[sécurité] rapports nmap divergents ?

[djipey]

Bonjour.

Je voudrais avoir quelques éclaircissements sur la sécurité de mon réseau. Je ne suis pas un expert dans le domaine, aussi des explications pour m'aider à mieux comprendre sont les bienvenues.

Mon réseau est établi comme ceci:
- un routeur commercial, qui fait du port forwarding et crée un réseau wifi
- un raspberry pi branché en ethernet sur le routeur. Dessus, un serveur ssh et un serveur www.
- un laptop qui se connecte au routeur en wifi

Sur mon laptop, j'ai des règles pour mon pare-feu assez restrictives, vu que je n'héberge aucun service dessus:

Code : Tout sélectionner

sudo iptables -L
[sudo] password for djipey: 
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            
DROP       all  --  anywhere             anywhere             ctstate INVALID

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Sur mon raspberry pi (le serveur que je souhaite sécuriser), j'ai globalement les mêmes, sauf que j'ai ouvert les ports 80 et 22:

Code : Tout sélectionner

Chain INPUT (policy DROP)
target     prot opt source               destination         
fail2ban-SSH  tcp  --  anywhere             anywhere             tcp dpt:ssh
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            
DROP       all  --  anywhere             anywhere             ctstate INVALID
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain fail2ban-SSH (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere

Bien sûr, j'ai mis en place fail2ban et un système de clés pour ssh.

Ce qui me dérange au final, c'est quand je fais des scans de tout ça avec nmap. Quand je scanne le raspberry pi, le rapport indique que 998 ports sont ouverts/filtrés. Quand je scanne le routeur, les ports qui n'hébergent rien sont fermés. Pourquoi cette différence ? Est-ce que c'est important ?

Voici le rapport de nmap :

Code : Tout sélectionner

nmap 192.168.0.0-205           

Starting Nmap 6.25 ( http://nmap.org ) at 2013-04-20 17:37 CEST
Nmap scan report for 192.168.0.1
Host is up (0.033s latency).
Not shown: 997 closed ports
PORT      STATE    SERVICE
53/tcp    open     domain
8080/tcp  filtered http-proxy
49154/tcp open     unknown

Nmap scan report for 192.168.0.100
Host is up (0.021s latency).
Not shown: 998 filtered ports
PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http

Nmap scan report for 192.168.0.102
Host is up (0.00011s latency).
All 1000 scanned ports on 192.168.0.102 are closed

Bien à vous

[widapit]

Salut !

Non, rien d'inquiétant à ce niveau là !!
Quelques infos supplémentaires -> sur le site officiel

[djipey]

Ok, donc cool. Est-ce que tu penses que les règles que j'utilise sont suffisantes ?

[widapit]

ben; tout dépend de ton niveau de parano !!
plus sérieusement, pour le laptop, oui . pour le serveur ça dépend de ta conf réseau, d'où tu comptes y accéder...
mais c'est déjà de bonnes bases .

[djipey]

Pour le serveur, en fait je voudrais y accéder depuis n'importe où. Pour l'instant, je compte m'en servir pour garder mes flux rss synchronisés, vu que google reader va fermer. Mais tant que j'y suis, ça pourra me servir pour plus de choses à l'avenir.

Le serveur est connecté en ethernet au routeur, et le routeur forward tous les paquets tcp dirigés vers les ports 80 et 22, directement vers le serveur.

[widapit]

ouais... donc toujours pareil; ça dépend de ton utilisation ! iptables permet énormément de choses...
déjà, tu peux compliquer tes régles existantes ou en rajouter (en fonction de tes besoins et de ta parano !!) en filtrant par IP/masque, adresse mac, nombre de connexions simultanées sur un port, processus autorisé à sortir, etc...
le man iptables (et iptables-extensions) même si il a été récement modifié, reste un peu lourd mais assez complet (tout en anglais par contre) .