PDA

Afficher la version complète : [Réglé] l'IRC et la sécurité



jacqueline
07/03/2005, 11h20
Cette phobie date de windows et de msn messenger réputé amener une foule de saloperies dans les micros, à cause de ses failles.. Je ne l'ai donc jamais utilisé.( juste quelques essais avec yahoo messenger )

Ca m'affole un peu moins sous linux, d'autant plus qu'à part le chat d'alionet je ne me ballade pas sur les chats..

Mais tout de même on peut faire pas mal de choses. Envoyer de sfichiers, en lire chez les autres.. et faire un tas de choses.. ( avec kvirc ).

J'ai ausssi toujours ce problème d'affichage en clair de mon IP. Je ne sais pas si c'est dû à un probléme de conf, ou si c'est du à mon FAI... j'ai une IP fixe et si un jour je veux mettre un ftp ou un http.. il n'est pas souhaitable de la divulguer à toute la planète

J'ai suivi une connection avec ethereal , et là les paquets "de toutes sortes" ça y va..

La conf de kvirc n'est pas vraiment simple pour savoir ce qu'on autorise ou pas..

Je me dis qu'il ya peut être des choses à faire dans la conf du firewall, d'ailleurs je suis étonnée qu'il laisse tout passer du chat , sans rien dire....

Qu'en pensez-vous ?

chebichev
07/03/2005, 11h48
J'utilise xchat sans m'en soucier.
J'ai un pote qui utilise xchat aussi, et il cache bien ses infos style IP...
Donc c'est possible,
mais comment ? je vais me renseigner http://www.alionet.org/style_emoticons/<#EMO_DIR#>/biggrin.gif

jacqueline
07/03/2005, 14h49
Merci , j'attends ta réponse.

Ce n'est appremment pas moi qui envoie tous ces détails... Je ne vois rien de tel dans les paquets envoyés à la connection. Par contre je le vois dans les paquets renvoyés par le serveur irc. Je pense que c'est mon FAI qui fournit tous ces détails au serveur IRC..

Mais certains sur le chat ont des IP cryptées..

J'avais ça aussi avec X-chat.

Là j'ai essayé de caher le hostname.

Peut être en passant par un proxy, la requète du serveur ci dessous prendra autre chose.


0010 00 bf a5 1d 40 00 3a 06 e6 71 d5 ba 33 09 51 dc ....@.:. .q..3.Q.
0020 5a 0a 1a 0b 3e 8f a7 67 a5 95 b3 d7 8c 29 80 18 Z...>..g .....)..
0030 20 00 be 34 00 00 01 01 08 0a 32 e2 56 da 0d 55 ..4.... ..2.V..U
0040 88 f0 3a 77 65 62 63 68 61 74 2e 6c 61 6e 67 6f ..:webch at.lango
0050 63 68 61 74 2e 6e 65 74 20 4e 4f 54 49 43 45 20 chat.net NOTICE
0060 41 55 54 48 20 3a 2a 2a 2a 20 4c 6f 6f 6b 69 6e AUTH :** * Lookin
0070 67 20 75 70 20 79 6f 75 72 20 68 6f 73 74 6e 61 g up you r hostna
0080 6d 65 2e 2e 2e 0d 0a 3a 77 65 62 63 68 61 74 2e me.....: webchat.
0090 6c 61 6e 67 6f 63 68 61 74 2e 6e 65 74 20 4e 4f langocha t.net NO
00a0 54 49 43 45 20 41 55 54 48 20 3a 2a 2a 2a 20 46 TICE AUT H :*** F
00b0 6f 75 6e 64 20 79 6f 75 72 20 68 6f 73 74 6e 61 ound you r hostna
00c0 6d 65 20 28 63 61 63 68 65 64 29 0d 0a me (cach ed)..

jacqueline
07/03/2005, 15h53
Des liens sur le Protocole IRC

Pour les nuls :

IRC pour les nuls (http://www.mircscriptsfrfm.com/cgi-bin/ircnul.pl)

wikipedia (http://fr.wikipedia.org/wiki/Internet_relay_chat)


Pour les amateurs :

rfc1459 (http://www.csadmin.net/rfc1459.php)

Déroulement d'une connection (http://www.lif.univ-mrs.fr/~nollinge/enseignement/m03/logirc.html)

jacqueline
07/03/2005, 19h41
Je n'avais pas rêvé !

IRC Securité (http://www.hsc.fr/ressources/breves/irc-sec.html.fr)

Attaques par L'IRC, les "bots" (http://216.239.59.104/search?q=cache:RYJ5wfA0xtEJ:www.unige.ch/dinf/projets/pres_corres10_14102004/Botnet_10_14122004.pdf+protocole+IRC&hl=fr&lr=lang_fr)

Pour ceux qui ont envie de flipper !!! ( c'est récent ! Un nid ! (http://lea-linux.org/pho/read/2/197945/199885)

<div class='quotetop'>Citation </div>
Pour ceux que cela amuse, connectez vous sur le serveur IRC d'undernet et allez sur le chan #we.are.bots
Faites un listing complet des personnes la dessus : si votre machine est dedans (hormis vous bien entendu) c'est que votre machine est hacké image : content
Vous aurez 10 sec maxi avant que le m3ch4nt N4ck3r vous kick en vous insultant.[/b]

jacqueline
08/03/2005, 02h19
Config de base du Firewall.

Ca ne vous inquiète peut être pas, moi si ! J'ai rien ouvert dans la conf du firewall avec Yast.

comme tout le monde j'avais fait des tests des ports ouverts avec des sites de sécurité. Tous les ports en stealth . On peut dormir sur ses deux oreilles....

Mais ça m'étonne quand même de voir tout ce qui passe avec l'IRC, dans les deux sens, sans retoucher au firewall... De quoi se poser des questions ! "ca sert à quoi un firewall ? "

Je n'ai pas la trouille qu'un membre d'Alionet me pirate mon ordi, mais de tout ceux qui traînent sur l'IRC...

Heureusement, un peu de bon sens : ne pas accepter par exemple de fichier de n'importe qui, une bonne config de son client IRC et on doit éviter 90 % des problèmes...

Ah oui , j'allais oublier : avec Linux on a plus que 50 % des problèmes venant de l'IRC...L'IRC sous windows, il vaut mieux oublier, mais Linux avec l'IRC, ce n'est pas aussi "secure" que les mails et leurs PJ...( faudrait pas s'endormir !)

Si je suis connectée sur le chat d'Alionet, logiquement , j'ai un port ouvert et alors là......puisque le firewall ne demande rien, c'est ouvert à tous les vents .. non ?

Je me serais connectée sur un autre channel ou un autre serveur, c'était pareil ! le firewall laissait passer les requètes d'où qu'elles viennent et la lecture de quelques articles cités plus haut le confirme....

Si le firewall ne laissait passer que ce qui vient du canal alionet, sur le serveur langochat , ce serait déjà pas mal , non ?

Déjà ça donne beaucoup trop d'infos, donc ce n'est pas la peine d'avoir un firewall à coté... (mal configuré ), mais il y a d'autres choses plus inquiétantes si quelqu'un se connecte sous votre login, surtout si on est administrateur de son channel..... bien sûr il y a le mdp, mais il passe en clair sur le net.....

Bien sûr , j'étais contente de pouvoir me connecter aussi facilemnt sur le chat, mais quelquepart ça m'inquiétait et je viens de voir qu'il n'y pas de conf particulière du firewall pour l'IRC avec Yast !

Ca doit pouvoir s'arranger , non ?

chebichev
08/03/2005, 08h18
re salut!
Je n'ai pas pu joindre mon pote,
je viens de tomber sur ce qu'il appelle blowfish : http://fish.sekure.us/.

En ce qui concerne le firewall, je ne vois pas comment il peut distinguer sur quel serveur irc tu te connectes, car il ne comprends que la notion de ports:
accept / reject sur le port 6667.
En gros si on veut securiser ca, le firewall ne peut rien vu qu'il agit à une couche inférieur. A la rigueur tu peux installer un IDS qui ne tourne que sur ton port irc, et la... ca peut aussi marcher, mais je suis pas sur qu'il soit apte à scanner les attaques irc.

A+

jacqueline
08/03/2005, 09h06
Merci Chebichev

Pour l'IP, j'ai cherché partout.. (nuit blanche http://www.alionet.org/style_emoticons/<#EMO_DIR#>/cool.gif )

Il semblerait que ça vienne du processus "ident" qui renvoie le "hostname" dans un format ( ou l'autre ! ) je crois qu'il y a "bind" ausssi là dedans ( c'est à voir, parce que j'ai lancé un cde et j'ai vu apparaître un message avec bind dedans..ou alors c'était dans la doc de cette cde irc).
Je crois que ça a un lien aussi avec le port 113...

J'ai cherché tous les progs qui appellaient "ident".. il me semblait être sur la piste ( au vu des lignes mentionnées ) mais il y en a trop , il faut que je cible mieux la recherche..

Je suppose que lorsque Kvirc reçoit la demande d'authentification du serveur, ça lance ce processus d'identification qui renvoie l'adresse dans la trame suivante...

Pour l'instant, je ne vois pas trop comment je peux changer ça facilement .. j'ai épluché tout le sysconfig avec yast, et toute la conf de kvirc..

Ca ne sert pas à la connection avec le serveur : l'IP est incomplète, c'est juste une info que le serveur rebalance partout, mais qqun du forum a son IP complète.. http://www.alionet.org/style_emoticons/<#EMO_DIR#>/blink.gif D'autres n'envoie que le nom de domaine de leur FAI...

Mais je pense que ce soir j'aurais trouvé, la boucle.


Pour le firewall ( mais plus tard ) :

Il me semblait bien ( vieux souvenirs ) qu'avec Iptables on peut autoriser ou rejeter des IP, des ports aussi et on doit pouvoir combiner les deux. (peut être avec un script , et pas avec la conf de Yast. ( donc je pensais sur le port d'entrée de Kvirc, rejeter toutes les IP , sauf celle du chat d'alionet ).

Blowfish , je n'ai pas bien compris... apparemment ça ne marche pas pour Kvirc.

On continue...

chebichev
08/03/2005, 09h18
Oui on peut combiner les 2 c'est vrai http://www.alionet.org/style_emoticons/<#EMO_DIR#>/smile.gif ,
mais faut voir comment marche irc en profondeur, pour savoir si tout les paquets recus sont bien ceux de langochat.
Au niveau juste du chat alionet, j'ai des doutes sur la facon de le mettre dans le firewall .

Enfin bon je parle un peu à l'aveuglette car je connais pas bien les mecanismes de l'irc http://www.alionet.org/style_emoticons/<#EMO_DIR#>/sad.gif

Ps: Tu dois pouvoir facilement verouiller les dcc send et dcc chat depuis irc, et aussi depuis le firewall car de souvenir il utilisait des ports differents.

jacqueline
08/03/2005, 10h18
J'en ai déjà trouvé un bout de script...

<div class='quotetop'>Citation </div>
proc cmd-user { username hostname servername {userinfo ""} } {
* if { $userinfo == "" } {
* ircsend "USER $username $hostname server :$servername"
* } else {
* ircsend "USER $username $hostname $servername :$userinfo"[/b]

Bientôt je serais de Monaco, mon IP ce sera le dernier tirage du loto, abonnée à Corbeau.net

On ne va pas envoyer des variables : suffit de changer la ligne http://www.alionet.org/style_emoticons/<#EMO_DIR#>/diablo.gif http://www.alionet.org/style_emoticons/<#EMO_DIR#>/diablo.gif http://www.alionet.org/style_emoticons/<#EMO_DIR#>/diablo.gif http://www.alionet.org/style_emoticons/<#EMO_DIR#>/diablo.gif

Et puis j'ai trouvé le bout de script de "who ?" Là je serais peut être de Strasbourg..avec le tirage de samedi dernier.

Mais plus sérieux je vais peut être regarder de près ce que fait cette ligne :

proc cmd-user { username hostname servername {userinfo ""} }

et puis derrière on peut insérer des lignes avec un masque pour cacher un peu les variables..

ou bien selon l'humeur mettre :

$hostname = Ma culotte
$servername = Aubade
$userinfo = T 40

Mais j'irais essayer ça ailleur que sur langochat, parce que si jamais je me fais bannir ( j'ai lu tout le protocole IRC cette nuit !)

Je réagis comme ça parce que ce genre de trucs m'énerve.

jacqueline
08/03/2005, 13h30
A c'est génial l'IRC !!!!

J'ai viré plusieurs des variables qu'on envoie , pour essayer... un peu trop !

Mais comme le serveur ne trouve pas son bonheur, il m'envoie une trame TCP sur le port 113 :"ident" ( qui devait être fermé lol ! d'après les sites de scan ).

Le port 113 lui répond par une trame TCP... (mais il n'ya pas de données dedans, juste une réponse d'acquittement.

Dans la trame, il y a mon IP complète (normal comme dans toutes les autres pour communiquer avec le serveur ) et ça lui suffit pour la recoller sur le chat et trouver mon FAI...
Là , je n'envoie que le User...

Au passage etherreal , c'est génial pour tester une connection, parce sans ça... (hier il a servi pour vérifier la connection au serveur d'un membre d'alionet et grâce au chat )

Je vais le tuer ce port 113 !

C'est le seul qui restait en bleu parmi tous les petits carrés verts.. j'avais trouvé à l'époque dans le script susefirewall2 de config de iptables, qu'il y avait une exception pour ce port, ce qui justifiait sa couleur.. dans pas longtemps , il ne répondra plus et l'autre se débrouillera avec ce qu'il a.

Je vais lui rajouter quelques variable au serveur.. et je viens de trouver le masque pour les utilisateurs. dans les menus de Kvirc. (lol !)