5353/udp Mdns Detection

[mo68]

Bonjour à tous,

je dois déployer un NAS, mais avant pour des raisons de sécurité, je dois corriger une vulnérabilité, à savoir bloquer un port udp:

j'ai testé ceci :

sbin/iptables -A INPUT -p udp --destination-port 5353 -j DROP

/sbin/service iptables save

j'obtiens ceci

sbin/iptables: No such file or directory

Merci de vos retours

le message exacte:

Synopsis

It is possible to obtain information about the remote host.

Description

The remote service understands the Bonjour (also known as ZeroConf or mDNS) protocol, which allows anyone to uncover information from the remote host such as its operating system type and exact version, its hostname, and the list of services it is running.

Solution

Filter incoming traffic to UDP port 5353 if desired.

Risk Factor

Medium

CVSS Base Score

5.0 (CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N)

Plugin Information:

Publication date: 2004/04/28, Modification date: 2012/01/25

Ports

udp/5353

Nessus was able to extract the following information :

- mDNS hostname : ts-412u-wxxx.local.

- Advertised services :

o Service name : ts-412u-wsxx [xxxxxx]._workstation._tcp.local.

Port number : 9

- CPU type : ARMV5TEL

- OS : LINUX

[father_mande]

Bonjour,

Le QNAP qui n'est pas un "routeur" réseau ... n'a d'iptables QUE lorsque vous avez ouvert un serveur VPN, seulement a ce moment là les modules sont "chargés"

cet iptables EST TRÈS RÉDUIT in ne supporte que le masquerade ... mais a priori une simple demande de rejet devrait être prise en compte.

Sinon, a priori c'est le protocole bonjour que vous voulez désactiver ...

ceci est possible dans le web admin / services réseau / services de découverte réseau en désactivant les services associés ... sans services ... pas de réponses ...

Si la sécurité est insuffisante ... il va falloir mieux préserver (avec un router) votre QNAP, car un NAS ne prends en charge qu'une partie (applicatif et restriction système) de la problématique réseau ...

Pour réguler TOUT les flux, une (petite) société a mis en place un simple routeur netgear 3500L avec un firmware open source DD-WRT, configuré en mode switch, mais utilisant iptables pour filtrer l'usage du lien Ethernet correspondant (les liens car en port truncking) correspondant au QNAP ... mais il faut que le jeu en vaille la chandelle ... votre vulnérabilité est faible et ne peux servir qu'en conjonction avec d'autres "trous" ... La sécurité est une fuite en avant ... car il faudrait chaque matin mettre à jour son système ... alors que quelques règles de bon sens et des "portes" bien gérés vont vous garantir bien mieux ...

Ceci me rappelle un site qui voulait toujours la dernière version d'un module SSL ... mais avait laissé béant un trou type XSS dans son application Web.

Philippe.

[mo68]

Sinon, a priori c'est le protocole bonjour que vous voulez désactiver ...

ceci est possible dans le web admin / services réseau / services de découverte réseau en désactivant les services associés ... sans services ... pas de réponses ...

Merci beaucoup Philippe de votre réactivité! Oui c'est bien "bonjour que je veux désactiver" rien n'est coche pourtant quand je mes le curseur sur bonjour il me met activé, comment supprimé "bonjour" en effet ce nas est prévu pour stocker des donnée uniquement.

Merci

[father_mande]

Bonjour,

En effet Bonjour (avahi-daemon est toujours actif ...)

Hors période d'exploitation (il ne faut pas prendre de risque) ... essayez dans une console ssh ou telnet :

/etc/init.d/avahi.sh stop

(ou /etc/init.d/bonjour.sh stop ... bonjour.sh étant un lien vers avahi.sh ... donc même fichier Ceci arrête timemachine (sauvegarde Mac) ... qui utilise avahi-daemon et stop dbus-daemon ... qui ne me semble pas utilisé par d'autres services, puisque lancé SEULEMENT avec bonjour et stop avahi-daemon Vérifiez ... si cela fonctionne (sans autre perturbation) vous pourrez utiliser une des méthodes de lancement d'une commande ou d'un script après boot pour l'automatiser (regardez sur le forum) Si cela "à l'air de planter" quelque chose ... il faudra essayer de tuer le processus SANS tuer les autres taches NI les fichiers de "lock" qui informe d'autres processus que avahi est démarré ... ce n'est que moyennement risqué .. un simple reboot remettra tout d'aplomb ... au cas ou ... la commande à rentrer dans une console ssh ou telnet est :

/bin/kill -INT `/bin/ps | /bin/grep avahi-daemon | /bin/grep -v grep | /bin/grep running | /bin/awk '{print $1}'`

Philippe.

[mo68]

Philippe,

Juste un mot :Merci

tout fonctionne.