Page 1 sur 2
[parefeu] Règles très précises
Publié : mer. 30 nov. 2011, 10:21
par snoogy
Bonjour,
je voudrai peaufiner ma config iptables mais d'une manière très précise.
Par exemple pour autoriser le surf sur internet il faut autoriser le port 80
(iptables -A OUTPUT -p TCP --dport http -j ACCEPT)
Mais avec ceci TOUTES les applications voulant accéder au réseau par le port 80 seront accepter !
Je voudrai savoir comment ne laisser passer que une application spécifier (ex: firefox) et bloquer toute les autres.
Un autre exemple, je veux uploader un fichier par FTP, donc j'autorise le port 21 en sortie et n'importe quelle logiciels clients de FTP pourra utiliser le port 21. Mais c'est la le problème, je voudrai autoriser que 1 seul logiciel et refuser l’accès au port pour tout les autres.
Sur le net j'ai trouver beaucoup de doc sur iptables mais aucune sur mon sujet.
Merci
Re: [parefeu] Régles tres precises
Publié : mer. 30 nov. 2011, 10:46
par tazzon
Re: [parefeu] Régles tres precises
Publié : mer. 30 nov. 2011, 10:52
par snoogy
Merci pour ta réponse Tazzon, justement j’étais en train de lire ceci en ce moment meme
Re: [parefeu] Régles tres precises
Publié : mer. 30 nov. 2011, 12:49
par snoogy
Est ce que quelqu'un a déjà essayer "FireLier" ou TuxGuardian" avec Archlinux ?
Parce qu'il faut que le noyau soit compiler avec le support LSM et activer CONFIG_SECURITY_NETWORK...
J'aimerai l'avis d'expert avant de me lancer
Au pire je n'ai pas besoin d'interface graphique qui me prévient des événements... juste donner des droits a tel ou tel application suffirai.
Re: [parefeu] Régles tres precises
Publié : mer. 30 nov. 2011, 22:01
par snoogy
ok, Tout le monde fait confiance a la config de base d'iptables.....
C dur de voir cette réalité mais malheureusement c'est comme ça....
je suis sous (arch)-linux avec le parefeu netfilter très bien configurer a mon goût avec mes règles iptables..
Le but de ce message c'est de trouver pourquoi 'apparament' je suis le seul a m’inquiéter de ca ......
Imaginons que j'essaye de me hacker....(disont avoir accès a mes données sans mon consentement) ah ah le méchant mot (hacker) ... on va dire Pirater..
(erf c'est pas mieu xD)
bon je vais Pas entrer dans les détailles...tout le monde a compris .... je cherche "Comment me sécuriser" au MAXIMUM.
(..)
Re: [parefeu] Régles tres precises
Publié : jeu. 01 déc. 2011, 11:55
par tazzon
En fait je pense que c'est intéressant comme sujet. Maintenant je vois deux points de vue :
- le principe d'iptables/netfilter est très bien mais ne permet pas de brider au niveau applicatif mais on s'en fout parce qu'on a confiance dans les logiciels qu'on utilise ;
- il manque la possibilité de filtrer par application parce que même si on pense pas avoir de problèmes avec nos logiciels préférés on est jamais à l’abri.
[mode je raconte ma vie]
J'ai utilisé il y a longtemps un parefeu sous Windows qui permettait de faire ça efficacement (kerio), l'intérêt s'était pas simplement de contrôler les applications mais aussi d'en restreindre certaines comme le logiciel de mail qui quand il ouvrait des mails en html plein d'images passait par le 80 pour les récupérer et quand on est en 56k, c'est pas drôle…
[/mode je raconte ma vie]
Re: [parefeu] Régles tres precises
Publié : jeu. 01 déc. 2011, 12:14
par FoolEcho
snoogy a écrit :ok, Tout le monde fait confiance a la config de base d'iptables.....
Je n'espère pas car la configuration de base d'iptables est de tout laisser passer dans tous les sens. Il faut configurer au moins selon le wiki.
snoogy a écrit : je cherche "Comment me sécuriser" au MAXIMUM.
Aucune connexion réseau. Aucune interface réseau active. Aucun port ouvert. *mode paranoia* aller jusqu'à enlever cables, cartes réseaux... *mode paranoia extrême* donc TOUT enlever !!!
Ne pas utiliser d'ordinateur ni aucune technologie, en fait (parce que qui te dit que le constructeur n'a pas placé un dispositif bas niveau pour reprendre la main ? Sérieusement: y a des téléphones portables qui, même physiquement éteints, peuvent encore être activés à distance et enregistrer).
Re: [parefeu] Régles tres precises
Publié : jeu. 01 déc. 2011, 13:20
par snoogy
Coucou
tazzon a écrit :- il manque la possibilité de filtrer par application parce que même si on pense pas avoir de problèmes avec nos logiciels préférés on est jamais à l’abri.
Oui c'est pour cela que je cherche a rajouter cette fonction.. Apparemment il y a TuxGuardian et FireLier, je trouve ça étonnant de trouver si peu de chose a ce sujet.
FoolEcho a écrit :Je n'espère pas car la configuration de base d'iptables est de tout laisser passer dans tous les sens. Il faut configurer au moins selon le wiki.
Oui je me suis mal exprimer ^^ je vouler dire iptables avec des règles de base.
FoolEcho a écrit : Aucune connexion réseau. Aucune interface réseau active. Aucun port ouvert. *mode paranoia* aller jusqu'à enlever cables, cartes réseaux.
C'est la meilleur chose a faire mais sachant que ce n'est pas envisageable pour moi j'essaye de trouver une solution pour ne pas laisser la porte grande ouverte sur ma machine.
Pour ce qui est des téléphones portables, c'est une des raison qui me fera pas acheter le dernier smartphone en vente.
On pourrait aussi débattre sur la video surveillance mais ce n'est pas le sujet
Re: [parefeu] Régles tres precises
Publié : jeu. 01 déc. 2011, 13:31
par drs
ok, Tout le monde fait confiance a la config de base d'iptables.....
C dur de voir cette réalité mais malheureusement c'est comme ça....
je suis sous (arch)-linux avec le parefeu netfilter très bien configurer a mon goût avec mes règles iptables..
et pourquoi tu les partages pas tes regles qu'on arrete de faire confiance a la config de base (qui n'existe pas) pour que ce soit moins dur de voir la realite
?
sinon, que penses-tu de ca, juste a titre d'exemple:
tu dis a firefox d'utiliser le port 50000
tu rediriges le port 50000 vers le port 80
tu bloques le port 80 sauf si c'est une redirection depuis 50000
Re: [parefeu] Régles tres precises
Publié : jeu. 01 déc. 2011, 13:59
par snoogy
drs a écrit :sinon, que penses-tu de ca, juste a titre d'exemple:
tu dis a firefox d'utiliser le port 50000
tu rediriges le port 50000 vers le port 80
tu bloques le port 80 sauf si c'est une redirection depuis 50000
pas bete
mais ce n'est pas suffisant.
Sachant que ça dois faire 1 semaine que j'ai fait une re-install je ne peux pas encore afficher mes règles car elles sont en cours d'écriture, je les posterai volontier plus tard pour en discuter dans un autre sujet
Sinon une config "de base" ca peut ressembles a ceci:
Code : Tout sélectionner
J'efface toutes les règles existantes dans iptables:
sudo iptables -F
je supprime d'éventuelles règles existantes:
sudo iptables -X
je mets en place les regles par défaut (on refuse tout)
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT DROP
je refuse certaines requetes:
sudo iptables -N SCANS
sudo iptables -A SCANS -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
sudo iptables -A SCANS -p tcp --tcp-flags ALL ALL -j DROP
sudo iptables -A SCANS -p tcp --tcp-flags ALL NONE -j DROP
sudo iptables -A SCANS -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
sudo iptables -A INPUT -p udp --dport 33434:33523 -j DROP
je rejet les paquets bizarres:
sudo iptables -A INPUT -m state --state INVALID -j DROP
sudo iptables -A FORWARD -m state --state INVALID -j DROP
j'accepte la sortie de certain protocoles:
sudo iptables -A OUTPUT -p TCP --dport http -j ACCEPT # Port 80 (Http)
sudo iptables -A OUTPUT -p TCP --dport https -j ACCEPT # Port 443 (Https)
sudo iptables -A OUTPUT -p TCP --dport pop3 -j ACCEPT # Port 110 (Pop3)
sudo iptables -A OUTPUT -p TCP --dport smtp -j ACCEPT # Port 25 (Smtp)
sudo iptables -A OUTPUT -p TCP --dport ftp-data -j ACCEPT # Port 20 (Ftp Data)
sudo iptables -A OUTPUT -p TCP --dport ftp -j ACCEPT # Port 21 (Ftp)
sudo iptables -A OUTPUT -p TCP --dport ssh -j ACCEPT # Port 22 (Ssh)
sudo iptables -A OUTPUT -p TCP --dport 5222 -j ACCEPT # Port 1863 (Msn Pidgin)
J'interdit les PC de l'exterieur de faire des ping:
sudo iptables -A INPUT -p icmp -j DROP
Ecriture de la politique de log:
sudo iptables -N LOG_DROP
sudo iptables -A LOG_DROP -j LOG --log-level 1 --log-prefix '[IPTABLES DROP]:'
sudo iptables -A LOG_DROP -j DROP
Je met en place les logs en entrée, sortie et routage:
sudo iptables -A FORWARD -j LOG_DROP
sudo iptables -A INPUT -j LOG_DROP
sudo iptables -A OUTPUT -j LOG_DROP
et je sauvegarde le tout.
Re: [parefeu] Régles tres precises
Publié : jeu. 01 déc. 2011, 14:27
par drs
mais ce n'est pas suffisant.
si t'en dis pas plus, ca va etre dur d'avoir des idees...
merci pour tes regles sinon
c'est quand meme pas le jour et la nuit avec un stateful des plus basiques non plus
Re: [parefeu] Régles tres precises
Publié : jeu. 01 déc. 2011, 15:49
par snoogy
drs a écrit :
sinon, que penses-tu de ca, juste a titre d'exemple:
tu dis a firefox d'utiliser le port 50000
tu rediriges le port 50000 vers le port 80
tu bloques le port 80 sauf si c'est une redirection depuis 50000
Bin au début, même si ça ne bloque que 1 seul port en sortie je trouver l'idée astucieuse mais en y repensant le navigateur utilise le port 80 que pour la réception des données. Et un autre programme pourrai sortir par le port 5000 donc pas très efficace.
Or je cherche comment ne laisser passer que une application spécifier et bloquer toute les autres.
Un exemple, je veux uploader un fichier par FTP, donc j'autorise le port 21 en sortie et n'importe quelle logiciels clients de FTP pourra utiliser le port 21. Mais c'est la le problème, je voudrai autoriser que 1 seul logiciel et refuser l’accès au port pour tout les autres.
Re: [parefeu] Règles très précises
Publié : jeu. 01 déc. 2011, 16:23
par drs
Re: [parefeu] Règles très précises
Publié : jeu. 01 déc. 2011, 18:50
par widapit
Salut !
et merci pour ce lien, il est bien complet (enfin!).je veux dire; ca fait un moment que je fais des recherches sur iptables et que j'arrive à me débrouiller avec le peu que je trouve + le man (!!) mais j'avais pas trouvé celui-la ... bon, même si il est anglais, ca le fait quand même... je venais de voir le topic, et effectivement, j'allais parler de l'option
que j'utilises sur ma passerelle pour permettre à "snort" (par exemple) de faire ses analyses correctement . ceci-dit; je pense que du coup il faudrait créer un utilisateur pour firefox... il me semble, mais j'ai pas encore tout lu du super lien que
drs a passé .
Tu peux aussi, je pense, appliquer un marquage au niveau des paquets qui sont envoyés par firefox et interdire les autres, et ca en restant sur le port 80 (voir les options 'CONNMARK' et Cie...)
P.S.: sinon, il ya aussi '--pid-owner <processid>' et '--cmd-owner <name>'
tu peux aussi voir avec 'iptables-l7' dans AUR ...
Voilà, sinon: bon courage !!
Re: [parefeu] Règles très précises
Publié : jeu. 01 déc. 2011, 19:27
par snoogy
Ouep Merci pour cette doc
Je vais mettre les main dans le cambouis
Je re-posterai quand j’aurai appliquer les correspondances owner.
Sinon pour le lien il a était traduit en Français
http://www.frozentux.net/iptables-tutor ... book1.html
Re: [parefeu] Règles très précises
Publié : ven. 02 déc. 2011, 01:28
par widapit
Ca déchire !
merci
Re: [parefeu] Règles très précises
Publié : ven. 02 déc. 2011, 03:56
par drs
juste FTR, a priori la version francaise propose un peu moins d'exemples. pour owner match, il y a un exemple en moins, exactement celui dont snoogy a besoin
Re: [parefeu] Règles très précises
Publié : ven. 02 déc. 2011, 19:05
par snoogy
Re coucou
je n'ai pas eu le temps d'avancer et je vais déjà faire une sauvegarde complète avant de me lancer dans la re-compilation du noyau..
Ce qui ma étonner en faisant des recherches sur internet avec un moteur de recherche bien connue (je ne citerai pas de nom)
, la plus part des projet en matière de sécurité date de 2006 en moyenne et on été abandonner
Même Iptables-l7 dans Aur n'est pas a jour
Ce week-end je vais commencer par tester l’extension "--cmd-owner" d'Iptables pour voir ce que ça donne en espérant que, ce ne soit pas facile a contourner !
Puis si ça intéresse quelqu'un (on sais jamais) pourquoi pas ceci:
http://www.rsbac.org/why (Rule Set Based Access Control)
et
http://grsecurity.net/ (2 projet encore maintenu a cette date)
Tous commentaires sont bienvenu
Re: [parefeu] Règles très précises
Publié : sam. 03 déc. 2011, 02:22
par drs
Re: [parefeu] Règles très précises
Publié : sam. 03 déc. 2011, 05:34
par drs
tiens j'ai remis le PKGBUILD a jour du coup, linux-3.1.4 et grsecurity-2.2.2-3.1.4-201112021740. grsec est /disabled/ par defaut, a toi de le configurer ( -> Security options -> Grsecurity -> Grsecurity (GRKERNSEC [=y]) ) j'ai teste vite fait (grsec sec level low), ca build et boot.
http://ompldr.org/vYms5Nw/linux-grsec.tar.bz2
sha256 316b81d676468abf6797d2861be70e3a2e97f7702595d54a727a3dd18c2ab896 linux-grsec.tar.bz2