> La question est: qu'est-ce que je risque a ouvrir ce port ?
Tu vas renvoyer tout les paquets entrants sur ton routeur et à
destination de ce port, sur une machine Linux située sur ton réseau. Il en
résulte que :
- un "port scanning" fait sur ce port renverra un beau ACK+SYN, ce qui
indiquera à l'attaquant qu'il y a bien une machine qui répond à ton
adresse IP (si ton routeur ne répond pas aux connexions entrantes non
sollicités, il l'attaquant ne le sait donc pas).
- si l'attaquant connaît un exploit à faire sur IMAP, il peut prendre la
main sur le compte local sous lequel le serveur IMAP tourne. A partir de
là, et si il trouve un exploit LOCAL (ce qui n'est pas très rare) il peut
devenir root sur machine.
Donc cela veut dire que :
- il faut que tu sécurises ton serveur IMAP
- il te faudra suivre toutes les mises à jour de sécurité du serveur IMAP
- il faudra mettre à jour ton kernel, pour te prémunir de toutes les
attaques pouvant être fait en local. Pour rappel, sur les 6 derniers mois,
il y a eu 3 mises à jour du kernel pour des exploits locaux. L'un d'entre
eux a été utilisé pour un exploit, qui a mis à genoux les serveurs
(tournant sur Debian) de www.debian.org, www.savanha.org, et
www.gentoo.com
Bref, ta machine devient connectée à Internet, et susceptible de
piratage. Elle devra donc être très à jour au niveau des failles de
sécurité.
> Pour le moment,
> tout est ferme car je ne voulais pas m'embetter a jongler avec les
> problemes de securite. Peut-on craindre des attaques via ce port ?
Oh, que oui : Du moment que tu ouvres un port de ta machine, afin
de fournir un "service", ta machine est piratable.
> A quoi
> faut-il faire gaffe derrière ?
Voir plus haut. Je rajoute que tu peux isoler la machine dans une
DMZ, afin que si elle est corrompue, elle ne puisse pas faire des dégâts
sur les autres machines. Si elle n'est pas dans une DMZ, toutes les autres
machines de ton réseau peuvent être corrompues... :=(
> Si je fais tourner le serveur imap sur un autre port, moins
conventionnel,
> cela limite-t-il les problèmes ?
Oui et non.
Oui, parce que l'attaquant va devoir scanner tout les ports de ta machine
pour trouver le port sur lequel tourne le serveur IMAP. Alors que par
défaut, des outils comme "nmap" ne scanne qu'environ 2000 ports sur les
65500 existants. Mais bon, il y a des types qui n'ont rien à faire de la
journée, alors...
Non, parce qu'une fois que port est trouvé (ta machine répond ACK+SYN au
lieu de ACK+RST), elle indiquera très très vite quel est le type de
service qui est délivré. Pour t'en rendre compte, fait un telnet sur le
port IMAP de cette machine : "telnet adresse_ip_machine 143". D'ailleurs,
il existe "nessus", qui fait du port scanning comme nmap, qui est
spécialisé dans la recherche du type de services se trouvant derrière des
ports standards ou non :
http://www.nessus.org/features.html
<extrait>
Smart service recognition. Nessus does not believe that the target hosts
will respect the IANA assigned port numbers. This means that it will
recognize a FTP server running on a non-standard port (31337 say), or a
web server running on port 8080
</extrait>
Conclusion : L'utilisation de ports non standards est de la
dissimulation, et non de la protection. Cela peut te permettre d'éviter
que le gros des scripts-kiddies ne te fassent suer. Par contre, si tu
tombes sur un grand méchant qui t'en veux, ou qui a lu ce message, cette
astuce ne servira à rien. Juste à lui faire perdre du temps (ce qui peut
être déjà pas mal)...
Olivier
