vendredi 4 mai 2012

NUMERICABLE: Sécurité et port ouvert

Depuis que j'ai subi l'installation d'un cheval de Troie sur un de mes serveurs il y a maintenant presque deux ans de cela, je suis devenu de plus en plus prudent et surtout de plus en plus restrictif (voire paranoïaque) sur l'accès des services au niveau de mes serveurs. A l'époque, j'avais eu l'outrecuidance de croire que les applications OpenSource que j'installais et que j'utilisais, étaient plus ou moins sécurisées. Je n'avais pas pris la peine de vérifier et de mettre à jours régulièrement phpMyAdmin. Ayant laissé les scripts de setup ouverts, il n'a pas fallu longtemps à mes assaillants pour installer un cheval de Troie. Alerté par le trafic réseau anormal et après quelques heures de recherche, je suis arrivé à nettoyer le serveur infecté et à combler le trou de sécurité.

Depuis cette époque, j'ai installé sur chacun de mes serveurs un firewall système (iptable) et je n'ouvre les services qu'avec parcimonie et à bon escient.

Dernièrement j'installe une nouvelle version d'eGroupWare que j'envisage de faire fonctionner sur le port 445 (microsoft-ds). je vérifie, avant bien sur, dans le fichier /etc/services à quoi correspond l'utilisation de ce port. Pas de souci, c'est un port qui est réservé par le protocole Samba, que je n'utilise pas.

En déplacement lors de mon installation, mes tests de validations sont donc effectués depuis une connexion ADSL chez SFR. Je configure l'accès de port 445 depuis l'adresse IP que j'utilise à ce moment là :

root# iptables -t filter -A INPUT -p tcp --dport 445 -s xxx.xxx.xxx.0/24 -j ACCEPT
root# iptables -t filter -A OUTPUT -p tcp --dport 445 -s xxx.xxx.xxx.0/24 -j ACCEPT

et pas de souci, tous fonctionne correctement. De retour chez moi avec une connexion ADSL Free et après avoir mis les bonnes autorisations, pas de souci aussi, ça fonctionne.
Par contre, de retour au bureau avec une connexion numéricable, là même après avoir configuré convenable mon firewall, impossible d'accès à mon site avec un joli message super bien explicite :


Après avoir passé quelques heures à faire des tests dans tous les sens au niveau de la configuration de mon firewall, je me rends compte qu'avec ou sans firewall, impossible d'accéder à ce service quoi que je fasse. Alors qu'un autre service sur un port différent, passe sans problème. Du coup, je me mets à suspecter le port en question. Effectivement, après une recherche sur le net, j'apprends que le port 445 qui est utilisé par le port Samba est potentiellement un trou de sécurité et peut permettre la récupération des mots de passes d'un PC, donc bloqué chez numéricable.... Mais je suis sur Mac moaaaaa !!!!
Pour résoudre mon problème, j'ai modifié le port d'accès et à présent cela fonctionne...

Beaucoup de temps perdu pour une information qui n'est pas diffusé par numéricable, mais bon c'est toujours satisfaisant de trouver la solution à un problème.


Aucun commentaire:

Enregistrer un commentaire