Hack pfsense

thierry66

Bonjour.

Pfsense est un excellent parefeu. Le plus grand danger pour votre Pfsense, c'est vous !
Rien n'est plus pire, que de se croire en sécurité 8)

J'utilise une carte Alix avec 2 LANs. J'ai une LiveBox V2 en frontale entre Internet et Pfsense.
Un pirate (un bon), a réussi à me voler mon login et mot de passe de connexion Internet Livebox (PPPoe).

J'utilise un cable null modem entre mon PC et Pfsense. Mais comme un imbécile, je n'ai pas activé la protection par mot de passe de la console.
Il a pu donc rentrer dans le Pfsense sans soucis (Interface lo0)

Donc dans System / Advanced / Console Options (en bas de page), pensez à cocher la case "Password protect the console menu". Par défaut, ceci est décoché.

Si cette option était coché par défaut, à l'installation de base. Je n'aurai pas eu à le signaler ici…

A bientot.

pirate-russe-ppoe-pfsense.png_thumb

system-advanced-console-options.png_thumb

thierry66

Ah j'oubliai.

Et si vous etes dans la meme topologie que moi. Pfsense avec 2 cartes LAN et pas de commutateur VLAN en aval. Inutile d'ouvrir votre LiveBox en désactivant le parefeu de celle-ci.
Laissez le parefeu de la LiveBox à normal, et créer une NAT UDP sur le port de votre OpenVPN vers l'interface WAN de votre PfSense.
Mettez le WAN de votre PfSense en statique.
Désactiver le DHCP et le Wifi de votre Livebox.
Ne pas créer de DMZ sur votre Livebox.

Changez le mot de passe de connexion de votre livebox sur 15 caractères (Minuscules, Majuscule, Chiffres), en vous rendant dans votre espace client, ce qui est le maximum autorisé pour la livebox V2
Si vous souhaitez changer le login de connexion de votre livebox, envoyez un courrier postal en recommandé avec accusé de réception à :

Service Consommateurs Orange Internet
33734 BORDEAUX CEDEX 9

Indiquez votre No client, No de ligne et exigez que l'on change votre login de connexion. (Dans le cas qu'un tiers possède cette élément)

jdh

Pfsense est un excellent parefeu.
Le plus grand danger pour votre Pfsense, c'est vous !
Rien n'est plus pire, que de se croire en sécurité

C'est très évident, et pour toute solution de sécurité.

Néanmoins, la console pfSense, une fois l'installation réalisée n'est quasiment jamais utilisée : tout se fait via l'interface web.
Le câble aurait donc du être débranché (surtout s'il n'y a pas de mot de passe).

Si vous avez un pc, avec une connexion série (null-modem) depuis votre pc vers la console, il est plus que probable que votre PC a, d'abord, été hacké.
Ensuite, pfsense enregistre toute sa config dans un fichier .xml, donc texte, où le mot de passe d'un lien PPPoE est simplement encodé en base64.

Que peut-on faire avec un identifiant PPPoE Orange ?
J'ai du mal à imaginer qu'Orange laisserait initier depuis la russie une liaison PPPoE remplaçant une box.

Les conseils que vous donnez sont assez simples et très connus (arrêter le wifi, …). Mais ils sont étonnants versus une config PPPoE.
Si vous voulez vous passez de la box (en ADSL), le mieux est d'utiliser un boitier tel le DLink DSL-320B avec les identifiants PPPoE : c'est un bridge tout ce qu'il y a de plus RFC(1483).

Les règles connues :

une salle serveur est fermée à clé : dès que quelqu'un a accès au clavier physique d'un serveur, c'est mort !
l'administration web de pfSense ne devrait être ouverte que de l'intérieur, avec un mot de passe solide, qui change régulièrement et qui n'est pas enregistré dans un navigateur (et surtout pas Chrome puisque les mots de passe sont envoyés à Google !)

thierry66

Ce n'est pas si évident que cela. Vous par exemple, croyez vous que vous êtes en sécurité ? 8)

Difficile de hacker mon PC. ufw actif. Rien ne rentre, tout peut sortir.

Par contre, j'avais mis un serveur web accessible sur Internet. Serveur Web dans le même réseau que mon LAN. Donc, grossière erreur.

Un serveur WEB accessible via Internet : Il faut qu'il soit isolé du LAN et posséder un PfSense avec 3 cartes réseaux minimum.

Merci pour les quelques infos que vous transmettez. Cela sera utile à tous.

PS : Les choses simples sont difficiles à trouver :) ( E = MC2 en est le meilleur exemple)

thierry66

Oui, par pppOE, c'est étonnant. Mais le log recu (voir capture ecran) est bien une connexion pppOE.
(J'avais mis parefeu à livebox sur faible + dmz sur WAN pfsense. dhcp non, wifi non

ccnet

@thierry66:

Difficile de hacker mon PC. ufw actif. Rien ne rentre, tout peut sortir.

C'est une vue de l'esprit. Fausse d'ailleurs. Il y a bien longtemps que les tunnels sortants sont des moyens utilisés quand bien même comme vous le dites rien ne rentre tout peut sortir.

ccnet

@ccnet:

@thierry66:

Difficile de hacker mon PC. ufw actif. Rien ne rentre, tout peut sortir.

C'est une vue de l'esprit. Fausse d'ailleurs. Il y a bien longtemps que les tunnels sortants sont des moyens utilisés quand bien même comme vous le dites rien ne rentre tout peut sortir.

Indiquez votre No client, No de ligne et exigez que l'on change votre login de connexion. (Dans le cas qu'un tiers possède cette élément)

Complètement illusoire. Orange est root de toute façon sur cet équipement. Il faut impérativement considérer la box (peu importe le fournisseur) comme un équipement non maitrisé, donc non sûr.

thierry66

merci à tous de vous pencher sur mon cas.

en faisant un iftop, sur ma machine, je viens de voir ceci (capture ecran)

et dans /etc/auth.log ceci :

Mar 25 11:31:02 station gnome-keyring-daemon[3196]: couldn't allocate secure memory to keep passwords and or keys from being written to the disk
Mar 25 13:57:38 station gnome-keyring-daemon[2123]: couldn't allocate secure memory to keep passwords and or keys from being written to the disk
Mar 26 10:54:08 station gnome-keyring-daemon[2267]: couldn't allocate secure memory to keep passwords and or keys from being written to the disk
Mar 27 00:15:49 station gnome-keyring-daemon[2974]: couldn't allocate secure memory to keep passwords and or keys from being written to the disk
Mar 27 13:48:57 station gnome-keyring-daemon[2328]: couldn't allocate secure memory to keep passwords and or keys from being written to the disk
Mar 28 10:21:32 station gnome-keyring-daemon[2144]: couldn't allocate secure memory to keep passwords and or keys from being written to the disk
Mar 28 21:22:15 station gnome-keyring-daemon[2161]: couldn't allocate secure memory to keep passwords and or keys from being written to the disk
Mar 29 10:06:25 station gnome-keyring-daemon[2144]: couldn't allocate secure memory to keep passwords and or keys from being written to the disk
Mar 30 02:30:17 station gnome-keyring-daemon[1988]: couldn't allocate secure memory to keep passwords and or keys from being written to the disk

SSDP-hack-station.png_thumb

thierry66

et meme apres avoir fait :

sudo iptables -F
sudo iptables -X
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT DROP

(je n'ai plus internet)

le iftop donne quand meme ceci (Le debit est tres faible, 6b, et les 0b passe de temps en temps à 12b)

iftop-after-drop-all.png_thumb

iftop-after-drop-all-2.png_thumb

thierry66

Je ne comprrends pas comment il arrive dans ma machine :(

et je ne sais pas tout bloquer :(

Pour mettre en place un tunnel sortant, il faut bien au départ entrer !

Donc, je m'en remets à vous …

ccnet

@thierry66:

Je ne comprrends pas comment il arrive dans ma machine :(

et je ne sais pas tout bloquer :(

Pour mettre en place un tunnel sortant, il faut bien au départ entrer !

C'est vous qui le faites entrer avec par exemple un lien malveillant, dans un mail, ou sur un site compromis. A votre insu vous téléchargez le malware ou le code qui ensuite s'en chargera. C'est notamment dans ce but que les vulnérabilités d'un serveur, web comme cross site scripting (XSS), sont mises à contribution. Un pdf, une macro peuvent aussi faire le travail. Dans le cas du XSS la vulnérabilité du serveur web sert à cibler le navigateur et la machine de l'utilisateur.
Raison pour laquelle, comme Juve le rappelait il y a peu, que l'interdiction de sortir pour les serveurs est critique.