Serveur hacker pour servir de passerelle?

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Serveur hacker pour servir de passerelle?

Messagepar Dark-Ikari » 09 Nov 2004 10:02

Bonjours à tous

Je travaille pour une société en management de projet, et actuellement, notre serveur de e-leaning est continuellement en activité réseaux.

Après plusieurs monitoring, j'ai repérer 1 adresse IP qui me redirige vers un hosting au dannemark, l'ip : 195.140.132.54, il effectue des requêtes toutes les secondes (voir +) et cela utilise 50% de notre bande passante. Malheureusement, sur nos serveur nous n'avons aucun firewall, uniquement un anti-virus

Qu'ellequ'un aurais une aide a m'apporter sur la possibilité de bloquer cette adresse IP définitivement de notre serveur? ou simplement pouvoir arrêter cette surcharge sur notre serveur?

Merci de votre aide par l'avance clindoeil.gif

PS : notre serveur tourne sur windows 2000 serveur avec IIS 5.0

:-({|=
Dark-Ikari
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 24 Mai 2004 16:35

Messagepar Dark-Ikari » 09 Nov 2004 11:38

Je vient de voir sur un autre post que le plus gros problème actuel est le firewall (que nous n'avons pas).

Je voudrais donc, a partir de là, savoir si vous auriez une solution LOGICIEL pour mon problème?. Nous avons déjà un firewall matériel que nous avons essayer de configurer (un ZyWall 70, très bonne qualité) mais n'arrive a fonctionner que sur notre réseau, il fait planter le réseau si nous y installons le serveur web, me demandez pas pourquoi.

Je voudrais juste, si vous pouvez bien entendu, avoir une solution logiciel a ce problème, juste momentanément
Dark-Ikari
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 24 Mai 2004 16:35

Messagepar tomtom » 09 Nov 2004 11:44

Salut,

Avoir un serveur IIS tout seul sans Firewall connecté à Internet, c'est faire preuve de beaucoup de courage (ou d'inconscience ?).

Au niveau "Firewall logiciels", on trouve pâr exemple kerio, zone alarm, des produits norton....

A toi de voir... Une recherche dans google te donnera une longue liste, perso je te consielle kerio.

Maintenant, si votre servuer web est tant soit peu important, je te conseille vivement de faire appel à une petite boite, ou à un indépendant, qui pourra te mettre en place rapidement une solution avec un vrai firewall (genre ipcop sur un vieux pc), et un servuer web un peu plus costaud (Apache par exemple...)


a+
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar Dark-Ikari » 09 Nov 2004 11:50

Je suis tout a fait daccord que ma boite est inconsciente... j'ai plusieurs fois avertit que faire tourner du windows SANS firewall, sans AUCUNE protection, c'est suicidaire...


Kerio fonctionne sur une plateforme windows 2000 serveur? car pour ce que j'ai pu voir jusqu'à maintenant, il tourne sous windows 2000 et Xp...

je vais quand même continuer mon inverstigation, merci pour ton aide
Dernière édition par Dark-Ikari le 09 Nov 2004 19:18, édité 1 fois au total.
Dark-Ikari
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 24 Mai 2004 16:35

Messagepar tomtom » 09 Nov 2004 11:55

Dark-Ikari a écrit:Malheureusement, le patron n'est pas très "up-to-date"par rapport aux problèmes d'internet.


Et de lui montrer que 50% de la bande passante qu'il paye est utilisée par des inconnus, et si ca se trouve peremt à des tiers d'utiliser à leur compte les données de ta boîte, ca le rend pas un peu plus "up2date" ton patron ???

Moi ce que j'en pense....

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar Dark-Ikari » 09 Nov 2004 12:00

Pour ce qui est des données, privée de l'entreprise, tout est à l'intérieur du réseau, et lui est protéger, il n'y a pas de problème de ce côté là.

Je pense que ce soir, durant la maintenance, je reesayerais de le brancher sur la DMZ de notre firewall...
Dark-Ikari
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 24 Mai 2004 16:35

Messagepar LorD_JLP » 09 Nov 2004 12:04

Hello !

- Une première approche serait de connaitre le type de données transitant via ton serveur (via un analyseur de protocole par exemple : Analyzer, Ethereal, etc ...) afin de pouvoir conserver une trace des données, en vue de poursuites, s'il y'a bien lieu.
- Ensuite, installe effectivement un firewall, car je pense effectivement que c'est de l'inconscience que de laisser un IIS sur un frontal, sans cette précaution minimaliste ... Le passage des divers "Service Pack" et patchs Microsofts ont, bien entendus, été passé par tes soins pour eviter tous risues de rookiting de ta machine ?
- Pour finir, effectue un test complet de ta machine, afin de savoir si elle ne sert pas aussi de serveur FTP anonyme (par exemple ...), de serveur IRC, ou alors que des petites bestiolles y sont tranquillement installée ...

N'hésites pas à demander de l'aide en cas de besoin !
[ LorD JLP... | www.biuns.fr.st | #BiUns@undernet.org ]
[ 9T <-> SpeedTouch <-> NuxBox MDK <-> HomeLan | WifiLAN ]
Avatar de l’utilisateur
LorD_JLP
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 157
Inscrit le: 01 Août 2003 00:00
Localisation: Eckbolsheim - France

Messagepar danielP » 09 Nov 2004 12:39

La mise en place du firewall n'est même pas a discuter, elle est indispensable!!!....

Malheureusement, le patron n'est pas très "up-to-date"par rapport aux problèmes d'internet.


A ce niveau la sécurité ne releve meme pas du patron, mais de l'administrateur du reseau ou de la personne qui en fait office. Pas de sécurité implique pas de connexion internet!....

Je suis peut-être un peu radical ou parano mais une entreprise, quelle qu'elle soit, ne peut pas se permettre de jouer avec sa sécurité, les exemples sont trop nombreux...
Avatar de l’utilisateur
danielP
Second Maître
Second Maître
 
Messages: 43
Inscrit le: 07 Mars 2004 01:00
Localisation: BREST

Messagepar Dark-Ikari » 09 Nov 2004 12:45

Les mises a jours sont toutes faite (par moi)

D'après ce que j'ai pu tirer d'information, les attaques sont de type : Ping of death

Je suis en train de trouver une solution de pouvoir bloquer le trafic ICMP directement sur windows, en attedant d'avoir pu tester un firewall efficasse.... du genre Kerio firewall Serveur, ou Zone Alarm.

J'ai eu l'aval de mon patron pour le budget, il ma dit : j'en ai rien a $%#&! du prix à y mettre (pas trop excessif quand même), je veux un serveur fonctionnel et sécurisé.

Du boulot sur la planche pour tout rattraper.

Pour répondres aux questions :

Aucun virus (Norton Antivirus 9 édition serveur est installer et mise a jour) aucun problème détecté
Serveur FTP : impossible, la taille du disque n'à pas changer depuis 4 semaines et il ne fait que 7Go le HD...
IRC : cela m'étonnerais, vu que mes statistiques d'après l'analyseur réseaux indique du trafique ICMP
Dark-Ikari
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 24 Mai 2004 16:35

Messagepar mat67 » 09 Nov 2004 14:29

Dark-Ikari a écrit:Les mises a jours sont toutes faite (par moi)

D'après ce que j'ai pu tirer d'information, les attaques sont de type : Ping of death

Je suis en train de trouver une solution de pouvoir bloquer le trafic ICMP directement sur windows, en attedant d'avoir pu tester un firewall efficasse.... du genre Kerio firewall Serveur, ou Zone Alarm.

J'ai eu l'aval de mon patron pour le budget, il ma dit : j'en ai rien a $%#&! du prix à y mettre (pas trop excessif quand même), je veux un serveur fonctionnel et sécurisé.

Du boulot sur la planche pour tout rattraper.

Pour répondres aux questions :

Aucun virus (Norton Antivirus 9 édition serveur est installer et mise a jour) aucun problème détecté
Serveur FTP : impossible, la taille du disque n'à pas changer depuis 4 semaines et il ne fait que 7Go le HD...
IRC : cela m'étonnerais, vu que mes statistiques d'après l'analyseur réseaux indique du trafique ICMP


salut,

test ton serveur avec ce site, tu aura des surprises je pense. (et du boulot pour colmater le bordel ...)

http://www.grc.com/default.htm (test ShieldsUP! par exemple)

a+

mat.
Avatar de l’utilisateur
mat67
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 245
Inscrit le: 23 Juin 2004 23:05
Localisation: Somewhere in Alsace ...

Messagepar Dark-Ikari » 09 Nov 2004 23:49

Voila, je voulais juste vous tenir au courant (j'ai bosser jusqu'a 22H45 environ)

Alors pour ce qui est de ce problüme, j'ai pour l'instant, bloquer les reponse au ping via IPCop, donc la bande passante est toujours utilisée, mais notre "hackeur" croira que nous sommes invisible ou que le serveur a crasher.

J'ai eu par la même occasion l'aval de mon patron pour acheter un routeur qui fera office de firewall.

voilà tout

Merci pour vos info a tous

et bonne nuit

:D
Dark-Ikari
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 24 Mai 2004 16:35

Messagepar jdh » 10 Nov 2004 01:51

Cela est tout simplement stupéfiant ! Une société de management de projet qui met un serveur web (microsoft de surcroit) en direct sur Internet avec un "débutant" comme administrateur. Moi ça me dépasse.

Il est tout à fait évident qu'un routeur est un premier niveau de sécurisation. Mais c'est insufisant.

Il faut (faudrait) :

- mettre à jour l'OS par Windows Update (de façon régulière : 1 fois par semaine).
- un antivirus à jour (et qui ne pompe pas toute la puissance machine).
- un firewall de type "statefull" comme un linux 2.4 + netfilter (sur une autre machine bien sur).
- des règles de filtrages adaptés : le ping n'est nullement mauvais en soi.
- un contrôle régulier des logs : tant des refus de communication que des accès serveurs web.
- des regles de blocages en cas d'abus.

On pourrait aussi ajouter un reverse proxy (par exemple squid) pour limiter encore plus les risques liés aux faiblesses d'IIS. Cela permettra de filter (un peu) le traffic de type http.

Le plus important dans la sécurité, c'est la "politique". Définir est l'essentiel, la mise en oeuvre est affaire d'experts. Il faut ajouter la nécessité impérative de contrôler et d'ajuster en permanence après la mise en oeuvre initiale.

Il me semble évident que tout cela exige une expérience, et que cela a un coût.
Je confirme qu'il existe des indépendants ou des petites sociétés capables d'apporter l'expertise nécessaire (indispensable).
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Dark-Ikari » 10 Nov 2004 17:48

@ jdh

en 4ans d'existence, cela est bien le premier problème de piratage ui apparaît.

Hé oui, desolé d'être débutant, tient, pour te choquer encore plus, je suis stagière informaticien en PROGRAMMATION dans cette entreprise, je suis pas dans le réseaux. Le e-learning n'est pas notre outils "fare" de la société.

Les 2 premier point et le 5ème que tu souligne sont rempli. pour ce qui est de linux, j'éviterais des commentaires, même si il est vrai qu'il est bien plus sécurisé que windows. Autant faire tourner un bon firewall // routeur Cisco la derrière...

Ont ne va pas dépenser 3000€ dans de "l'out-sourcing" alors que un simple routeur à 400€ et prendrais 1/2 journée a configurer ferais l'affaire pour bloquer les risques les plus importants. tant que les serveurs internes avec les données sont protégées...
Dark-Ikari
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 24 Mai 2004 16:35

Messagepar jdh » 10 Nov 2004 23:08

J'entends bien les explications.
Ce qu'il est important de comprendre c'est les différences :

- un routeur va faire du nat : masquage de l'adressage interne (remplacement par l'adresse externe) + renvoi vers une machine interne pour le port 80 (=http)
- un firewall (quelque soit l'OS) peut agir de même : c'est le cas du vieux "ipchains".
- un firewall de type "state-full" (cas de "iptables") agit plus finement en considérant les "sessions" avec tous les flags de trame tcp. C'était l'argument plus il y a quelques années de Checkpoint, et qui était vendu au prix fort.

Tout cela pourrait être appelé un coupe-circuit. Le plus aujourd'hui c'est d'analyser à l'intérieur de la session si c'est conforme au protocole prévu. Checkpoint a suivi ainsi des firewalls comme Raptor (aujourd'hui Symantec). C'est l'idée d'utiliser un (reverse) proxy.

Blaster est (était) un virus qui sait exploiter, par une commande mal formée du protocole, une faille du serveur IIS de microsoft. C'est l'intéret de la démarche que je suggère.


On ne fera pas mettre un serveur Windows en direct sur Internet. Mais j'ai 10 ans de système et réseaux derriere moi.

Pour en revenir à la société, une telle absence de compréhension des principes de base de sécurité m'interpelle sur les autres prestations possibles. Mon job, je le vois bien, comme protection contre les stupidités de consultants qui en impose par leurs costumes et l'apparente cohérence du discours. Avec moi, dans mon domaine, il y en a peu qui résistent plus d'une heure ou deux, et j'en ai vus.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar garonain » 18 Nov 2004 20:27

Je pense qu'il serait de bon ton malgré le fait de mettre un firewall statefull (i.e. il sait reconnaitre un flux selon les informations de niveau réseau et transport) d'installer tout de même un firewall applicatif pour pouvoir filtrer les programmes (il faut que tu considères qu'il y a peut être des programmes non désirés sur ton serveur). Ex zone alarme, outpost et tant d'autres que je ne connais pas.

Un firewall applicatif va te dire quel programme tente de comuniquer (tu pourras les bloquer ou non) et ils sont assez simple à configurer. Tout ça parce qu'il existe des petits programmes qui peuvent permettre de passer outre un filtrage de niveau réseau/transport en utilisant le protocole HTTP (que tu laisseras obligatoirement ouvert sur ton firewall). Si quelqu'un a installé un tel programme sur ton serveur, un firewall statefull ne peut empêcher des communications non désirées avec ton serveur.

Pour ce qui est de l'entreprise, je pense qu'il sert à rien de $%#&! contre elle puisque c'est le pauvre stagiaire qui récupère le bébé avec qui on parle.
garonain
Matelot
Matelot
 
Messages: 2
Inscrit le: 18 Nov 2004 19:52

Suivant

Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité