Nmap. Comment savoir si son pare-feu fonctionne bien ?

Support Debian
#1

Bonjour,

tout est dans le titre, j’ai bien surfé google, mais à part des sites qui font le job à ta place, je ne trouve rien que je comprenne facilement. Je me doute bien qu’avec les option de nmap on doit pouvoir faire quelque chose de bien, j’ai donc creusé un peu le manuel. Mais entre les paquets TCP, UDP, etc… Je ne suis pas encore sorti de la M*.
Pour le moment j’en suis là:

[code]nmap -A localhost

Starting Nmap 6.00 ( http://nmap.org ) at 2013-02-11 16:47 CET
Nmap scan report for localhost (127.0.0.1)
Host is up (0.00059s latency).
Not shown: 996 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 6.0p1 Debian 4 (protocol 2.0)
| ssh-hostkey: 1024 (Ici j’ai enlevé une ligne qui ressemble à une adresse mac) (DSA)
|2048 (Ici aussi) (RSA)
25/tcp open smtp Exim smtpd 4.80
| smtp-commands: sid Hello localhost [127.0.0.1], SIZE 52428800, 8BITMIME, PIPELINING, HELP,
| Commands supported: AUTH HELO EHLO MAIL RCPT DATA NOOP QUIT RSET HELP
111/tcp open rpcbind (rpcbind V2-4) 2-4 (rpc #100000)
| rpcinfo:
| program version port/proto service
| 100000 2,3,4 111/tcp rpcbind
| 100000 2,3,4 111/udp rpcbind
| 100024 1 37898/tcp status
|_ 100024 1 37900/udp status
631/tcp open ipp CUPS 1.5
| http-robots.txt: 1 disallowed entry
|_/
| http-methods: Potentially risky methods: PUT
|_See http://nmap.org/nsedoc/scripts/http-methods.html
Service Info: Host: sid; OS: Linux; CPE: cpe:/o:linux:kernel

Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 6.42 seconds
[/code]

[code]nmap -6 localhost

Starting Nmap 6.00 ( http://nmap.org ) at 2013-02-11 16:52 CET
Nmap scan report for localhost (::1)
Host is up (0.00043s latency).
rDNS record for ::1: ip6-localhost
Not shown: 996 closed ports
PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
111/tcp open rpcbind
631/tcp open ipp

Nmap done: 1 IP address (1 host up) scanned in 0.07 seconds
[/code]

Quelqu’un pourrais me donner un conseil ? Une ligne de commande avec les options qui vont bien.

Merci

#2

Pour fournir des résultats pertinents, nmap doit de préférence être exécuté sur une machine située à l’extérieur du pare-feu. Les communications locales à la machine sont rarement bloquées.

Concernant son utilisation, il faut reprendre les spécifications du pare-feu une à une et vérifier si ces spécifications sont remplies.

#3

Merci de cet éclaircissement, n’ayant pas la possibilité (matérielle) de faire cette série de test de “l’extérieur”, j’oriente donc ma démarche dans la création d’un live-usb que je me connecterais chez un(e) ami(e) pour ce faire.

je continu à creuser le man, et je ferais un retour.

A+

PS: Tu as changé de couleur depuis tout à l’heure. :slightly_smiling:

#4

Tu veux tester quel pare-feu au juste ?
Si c’est celui qui est en place sur une machine particulière et ne protège que celle-ci, alors il vaut mieux tester depuis une autre machine directement connectée au même réseau. Sinon des équipements intermédiaires (routeurs, box…) avec leurs propres filtres peuvent interférer.
En règle générale il vaut mieux se placer au plus près du pare-feu du côté “externe”.

#5

Un PC de bureau qui va héberger un serveur virtualisé.
Je vais certainement casser ma tirelire pour m’offrir un portable de la mort qui tue, ça va me faciliter les choses.

Merci de tes conseils.

#6

En faisant attention, tu pourrais tester depuis une autre machine virtuelle sur le même PC. Mais c’est plus sûr depuis un autre PC dans le même réseau local.

#7

Je vais étudier cette possibilité d’effectuer ce scan depuis une machine virtuelle. (je met ça sous le coude)

[quote=“Mon maigre savoir”]
Toute machine devant se connecter à l´Internet possède une couche TCP/IP. Si cette machine fait partie d´un réseau local, la même couche réseau TCP/IP peut servir de protocole pour ce réseau local. Le routeur (couche 3 du réseau) diffuse des trames (“broadcast”) limitées à chacun des sous-réseaux. Dans le cas d’un réseau personnel (TrucBox) une adresse publique est définie par l’opérateur (dans mon cas IPV6/fixe).[/quote]

Comment définir quelle adresse est attribuée à quelle machine, un ping sur le broadcast suffit ?

N’y a t’il pas un risque de collision de paquet ?

Ou

Est-ce que le hostname est suffisant pour lancer un scan dans le sous réseau ?

Ces questions peuvent sembler “un peu lourdingue”, aussi je fais appel à votre bienveillance.

#8

Non, car certains OS, dont les noyaux Linux 2.6 et plus, sont configurés par défaut pour ne pas répondre au ping broadcast.

Je ne suis pas sûr de comprendre la question. Le hostname est équivalent à l’adresse IP vers laquelle il pointe. Qu’entends-tu par “dans le sous-réseau” ?

A vrai dire je les trouve plutôt incongrues et j’ai du mal à les comprendre.

Juste une précision : nmap ne suffit pas forcément à vérifier tous les aspects d’un pare-feu. Il sert principalement à vérifier les ports TCP ou UDP ouverts/fermés/bloqués.

#9

Si j’ai bien suivi, tu peux faire tes tests à partir d’un autre ordinateur qui est connecté à la même box que l’ordi que tu veux tester.
En fait, lorsque tu es connecté à une box, tu as une ip “privée”, du type 192.168.. . Pour connaître l’ip de la machine à tester, il faut éxécuter sur cette machine

ifconfig. L’ip est dans “inet adr”.

Ensuite, tu peux lancer un nmap à partir d’une autre machine :

nmap 192.168.1.68 (par exemple)

#10

@PascalHambourg:
Par sous-réseau je voulais dire broadcast, je réfléchissais à la possibilité de remplacer l’IP par le nom de machine. Mon manque de vocabulaire doit être la source de l’incompréhension que tu as ressenti. J’en suis désolé. Merci pour les précisions sur le rôle de Nmap.

@Thuban:
Merci d’avoir pris le temps de détailler la manip.

À tous hasard, pour ceux qui pourrais avoir besoin, le guide de référence en français de Nmap insecure.org/

#11

Si je remplace dans la phrase, ça donne “Est-ce que le hostname est suffisant pour lancer un scan dans le broadcast”, ce qui n’a pas plus de sens pour moi. Je ne vois aucun rapport entre sous-réseau, broadcast et hostname.

#12

Un PC connecté à une box, qui communique en interne avec un autre PC.

Edit: qui communique entre eux au travers de la Box

#13

ton lien envoi vers: [quote]Toshiba Tecra M9-04101SFR Intel Core 2 Duo T7500 2Go 120Go Wifi Bluetooth 14,1" Windows 7[/quote]
Tu veux faire un serveur virtualisé la dessus ?

#14

Non, c’est un achat que je veux faire, un produit dans ce type de prix/performance. j’en aurais l’usage dans ce test, puis pour d’autre chose.

Le PC de bureau qui va héberger:

[ul]
Processeur dual-core AMD Athlon II X2 220 (2.8 GHz)
4 Go de mémoire vive DDR3 1066 MHz
Chipset graphique AMD Radeon HD6450 1024 Mo de mémoire dédiée
Disque dur de 512 Go
Réseau Gigabit Ethernet + communication sans fil Wi-Fi N
[/ul]