[RESOLU] acces sur le port 161

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

[RESOLU] acces sur le port 161

Message par totoche » 18 Avr 2012 17:58

bonjour

je me retrouve avec une rafale de logs shorewall ou les pc essayent de se connecter au port 161 (SNMP)
Apr 18 20:44:59 thewall Shorewall:wifi2net:REJECT: IN=eth2 OUT=eth0 MAC=00:0f:c9:05:58:b1:f8:d1:11:33:e5:ce:08:00 SRC=192.168.20.11 DST=192.168.1.1 LEN=106 TOS=00 PREC=0x00 TTL=63 ID=5280 PROTO=UDP SPT=1027 DPT=161 LEN=86
Apr 18 20:45:05 thewall Shorewall:wifi2net:REJECT: IN=eth2 OUT=eth0 MAC=00:0f:c9:05:58:b1:f8:d1:11:33:e5:ce:08:00 SRC=192.168.20.11 DST=192.168.1.1 LEN=106 TOS=00 PREC=0x00 TTL=63 ID=5294 PROTO=UDP SPT=1027 DPT=161 LEN=86
Apr 18 20:45:11 thewall Shorewall:wifi2net:REJECT: IN=eth2 OUT=eth0 MAC=00:0f:c9:05:58:b1:f8:d1:11:33:e5:ce:08:00 SRC=192.168.20.11 DST=192.168.1.1 LEN=106 TOS=00 PREC=0x00 TTL=63 ID=5312 PROTO=UDP SPT=1027 DPT=161 LEN=86
Apr 18 20:45:17 thewall Shorewall:wifi2net:REJECT: IN=eth2 OUT=eth0 MAC=00:0f:c9:05:58:b1:f8:d1:11:33:e5:ce:08:00 SRC=192.168.20.11 DST=192.168.1.1 LEN=106 TOS=00 PREC=0x00 TTL=63 ID=5326 PROTO=UDP SPT=1027 DPT=161 LEN=86


y a t'il un moyen pour que ses logs là n'apparaissent pas ??

a+ gilles
Dernière édition par totoche le 19 Avr 2012 07:48, édité 1 fois.
totoche
 
Message(s) : 31
Inscription : 03 Fév 2012 13:12

Re: acces sur le port 161

Message par jdh » 18 Avr 2012 18:13

En complément à l'install de Shorewall, il est à considérer un outil comme fail2ban pour limiter les tentatives ...

Par ailleurs, en restant sur Shorewall, il faut veiller au paramétrage ":info" qui génère une ligne dans les logs (dans rules et policy).
Il faut aussi penser à ajouter dans les règles les paramètres "rate limit" cf http://france.shorewall.net/4.2/Actions.html :

RATE LIMIT - You may rate-limit the rule by placing a value in this column:

<rate>/<interval>[:<burst>]

where <rate> is the number of connections per <interval> (“sec” or “min”) and <burst> is the largest burst permitted. If no <burst> is given, a value of 5 is assumed. There may be no whitespace embedded in the specification.

Example: 10/sec:20

Toutefois, il faut aussi regarder du côté de la machine indiqué en SRC (elle est interne !) pour supprimer un outil non indispensable !
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
jdh
 
Message(s) : 731
Inscription : 02 Nov 2011 00:36
Localisation : Nantes - Angers

Re: acces sur le port 161

Message par totoche » 19 Avr 2012 07:47

salut

merci pour les pistes. J'ai fini par élucider le problème

cela vient de l'installe de l'imprimante si le port 161 n'est pas ouvert, on se retrouve avec une fenêtre de l'imprimante
avec erreur se qui empêche de voir les infos de celle ci: principalement l'état des cartouches d'encre.

mais l'impression se fait

merci a+ gilles
totoche
 
Message(s) : 31
Inscription : 03 Fév 2012 13:12

Re: [RESOLU] acces sur le port 161

Message par jdh » 19 Avr 2012 07:57

Ah, le PC est sous Windows, l'imprimante est pilotée en mode lpr avec la case SNMP cochée ?

Effectivement si l'imprimante est dans une autre zone, il vaut mieux décocher la case pour se limiter au seul protocole lpr/lpd (515/tcp).
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
jdh
 
Message(s) : 731
Inscription : 02 Nov 2011 00:36
Localisation : Nantes - Angers


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 0 invité(s)

cron