Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

question sécurité et port

bidou

bonjour à tous,
je ne sais pas si ce post sera vu avec la mise à jour de la gutsy mais je tente quand même.

voilà je suis chez free et j'ai constaté que plusieurs port inconnus sont ouverts ou du moins visibles.
par exemple le port 113 qui est fermé mais apparent ainsi que le port 554.

voilà les questions à quoi sert le port 113?? et le port 554.

je crois que le port 554 correspond à port de freeplayer(homeplayer pour moi)

autre question depuis une réinstaller de ma dapper je ne reçois plus de mail de fail2ban. il n'indiquer les attaques sur le port 22(ssh). je l'ai paramétré comme il faut, il me semble. mais plus de nouvelles de fail2ban. çà veut dire qu'il n'y a plus d'attaques???j'en doute.

enfin si attaque il y a, les attaquent se font sur le routeur ou le PC situé derrière.

pour info j'ai lancer la fonction dhcp du routeur free.
voilà
si quelqu'un à des réponses; çà m'intéresse.
amiclament

Hoper

voilà je suis chez free et j'ai constaté que plusieurs port inconnus sont ouverts ou du moins visibles.
par exemple le port 113 qui est fermé mais apparent ainsi que le port 554.

Pas clair ton truc... un port est ouvert ou fermé, ca ne peut etre que l'un ou l'autre. Eventuellement on peut ne pas connaitre l'etat d'un port si on essaye de se conecter dessu et qu'un firewall/routeur nous en empeche entre nous et la machine bien sur.
Pour savoir quels sont les ports ouverts sur ta machine :
netstat -aln |grep LISTEN

enfin si attaque il y a, les attaquent se font sur le routeur ou le PC situé derrière.

Une "attaque" (une demande de conexion en fait...) arrive forcement sur le routeur, puisque c'est le routeur qui poscede ton adresse IP publique. Par contre, cette demande peut etre rejeté (ce qui est le cas par defaut) ou redirigé vers ton pc si tu as parametré le pc pour.
Autrement dit, si tu veux pouvoir te conecter sur ton pc depuis l'exterieur, il va bien falloir demander au routeur de re-diriger vers ton pc ce type de connexion. Et le routeur ne pourra bien sur pas deviner par la suite si c'est toi qui essaye de te conecter ou n'importe qui d'autre. (sauf encore une fois si tu fais un parametrage plus précis mais bon..)

EDIT : si tu as réinstallé ta machine et que tu n'a pas ré-installé le démon ssh, c'est un peu normal que tu ne vois plus de demande de connexion arriver... elle sont forcement rejetées par l'OS puisque rien n'ecoute sur le port 22.

bidou

Hoper a écritPas clair ton truc... un port est ouvert ou fermé, ca ne peut etre que l'un ou l'autre. Eventuellement on peut ne pas connaitre l'etat d'un port si on essaye de se conecter dessu et qu'un firewall/routeur nous en empeche entre nous et la machine bien sur.
Pour savoir quels sont les ports ouverts sur ta machine :
netstat -aln |grep LISTEN

le port 113 est fermé mais pas masqué. A quoi sert-il??? comme le port 554

EDIT : si tu as réinstallé ta machine et que tu n'a pas ré-installé le démon ssh, c'est un peu normal que tu ne vois plus de demande de connexion arriver... elle sont forcement rejetées par l'OS puisque rien n'ecoute sur le port 22.

j'ai réinstallé un serveur ssh et le démon fail2ban sur le PC pour info.j'ai même était envoyé bouler par mon PC lors d'une mauvaise manip fait à trois reprise. donc c'est qu'il marche

poupoul2

Le port 113, c'est le port TCP. Très vulnérable s'il n'est pas bien protégé, ce qui ne semble pas être le cas du tien

Le port 554, c'est le Real Time Stream Control Protocol

bidou

pour le port 554 on trouve aussi en français http://fr.wikipedia.org/wiki/Real_Time_Streaming_Protocol. donc je pourrais le paramétrer en réseau local ce port plutôt que de le laisser ouvert sur le net. je n'ai pas besoin de faire du streaming sur le web. A moins que cela soit pour la TVperso de free. je l'ai activé récement!

quelqu'un connait le type de protocole qui passe par le port 113?
pour info j'ai reçu une attaque sur mon port ssh. J'ai reçu un mail pour m'avertir. C'est surement lié aux modif faites depuis hier.

Hoper

le port 113 est fermé mais pas masqué.

Je comprend toujours pas cette phrase. Techniuqement c'est quoi pour toi un port "masqué" ?

HymnToLife

bidou a écritquelqu'un connait le type de protocole qui passe par le port 113?

AUTH

http://en.wikipedia.org/wiki/Ident

bidou

HymnToLife a écrithttp://en.wikipedia.org/wiki/Ident

you don't have the same in french. please

HymnToLife

No, I don't. Not in Wikipedia, at least. Ask teh Allmighty Google 😃

Mais si tu as quelque chose qui écoute sur le port 113, c'est très certainement un identd, et comme tu ne sais pas ce que c'est, ça veut dire que tu n'en as pas besoin 😉 Fais un

ps ax | grep ident

et regarde si tu as quelque chose.

bidou

jai comme réponse

 4850 ?        S      0:00 /usr/sbin/couriertcpd -address=192.168.0.1 -stderrlogger=/usr/sbin/courierlogger -maxprocs=40 -maxperip=20 -pid=/var/run/courier/imapd.pid -nodnslookup -noidentlookup 143 /usr/lib/courier/courier/imaplogin /usr/lib/courier/authlib/authdaemon /usr/bin/imapd Maildir
 7598 pts/2    R+     0:00 grep ident

HymnToLife

Mince, que je suis nouille, il y a bien plus simple pour savoir quel processus utilise un port. Fais ça

sudo fuser -n tcp 113

ça va te donner le PID du processus qui écoute, puis cherche le dans ps :

firas@Nobue ~ % sudo fuser -n tcp 113
113/tcp:              5325
firas@Nobue ~ % ps ax | grep 5325
 5325 ?        Ss     0:00 /usr/sbin/identd -d
29550 pts/2    R+     0:00 grep 5325

Voilà bien mon identd.

bidou

tu vas rire il n'y aucun processus qui utilise le port 113?? c'est bein ce que je croyais un truc ouvert pour rien. le problème c'est que c'est le routeur qui l'a ouvert est pas le PC. y aurait-il de la magouille chez free??

HymnToLife

bah si tu as un port ouvert mais rien qui n'écoute derrière, c'est comme sile port était fermé...

bidou

mais justement il est fermé. mais je ne comprend pas en lancant un nmap sur mon ip fixe j'ai la réponse suivante:

PORT    STATE  SERVICE
22/tcp  open   ssh
80/tcp  open   http
113/tcp closed auth
554/tcp open   rtsp

Hoper

.... exactement ce que je disai... ca voulait rien dire ton truc "ouvert mais masqué" ou fermé et je sais pas quoi.

nmap test en priorité les ports les plus connus et les plus utilisés, et il te dit simplement que le port 113, qui sert normalement a auth est FERME.
qu'est ce que tu veux de plus ? Il est fermé, comme des dizaines de milliers d'autres sur ta machine, simplement celui la est testé par nmap et pas les autres (fais un man nmap et tu verra que par defaut, il se tape pas les 65535...)

bidou

aaahhhhh merci j'ai enfin compris. j'ai le cerf volant.je vous passe la vanne.

Doezer

Le sujet est plutôt vieux et je le sais, mais vu que j'ai la réponse et que bidou ne l'a pas donnée, je me permets de poster au cas-où un autre se demanderait pourquoi ses ports affichent closed 😉

C'est donc dans le firewall qu'il faut regarder, il est très probable qu'une règle autorise les requêtes vers le port en question même s'il n'y a aucun processus derrière.

joffrey

Bonjour,

J'ai moi aussi ce port fermé est non masqué.