[parefeu] Règles très précises

[snoogy]

Bonjour,

je voudrai peaufiner ma config iptables mais d'une manière très précise.

Par exemple pour autoriser le surf sur internet il faut autoriser le port 80
(iptables -A OUTPUT -p TCP --dport http -j ACCEPT)

Mais avec ceci TOUTES les applications voulant accéder au réseau par le port 80 seront accepter !

Je voudrai savoir comment ne laisser passer que une application spécifier (ex: firefox) et bloquer toute les autres.

Un autre exemple, je veux uploader un fichier par FTP, donc j'autorise le port 21 en sortie et n'importe quelle logiciels clients de FTP pourra utiliser le port 21. Mais c'est la le problème, je voudrai autoriser que 1 seul logiciel et refuser l’accès au port pour tout les autres.

Sur le net j'ai trouver beaucoup de doc sur iptables mais aucune sur mon sujet.


Merci

[tazzon]

J'ai trouvé ça : http://olivieraj.free.fr/fr/linux/infor ... 03-11.html
En espérant que ça t'aide.

[snoogy]

Merci pour ta réponse Tazzon, justement j’étais en train de lire ceci en ce moment meme

[snoogy]

Est ce que quelqu'un a déjà essayer "FireLier" ou TuxGuardian" avec Archlinux ?

Parce qu'il faut que le noyau soit compiler avec le support LSM et activer CONFIG_SECURITY_NETWORK...

J'aimerai l'avis d'expert avant de me lancer

Au pire je n'ai pas besoin d'interface graphique qui me prévient des événements... juste donner des droits a tel ou tel application suffirai.

[snoogy]

ok, Tout le monde fait confiance a la config de base d'iptables.....

C dur de voir cette réalité mais malheureusement c'est comme ça....


je suis sous (arch)-linux avec le parefeu netfilter très bien configurer a mon goût avec mes règles iptables..


Le but de ce message c'est de trouver pourquoi 'apparament' je suis le seul a m’inquiéter de ca ......

Imaginons que j'essaye de me hacker....(disont avoir accès a mes données sans mon consentement) ah ah le méchant mot (hacker) ... on va dire Pirater..
(erf c'est pas mieu xD)

bon je vais Pas entrer dans les détailles...tout le monde a compris .... je cherche "Comment me sécuriser" au MAXIMUM.

(..)

[tazzon]

En fait je pense que c'est intéressant comme sujet. Maintenant je vois deux points de vue :
- le principe d'iptables/netfilter est très bien mais ne permet pas de brider au niveau applicatif mais on s'en fout parce qu'on a confiance dans les logiciels qu'on utilise ;
- il manque la possibilité de filtrer par application parce que même si on pense pas avoir de problèmes avec nos logiciels préférés on est jamais à l’abri.

[mode je raconte ma vie]
J'ai utilisé il y a longtemps un parefeu sous Windows qui permettait de faire ça efficacement (kerio), l'intérêt s'était pas simplement de contrôler les applications mais aussi d'en restreindre certaines comme le logiciel de mail qui quand il ouvrait des mails en html plein d'images passait par le 80 pour les récupérer et quand on est en 56k, c'est pas drôle…
[/mode je raconte ma vie]

[FoolEcho]

ok, Tout le monde fait confiance a la config de base d'iptables.....

Je n'espère pas car la configuration de base d'iptables est de tout laisser passer dans tous les sens. Il faut configurer au moins selon le wiki.

je cherche "Comment me sécuriser" au MAXIMUM.

Aucune connexion réseau. Aucune interface réseau active. Aucun port ouvert. *mode paranoia* aller jusqu'à enlever cables, cartes réseaux... *mode paranoia extrême* donc TOUT enlever !!! Ne pas utiliser d'ordinateur ni aucune technologie, en fait (parce que qui te dit que le constructeur n'a pas placé un dispositif bas niveau pour reprendre la main ? Sérieusement: y a des téléphones portables qui, même physiquement éteints, peuvent encore être activés à distance et enregistrer).

[snoogy]

Coucou

- il manque la possibilité de filtrer par application parce que même si on pense pas avoir de problèmes avec nos logiciels préférés on est jamais à l’abri.

Oui c'est pour cela que je cherche a rajouter cette fonction.. Apparemment il y a TuxGuardian et FireLier, je trouve ça étonnant de trouver si peu de chose a ce sujet.

Je n'espère pas car la configuration de base d'iptables est de tout laisser passer dans tous les sens. Il faut configurer au moins selon le wiki.

Oui je me suis mal exprimer ^^ je vouler dire iptables avec des règles de base.

Aucune connexion réseau. Aucune interface réseau active. Aucun port ouvert. *mode paranoia* aller jusqu'à enlever cables, cartes réseaux.

C'est la meilleur chose a faire mais sachant que ce n'est pas envisageable pour moi j'essaye de trouver une solution pour ne pas laisser la porte grande ouverte sur ma machine.

Pour ce qui est des téléphones portables, c'est une des raison qui me fera pas acheter le dernier smartphone en vente.

On pourrait aussi débattre sur la video surveillance mais ce n'est pas le sujet

[drs]

ok, Tout le monde fait confiance a la config de base d'iptables.....

C dur de voir cette réalité mais malheureusement c'est comme ça....

je suis sous (arch)-linux avec le parefeu netfilter très bien configurer a mon goût avec mes règles iptables..

et pourquoi tu les partages pas tes regles qu'on arrete de faire confiance a la config de base (qui n'existe pas) pour que ce soit moins dur de voir la realite ?

sinon, que penses-tu de ca, juste a titre d'exemple:
tu dis a firefox d'utiliser le port 50000
tu rediriges le port 50000 vers le port 80
tu bloques le port 80 sauf si c'est une redirection depuis 50000

[snoogy]

sinon, que penses-tu de ca, juste a titre d'exemple:
tu dis a firefox d'utiliser le port 50000
tu rediriges le port 50000 vers le port 80
tu bloques le port 80 sauf si c'est une redirection depuis 50000

pas bete mais ce n'est pas suffisant.

Sachant que ça dois faire 1 semaine que j'ai fait une re-install je ne peux pas encore afficher mes règles car elles sont en cours d'écriture, je les posterai volontier plus tard pour en discuter dans un autre sujet

Sinon une config "de base" ca peut ressembles a ceci:

Code : Tout sélectionner

J'efface toutes les règles existantes dans iptables:
sudo iptables -F

je supprime d'éventuelles règles existantes:
sudo iptables -X

je mets en place les regles par défaut (on refuse tout)
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT DROP

je refuse certaines requetes:
sudo iptables -N SCANS
sudo iptables -A SCANS -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
sudo iptables -A SCANS -p tcp --tcp-flags ALL ALL -j DROP
sudo iptables -A SCANS -p tcp --tcp-flags ALL NONE -j DROP
sudo iptables -A SCANS -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
sudo iptables -A INPUT -p udp --dport 33434:33523 -j DROP

je rejet les paquets bizarres:
sudo iptables -A INPUT -m state --state INVALID -j DROP
sudo iptables -A FORWARD -m state --state INVALID -j DROP

j'accepte la sortie de certain protocoles:
sudo iptables -A OUTPUT -p TCP --dport http -j ACCEPT         # Port 80   (Http)
sudo iptables -A OUTPUT -p TCP --dport https -j ACCEPT        # Port 443  (Https)
sudo iptables -A OUTPUT -p TCP --dport pop3 -j ACCEPT        # Port 110  (Pop3)
sudo iptables -A OUTPUT -p TCP --dport smtp -j ACCEPT        # Port 25   (Smtp)
sudo iptables -A OUTPUT -p TCP --dport ftp-data -j ACCEPT    # Port 20   (Ftp Data)
sudo iptables -A OUTPUT -p TCP --dport ftp -j ACCEPT           # Port 21   (Ftp)
sudo iptables -A OUTPUT -p TCP --dport ssh -j ACCEPT          # Port 22   (Ssh)
sudo iptables -A OUTPUT -p TCP --dport 5222 -j ACCEPT        # Port 1863 (Msn Pidgin)

J'interdit les PC de l'exterieur de faire des ping:
sudo iptables -A INPUT -p icmp -j DROP

Ecriture de la politique de log:
sudo iptables -N LOG_DROP
sudo iptables -A LOG_DROP -j LOG --log-level 1 --log-prefix '[IPTABLES DROP]:'
sudo iptables -A LOG_DROP -j DROP

Je met en place les logs en entrée, sortie et routage:
sudo iptables -A FORWARD -j LOG_DROP
sudo iptables -A INPUT -j LOG_DROP
sudo iptables -A OUTPUT -j LOG_DROP

et je sauvegarde le tout.

[drs]

mais ce n'est pas suffisant.

si t'en dis pas plus, ca va etre dur d'avoir des idees...

merci pour tes regles sinon c'est quand meme pas le jour et la nuit avec un stateful des plus basiques non plus

[snoogy]

sinon, que penses-tu de ca, juste a titre d'exemple:
tu dis a firefox d'utiliser le port 50000
tu rediriges le port 50000 vers le port 80
tu bloques le port 80 sauf si c'est une redirection depuis 50000

Bin au début, même si ça ne bloque que 1 seul port en sortie je trouver l'idée astucieuse mais en y repensant le navigateur utilise le port 80 que pour la réception des données. Et un autre programme pourrai sortir par le port 5000 donc pas très efficace.

Or je cherche comment ne laisser passer que une application spécifier et bloquer toute les autres.
Un exemple, je veux uploader un fichier par FTP, donc j'autorise le port 21 en sortie et n'importe quelle logiciels clients de FTP pourra utiliser le port 21. Mais c'est la le problème, je voudrai autoriser que 1 seul logiciel et refuser l’accès au port pour tout les autres.

[drs]

tiens c'est ca que tu veux:
http://www.frozentux.net/iptables-tutor ... OWNERMATCH

[widapit]

Salut !
et merci pour ce lien, il est bien complet (enfin!).je veux dire; ca fait un moment que je fais des recherches sur iptables et que j'arrive à me débrouiller avec le peu que je trouve + le man (!!) mais j'avais pas trouvé celui-la ... bon, même si il est anglais, ca le fait quand même... je venais de voir le topic, et effectivement, j'allais parler de l'option

Code : Tout sélectionner

-m owner --uid-owner <deschiffres>

que j'utilises sur ma passerelle pour permettre à "snort" (par exemple) de faire ses analyses correctement . ceci-dit; je pense que du coup il faudrait créer un utilisateur pour firefox... il me semble, mais j'ai pas encore tout lu du super lien que drs a passé .
Tu peux aussi, je pense, appliquer un marquage au niveau des paquets qui sont envoyés par firefox et interdire les autres, et ca en restant sur le port 80 (voir les options 'CONNMARK' et Cie...)
P.S.: sinon, il ya aussi '--pid-owner <processid>' et '--cmd-owner <name>'
tu peux aussi voir avec 'iptables-l7' dans AUR ...

Voilà, sinon: bon courage !!

[snoogy]

Ouep Merci pour cette doc

Je vais mettre les main dans le cambouis

Je re-posterai quand j’aurai appliquer les correspondances owner.

Sinon pour le lien il a était traduit en Français

http://www.frozentux.net/iptables-tutor ... book1.html

[widapit]

Ca déchire !
merci

[drs]

juste FTR, a priori la version francaise propose un peu moins d'exemples. pour owner match, il y a un exemple en moins, exactement celui dont snoogy a besoin

[snoogy]

Re coucou

je n'ai pas eu le temps d'avancer et je vais déjà faire une sauvegarde complète avant de me lancer dans la re-compilation du noyau..

Ce qui ma étonner en faisant des recherches sur internet avec un moteur de recherche bien connue (je ne citerai pas de nom) , la plus part des projet en matière de sécurité date de 2006 en moyenne et on été abandonner

Même Iptables-l7 dans Aur n'est pas a jour

Ce week-end je vais commencer par tester l’extension "--cmd-owner" d'Iptables pour voir ce que ça donne en espérant que, ce ne soit pas facile a contourner !

Puis si ça intéresse quelqu'un (on sais jamais) pourquoi pas ceci:
http://www.rsbac.org/why (Rule Set Based Access Control)
et
http://grsecurity.net/ (2 projet encore maintenu a cette date)

Tous commentaires sont bienvenu

[drs]

grsecurity, ca me rappelle http://forums.archlinux.fr/topic9694.html

[drs]

tiens j'ai remis le PKGBUILD a jour du coup, linux-3.1.4 et grsecurity-2.2.2-3.1.4-201112021740. grsec est /disabled/ par defaut, a toi de le configurer ( -> Security options -> Grsecurity -> Grsecurity (GRKERNSEC [=y]) ) j'ai teste vite fait (grsec sec level low), ca build et boot.

http://ompldr.org/vYms5Nw/linux-grsec.tar.bz2
sha256 316b81d676468abf6797d2861be70e3a2e97f7702595d54a727a3dd18c2ab896 linux-grsec.tar.bz2