attaque, log et réaction !

[super_ptit_nico]

Bonjour à tous !

J’ai une question basique à laquelle je ne trouve pas de réponse "claire et vulgarisée" sur le forum :

-Lorsque mon réseau est "attaqué" comment réagit IPCop

-Snort détecte l'attaque il écrit une alerte dans les journaux et ensuite

Merci de toutes les précisions que vous pouvez m'apporter, mais pas trop technique svp, je débute dans ce domaine et j'aimerait vraiment comprendre…

Ma config:
IPCop 1.4.10
Aucun accès externe
Transfert de port 5800 & 5900 pour vnc sur un pc
IDS sur rouge uniquement avec les règles Snort
Config rouge et vert

[S0l0]

Lorsque mon réseau est "attaqué" comment réagit IPCop

IPCop ne reagi pas c'est a toi d'anticiper ce genre de chose , par un cloisonnement totale du reseaux au moment ou tu l'as constater ( pour faire une sauvegarde a l'identique de preference avec dd ou autre )si c'est une machine de production ( inarretable souvent ) prevoir une deuxieme machine saine(on a rarement le budget pour ca ).

-Snort détecte l'attaque il écrit une alerte dans les journaux et ensuite

La encore comment l'as tu configurer bien configurer il envoie un mail a root et autre a qui t'as configurer. Les logs sont la comme preuve ( theoriquement tu n'as meme pas le droit de les visionner toi meme).
Mieux configurer tu peut le coupler a tes regles IPtables ( un peu dur quand on debute j'avoue ) pour que l'attaque soit arreter dinamiquement et ecrite dans tes logs sinon avec portsentry je crois qu'on peut plus facilment le coupler a snort

Aucun accès externe

Et on me traite de parano.............pfffffffffffff

Effectivement quand on se fait attaquer on agit souvent dans la panique sans respecter la procedure qu'on a etablit (si on en a etabli ) et si jamais il y a poursuite devant un tribunal faut prouver qu'on a respecter la loi ( ne pas manipuler directement les donnees ) et souvent il y a des non lieue a cause de ca.

[micjack]

Lorsque mon réseau est "attaqué" comment réagit IPCop ?

Il fait son boulot de Firewall, il regete... Si il tombe, cela donnera un boulot supplementaire aux dev d'IPCop

Mais décrit un peu plus de ce que tu entend par "attaqué"... Le plus mortel reste une attaque DDos, mais je pense que IPCop gére trés bien cela...

Le plus grand risque serra toujours les ports en écoutes des services qui tournent, mais pas forcement par une attaque (ou tres minime).. Apres, il reste l'installation d'un rootkit, mais comme déja dit plus haut, c'est le plus souvant par un port en écoute, etc... Et comme sur IPCop il y'a que SSH (lancé sur ta propre sa décision vers l'exterieur) le risque est minime...

Snort détecte l'attaque il écrit une alerte dans les journaux et ensuite ?

Tout dépend de ce que tu appel une alerte, si c'est un log qui te montre un rapport avec les ports 445,137,139 ou requettes ICMP, c'est normal (snort réagit en rapport d'une base de connaissances des attaques les plus connues) il te montre que les IP est ports sont regetées... De toute facon la plus part des attaques concerne Windows et ses virus et comme c'est un Linux, rien à craindre, mais il remplit son log inutilement... Le meilleur log reste encore celui lié à chaque service...

Par contre, faut surveiller les log qui parlent des services qui tournent, comme SSH (port 222 sur IPCop) A toi de connaitre avant tout tes services et leurs vulnerabilitées ...

Si non, ta question est trop vague pour en donner un avis

Enfin bref, j'aime pas Snort, il remplit des log sans interet, quoi que pour Apache il serrait util par exemple.

si jamais il y a poursuite devant un tribunal faut prouver qu'on a respecter la loi

Plus depuis fin 2001, c'est à eux de te prouver que tu n'a pas respecté la loi "présomption d'innocence"

[super_ptit_nico]

Salut,

Merci de vos réponses, je commence à mieux comprend le fonctionnement d'ipcop ! j'aime bien savoir comment ca marche

J'entent par attaque un vilain bonhomme qui essaye coute que coute de rentrer sur mes bécanes sans être invité … je voulais savoir si ipcop "me montre juste du doigt ce qui ce passe" ou se défend en réagissant automatiquement (rejet, blocage, ou autre, sans mon intervention, n'étant pas tjrs derrière lui) ???

Pour les alerte, effectivement les journaux du pare-feu sont assez conséquent: aujourd'hui à cette heure j'ai 2700 entrées dont je suppose 95% sont sur le port 445,139,icmp

Pour l'instant je ne peut pas accéder en ssh depuis l'extérieur, le réseau de ma boite est tellement sécurisé qu'on à droit à rien !! (réseau bancaire). donc il n'est pas activé.

les seuls port en écoute si j'ai bien compris sont les 5800 & 5900 pour vnc

[micjack]

le réseau de ma boite est tellement sécurisé qu'on à droit à rien !! (réseau bancaire)

Attend, cette phrase me fait bondir...

Un réseau bancaire à sa propre maintenance nationale, comment tu te retrouve à metre en place un IPCop ?

Une maintenance propriétaire metra au minimum du Cisco (ou autres dérivés) géré par un administrateur, ingénieur réseau....

Puis ton serveur VNC, que fait il sur ton Green ?

Enfin bref, pleins de questions

PS: A savoir que pour ton VNC, c'est un transfert de port et non pas un port en écoute sur IPCop...

[super_ptit_nico]

Salut micjack,

Un réseau bancaire à sa propre maintenance nationale, comment tu te retrouve à mettre en place un IPCop ?

non, je voulais dire par la que quand je me connecte sur le reseau de mon entreprise (avec mon portable du boulot) je ne peut pas faire grand chose à part acceder au web... donc je ne peut pas prendre le controle de mon firewall ipcop (qui est chez moi) ni d'ailleurs de mon pc ou est installé vnc...

et bien sur, le reseau bancaire utilise du cisco bien ficelé d'ailleurs !!!

pour vnc, j'ai fait une redirection de port de façon à ce que je puisse acceder à un pc depuis le web (mais malheureusement pas depuis ma boite ). donc je n'ai aucun port en écoute alors si j'ai bien compris ??

désolé si je n'utilise pas les bons thermes, je débute vraiment dans le merveilleux monde de linux !! petit à petit je progresse

[micjack]

Ok, j'ai compris la situation, même si au depart elle n'est pas trop claire

En tout cas avec un transfert de port sur ton VNC tu est tranquile, puisque il faut au pire que les personnes indésirables connaissent que tu as mis en place un serveur sur ton Green.

Un scan de port via le Net ne detecte pas les transferts de ports, mais uniquement les ports en écoutes avec compte rendu du service qui tourne, d'ou l'interet d'un firewall en amont d'un serveur

[tranquilla]

salut,
merci bien ça m'etait tres util moi aussi ton explication.
vous avez parlez de transfert(ou changement) des port , pourquoi faire? sinon donnez moi un exemple ou le changement de port est util pour la securité ( par exemple les port apropos desquels vous avez parlé ds l'explication dans ta reponse)

merci bien

[super_ptit_nico]

Salut micjack !

Ben me voila rassuré alors !! je suis tranquile... désolé je m'exprime pas tjrs de façon très claire (et avec des fautes )

l'autre jour j'ai eu cette alerte ids:

Date: 02/26 19:31:00
Name: Portscan detected from 193.252.243.248 Talker(fixed: 0 sliding: 0) Scanner(fixed: 16 sliding: 16)
Priority: n/a
Type: n/a
IP Info: n/a -> n/a
SID: n/a
Refs:

Date: 02/26 19:30:52
Name: Portscan detected from 193.252.243.247 Talker(fixed: 0 sliding: 0) Scanner(fixed: 16 sliding: 16)
Priority: n/a
Type: n/a
IP Info: n/a -> n/a
SID: n/a
Refs:

on retrouve ces deux ip (un p'tit renseignement téléphonique monsieur ?? ) dans les journaux du pare-feu avec des ports de destinations assez élevé (19043,36352,37953,60582,....)

c'est ça un scan des ports

[super_ptit_nico]

Salut tranquilla,

Moi j'ai mis en place un transfert de ports afin de pouvoir contrôler un pc de mon réseau depuis n'importe quel pc connecté à internet:

VNC utilise les ports 5900 & 5800 pour la connexion (on peut les modifier)

pour le changement des ports, le seul que j'ai changé pour la sécurité et celui qui permet d'afficher l'interface web d'IPCop:

port par défaut: 445 moi j'ai mis: xxxx

Voila !

[micjack]

Je penses que c'est un simple scan en ICMP (Ton log montrent souvant du n/a)

Mais bon, un scan en ICMP de ceux que tu visitent, me parrait normal....

Stop la parano....

[super_ptit_nico]

Stop la parano....

depuis que je suis en ip fixe je suis sur que la terre entière m'en veut !!!!

je commence à mieux comprendre le fonctionnement...

en tout cas merci pour toute ces réponses

[S0l0]

si jamais il y a poursuite devant un tribunal faut prouver qu'on a respecter la loi

Plus depuis fin 2001, c'est à eux de te prouver que tu n'a pas respecté la loi "présomption d'innocence"

Dsl de vous decevoir messieurs mais en matiere de technologies d'informations c'est plutot presomption d'ignorance qui prime..
Pour avoir poursuivi de tres multiple fois plusieurs personnes ( une entreprise pour laquelle j'ai tafer a subit environ entre 200 et 300 tentative d'attaque en six mois ou j'etait la (enregistrer par prelude ids)) a chaque fois meme les pseudos experts des tribunaux etaient completement a la ramasse ( ils sont de l'epoque des cartes perforees ) ce qui a amener a un non lieu quand c'etait pas vice de forme ( bien sure a chaque fois ils ont fait appel ).
Pour ce qui est des scans icmps il est possible de surveiller quelqu'un ( surtout en ip fixe ) et de faire des scans quand il visite un site ou qu'il surf sur le net ( idle scan ).

[micjack]

Vois tu mon cher S0l0 , si je me suis permit d'en parler, c'est que j'ai été bien placé avec saisi de matos, en finissant avec "un classement sans suite" ..

Mais bon, ce n'est pas le sujet, mais en fouillant un peu, tu trouvera l'histoire dans le forum "Legislation"...

Et pour le scan concernent l'ICMP, le mot est effectivement pas approprié, mais un état de présence d'un client pour le site (ping), qui est sans danger pour notre ami (en fait, c'est ce que je voullais dire)

[tranquilla]

merci super_ptit_nico,

donc a ce que j'ai compris, tu laisse par exemple le port xx ouvert avec protocol tcp et tu accéde via internet sur le poste meme.
ma question est ce qu'on peut accédés a l'interface d'administration d'ipcop via internet ?
autre question si quelqun entre vous pourrais bien me conseiller d'un antivirus compatible avec ipcop.
merci bien