Re: Ouverture port IMAP sur firewall

Startseite

Nachricht beantworten
Autor: Olivier_Allard-Jacquin
Datum:  
To: guilde
Betreff: Re: Ouverture port IMAP sur firewall
> La question est: qu'est-ce que je risque a ouvrir ce port ?

        Tu vas renvoyer tout les paquets entrants sur ton routeur et à 
destination de ce port, sur une machine Linux située sur ton réseau. Il en 
résulte que :
- un "port scanning" fait sur ce port renverra un beau ACK+SYN, ce qui 
indiquera à l'attaquant qu'il y a bien une machine qui répond à ton 
adresse IP (si ton routeur ne répond pas aux connexions entrantes non 
sollicités, il l'attaquant ne le sait donc pas).
- si l'attaquant connaît un exploit à faire sur IMAP, il peut prendre la 
main sur le compte local sous lequel le serveur IMAP tourne. A partir de 
là, et si il trouve un exploit LOCAL (ce qui n'est pas très rare) il peut 
devenir root sur machine.


        Donc cela veut dire que :
- il faut que tu sécurises ton serveur IMAP
- il te faudra suivre toutes les mises à jour de sécurité du serveur IMAP
- il faudra mettre à jour ton kernel, pour te prémunir de toutes les 
attaques pouvant être fait en local. Pour rappel, sur les 6 derniers mois, 
il y a eu 3 mises à jour du kernel pour des exploits locaux. L'un d'entre 
eux a été utilisé pour un exploit, qui a mis à genoux les serveurs 
(tournant sur Debian) de www.debian.org, www.savanha.org, et 
www.gentoo.com


        Bref, ta machine devient connectée à Internet, et susceptible de 
piratage. Elle devra donc être très à jour au niveau des failles de 
sécurité.



> Pour le moment,
> tout est ferme car je ne voulais pas m'embetter a jongler avec les
> problemes de securite. Peut-on craindre des attaques via ce port ?


        Oh, que oui : Du moment que tu ouvres un port de ta machine, afin 
de fournir un "service", ta machine est piratable.


> A quoi
> faut-il faire gaffe derrière ?


        Voir plus haut. Je rajoute que tu peux isoler la machine dans une 
DMZ, afin que si elle est corrompue, elle ne puisse pas faire des dégâts 
sur les autres machines. Si elle n'est pas dans une DMZ, toutes les autres 
machines de ton réseau peuvent être corrompues... :=(



> Si je fais tourner le serveur imap sur un autre port, moins

conventionnel,
> cela limite-t-il les problèmes ?


        Oui et non.
Oui, parce que l'attaquant va devoir scanner tout les ports de ta machine 
pour trouver le port sur lequel tourne le serveur IMAP. Alors que par 
défaut, des outils comme "nmap" ne scanne qu'environ 2000 ports sur les 
65500 existants. Mais bon, il y a des types qui n'ont rien à faire de la 
journée, alors...


Non, parce qu'une fois que port est trouvé (ta machine répond ACK+SYN au
lieu de ACK+RST), elle indiquera très très vite quel est le type de
service qui est délivré. Pour t'en rendre compte, fait un telnet sur le
port IMAP de cette machine : "telnet adresse_ip_machine 143". D'ailleurs,
il existe "nessus", qui fait du port scanning comme nmap, qui est
spécialisé dans la recherche du type de services se trouvant derrière des
ports standards ou non :
http://www.nessus.org/features.html

<extrait>
Smart service recognition. Nessus does not believe that the target hosts
will respect the IANA assigned port numbers. This means that it will
recognize a FTP server running on a non-standard port (31337 say), or a
web server running on port 8080
</extrait>

        Conclusion : L'utilisation de ports non standards est de la 
dissimulation, et non de la protection. Cela peut te permettre d'éviter 
que le gros des scripts-kiddies ne te fassent suer. Par contre, si tu 
tombes sur un grand méchant qui t'en veux, ou qui a lu ce message, cette 
astuce ne servira à rien. Juste à lui faire perdre du temps (ce qui peut 
être déjà pas mal)...


                                                        Olivier