[Sécurité] Faire un audit sécurité de mon pc

[Gr3e]

Bonsoir, il y a quelques temps j'ai configuré tant bien que mal mon iptables, j'essaye de rendre ma machine sûre autant que faire se peux.
Bref, je souhaite savoir comment tester moi même mon réseau et sa sécurité.
Et aussi pouvoir surveiller ce dit réseau ... j'ai installé snort mais j'ai pas vraiment pigé comment configurer l'affaire etc !

Enfin toutes les idées sont bienvenues koâ !!


Merci d'avance, je pense que le sujet peur servir à plein de monde

[widapit]

Salut !

utilises-tu "iptables" ? Je pense que déjà, c'est la base...
de mémoire, le oldwiki est pas trop mal pour install de base (et je suis en train de me motiver pour en écrire un nouveau !!(en projet hein!!!!))
et snort ne fera rien par lui-même, un peu plus d'explications ici :> http://forums.archlinux.fr/topic10158.html
Sinon pour t'auditer toi-même, je te conseille de regarder du coté de nmap
Bon courage...

[Nic0]

Salut,

Le problème avec snort, sauf erreurs de ma part, c'est qu'il te faut deux cartes wifi, une en utilisation normal, et l'autre qui écoute,

Sinon, peut être que tu serrais intéressé de regarder du côté de nessus (dispo sur AUR), mais c'est pas franchement libre, bien qu'il y ait une version gratuite.
Pour nmap, comme te conseil widapit, il y a (avait) un front-end GUI, zenmap, mais ne le retrouvant pas sur AUR, il n'existe peut être plus, ça permet une prise en main un peu plus rapide de nmap, sans avoir à parcourir la longue page man.

[oktoberfest]

Salut,

il existe shields up (ici) pour tester tes ports.

[Gr3e]

@widapit oui j'ai intallé iptables, j'ai ofurché dans mon topic ou j'ai écris netstat au lieu de iptables ; )

@oktoberfest : Merci je vais regarder ça

[mimile]

Salut,

Le problème avec snort, sauf erreurs de ma part, c'est qu'il te faut deux cartes wifi, une en utilisation normal, et l'autre qui écoute,

Sinon, peut être que tu serrais intéressé de regarder du côté de nessus (dispo sur AUR), mais c'est pas franchement libre, bien qu'il y ait une version gratuite.
Pour nmap, comme te conseil widapit, il y a (avait) un front-end GUI, zenmap, mais ne le retrouvant pas sur AUR, il n'existe peut être plus, ça permet une prise en main un peu plus rapide de nmap, sans avoir à parcourir la longue page man.

Salut,

hasard des hasards, ce matin je fais une mise à jour complète et voici ce que j'obtiens en ce qui concerne nmap et zenmap :

Code : Tout sélectionner

:: Début de la mise à jour complète du système...
Avertissement : gnome-control-center : ignore la mise à jour du paquet (3.2.2-1 => 3.4.2-1)
Avertissement : gnome-games : ignore la mise à jour du paquet (3.2.1-2 => 3.4.2-1)
résolution des dépendances...
recherche des conflits entre paquets...

Cibles (2) : empathy-3.4.2.1-1  nmap-6.00-1

Taille totale de téléchargement : 	6,01 MiB
Taille totale installé :		35,18 MiB
Taille de mise à jour nette :	5,09 MiB

Procéder à l'installation ? [O/n] O
:: Récupération des paquets du dépôt extra...
 empathy-3.4.2.1-1-i686     2,3 MiB   483K/s 00:05 [######################] 100%
 nmap-6.00-1-i686           3,7 MiB   339K/s 00:11 [######################] 100%
(2/2) vérification de l'intégrité des paquets      [######################] 100%
(2/2) chargement des fichiers des paquets          [######################] 100%
(2/2) analyse des conflits entre fichiers          [######################] 100%
(2/2) vérification de l'espace disque disponible   [######################] 100%
(1/2) mise à jour de empathy                       [######################] 100%
(2/2) mise à jour de nmap                          [######################] 100%
Nouvelles dépendances optionnelles pour nmap
    pygtk: zenmap

Je pense que zenmap est intégré à pygtk car pygtk est déjà installé et quand je lance zenmap en mode simple utilisateur, j'obtiens ceci :



puis :



Voilà

[CyDes]

Hello,

en remplacement de nessus, il y a openvas qui fonctionne bien. Attention après au faux positifs lors des résultats mais cela permettra de dégrossir les problèmes de sécu importants existants.

[Gr3e]

Alors pour les tests
. Test files sharing :tout semble bien aller de ce côté, très bonne sécurité.

. All service ports : Tous mes ports sont stealth (Vert)mais aucun ne sont close (Bleu). Dois-je en fermer un certain nombre, lesquels, pourquoi ?
Ping Reply: RECEIVED (FAILED) — Your system REPLIED to our Ping (ICMP Echo) requests, making it visible on the Internet. Most personal firewalls can be configured to block, drop, and ignore such ping requests in order to better hide systems from hackers. This is highly recommended since "Ping" is among the oldest and most common methods used to locate systems prior to further exploitation.

. :

[CyDes]

Un petit :

Code : Tout sélectionner

net.ipv4.icmp_echo_ignore_all = 1

dans /etc/sysctl.conf pour bloquer les réponses du ping.

[Gr3e]

Merci, ça c'est fait !
Ensuite j'ai installé openvas, configuré selon le wiki j'arrive sur le client je tente de me connecter, et il me dit Could not open a connection to localhost !
Difficile de trouver un tuto openvas en fr d'ailleurs !

[CyDes]

Personnellement j'avais utilisé OpenVas via une machine virtuelle Backtrack ou tout est pré configuré, y a plus qu'a le lancer. Je n'ai pas tenter de l'installer sur ma arch via AUR. Est ce que tous tes services openvas sont bien démarrés ?

[Gr3e]

J'ai suivi le wiki ici : https://wiki.archlinux.org/index.php/OpenVAS
Petit hs tu l'as monté avec virtualbox ?

Edit : CyDes, j'ai fait ce que tu m'as dit pour le ping mais après un reboot, shields up me dis toujours "Your system REPLIED to our Ping (ICMP Echo) requests, making it visible on the Internet. Most personal firewalls can be configured to block, drop, and ignore such ping requests in order to better hide systems from hackers. This is highly recommended since "Ping" is among the oldest and most common methods used to locate systems prior to further exploitation."

[oktoberfest]

Alors pour les tests
. All service ports : Tous mes ports sont stealth (Vert)mais aucun ne sont close (Bleu). Dois-je en fermer un certain nombre, lesquels, pourquoi ?

stealth = caché, close = fermé. Un port caché c'est mieux qu'un port fermé.
Un port fermé c'est un port pour lequel ton serveur va répondre au client : le port est fermé. Donc le client (et un attaquant potentiel) reçoit au moins une réponse.
Un port caché c'est un port pour lequel ton serveur va tout simplement ignorer et mettre à la poubelle toute demande venant d'un client. Le client n'obtient aucune réponse.

Plus d'info ici

[Gr3e]

Ah super nouvelle ça
Il me reste donc à éliminer ce problème de ping, ça doit être faisable via iptables j'imagine ?

[oktoberfest]

CyDes t'a donné la réponse via /etc/sysctl.conf

[Gr3e]

Eh oui mais je l'ai fait et cela ne change rien au scan par shields up :s

[oktoberfest]

Il ne suffit pas de modifier le fichier.. il faut qu'il soit pris en compte :

Code : Tout sélectionner

# sysctl -p

EDIT : tu peux aussi mettre l'entrée dans un fichier /etc/sysctl.d/ipv4.conf. Ce sera peut-être plus propre (tu sépares la config standard de la config personnalisée par tes soins).
Dans ce cas tu prends en compte les modifs via :

Code : Tout sélectionner

# sysctl -p /etc/sysctl.d/ipv4.conf

[Gr3e]

Oui m'ais j'avais bien fait le sysctl -p, deuxième méthode essayée sans plus de succès d'ailleurs
Pour plus de sureté après avoir fait vos manip j'ai relancé le network, reboot le pc et ... shields up me dit toujours la même chose ???? Etrange, pour ne pas dire bizarre ...

[oktoberfest]

Maintenant que j'y pense... C'est peut-être au niveau de ta box internet que tu dois désactiver la réponse au ping.

[Gr3e]

Alors, la cela se corse
Je suis chez bouygues
Je n'ai trouvé que des messages se questionnant sur la désactivation de la réponse au ping et aucune réponse !!
Je vais dans le panneau de conf de la box je le mets en personnalisé et j'ai ceci
nom règle | @ IP Source |Port Source |@ IP Destination |Port Dest. |Service (icmp est dans la liste)|Action (autoriser/refuser)|Priorité.

Donc en gros si je fais un personnalisé il va falloir que ej rentre TOUTES les règles de mon pare feu manuellement ;s et que ej trouve ce que je veux faire en plus ... omg ; )
Cela semble impossible so :/

Edit 1 : J'ai un Thomson TG787 en routeur
Edit 2 : Si j'appelle bouygues vous croyez qu'ils vont comprendre ma demande ??