Ipcop est-il réellement un pare feu?

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Ipcop est-il réellement un pare feu?

Messagepar Lanstack » 04 Jan 2009 17:42

Slt,

je pose cette question car j'ai des doutes.

Voila j'ai installé Ipcop de façon très classique sur mon réseau

http://img61.imageshack.us/my.php?image=monrseauta2.jpg


J'ai procédé à quelques tests. J'ai ouvert tous les ports TCP (0 à 65535) sur la livebox
J'ai testé la sécurité avec le site http://www.grc.com/x/ne.dll?rh1dkyd2

Voila le résultat
http://img61.imageshack.us/my.php?image=portouvertliveboxzk4.jpg

Ipcop était-il vraiment un parefeu?
:?

J'ai fermé tous les ports TCP (0 à 65535) sur la livebox
J'ai retesté la sécurité avec le site http://www.grc.com/x/ne.dll?rh1dkyd2

Voila le résultat
http://img61.imageshack.us/my.php?image=portfermliveboxnt8.jpg
Lanstack
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 14 Sep 2007 22:56

Messagepar ccnet » 04 Jan 2009 18:26

Oui.
Ensuite il est nécessaire de comprendre ce que l'on teste. Ici vous avez testé la configuration de la Livebox. ce n'est pas avec ce type de test que vous pourrez déterminer les ports ouverts sur une machine située derrière un routeur qui effectue du nat vers des adresses privées.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar Lanstack » 04 Jan 2009 19:28

Bon, j'ai quand même effectué un test avec un pc situé derrière un ipcop qui lui est situé derrière une livebox.

En toute logique, ipcop aurait du bloquer les "attaques".
Lanstack
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 14 Sep 2007 22:56

Messagepar ccnet » 04 Jan 2009 19:43

Je ne comprend pas. Vous parlez du premier test effectué depuis le site de Steve Gibson où d'un autre test ? Tout cela est assez confus. Pour avoir mis en production et testé une palanquée d'ipcop, je prétend que :
1. Ipcop fait ce pour quoi il est prévu. Chaque fois que j'ai testé ipcop avec le site de Gibson (et d'autres outils) les résultats étaient conformes au paramétrage voulu sur ipcop.
2. Que vos tests ne sont pas pertinents.

On peut en discuter, je vous expliquerai pourquoi.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar Lanstack » 04 Jan 2009 19:53

J'ai installé ipcop

livebox---->ipcop----->PC XP

Comme expliqué dans mon premier post, je suis allé sur le pc xp et j'ai testé avec le site de Steve Gibson

Quand les ports de la LB sont ouverts, la sécurité est catastrophique
Quand les ports sont fermés, la sécurité est bonne

Peut-être que je n'ai paramétré ipcop comme il faut

Ma connexion internet, j'ai installé toutes les mises à jour
Lanstack
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 14 Sep 2007 22:56

Messagepar ccnet » 04 Jan 2009 20:15

Clairement vous ne comprenez pas ce qui se passe. Lorsque vous êtes connecté sur grc.com et que vous démarrez un test, vous demandez à un programme sur le serveur de grc.com de réaliser une connexion TCP sur le port TCP 1, puis sur le port TCP 2 et ainsi de suite cela sur votre ip publique, c'est à dire la Livebox. Ce programme ne tente pas de joindre votre PC mais votre ip publique. Regardez comment s'effectue une ouverture de session TCP. C'est la machine de grc.com qui envoie le premier paquet SYN vers votre ip publique. C'est lorsque la séquence d'ouverture (triple handshake), qui comporte 3 paquets TCP échangés, est complète que Shield Up vous dit que le port est ouvert. Dans le cas contraire la machine TCP ne répond pas au paquet SYN ou répond par un RESET (ce qui montre que port est bloqué mais présent).
Votre PC situé dans Vert n'a rien à voir dans l'histoire. Lui à ouvert, dans l'autre sens, une session TCP depuis un port > 1024 vers le port 80 de grc.com. Cette session TCP montre juste que le trafic ver sun port 80 peut quitter votre réseau interne. Ipcop non plus n'a rien à voir dans ce test. Mettez un sniffeur entre la Livebox et Ipcop et regardez ce qu'il s'y passe. Vous ne trouverez probablement aucun trace des paquets envoyé par le serveur de grc.com. A moins que vous n'ayez configuré un transfert de port sur la Livebox.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar Lanstack » 04 Jan 2009 20:22

merci pour les explications

donc j'ouvre tous les ports de la LB, je serais quand même protégé par l'Ipcop?

Comment faire pour tester la sécurité?
Lanstack
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 14 Sep 2007 22:56

Messagepar ccnet » 04 Jan 2009 20:35

Comme vous ne pouvez pas configurer la Livebox autrement qu'un routeur NAT, la seule solution reste de placer une machine du coté RED d'ipcop le tout connecté à un switch ou un hub, et d'utiliser par exemple un programme comme Nmap. Attention avec Nmap, car ce programme est capabale de faire des scans de ports de bien des façons, beaucoup moins basiques que ne le fait le programme de grc.com. Lisez bien la documentation avant. Si vous n'êtes pas au clair avec les différents pointeurs TCP susceptibles d'être utilisés en particulier pour des scans furtif ou les prises d'empreintes, voyez quelque chose de plus simple : http://www.frameip.com/tcpping/. Cela, combiné avec un sniffeur placé lui aussi devant RED, vous permettra de comprendre ce qui se passe. Préalablement vous aurez lu et compris http://christian.caleca.free.fr/ au moins pour la partie TCP.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron