Désactiver la réponse au ping

[sauveur]

Bonjour tt le monde,

Quelqu'un saurait-il comment faire en sorte que ipcop ne réponde pas aux pings sur l'interface rouge.


Merci d'avance ...

[ShonGail]

http://antolien.nerim.net/ipcop/

[Franck78]

@sauveur,
Salut,


C'est tout à fait inutile. Perte de temps totale.
Seul interet, lire pour comprendre le principe.

En plus: si tu as un Ipcop 1.4 et que tu appliques sans réfléchir ce que tu liras sur le lien indiqué, tu te feras jeter si tu reviens signaler que ça ne marche pas....


Bye

[sauveur]

Pourquoi tu dis ça, ça fonctionne pas?

[Julien77]

le rc.firewall (règles du firewall) de la 1.3 est différent du rc.firewall de la 1.4

Donc les modifs d'Antolien prévues pour une 1.3 ne fonctionneront pas si tu les appliques à l'endroit indiqué de ton fichier rc.firewall sur une 1.4

Pour une 1.4 , il faut rajouter le texte en gras ci dessous ds rc.firewall à la ligne 146 et à cet endroit précis

.
.
.
# Allow ICMP echo-request (ping), all other essential ICMP will be either
# ESTABLISHED or RELATED, and the rest caught by the default DENY policy
/sbin/iptables -A INPUT -p icmp --icmp-type echo-request -i $IFACE -j DROP
/sbin/iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
.
.
.


@Franck78 , je comprends le fait que tu dises que ça ne sert pas à grand chose de couper la réponse du ping, mais comprend que ça ne sert à rien non plus de la laisser. La question à se poser est "est ce que ça m'est utile ? " tout en gardant à l'esprit que sécuritairement parlant, il vaut mieux restreindre au plus les ouvertures possibles. J'ai déjà remarqué ds de nombreux posts que tu prônes l'ouverture de la réponse au ping... sans jamais t'expliquer... Peux tu un peu m'éclairer et m'expliquer le fond de ta pensée ?


ouala

A +


[/b]

[Franck78]

C'est un outil de diagnostic. Il n'apprendra pas grand chose sur ta machine à un attaquant, Il n'aidera que peut à dissimuler ta machine.
Donc zéro avantage.
Alors qu'un jour ou l'autre tu balanceras un ping à ta machine parceque tu en installe une autre (besoin de tester) ou tu mets en place un vpn, que sais-je encore.
Par contre tu peux imposer certaines limitations:fréquence et taille.


Maintenant, si ca t'aide à mieux dormir, fais-le...

Donc trouvent inutile de masquer le ping:
Moi,
Tomtom,
Antolien,
D'autres ixusiens,
Microsoft,
Novell,
Wanadoo,
et la liste est infinie.

Voila. C'est un avis partagé par beaucoup tu vois.


Bye

[Julien77]

Désolé que tu l'aies pris pour une critique...

Maintenant je connais mieux ton point de vue, mais je persiste à préférer couper le ping... j'ai du mal à suivre les conseils de micro$oft

C'est clair que du point de vue de wanadoo, ils préfèrent dépanner un client dont le poste répond au ping plutot qu'un poste qu'il sera moins évident à "voir" sur le réseau.

Enfin voilà... pour ou contre, les avis sont partagés... donc pour les newbies qui ne veulent utiliser ipcop que comme une boite noire, faites l'install initiale, et n'y touchez plus. Pour celles ou ceux qui souhaitent aller plus loin, allez y ! Poussez votre reflexion à bout, lisez plein de docs, recherchez astucieusement sur les net des infos, mais évitez le plus possible de laisser des posts inutiles sur les forums car c'est exaspèrant de voir 36 fois les mêmes questions.

[Franck78]

Je n'ai pas vu de critique... Tu me demandes pourquoi je trouve inutile de masquer le ping, je te répond.


Salut

[tomtom]

# Allow ICMP echo-request (ping), all other essential ICMP will be either
# ESTABLISHED or RELATED, and the rest caught by the default DENY policy
/sbin/iptables -A INPUT -p icmp --icmp-type echo-request -i $IFACE -j DROP
/sbin/iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT

Ca c'est bien interessant.

DROP puis ACCEPT de la même chose !
Belle reflexion
Comme quoi, effectivement, il faut LIRE ET COMPRENDRE

tout en gardant à l'esprit que sécuritairement parlant, il vaut mieux restreindre au plus les ouvertures possibles.

Et ben voyons.
Securitairement parlant, comme pour tout, il faut savoir ce qu'on fait.
ICMP ets un protocole de diagnostic. Il propose un certain nombre de fonctionalités. Un certain nombre de problèmes aussi, comme tout protocole. A chacun de savoir ce qu'il veut faire.
Mais le gros problème, c'est que beaucoup affirment que de bloquer le ping ameliore la securité, ce qui est une aberration. Et à force de voir ça, on retrouve des gens dont le but est de bloquer le ping, alors qu'il est mille choses plus interressantes à faire avant pour ameliorer la séucrité d'ipcop...

j'ai du mal à suivre les conseils de micro$oft

Si c'est ca qui te bloque..

essaye donc, pour voir, un ping sur www.linux.org, free.fr, google.fr, kernel.org .... ixus.net

Bizarre que tous ces acteurs majeurs ( ) decident de ne pas bloquer le ping... Seraient-ils fous ???

Ceci dit, si tu te sens mieux avec le ping bloqué, libre à toi..
Mais, AMHA, les personnes qui pensent avoir besoin de bloquer les requetes icmp type 8 pour parfaire leur sécurité ne devraient pas vaoir besoin de recopier la ligne sur un site..
Car s'ils sont soucieux de leur sécu eefectivement, ils ne copiereont pas dans leurs fichiers de configuration une ligne qu'un inconnu leur a fourni sur internet.
Parceque sinon, le prochain qui demande, moi je lui dis de taper "iptables -I INPUT -p icmp -j DROP; iptables -I INPUT -j ACCEPT" et je rigole...

t.

[ShonGail]

Loin de moi l'idée d'envenimer un débat déjà houleux mais dans l'Informaticien de ce mois ci, dans un dossier sur la sécu au niveau serveur, il est conseillé de désactiver le ping.

Il faudrait effectivement savoir quelles informations dommageables à la sécu sont accessibles avec un ping et/ou si l'acceptation du ping ne peut-être une possibilité d'attaques ?

[Julien77]

Hello les gens !

@tomtom , merci pour l'info... mais bon, moi ce que je voulais faire (je débute en la matière sous linux) c'était de bloquer l'icmp request sur l'interface red et l'autoriser sur la green.
Merci de me dire si je me suis planté, en prenant en compte ce paramètre.

Quant à l'ouverture ou non de cette requête, je ne pense pas moi non plus qu'elle soit d'une gravitude extremiste. Mais comme dit, chacun fait c'qui lui plait.

Ah ! eh pi Tomtom, arrête de prendre les gens de haut comme ça steuplait, c'est très désagréable. On est pas là pour se rentrer dedans, on a tous un truc à apprendre les uns des autres.

C'est vrai quoi, on est pas sur caramail là !

A+

[tomtom]

Hello les gens !

@tomtom , merci pour l'info... mais bon, moi ce que je voulais faire (je débute en la matière sous linux) c'était de bloquer l'icmp request sur l'interface red et l'autoriser sur la green.
Merci de me dire si je me suis planté, en prenant en compte ce paramètre.

Tu ne t'es pas planté, mais la seconde ligne ne sert strictement à rien. En effet, elle n'est là que pour autoriser le ping sur l'interface red, sachant que par defaut tout est autorisé sur l'interfca green...
Ceci dit, ce n'est surement pas un problème, c'est juste une mise en valeur du fait que le script a été ecrit en plusieurs fois sans reflexion globale.

Quant à l'ouverture ou non de cette requête, je ne pense pas moi non plus qu'elle soit d'une gravitude extremiste. Mais comme dit, chacun fait c'qui lui plait.

Je ne reviens pas là dessus....

Ah ! eh pi Tomtom, arrête de prendre les gens de haut comme ça steuplait, c'est très désagréable. On est pas là pour se rentrer dedans, on a tous un truc à apprendre les uns des autres.

C'est vrai quoi, on est pas sur caramail là !

A+

Je ne pense avoir pris personne de haut.
Une pointe d'enervement peut etre liée au fait que c'est au moins la 20 eme fois que la question "comment bloquer le ping" est posée (la flemme de faire la recherche pour compter..), et que comme au loto, 100% des poseur de question appliquent une règle qui leur est donnée sans la comprendre, et ça c'est tout sauf de la sécurité...
Et en plus, à chaque fois on nous rabache "c'est mieux pour la sécurité de bloquer le ping", sans argument et au risque de faire croire à ceux qui débutent que c'est un acquis social...

A+

t.

[emptiness]

Moi perso, j'aime mieux bloquer le ping pour que les newbies,lorsqu'il décide de checker si il y qqc à cette adresse, en restent là.

En passant lorsque ipcop utilisera Shorewall, il faudrait pas qu'ils oublient d'activer le ping parce que par défaut il est désactivé.

Donc a chacun de faire ce qu'il veut mais je cite:

DEFINITION: PING
sg. m.

[INTERNET] Packet INternet Groper. « Faire un PING » consiste à envoyer une requête ICMP à un serveur. S'il répond, c'est qu'on a des chances de pouvoir l'atteindre. Sinon, c'est qu'il est en panne ou inaccessible. Originellement, Ping n'était que le nom du petit programme Unix qui permet de faire cela (et d'après son auteur, ce nom ne voulait rien dire à l'origine).

Moi, j'aime mieux le "Sinon" mais à vous de juger.


A+

God of Emptiness

[Fredish]

Qu'il y ait quelqu'un à une adresse définie est somme toute très banal. Il peut aussi bien avoir la même adresse 24 heures, que deux minutes. Ca ne donne en rien des informations sur le système utilisé, et encore moins sur la sécurité de celui-ci. On peut dire qu'après, ayant l'adresse, quelqu'un peut tenter un scan de ports... Ben, finalement, y a autant de chances de tomber sur un système mal administré en tapant une adresse au hasard. C'est peut-être un peu parano d'avoir la manie de tout bloquer comme ca...

[emptiness]

Quelque fois ca peut etre utile. La personne peut surveiller ton ordinateur durant un Dos attack. Quand ton pc envoie la réponse a un ping, il envoi l'information a savoir qu'elle est l'impact de l'attaque sur ton pc.

Mais c'est vrai que j'ai jamais entendu parler que quelqu'un a été oubliger de réinstaller son poste à cause qu'il s'est fais attaqué à coup de ping, lol!!!!!


God of Emptiness