[Linux] Problème connexion, attaques malveillantes ...

Nicolas Figaro pookicat@::1
Mar 1 Juin 19:37:40 CEST 2010


Le 1 juin 2010 18:39, François DREYFÜRST
<francois.dreyfuerst@::1> a écrit :
> Bonsoir
bonsoir,
> En rentrant du boulot, j'ai voulu démarrer mon ordi (Debian Lenny), et me
> suis retrouvé avec le problème suivant : pas d'accès à Internet ...
>
> Mon ordi signalait qu'il fonctionnait avec une « self assigned address » IP,
> et je n'arrivais même pas à voir mon modem-routeur à l'adresse 192.168.1.1 .
> En forçant une déconnexion/reconnexion vers le routeur, j'ai pu accéder à
> l'interface en question.
>
> Là, il m'a fallu relancer la connexion Internet (vers l'extérieur).
>
> Ça a fini par marcher, mais, je suis tracassé.
>
> D'abord, j'aimerais que ça ne se reproduise pas trop souvent, et surtout,
> mon père a signalé que ce matin, le pare-feu de son ordi (Debian Etch),
> Firestarter, lui a signalé une dizaine d'attaques libellées ainsi :
> Port : 137
> Source : 192.168.1.3 (sa propre adresse IP locale, on dirait)
> Protocole : UDP
> Service : SAMBA
>
> Qu'en pensez-vous ?
les attaques n'arriveront au firewall que si les ports sont transmis
via NAT par le modem routeur.
quelle est sa config nat ?

Pour éviter que ça ne se reproduise, tu peux utiliser le firewall
ultime recommandé par marcus ranum :
http://www.ranum.com/security/computer_security/papers/a1-firewall/index.html

 Plus sérieusement, vérifies éventuellement via un portscan (nmap au
hasard) depuis une autre machine ce que ton routeur firewall transmet
vers la machine debian.

> Faiblesse matérielle du modem-routeur, ou conséquence d'une tentative
> d'attaque malveillante ?
As-tu des logs sur le modem routeur concernant les connexions ?
c'est peut-être le moment d'activer le syslog sur ce matériel et
renvoyer les logs sur la debian.
ça te permet au moins de savoir ce que le routeur aura vu.
> FD

 N F


Plus d'informations sur la liste de diffusion linux