[parefeu] Comment bloquer la réponse au ping ? (abandonné)

[FredBezies]

Salut !

Ayant passé le célébrissime test "shields up", je constate que mon seul point faible - derrière une livebox - est la réponse au ping.

D'où ma question : comment faire pour que le pare-feu dise non au ping ?

Merci

[chipster]

Salut !

Ayant passé le célébrissime test "shields up", je constate que mon seul point faible - derrière une livebox - est la réponse au ping.

D'où ma question : comment faire pour que le pare-feu dise non au ping ?

Merci

tu l'envoies à l'école pour qu'il apprenne

[lenglemetz]

Quel interet de bloquer les ping ?

[vincentxavier]

à se cacher ! L'attaque de base est basée sur la réponse au ping.

Cela dit, pour bloquer le ping, ca se trouve dans /proc, en faisant un truc du genre echo 0 > /proc/net/block_ping

[vincentxavier]

Erf, pour la Mamadou box, j'sais pas trop, mais pour Linux, c'est

Code : Tout sélectionner

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

[mélodie]

Selon ce que je lis ici, il vaudrait mieux fuir Shields up.

Configurer une livebox, je suppose que ça dépend des modèles.
Par exemple, sur Znet en 2006 :

par Gilles - 22/03/2006
...
on connaisseur trouvera qu'on ne peut pas configurer grand chose, et préferera ne pas utiliser le wifi et le firewall de la livebox.

[mélodie]

à se cacher ! L'attaque de base est basée sur la réponse au ping.

Attaques

Hasard ou nécessité ?

La bonne question à se poser, concernant les problèmes de sécurité n'est pas:

"Est-ce que j'ai des chances (grandes ou petites) de subir une attaque un jour?"

Mais:

"Quand vais-je être la cible d'une attaque?"

Et la seule réponse pertinente à cette question est:

"A tout moment. Peut-être justement pendant que tu lis ces lignes "

(...)

[Tebo]

/etc/sysctl.conf

#Ne pas répondre au ping
net.ipv4.icmp_echo_ignore_broadcasts = 1
net.ipv4.icmp_echo_ignore_all = 1

[FredBezies]

Merci pour les réponses, je les étudierais à tête reposée. Car un premier janvier, hein

[mélodie]

Merci pour les réponses, je les étudierais à tête reposée. Car un premier janvier, hein

Toi pas étudier : toi éditer fichier système /etc/sysctl.conf

hugh !

man sysctl.conf et man.sysctl te le diront aussi.

Bonne année, Meilleurs Tux !

[lenglemetz]

à se cacher ! L'attaque de base est basée sur la réponse au ping.

Cela dit, pour bloquer le ping, ca se trouve dans /proc, en faisant un truc du genre echo 0 > /proc/net/block_ping

Il y a d'autre méthode pour se caché , il suffit d'avoir un iptables bien renforcé ( il peut bloqué les ping egalement ) mais je doute qu'avec le dernier nmap le bloquage de ping suffise

[vincentxavier]

Ben iptables utilises la méthode de sysctl (ou de proc) mais c'est exactement la même chose in fine.

[FredBezies]

Merci pour les réponses, je les étudierais à tête reposée. Car un premier janvier, hein

Toi pas étudier : toi éditer fichier système /etc/sysctl.conf

hugh !

man sysctl.conf et man.sysctl te le diront aussi.

Bonne année, Meilleurs Tux !

Ok. Mais je me demande si avec Firestarter on ne peut pas bloquer les pings.

[mélodie]

Firestarter est une interface, sous Archlinux on essaie de suivre le principe KISS.

/Edit : tant qu'à faire compliqué, tu peux essayer Bastille Linux.

Tu pourrais même envisager de configurer le fichier et essayer des interfaces ensuite.

[lenglemetz]

@FredBezies si tu veux du pare feux cherche pas -> iptables a la mano

[FredBezies]

A la mano ? Je ne connais pas suffisamment "l'orthographe" d'iptables pour cela.

Enfin, on verra

[mélodie]

A la mano ? Je ne connais pas suffisamment "l'orthographe" d'iptables pour cela.

Enfin, on verra

Bastille Linux est un programme pédagogique. iptables est un fichier où tu commences par tout interdire, avant de donner la première autorisation. Je te dirais que je n'en connais pas l'orthographe non plus.

As-tu édité ton /etc/systcl.conf ? Avec les indications données par Tebo, et par vincenxavier, au moins c'est facile.

[FredBezies]

Le ping est toujours en train de répondre au test de shields up.

Je vais voir sur cette page anglophone du wiki archlinux.org :

http://wiki.archlinux.org/index.php/Firewalls

et cette page :

http://wiki.archlinux.org/index.php/Sim ... wall_HOWTO


Bon, voici mon fichier iptables.rules :

Code : Tout sélectionner

# Generated by iptables-save v1.3.8 on Wed Jan  2 17:20:02 2008
*mangle
:PREROUTING ACCEPT [24:2667]
:INPUT ACCEPT [24:2667]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [26:2063]
:POSTROUTING ACCEPT [26:2063]
COMMIT
# Completed on Wed Jan  2 17:20:02 2008
# Generated by iptables-save v1.3.8 on Wed Jan  2 17:20:02 2008
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [9:701]
:interfaces - [0:0]
:open - [0:0]
-A INPUT -p icmp -j ACCEPT 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -j interfaces 
-A INPUT -j open 
-A INPUT -p tcp -j REJECT --reject-with tcp-reset 
-A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable 
-A interfaces -i lo -j ACCEPT 
-A interfaces -i eth0 -j ACCEPT 
COMMIT
# Completed on Wed Jan  2 17:20:02 2008

Des améliorations à apporter ?

[FredBezies]

Premiers résultats :

http://probe.hackerwatch.org/probe/probe.asp

Les ports 21,23,25,79,80,110,139,143,443 = inconnus au bataillon

http://www.pcflank.com/scanner_r.htm

On peut rajouter les ports : 135,138,1080,1243,3128,12345,12348,31337 à la liste.

Reste toujours le ping que j'arrive pas à bloquer

[lenglemetz]

iptables -t filter -A INPUT -p ICMP -j DROP

vire le icmp accept