Désactiver la réponse au ping

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Désactiver la réponse au ping

Messagepar sauveur » 07 Mai 2004 12:21

Bonjour tt le monde,

Quelqu'un saurait-il comment faire en sorte que ipcop ne réponde pas aux pings sur l'interface rouge.


Merci d'avance ...
sauveur
Matelot
Matelot
 
Messages: 2
Inscrit le: 07 Mai 2004 12:19

Messagepar ShonGail » 07 Mai 2004 12:55

Avatar de l’utilisateur
ShonGail
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 207
Inscrit le: 21 Fév 2003 01:00

Messagepar Franck78 » 07 Mai 2004 13:21

@sauveur,
Salut,


C'est tout à fait inutile. Perte de temps totale.
Seul interet, lire pour comprendre le principe.

En plus: si tu as un Ipcop 1.4 et que tu appliques sans réfléchir ce que tu liras sur le lien indiqué, tu te feras jeter si tu reviens signaler que ça ne marche pas....


Bye
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar sauveur » 07 Mai 2004 14:16

Pourquoi tu dis ça, ça fonctionne pas?
sauveur
Matelot
Matelot
 
Messages: 2
Inscrit le: 07 Mai 2004 12:19

Messagepar Julien77 » 07 Mai 2004 20:43

le rc.firewall (règles du firewall) de la 1.3 est différent du rc.firewall de la 1.4

Donc les modifs d'Antolien prévues pour une 1.3 ne fonctionneront pas si tu les appliques à l'endroit indiqué de ton fichier rc.firewall sur une 1.4

Pour une 1.4 , il faut rajouter le texte en gras ci dessous ds rc.firewall à la ligne 146 et à cet endroit précis

.
.
.
# Allow ICMP echo-request (ping), all other essential ICMP will be either
# ESTABLISHED or RELATED, and the rest caught by the default DENY policy
/sbin/iptables -A INPUT -p icmp --icmp-type echo-request -i $IFACE -j DROP
/sbin/iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
.
.
.


@Franck78 , je comprends le fait que tu dises que ça ne sert pas à grand chose de couper la réponse du ping, mais comprend que ça ne sert à rien non plus de la laisser. La question à se poser est "est ce que ça m'est utile ? " tout en gardant à l'esprit que sécuritairement parlant, il vaut mieux restreindre au plus les ouvertures possibles. J'ai déjà remarqué ds de nombreux posts que tu prônes l'ouverture de la réponse au ping... sans jamais t'expliquer... Peux tu un peu m'éclairer et m'expliquer le fond de ta pensée ?


ouala

A +


[/b]
Julien
Julien77
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 05 Mai 2004 15:20

Messagepar Franck78 » 08 Mai 2004 00:23

C'est un outil de diagnostic. Il n'apprendra pas grand chose sur ta machine à un attaquant, Il n'aidera que peut à dissimuler ta machine.
Donc zéro avantage.
Alors qu'un jour ou l'autre tu balanceras un ping à ta machine parceque tu en installe une autre (besoin de tester) ou tu mets en place un vpn, que sais-je encore.
Par contre tu peux imposer certaines limitations:fréquence et taille.


Maintenant, si ca t'aide à mieux dormir, fais-le...

Donc trouvent inutile de masquer le ping:
Moi,
Tomtom,
Antolien,
D'autres ixusiens,
Microsoft,
Novell,
Wanadoo,
et la liste est infinie.

Voila. C'est un avis partagé par beaucoup tu vois.


Bye
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar Julien77 » 08 Mai 2004 02:14

Désolé que tu l'aies pris pour une critique...

Maintenant je connais mieux ton point de vue, mais je persiste à préférer couper le ping... j'ai du mal à suivre les conseils de micro$oft :wink:

C'est clair que du point de vue de wanadoo, ils préfèrent dépanner un client dont le poste répond au ping plutot qu'un poste qu'il sera moins évident à "voir" sur le réseau.

Enfin voilà... pour ou contre, les avis sont partagés... donc pour les newbies qui ne veulent utiliser ipcop que comme une boite noire, faites l'install initiale, et n'y touchez plus. Pour celles ou ceux qui souhaitent aller plus loin, allez y ! Poussez votre reflexion à bout, lisez plein de docs, recherchez astucieusement sur les net des infos, mais évitez le plus possible de laisser des posts inutiles sur les forums car c'est exaspèrant de voir 36 fois les mêmes questions.
Julien
Julien77
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 05 Mai 2004 15:20

Messagepar Franck78 » 08 Mai 2004 02:30

Je n'ai pas vu de critique... Tu me demandes pourquoi je trouve inutile de masquer le ping, je te répond.


Salut ;-)
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar tomtom » 08 Mai 2004 12:04

Julien77 a écrit: # Allow ICMP echo-request (ping), all other essential ICMP will be either
# ESTABLISHED or RELATED, and the rest caught by the default DENY policy
/sbin/iptables -A INPUT -p icmp --icmp-type echo-request -i $IFACE -j DROP
/sbin/iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT

Ca c'est bien interessant.

DROP puis ACCEPT de la même chose !
Belle reflexion ;)
Comme quoi, effectivement, il faut LIRE ET COMPRENDRE

tout en gardant à l'esprit que sécuritairement parlant, il vaut mieux restreindre au plus les ouvertures possibles.


Et ben voyons.
Securitairement parlant, comme pour tout, il faut savoir ce qu'on fait.
ICMP ets un protocole de diagnostic. Il propose un certain nombre de fonctionalités. Un certain nombre de problèmes aussi, comme tout protocole. A chacun de savoir ce qu'il veut faire.
Mais le gros problème, c'est que beaucoup affirment que de bloquer le ping ameliore la securité, ce qui est une aberration. Et à force de voir ça, on retrouve des gens dont le but est de bloquer le ping, alors qu'il est mille choses plus interressantes à faire avant pour ameliorer la séucrité d'ipcop...


j'ai du mal à suivre les conseils de micro$oft

Si c'est ca qui te bloque..

essaye donc, pour voir, un ping sur www.linux.org, free.fr, google.fr, kernel.org .... ixus.net ;)

Bizarre que tous ces acteurs majeurs ( ;) ) decident de ne pas bloquer le ping... Seraient-ils fous ???

Ceci dit, si tu te sens mieux avec le ping bloqué, libre à toi..
Mais, AMHA, les personnes qui pensent avoir besoin de bloquer les requetes icmp type 8 pour parfaire leur sécurité ne devraient pas vaoir besoin de recopier la ligne sur un site..
Car s'ils sont soucieux de leur sécu eefectivement, ils ne copiereont pas dans leurs fichiers de configuration une ligne qu'un inconnu leur a fourni sur internet.
Parceque sinon, le prochain qui demande, moi je lui dis de taper "iptables -I INPUT -p icmp -j DROP; iptables -I INPUT -j ACCEPT" et je rigole...

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar ShonGail » 08 Mai 2004 15:04

Loin de moi l'idée d'envenimer un débat déjà houleux mais dans l'Informaticien de ce mois ci, dans un dossier sur la sécu au niveau serveur, il est conseillé de désactiver le ping.

Il faudrait effectivement savoir quelles informations dommageables à la sécu sont accessibles avec un ping et/ou si l'acceptation du ping ne peut-être une possibilité d'attaques ?
Avatar de l’utilisateur
ShonGail
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 207
Inscrit le: 21 Fév 2003 01:00

Messagepar Julien77 » 10 Mai 2004 23:47

Hello les gens !

@tomtom , merci pour l'info... mais bon, moi ce que je voulais faire (je débute en la matière sous linux) c'était de bloquer l'icmp request sur l'interface red et l'autoriser sur la green.
Merci de me dire si je me suis planté, en prenant en compte ce paramètre.

Quant à l'ouverture ou non de cette requête, je ne pense pas moi non plus qu'elle soit d'une gravitude extremiste. Mais comme dit, chacun fait c'qui lui plait.

Ah ! eh pi Tomtom, arrête de prendre les gens de haut comme ça steuplait, c'est très désagréable. On est pas là pour se rentrer dedans, on a tous un truc à apprendre les uns des autres.

C'est vrai quoi, on est pas sur caramail là ! :wink:

A+
Julien
Julien77
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 05 Mai 2004 15:20

Messagepar tomtom » 11 Mai 2004 00:00

Julien77 a écrit:Hello les gens !

@tomtom , merci pour l'info... mais bon, moi ce que je voulais faire (je débute en la matière sous linux) c'était de bloquer l'icmp request sur l'interface red et l'autoriser sur la green.
Merci de me dire si je me suis planté, en prenant en compte ce paramètre.


Tu ne t'es pas planté, mais la seconde ligne ne sert strictement à rien. En effet, elle n'est là que pour autoriser le ping sur l'interface red, sachant que par defaut tout est autorisé sur l'interfca green...
Ceci dit, ce n'est surement pas un problème, c'est juste une mise en valeur du fait que le script a été ecrit en plusieurs fois sans reflexion globale.

Quant à l'ouverture ou non de cette requête, je ne pense pas moi non plus qu'elle soit d'une gravitude extremiste. Mais comme dit, chacun fait c'qui lui plait.

Je ne reviens pas là dessus....

Ah ! eh pi Tomtom, arrête de prendre les gens de haut comme ça steuplait, c'est très désagréable. On est pas là pour se rentrer dedans, on a tous un truc à apprendre les uns des autres.

C'est vrai quoi, on est pas sur caramail là ! :wink:

A+


Je ne pense avoir pris personne de haut.
Une pointe d'enervement peut etre liée au fait que c'est au moins la 20 eme fois que la question "comment bloquer le ping" est posée (la flemme de faire la recherche pour compter..), et que comme au loto, 100% des poseur de question appliquent une règle qui leur est donnée sans la comprendre, et ça c'est tout sauf de la sécurité...
Et en plus, à chaque fois on nous rabache "c'est mieux pour la sécurité de bloquer le ping", sans argument et au risque de faire croire à ceux qui débutent que c'est un acquis social...

A+

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar emptiness » 11 Mai 2004 00:49

Moi perso, j'aime mieux bloquer le ping pour que les newbies,lorsqu'il décide de checker si il y qqc à cette adresse, en restent là.

En passant lorsque ipcop utilisera Shorewall, il faudrait pas qu'ils oublient d'activer le ping parce que par défaut il est désactivé.

Donc a chacun de faire ce qu'il veut mais je cite:

DEFINITION: PING
sg. m.

[INTERNET] Packet INternet Groper. « Faire un PING » consiste à envoyer une requête ICMP à un serveur. S'il répond, c'est qu'on a des chances de pouvoir l'atteindre. Sinon, c'est qu'il est en panne ou inaccessible. Originellement, Ping n'était que le nom du petit programme Unix qui permet de faire cela (et d'après son auteur, ce nom ne voulait rien dire à l'origine).

Moi, j'aime mieux le "Sinon" mais à vous de juger.


A+

God of Emptiness
Avatar de l’utilisateur
emptiness
Second Maître
Second Maître
 
Messages: 33
Inscrit le: 18 Fév 2004 01:00

Messagepar Fredish » 11 Mai 2004 01:14

Qu'il y ait quelqu'un à une adresse définie est somme toute très banal. Il peut aussi bien avoir la même adresse 24 heures, que deux minutes. Ca ne donne en rien des informations sur le système utilisé, et encore moins sur la sécurité de celui-ci. On peut dire qu'après, ayant l'adresse, quelqu'un peut tenter un scan de ports... Ben, finalement, y a autant de chances de tomber sur un système mal administré en tapant une adresse au hasard. C'est peut-être un peu parano d'avoir la manie de tout bloquer comme ca...
Avatar de l’utilisateur
Fredish
Vice-Amiral
Vice-Amiral
 
Messages: 571
Inscrit le: 29 Août 2003 00:00

Messagepar emptiness » 11 Mai 2004 05:24

Quelque fois ca peut etre utile. La personne peut surveiller ton ordinateur durant un Dos attack. Quand ton pc envoie la réponse a un ping, il envoi l'information a savoir qu'elle est l'impact de l'attaque sur ton pc.

Mais c'est vrai que j'ai jamais entendu parler que quelqu'un a été oubliger de réinstaller son poste à cause qu'il s'est fais attaqué à coup de ping, lol!!!!!


God of Emptiness :D
Avatar de l’utilisateur
emptiness
Second Maître
Second Maître
 
Messages: 33
Inscrit le: 18 Fév 2004 01:00

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron