[résolu]Scan de ports : Telnet ouvert

[ju332]

Bonjour à vous,

Je surfais sur la doc d'ubuntu qui m'a emmené à faire un scan de mes ports ouverts sur http://check.sdv.fr.
Voilà le résultat:

Votre ip XXXXXXXXX (vais pas vous la montrer!)
Votre systéme Linux
Liste des ports visibles:
Nom Status Numero Information
telnet ouvert 23/tcp
http ouvert 80/tcp World Wide Web HTTP
msrpc filtré 135/tcp Microsoft RPC services
microsoft-ds filtré 445/tcp SMB directly over IP
pptp ouvert 1723/tcp Point-to-point tunnelling protocol

Voila, autant dire que la mention "telnet" me rassure guère, surtout que je n'applique aucun service d'administration à distance...
la question est donc : est ce que le rapport relève quelque chose de dangereux?si oui que faire et comment?Que signifie point to point tunnelling protocol?

Ma config : Je m'occupe malgrè moi d'un petit point cyb dans une structure pour jeunes donc vu que je suis arrivé après je ne sais pas trop comment ça a été configuré, mais je vous décris vite fait :
- 1 poste windows xp home à l'accueil (peut être le chef) avec adresse IP finissant en .1.2
- Puis d'autres postes (tous en dualboot avec xp pro que je n'utilise plus), avec respectivement : ubuntu (1), zenwalk (3), opensuse (1), mandriva (1), debian (1), et enfin 2 postes avec window xp home (1) et windows me (1).

Tous les postes me donnent ce rapport même celui d'xp avec zone alarm.

Merci d'avance!

[captnfab]

Salut ju332,

Liste des ports visibles:
Nom Status Numero Information
telnet ouvert 23/tcp
http ouvert 80/tcp World Wide Web HTTP
msrpc filtré 135/tcp Microsoft RPC services
microsoft-ds filtré 445/tcp SMB directly over IP
pptp ouvert 1723/tcp Point-to-point tunnelling protocol

Les ports scannés sont ceux de la machine qui se connecte à Internet : probablement un modem/routeur.

• Le port HTTP est ouvert et demande une authentification, probablement pour de l'administration à distance. Je ne conseille pas forcément l'activation de cette fonctionnalité, à moins que le mot de passe soit incassable et que le routeur soit réputé sûr.
• Les ports msrpc et microsoft-ds sont filtrés : impossible de faire du partage de fichier (à la SAMBA) avec n'importe qui, c'est bien.
• PPTP est utilisé pour les VPN. Sans doute est-ce possible, depuis l'extérieur, de s'identifier comme une machine du réseau. Si tu n'es pas au courant du système d'authentification sous-jacent, intéresse-t-y. Si tu n'utilises pas cette fonctionnalité, tu dois pouvoir la désactiver sur ton routeur.

Merci d'avance!

Je t'en prie.

[Malekal_morte]

Clair que vu les ports ouverts...
ça fait scan sur le routeur.

Après, ports ouverts, c'est pas la fin du monde...
Faut pas penser qu'il faut avoir tous les ports fermés pour être top au niveau sécu.

[juju332]

Rebonjour (et désolé pour l'absence!)

Merci pour vos réponses. J'ai essayé de jeter un oeil sur la configuration du routeur mais je n'ai pas le mot de passe! Et je n'ai guère envie de tout me retaper la config du routeur!!
Bref, si j'ai bien compris le scan a regardé les ports ouverts du routeur, ce qui m'emmène à une question (stupide??):
- Iptable protège t'il mes postes linux? Est ce qu'un connexion telnet par exemple passe le routeur et bloque devant iptable?(je ne suis pas un fin connaisseur du réseau).

Il n'y a rien d'extraordinaire dans nos postes mais c'est simplement par curiosité.

Merci d'avance!!

[captnfab]

Rebonjour Juju332,

Bref, si j'ai bien compris le scan a regardé les ports ouverts du routeur,

C'est exactement ça.

ce qui m'emmène à une question (stupide??) :
- Iptable protège t-il mes postes linux? Est ce qu'un connexion telnet par exemple passe le routeur et bloque devant iptable?(je ne suis pas un fin connaisseur du réseau).

Toute connexion venant de l'extérieur et voulant accéder à ton réseau doit se faire sur un port ouvert du routeur. Cela, il me semble que tu l'as bien compris. Mais que se passe-t-il ensuite ? Eh bien le routeur fait ce qu'il a été programmé pour faire. Il y a en gros deux possibilités.

1. Supposons par exemple que le routeur écoute sur le port telnet pour permettre une configuration à distance. Dans ce cas, aucune connexion telnet sur le routeur ne rentrera jamais à l'intérieur du réseau, donc rien à craindre... (sauf une attaque du routeur, mais dans ce cas, il faut le configurer et désactiver l'administration à distance).
2. L'autre possibilité (très fortement improbable) est que le port telnet soit redirigé à l'intérieur du réseau. Admettons qu'il soit redirigé vers le port P de la machine A. Dans ce cas là, tu veux savoir si la machine A peut se faire attaquer sur le port P. Pour cela, tu peux par exemple la scanner à l'intérieur du réseau et non en passant par un site internet, avec un outil comme « nmap » (sous linux). Voici le genre de rapport que tu obtiendras sûrement :

   Code : Tout sélectionner

   $ nmap 192.168.42.1
   
   Starting Nmap 4.62 ( http://nmap.org ) at 2008-06-18 14:09 CEST
   Interesting ports on nom_de_la_machine (192.168.42.1):
   Not shown: 1713 closed ports
   PORT   STATE SERVICE
   22/tcp open  ssh
   80/tcp open  http
   
   Nmap done: 1 IP address (1 host up) scanned in 0.209 seconds
   

   Dans mon exemple, il y a un serveur ssh et un serveur http. Mais il peut y avoir d'autres ports ouverts pour le partage de fichier, ou je ne sais quoi...
   Ces ports ne sont en principe accessible que de l'intérieur du réseau, donc pas d'inquiétude à avoir. Sauf si nous sommes dans l'hypothèse super-improbable où le routeur a été configuré pour rentre accessible certains services hébergés sur une machine du réseau.... Mais c'est ce qui est rigolo, donc j'en parle un peu.
   Dans ce cas, tu t'apercevras déjà qu'il n'y a pas de serveur telnet, ceux-ci n'étant pas installés par défaut sur une machine linux, et ne présentant aucun intérêt en règle générale.
   Les ports qui ne sont pas listés sont a priori fermés et donc protégés contre tout type d'attaque.
   Si tu veux fermer un des ports listés, tu as trois possibilités : arrêter le serveur qui écoute sur le port (tu n'en as probablement pas besoin ?), lui demander de ne pas écouter sur le réseau (seule la machine a besoin d'accéder à ce serveur) ou bloquer le port avec iptables et des règles complexes (ex : le routeur n'a pas le droit d'accéder à ce port)
   
   Je rappelle que tout ceci n'est valable que dans le 2e cas qui n'est très certainement pas celui auquel tu as affaire ici. Mais c'est quand même important de comprendre tout ceci.

Hop, d'autres questions / éclaircissements (sur le même sujet) ?

[EDIT: Merci de jeter un coup d'œil ici pour apprendre à bien rédiger le sujet d'un message, et ainsi aider les futurs internautes à s'y retrouver ]

[juju332]

Rhhalala!!Je sais pourquoi j'aime ce site!!!
Attends je réflechis...non je n'ai pas d'autre questions mais juste un remerciement pour cette explication!!!
J'ai testé nmap et il y a : 6000/tcp open X11
J'ai vu la marche à suivre pour le fermer, je pense que ça ne devrait pas être trop compliqué.
Sur ma zenwalk j'avais également le port "113 auth" que j'ai fermé en modifiant /etc/inetd.conf.

Je suis en train de voir de la doc sur iptable pour mieux connaître cette bête!!!

Quoiqu'il en soit merci beaucoup!!!

[captnfab]

Je t'en prie, mais n'oublies pas de modifier le sujet de ton premier message !
Par exemple en « [Scan de ports] : Telnet ouvert alors que je n'en veux pas (Résolu) » Si c'est le cas, ou « En cours » sinon. comme suggéré là.

Bonne fin de journée