Discussion :

[Zwiter]

bonjour,
Je chercher a obtenir la liste des ports ouverts par un firewall institutionnel. je possede une machine local et distante sous linux. Nmap ne me montre que les ports ouvert sur la machine distante et non dans le firewall, ce n'est pas une bonne solution.

Merci.
Z.

[Invité]

Salut,

bonjour,
Je chercher a obtenir la liste des ports ouverts par un firewall institutionnel. je possede une machine local et distante sous linux. Nmap ne me montre que les ports ouvert sur la machine distante et non dans le firewall, ce n'est pas une bonne solution.

si c'est un firewall institutionnel, je ne pense pas que ce soit quelques règles IPTABLES (enfin j'espère). Un scan de ports avec nmap, ça a un "traffic pattern" facilement décelable et comme c'est souvent précurseur d'une attaque, les paquets sont vite droppés si c'est un firewall un peu évolué et configuré dans les "règles de l'art".
Il y a peut-être aussi des IDS/IPS.
Et aussi des DMZ internes et externes.
Sans compter les proxies et compagnie

Quelles options de nmap as-tu utilisées ? Est-ce que tu connais bien l'archi sécu de ce réseau ?

Steph

[BufferBob]

salut,

c'est quoi un firewall "institutionnel" ?

sous linux la commande iptables -L permet de lister les règles du firewall, et par là la liste des protocoles/ports autorisés à traverser
tandis que la commande netstat | grep LISTEN permettra de se faire une idée des ports ouverts/en écoute sur la machine

[Invité]

c'est quoi un firewall "institutionnel" ?

Perso, à chaque fois que j'ai entendu cette expression, c'était du Cisco ASA, du CheckPoint, du FortiNet ou du Palo Alto plutôt que de l'IPTABLE...

Steph

[Zwiter]

Je suis dans un hôpital, en recherche. J'ai compris que le firewall est géré par le réseau de la santé (Québec). Je n'ai aucun accès au firewall, et je crois que les TI de l’hôpital non plus. Je suis déjà sur un vlan différent du réseau qui gère les dossiers patients.

Nmap (options par defaut) me montre bien les ports ouvert sur ma machine distante, mais pas la liste des ports autorisé a passer le firewall.
Par exemple, je voudrais savoir si les ports pour openvpn ou pptp pourront passer le firewall car je dois prendre une décision pour exporter certains services.

Merci de votre aide.
Z.

[Invité]

Par exemple, je voudrais savoir si les ports pour openvpn ou pptp pourront passer le firewall car je dois prendre une décision pour exporter certains services.

Pour être franc, je dirais que ce ne sont pas des décisions qui se prennent seul dans un coin, il faut mettre les admins du firewall dans la boucle

Supposes que tu sois capables de monter ce genre de tunnel sans leur validation... Peut-être qu'au bout de quelques jours, les admins vont voir ça dans leurs logs et qu'ils vont décider de couper les ports en question parce qu'il y a une policy qui interdit ça (par exemple une policy qui impose d'avoir le firewall comme terminateur pour garder le contrôle sur ce genre de tunnels).

Difficile de faire ce genre de choses en restant isolé de la gouvernance du SI.

Steph

[Zwiter]

J'ai fini par trouvé une solution, la voici.

J'ai utilisé 3 mahcines :

• IN : machine dans l'hopital, ip publique (internet) = 111.111.111.111
• OUT : machine dans le reseau cible, à l'extérieur de l'hopital , ip internet = 222.222.222.222
• HOME : machine perso comme contrôle positif, ip internet = 333.333.333.333

Etapes

1. Créer une règle iptables qui log les conenxions provenant d'une ip source (IP publique de IN ou IP de HOME) sur la machine OUT
2. nmap depuis la mahcine IN ou HOME selon la regle définie par iptables
3. filtrer syslog pour trouve les ports

Commandes :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
 
##### entre IN et OUT
# Sur OUT, log les connexions
iptables -A INPUT -p tcp -m state --state new -j LOG --log-prefix "OUT_connection: " -s 111.111.111.111
 
# sur IN, nmap
nmap 222.222.222.222
 
#sur OUT, liste les ports dans syslog
grep OUT_connection /var/log/syslog | awk '{print $22}' | sort -u
 
 
##### entre HOME et OUT
# Sur OUT, effacer la regle précedente
iptables -D INPUT 1
# ajouter le log
iptables -A INPUT -p tcp -m state --state new -j LOG --log-prefix "HOME_connection: " -s 333.333.333.333
 
# sur HOME
nmap 222.222.222.222
 
#sur OUT, liste les ports ayant pu être contactés
grep HOME_connection /var/log/syslog | awk '{print $22}' | sort -u

Résultats :

• 29 ports entre IN et OUT
• 924 ports entre HOME et OUT

Merci de votre aide.
Z.

[Invité]

ip internet = 333.333.333.333

[Zwiter]

Pour être franc, je dirais que ce ne sont pas des décisions qui se prennent seul dans un coin, il faut mettre les admins du firewall dans la boucle

Supposes que tu sois capables de monter ce genre de tunnel sans leur validation... Peut-être qu'au bout de quelques jours, les admins vont voir ça dans leurs logs et qu'ils vont décider de couper les ports en question parce qu'il y a une policy qui interdit ça (par exemple une policy qui impose d'avoir le firewall comme terminateur pour garder le contrôle sur ce genre de tunnels).

Difficile de faire ce genre de choses en restant isolé de la gouvernance du SI.

Steph

Je suis tout a fait d'accord. Voici mon raisonnement : si le port n'est pas ouvert, ca prend plusieurs mois de démarche pour ouvrir le port et j'abandonne le projet. Si c'est ouvert, je vois avec les admins de l'hopital pour l'utiliser.