Bonjour,
J'ai une SME 7.1.3 en mode Serveur et Passerelle, j'aimerais pouvoir désactiver la réponse au ping sur l'interface RED, mais qu'il réponde au ping sur l'interface du LAN, un peu comme sous ipcop ?
Si quelqu'un connait la manip, merci.
Désactiver la reponse au ping
Modérateur: modos Ixus
15 messages
• Page 1 sur 1
Désactiver la reponse au ping
par stack » 23 Sep 2007 14:22
- stack
- Second Maître
- Messages: 32
- Inscrit le: 09 Déc 2006 10:49
- Localisation: Herault - Montpellier
par jdh » 23 Sep 2007 14:40
Une ligne de type
iptables -A INPUT -i eth? -p icmp -j DROP
devrait faire l'affaire. A templatiser, je suppose.
Mais, pourquoi ne pas accepter le ping ? J'aimerais comprendre le pourquoi.
Sait on que le protocole icmp est NECESSAIRE au fonctionnement normal de la plupart des services ? (information de non disponibilité).
iptables -A INPUT -i eth? -p icmp -j DROP
devrait faire l'affaire. A templatiser, je suppose.
Mais, pourquoi ne pas accepter le ping ? J'aimerais comprendre le pourquoi.
Sait on que le protocole icmp est NECESSAIRE au fonctionnement normal de la plupart des services ? (information de non disponibilité).
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par stack » 23 Sep 2007 19:36
Merci pour l'info, je vais essayer mais j'ai jamais templatisé alors je vais chercher un peu avant de mettre en oeuvre.
Sinon pour répondre à ta question, c'est juste une "précaution" contre des scans icmp, tout simplement.
Sinon pour répondre à ta question, c'est juste une "précaution" contre des scans icmp, tout simplement.
- stack
- Second Maître
- Messages: 32
- Inscrit le: 09 Déc 2006 10:49
- Localisation: Herault - Montpellier
par jdh » 23 Sep 2007 20:20
Voilà ce qui est le plus dangereux en sécurité : appliquer une règle de sécurité sans en connaître ni le pourquoi et ni le comment.
Le ping est pratique pour savoir immédiatement si une machine est présente. Il utilise les paquets icmp/0 et icmp/8 sous la forme d'un échange :
icmp/8=request echo <-> icmp/0=reply to a echo request
Autre exemple, Windows Xp (et Vista) détermine une interface à la "connectivité limitée" avec des paquets icmp ...
Je remarque que la plupart des très grand serveurs web (comme www.google.fr, www.yahoo.fr, ......) répondent au ping (ou tout au moins à icmp/0 et icmp/8 ).
A titre perso, depuis longtemps, je n'interdit pas (plus) icmp sur les firewalls que je gère. Des membres bien plus expérimentés que moi peuvent répondre à cette question ...
Par exemple, la section 5.2 de cette page (un peu ancienne puisque cela parle d'ipchains) : http://docs.mandragor.org/files/Operati ... WTO-5.html
Le ping est pratique pour savoir immédiatement si une machine est présente. Il utilise les paquets icmp/0 et icmp/8 sous la forme d'un échange :
icmp/8=request echo <-> icmp/0=reply to a echo request
Autre exemple, Windows Xp (et Vista) détermine une interface à la "connectivité limitée" avec des paquets icmp ...
Je remarque que la plupart des très grand serveurs web (comme www.google.fr, www.yahoo.fr, ......) répondent au ping (ou tout au moins à icmp/0 et icmp/8 ).
A titre perso, depuis longtemps, je n'interdit pas (plus) icmp sur les firewalls que je gère. Des membres bien plus expérimentés que moi peuvent répondre à cette question ...
Par exemple, la section 5.2 de cette page (un peu ancienne puisque cela parle d'ipchains) : http://docs.mandragor.org/files/Operati ... WTO-5.html
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par stack » 23 Sep 2007 21:40
C'est vrai, le ping est utile pour savoir si une machine est présente ou pas, moi je veux justement qu'elle ne soit pas visible depuis l'extérieur.
Il est vrai aussi que les gros serveur répondent au ping, et comme le dit le lien vers lequel tu pointe le ping est utile pour baisser la MTU etc...
Mais dans mes logs je me suis aperçu que j'avais beaucoup de tentatives d'entrée sur mon VPN avec des noms d'utilisateur comme adm, root, game, ftp,user.......et je pense que cela est la cause de mes erreurs 619 à répétition lors de mes connexions au VPN.
En fait j'ai bcp de problèmes de connexion au VPN, par contre quand je me connecte au VPN ça marche nickel, d'où mon envie de rendre mon serveur "transparent" lors d'un ping bien qu'un scan sur une plage de port puisse le détecter, on est à l'abri de rien.
Mais au moins comme cela je limite la casse et peut être que cela améliorera mes tentatives de connexion au VPN (actuellement je me connecte 1 fois sur 4).
Voila pour les explications, peut être que je suis à coté de la plaque mais je vais tenter.
Encore merci pour l'info.
Il est vrai aussi que les gros serveur répondent au ping, et comme le dit le lien vers lequel tu pointe le ping est utile pour baisser la MTU etc...
Mais dans mes logs je me suis aperçu que j'avais beaucoup de tentatives d'entrée sur mon VPN avec des noms d'utilisateur comme adm, root, game, ftp,user.......et je pense que cela est la cause de mes erreurs 619 à répétition lors de mes connexions au VPN.
En fait j'ai bcp de problèmes de connexion au VPN, par contre quand je me connecte au VPN ça marche nickel, d'où mon envie de rendre mon serveur "transparent" lors d'un ping bien qu'un scan sur une plage de port puisse le détecter, on est à l'abri de rien.
Mais au moins comme cela je limite la casse et peut être que cela améliorera mes tentatives de connexion au VPN (actuellement je me connecte 1 fois sur 4).
Voila pour les explications, peut être que je suis à coté de la plaque mais je vais tenter.
Encore merci pour l'info.
- stack
- Second Maître
- Messages: 32
- Inscrit le: 09 Déc 2006 10:49
- Localisation: Herault - Montpellier
par jdh » 23 Sep 2007 22:07
Et les script-kiddies, tu as entendu parler ! Les attaques par force brute, cela parle !
Une ip fixe, un port (standard) vpn visible comme le nez au milieu de la figure, ...
Je pense qu'il faut regarder les choses autrement.
Par exemple, j'ouvre quelque fois ssh sur des firewall avec le port traditionnel (tcp/22) ... mais je limite le nombre de sessions (NEW) par minute pour limiter CONSIDERABLEMENT les attaques de type force brute. Mais il faudrait aussi changer de port (et pas 222 au lieu de 22 !).
Des tunnels vpn, il ne doit pas s'en ouvrir 50 par minute, non ? Et puis une clé X509 (avec mot de passe long), c'est peut-être intéressant de regarder ... La force brute et les noms d'utilisateur connus, cela ne doit pas aimer une clé de 1024 bits.
Pourquoi OpenVpn utilise udp/1194 plutôt que tcp/???? (alors qu'udp est un protocole IP sans connexion par opposition à tcp).
Il y a des questions à se poser, et icmp n'est pas la réponse.
Une ip fixe, un port (standard) vpn visible comme le nez au milieu de la figure, ...
Je pense qu'il faut regarder les choses autrement.
Par exemple, j'ouvre quelque fois ssh sur des firewall avec le port traditionnel (tcp/22) ... mais je limite le nombre de sessions (NEW) par minute pour limiter CONSIDERABLEMENT les attaques de type force brute. Mais il faudrait aussi changer de port (et pas 222 au lieu de 22 !).
Des tunnels vpn, il ne doit pas s'en ouvrir 50 par minute, non ? Et puis une clé X509 (avec mot de passe long), c'est peut-être intéressant de regarder ... La force brute et les noms d'utilisateur connus, cela ne doit pas aimer une clé de 1024 bits.
Pourquoi OpenVpn utilise udp/1194 plutôt que tcp/???? (alors qu'udp est un protocole IP sans connexion par opposition à tcp).
Il y a des questions à se poser, et icmp n'est pas la réponse.
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par stack » 23 Sep 2007 22:36
Oui j'ai entendu parler des scripts-kiddies, et les attaques par force brute aussi.
Je suis à l'écoute de tout ce qu'on me dit et ne cherche qu'à apprendre.
Donc je veux bien mettre en œuvre tout ce que tu me dis.
N'étant pas un pro d'IPTABLE, je le reconnais, voir même novice cela ne me pose pas de problème.
- Donc comment modifier le port par défaut 1723 du VPN sous ma SME ?
- Comment mettre en place une clé X509 sous SME ?
- Comment limiter le nombre de session par minute ?
Je pense que plusieurs personnes peuvent être intéressés par ces questions.
Je vais aussi regarder Open VPN de plus près, il est vrai que j'ai pris la solution de facilité pour le VPN avec
PPTP et le client fourni directement sous Win XP j'ai pas voulu trop m'embêter.
Si tu a un tuto pour SME qui dit tout ça, ça m'arrange, sinon je me débrouillerais à rechercher ça ne me pose pas de problème, et OK, je vais prendre un autre port que le 222 pour SSH.
Donc je vais me documenter, essayer et si je trouve pas je t'appelle.
Merci pour tous ces conseils.
Je suis à l'écoute de tout ce qu'on me dit et ne cherche qu'à apprendre.
Donc je veux bien mettre en œuvre tout ce que tu me dis.
N'étant pas un pro d'IPTABLE, je le reconnais, voir même novice cela ne me pose pas de problème.
- Donc comment modifier le port par défaut 1723 du VPN sous ma SME ?
- Comment mettre en place une clé X509 sous SME ?
- Comment limiter le nombre de session par minute ?
Je pense que plusieurs personnes peuvent être intéressés par ces questions.
Je vais aussi regarder Open VPN de plus près, il est vrai que j'ai pris la solution de facilité pour le VPN avec
PPTP et le client fourni directement sous Win XP j'ai pas voulu trop m'embêter.
Si tu a un tuto pour SME qui dit tout ça, ça m'arrange, sinon je me débrouillerais à rechercher ça ne me pose pas de problème, et OK, je vais prendre un autre port que le 222 pour SSH.
Donc je vais me documenter, essayer et si je trouve pas je t'appelle.
Merci pour tous ces conseils.
- stack
- Second Maître
- Messages: 32
- Inscrit le: 09 Déc 2006 10:49
- Localisation: Herault - Montpellier
par jdh » 23 Sep 2007 23:28
port 1723 ? Mais c'est du PPTP ! C'est pas un vpn ça ! Enfin pas un vpn d'une grande sécurité !
Un Vpn c'est IPsec ou OpenVpn. Pour le premier, il est difficile de trouver des clients libres et free. Le second est libre et assez aisé à mettre en oeuvre.
Enfin je ne sais pas sous SME. Mais il faut chercher ... J'ai cru lire qu'à partie de la 7.2 cela est dispo.
Ce qu'il faut comprendre c'est que les protocoles d'origine Microsoft sont systématiquement testés par tout un tas de script-kiddies. Et ce n'est pas en fermant icmp qu'on solutionne cela.
Un Vpn c'est IPsec ou OpenVpn. Pour le premier, il est difficile de trouver des clients libres et free. Le second est libre et assez aisé à mettre en oeuvre.
Enfin je ne sais pas sous SME. Mais il faut chercher ... J'ai cru lire qu'à partie de la 7.2 cela est dispo.
Ce qu'il faut comprendre c'est que les protocoles d'origine Microsoft sont systématiquement testés par tout un tas de script-kiddies. Et ce n'est pas en fermant icmp qu'on solutionne cela.
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par stack » 23 Sep 2007 23:50
Je sais que PPTP c'est pas tip top niveau sécurité, tant fait pas j'ai bien retiendu la leçon.
Mais j'étais un peu pressé et un peu fainéant sur le coup aussi alors j'ai pris le plus facile à mettre en place.
Je me penche sur Open VPN de suite, enfin demain surement.
Mais j'étais un peu pressé et un peu fainéant sur le coup aussi alors j'ai pris le plus facile à mettre en place.
Je me penche sur Open VPN de suite, enfin demain surement.
- stack
- Second Maître
- Messages: 32
- Inscrit le: 09 Déc 2006 10:49
- Localisation: Herault - Montpellier
par chpego » 24 Sep 2007 07:29
Sur ce site il y a un how-to (fonctionnel) pour mettre en place OpenVPN http://sme.swerts-knudsen.dk/
Cordialement,
ap
Cordialement,
ap
SME7 Final (Serveur et Passerelle ) :
- ANTEC SLK3000B-EU
- ASROCK K7VT4A PRO
- AMD Duron 850Mhz
- KINGSTON 1024Mo PC3200
- Maxtor 80Go (IDE), Western Digital 320Go (SATAII)
- ANTEC SLK3000B-EU
- ASROCK K7VT4A PRO
- AMD Duron 850Mhz
- KINGSTON 1024Mo PC3200
- Maxtor 80Go (IDE), Western Digital 320Go (SATAII)
-
chpego - Enseigne de vaisseau
- Messages: 156
- Inscrit le: 16 Fév 2006 19:01
- Localisation: Strasbourg
par jibe » 24 Sep 2007 19:13
Salut,
Pardon de polluer le topic avec un hors sujet, mais comme il en a été question et que je pense que ce sera aussi instructif pour d'autres...
Qu'en est-il réellement de la sécurité avec PPTP ? Je pense en effet que la mauvaise réputation de PPTP - sans toutefois le comparer à un "vrai" VPN IPSEC ou openVPN - vient du fait que c'est utilisé sous Windows, avec les nombreuses failles de sécurité qu'on connait sur ce système, et un codage sous 40 bits.
Je pense que la version PPTP utilisée sous SME, codée en 128 bits, surtout si elle est utilisée conjointement avec des postes distants sous Linux, n'a rien à voir et est relativement sûre ?
Pardon de polluer le topic avec un hors sujet, mais comme il en a été question et que je pense que ce sera aussi instructif pour d'autres...
jdh a écrit:c'est du PPTP ! C'est pas un vpn ça ! Enfin pas un vpn d'une grande sécurité !
Qu'en est-il réellement de la sécurité avec PPTP ? Je pense en effet que la mauvaise réputation de PPTP - sans toutefois le comparer à un "vrai" VPN IPSEC ou openVPN - vient du fait que c'est utilisé sous Windows, avec les nombreuses failles de sécurité qu'on connait sur ce système, et un codage sous 40 bits.
Je pense que la version PPTP utilisée sous SME, codée en 128 bits, surtout si elle est utilisée conjointement avec des postes distants sous Linux, n'a rien à voir et est relativement sûre ?
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)
Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
-
jibe - Amiral
- Messages: 4366
- Inscrit le: 17 Oct 2003 00:00
- Localisation: Haute Savoie
par jdh » 24 Sep 2007 21:42
Bonsoir Jibe.
Je crois qu'il faut parler de PPTP comme protocole "historique".
Il y a eu dans le temps de (très) sérieuses failles qui ont été progressivement corrigés. PPTP est un standard "Microsoft" ce qui n'est pas le meilleur signe même si cela est très discutable.
Le cryptage est, d'après ce que je sais, récurrent et cyclique, comme WEP et non comme WPA (changement de clé tous les X ko échangés). C'est à dire qu'il n'est pas conseillé de créer un lien de longue durée. On peut, bien évidemment, augmenter le cryptage (enfin la longueur de clé).
Je ne crois pas que l'établissement du lien se réalise autrement que par un couple identifiant/mot de passe, au contraire des systèmes de clés x509.
Aujourd'hui, les tunnels de type IPsec ou OpenVPN sont, d'une part, ouverts et, d'autre part, très aisé à mettre en oeuvre. (IPsec fait même partie intégrante de IPv6).
Alors pourquoi utiliser un protocole qui a fait son temps ... (Windows préconise plutôt L2TP comme successeur de PPTP).
(Il faut prendre en compte dans la qualité d'un protocole de tunnel : le type de cryptage, l'échange de clé, le passage au travers de NAT, ...)
Une page d'un site de référence : http://www.frameip.com/vpn/
Je crois qu'il faut parler de PPTP comme protocole "historique".
Il y a eu dans le temps de (très) sérieuses failles qui ont été progressivement corrigés. PPTP est un standard "Microsoft" ce qui n'est pas le meilleur signe même si cela est très discutable.
Le cryptage est, d'après ce que je sais, récurrent et cyclique, comme WEP et non comme WPA (changement de clé tous les X ko échangés). C'est à dire qu'il n'est pas conseillé de créer un lien de longue durée. On peut, bien évidemment, augmenter le cryptage (enfin la longueur de clé).
Je ne crois pas que l'établissement du lien se réalise autrement que par un couple identifiant/mot de passe, au contraire des systèmes de clés x509.
Aujourd'hui, les tunnels de type IPsec ou OpenVPN sont, d'une part, ouverts et, d'autre part, très aisé à mettre en oeuvre. (IPsec fait même partie intégrante de IPv6).
Alors pourquoi utiliser un protocole qui a fait son temps ... (Windows préconise plutôt L2TP comme successeur de PPTP).
(Il faut prendre en compte dans la qualité d'un protocole de tunnel : le type de cryptage, l'échange de clé, le passage au travers de NAT, ...)
Une page d'un site de référence : http://www.frameip.com/vpn/
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par jibe » 25 Sep 2007 21:57
Salut,
Merci pour tes réponses toujours claires et instructives, jdh
Nous l'utilisons assez souvent dans l'équipe de dev FreeEOS (bien que FreeEOS ait IPSEC installé d'origine !) pour des connexions temporaires à une machine distante à laquelle nous n'avons habituellement pas d'accès. Simplement parce que c'est très facile à faire depuis n'importe quelle machine, sous n'importe quel OS (enfin, au moins W$ et Linux, jamais étudié la question pour d'autres !). Mais il est certain que pour toute liaison plus durable ou régulière, il faut choisir un "vrai" VPN
Merci pour tes réponses toujours claires et instructives, jdh
jdh a écrit:Alors pourquoi utiliser un protocole qui a fait son temps ...
Nous l'utilisons assez souvent dans l'équipe de dev FreeEOS (bien que FreeEOS ait IPSEC installé d'origine !) pour des connexions temporaires à une machine distante à laquelle nous n'avons habituellement pas d'accès. Simplement parce que c'est très facile à faire depuis n'importe quelle machine, sous n'importe quel OS (enfin, au moins W$ et Linux, jamais étudié la question pour d'autres !). Mais il est certain que pour toute liaison plus durable ou régulière, il faut choisir un "vrai" VPN
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)
Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
-
jibe - Amiral
- Messages: 4366
- Inscrit le: 17 Oct 2003 00:00
- Localisation: Haute Savoie
15 messages
• Page 1 sur 1
Retour vers E-Smith / SME Server
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité