtient un shell root.

 

Je n'ai pas trouvé le fichier de configuration de iptables donc je te propose cette solution pour empêcher que le serveur ssh ne réponde aux requêtes en provenance d'internet:

 

télécharges Putty : http://the.earth.li/~sgtatham/putty/latest/x86/putty.exe

 

lances Putty, dans la section login, saisis l'adresse IP de ton modem-routeur DLink (DSL-362T si je ne m'abuse)

 

à l'invite, saisis le login administrateur: admin ou root

puis le mot de passe que tu auras redéfini

 

si tu tapes

iptables -L INPUT

tu obtiendras à la ligne 17

ACCEPT	 tcp  --  anywhere			 anywhere		   state NEW tcp dpt:ssh

 

cette ligne indique que ton modem-routeur accepte les connexions SSH en provenance de tout le monde

 

Je te propose de modifier cette ligne à la volée, n'ayant pas trouvé le fichier de configuration où iptables va chercher ses règles (peut-être est-ce inscrit en dur dans le firmware ?)

 

Suppression de la ligne 17

iptables -D INPUT 17

Insertion d'une ligne en 17ème position pour autoriser SSH uniquement depuis le lan

iptables -I INPUT 17 -p tcp -i br0 -s 192.168.1.0/24 -m state --state NEW --dport 22 -j ACCEPT

 

Une fois la manipulation effectuée, vérifier qu'elle est bien effective en re-listant les règles

iptables -L INPUT

 

quitter le shell SSH

exit

 

cette manipulation sera à refaire à chaque redémarrage du modem étant donné que rien n'est inscrit dans la ROM du routeur. (un simple reboot suffit donc à revenir aux paramètres initiaux)

[le concombre masqué]

je ne veux pas etre penible mais....

 

 

* tu dis que tu as verifié sur mon routeur ????? comment aurais tu eu mon adresse IP ??

 

 

 

voila ce que me reponds le routeur avec "iptables -L INPUT"

 

suffit donc à revenir aux paramètres initiaux)

 

target prot opt source destination

CFG tcp -- 192.168.1.13 anywhere tcp dpt:www Records Packet's Source Interface

 

ACCEPT all -- anywhere anywhere state RELATED,ESTABL ISHED

ACCEPT udp -- anywhere anywhere udp dpt:5061

ACCEPT udp -- anywhere anywhere udp dpt:5060

pingflood icmp -- anywhere anywhere icmp echo-request st ate NEW

synflood tcp -- anywhere anywhere state NEW

DROP tcp -- anywhere anywhere tcp flags:FIN,SYN/FI N,SYN

DROP tcp -- anywhere anywhere tcp flags:SYN,RST/SY N,RST

DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RS T,PSH,ACK,URG/NONE

DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RS T,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG

DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RS T,PSH,ACK,URG/FIN,PSH,URG

ACCEPT udp -- anywhere anywhere udp dpt:500

DROP udp -- anywhere anywhere udp dpt:bootps

ACCEPT igmp -- anywhere anywhere

ACCEPT tcp -- anywhere anywhere tcp dpt:8082

ACCEPT udp -- anywhere anywhere udp dpt:161

ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ss h

ACCEPT all -- anywhere anywhere

DROP all -- anywhere anywhere

 

 

cela t'inspire quoi ???

[Greywolf]

en tant que modérateur, j'ai accès à ton adresse IP. J'ai pu donc vérifier par moi-même et te proposer la solution citée plus haut.

 

la ligne 17 indique bien que les connexions SSH sont acceptées quelquesoit la provenance.

 

Poursuis la procédure.