Demande d'aide pour arrêter des intrusions...

[Rhob78]

Bonjour,
Cela fait à peu près 2 semaines que j'ai installé IPCop 1.4.21(avec règles Snort,BOT et URL Filter)
Voici mon installation

freeBox
|
IPCOP -> eth0 (IP Statique Free)
|
eth1 -> GREEN:192.168.1.0 -> Hub -> ordinateur 1 (Vista familial SP1) + ordinateur 2 (XP Pro SP2)
eth2 -> BLUE :192.168.2.0 -> Routeur WIFI -> 1 ordinateur portable (XP Pro SP2)


Tout marche sur les 3 ordinateurs (c'est à dire internet, mails et autres téléchargements...)
Mais tous les jours je reçois ceci dans les journaux IDS :



Mes question sont :
- Est ce que ces "attaques" atteignent-elles mon réseau ? quelles sont les conséquences ?
- Comment les arrêter ?

quand je clique sur SID : 2050, la description me dit : "Ms SQL version overflow attempt - vulnerability de Ms SQL Server 2000" que je n'ai sur aucun ordinateur.
Affected System : Ms .NET Framework 1.0 - Windows NT Any version
Corrective action : Use firewall to deny access to ports used by SQL Server, usually 1433 and 1434 from internet.
Ces ports ne sont-ils pas déjà fermés nativement par IPCop ou dois-je ajouter une nouvelle règle iptables?

Je vous remercie beaucoup de votre aide car je reçois 15 à 20 "attaques" de ce genre en 24 heures(tous les IP sources viennent de Chine).

[ccnet]

Je peux vous rassurer. A moins que vous n'ayez fait de grosses bêtises dans la configuration d'Ipcop, vous ne risquez rien et tout cela n'est que tentatives vaines. Vous ne pouvez toutefois pas empêcher ces tentatives. Après tout il y a bien des cas où la connexion d'une machine externe vers une machine d'un réseau privée est parfaitement licite et justifiée. Un firewall ou tout autre dispositif de sécurité sait accepter ou interdire une demande de connexion vers un port quelconque. Par contre Il ne sait pas dire (pas toujours en tout cas) si cette demande est licite ou non a priori.

Au delà votre message est intéressant parce qu'il montre que l'installation et l'exploitation d'un outil tel que Snort est bien au delà des possibilités d'un utilisateur courant d'ipcop. Je continue à dire que la présence de snort sur ipcop n'est pas souhaitable. Que Snort est utile mais entre des mains pour le moins informées. Qu'un déploiement efficace de Snort nécessite une infrastructure fort différente de celle que vous décrivez. Et qu'enfin sont exploitation demande des moyens humains et techniques hors de votre portée. Tout cela conduit seulement à de l'inquiétude et à des journaux pollués par des alertes inutiles. IL faudrait que votre jeux de règles Snort soit adapté à ce qu'il y a à surveiller chez vous. Vaste travail ...

[philippe_PMA]

Vous pouvez mettre la FreeBox en mode routeur. Auquel cas, les attaques n'arriveront pas jusqu'a votre ipcop.

[Rhob78]

Merci beaucoup pour vos réponses
>>ccnet
c'est vrai que tel "un poulet fermier" élevé à la krosoft depuis l'enfance c'est mon premier contact avec linux. J'ai appliqué "bêtement" ces règles snort sans avoir ce qu'il advienne. "Vaste travail" est insignifant devant tout ce que je dois apprendre pour comprendre linux...
Merci encore

>>>philippe_PMA
je ne suis pas trop amateur de mettre la freebox en mode routeur car déjà sans IPCop, j'utilisais le routeur (asus wl-500g) pour contrôler les 3 machines chez moi. Les rumeurs comme bridage, surveillance, etc... m'ont vraiment influencées surtout que le téléphone dépend vraiment de la freebox alors il y a la phobie d'une coupure à tout instant...

Merci

[ccnet]

Vous pouvez mettre la FreeBox en mode routeur. Auquel cas, les attaques n'arriveront pas jusqu'a votre ipcop.

Faux. Un routeur ... route. Si il s"agit de choisir le dispositif qui protégera mon réseau, je n'ai aucune inquiétude sur les capacités d'ipcop. Je n'en dirai pas autant d'une Freebox utilisée pour autre chose que pour connecter mon réseau au NRA. C'est donc une fausse bonne idée.

Rhob78, ne vous compliquez pas la vie. Au pire ignorez ces alertes, mais vous pouvez tout autant désactiver Snort. Par contre installer BOT sur votre Ipcop pour filtrer le trafic sortant serait un vrai plus de sécurité. De nombreuses attaques exploitent la possibilité de faire sortir n'importe quel trafic depuis un réseau local mal protégé.

[Rhob78]

De nombreuses attaques exploitent la possibilité de faire sortir n'importe quel trafic depuis un réseau local mal protégé.

Donc des attaques peuvent "entrer" dans IPCop pour "faire sortir" des données" ?
Merci pour votre conseil pour BOT car je l'ai installé en lisant les divers post sur le forum (et dans d'autres aussi d'ailleurs...) sans trop savoir et comprendre son utilité pour les flux entrants. Bon, je vais m'y mettre alors...
Dîtes moi, svp, je trouve les règles iptables vraiment interressants mais quand j'applique les diverses lignes de commandes telle "iptables -L -n -v", j'ai du mal à lire et à comprendre les résultats à l'écran... auriez-vous un lien où je peux apprendre à les lire comme un bon livre ? ou existe-t-il un addon ou une petite appli pour les traduire ? C'est vrai que ma question est un peu bizarre mais tous les tutos que j'ai trouvés me semblent être standardisés (au point de vue pédagogique j'entends...).
Merci encore

[ccnet]

Donc des attaques peuvent "entrer" dans IPCop pour "faire sortir" des données" ?

Ce serait, pour certaines, plutôt le contraire. Sans BOT tout peut sortir. Ipcop est un firewall à état (Statefull) ce qui signifie qu'il autorise un paquet entrant dés lors qu'il est une réponse à un paquet sortant. Un programme exécuté sur le réseau interne peut donc (sans BOT) établir absolument n'importe quelle connexion, à votre insu de préférence. Et par ce moyen fournir un accès depuis l'extérieur. Sur le principe NetCat est un exemple de ce genre de programme.
Cela n'est qu'un exemple des risques que présentent des possibilités trop grandes en termes de trafic sortant.
Pour iptables je n'ai pas d'avis très arrêté. Peut être http://www.linux-france.org/prj/inetdoc ... -tutorial/ Un outils comme Wireshark pourra vous aider lors de vos expérimentation. Mais attention pas de bricolage iptables sur un ipcop en production !

[Rhob78]

Merci beaucoup ccnet
Clair et précis...j'ai compris car comme les logiciels d'Adobe que j'utilise beaucoup, dès leur ouverture, ils se connectent à plusieurs sites annexes d'Adobe (ce que je vais apprendre à mieux contrôler d'ailleurs car ces connexions pompent des débits non négligeables pendant l'utilisation des logiciels) et cela à "mon insu" (comme vous le dîtes!).

[philippe_PMA]

Vous pouvez mettre la FreeBox en mode routeur. Auquel cas, les attaques n'arriveront pas jusqu'a votre ipcop.

Faux. Un routeur ... route. ...

Oui, c'est vrai.
Je me suis mal exprimé, trop rapidement en fait.
Et c'est pas bien, je le reconnais.

En mode routeur, tout ce qui n'est pas adressé aux bonnes adresses n'arrivera sur les machines derrière la FreeBox. Ce qui éclaircira les logs de l'IpCop.

C'est mieux comme ça ?

[ccnet]

En mode routeur, tout ce qui n'est pas adressé aux bonnes adresses n'arrivera sur les machines derrière la FreeBox. Ce qui éclaircira les logs de l'IpCop.

C'est mieux comme ça ?;-)

Regardons les choses un peu plus en détail. Supposons que votre ip chez Free soit, au hasard, 82.222.23.24. Si vous êtes en mode routeur le trafic arrive sur l'interface de la Freebox, est translaté en 192.168.0.1 (par exemple) et envoyé (comment faire autrement) à l'interface Red d'ipcop par exemple 192.168.0.2. Donc nous avons :
Internet ->Routeurs->Free-> 82.222.23.254 (votre gateway parce qu'en général chez Free elle est à cette adresse pour le réseau 82.22.23.0/24) -> 82.222.23.24 (votre Freebox Wan) ->192.168.0.1 (Freebox Lan)-> Red ipcop en 192.168.0.2.

Si la freebox est en pont nous avons :

Internet ->Routeurs->Free-> 82.222.23.254 (votre gateway parce qu'en général chez Free elle est à cette adresse pour le réseau 82.22.23.0/24) -> Red ipcop en 82.222.23.24

Dans les deux cas je ne vois pas comment, compte tenu du comportement du routeur 82.222.23.254, il arriverait autre chose sur votre interface 82.222.23.24 que le trafic qui lui est destinée, qu'ils soit hostile ou non, et donc in fine sur l'interface Red d'ipcop. Cela que la Freebox soit en pont ou en routeur.

Les logs d'ipcop seront les mêmes.

Par contre si l'on veut éclaircir les logs, ce qui est une bonne idée, en particulier pour en faire disparaitre les sempiternelles tentatives sur les ports 137, 138, 139 et 445, BOT peut être là aussi d'un grand secours en créant des règles dont les paquets positifs ne seront pas logués.

[Franck78]

Hello,

Merci beaucoup pour vos réponses
>>ccnet
c'est vrai que tel "un poulet fermier" élevé à la krosoft depuis l'enfance c'est mon premier contact avec linux. J'ai appliqué "bêtement" ces règles snort sans avoir ce qu'il advienne.

poulet fermier, vaste travail, linux,.... peut être. Moi je dirais plutôt "cours d'anglais"

car donner un sens à "Ms SQL version overflow attempt - vulnerability de Ms SQL Server 2000"
nécessite juste de comprendre la phrase:
"tentative truc/machin sur une vulnérabilité d'un serveur SQL"

J'ai pas de serveur SQL de microsoft chez moi? Non? Alors je ne suis pas concerné. Aussi simple que ça. Juste un peu de réflexion et d'anglais je vous dis.


bye

[philippe_PMA]

...
Les logs d'ipcop seront les mêmes.
...

Bah non.

Quand je n'étais pas en mode routeur sur ma FreeBox, je voyais pleins d'attaques dans le log de mon IpCop, avec en partie des adresses non routables (de mémoire). Je suis passé en mode routeur (pour d'autres raisons) et mes log IpCop se sont éclaircies.

-----------------

La FreeBox dipose de 4 ports ethernet pour le réseau local (+1 pour le WAN, +1 pour la FreeBox HD).

En mode pont, je ne peux avoir qu'un seul PC de connecté sur l'un des 4 ports Ethernet et tout le traffic qui passe par la FreeBox lui est envoyé. Donc, il se prend toutes les attaques.

En mode routeur, si j'ai un PC d'adresse XXX.XXX.XXX.XXX sur le port y de la FreeBox, la FreeBox envoi sur ce port que le traffic destiné à l'adresse XXX.XXX.XXX.XXX ...
D'ailleurs en mode routeur, il est possible de configurer l'adresse d'une DMZ pour y envoyer tout le traffic sans destinataire reconnu.

Voila.

[ccnet]

Vous confondez routage et commutation. Dans votre exemple la freebox n'est pas strictement en routeur. Vous aviez sans doute configurer des transferts de ports.

D'ailleurs en mode routeur, il est possible de configurer l'adresse d'une DMZ pour y envoyer tout le traffic sans destinataire reconnu.

Dans ce cas elle se comporte comme un routeur NAT.

avec en partie des adresses non routables (de mémoire)

Je ne sais pas comment tout cela était connecté, mais je crains le pire ...

[Rhob78]

poulet fermier, vaste travail, linux,.... peut être. Moi je dirais plutôt "cours d'anglais"

car donner un sens à "Ms SQL version overflow attempt - vulnerability de Ms SQL Server 2000"
nécessite juste de comprendre la phrase:
"tentative truc/machin sur une vulnérabilité d'un serveur SQL"

J'ai pas de serveur SQL de microsoft chez moi? Non? Alors je ne suis pas concerné. Aussi simple que ça. Juste un peu de réflexion et d'anglais je vous dis.


bye

Merci pour [je dirai] votre conseil
Bien sûr qu'il fallait comprendre et "réfléchir" mais je ne suis pas trop habitué à lire ce genre de phrase qui est, pour moi, plus ou moins agressive et en plus j'en reçois beaucoup en une journée...donc dans la panique je me suis demandé si la tentative a endommagé autres choses ? est ce que c'est une porte ouverte pour d'autres applications sur mes machines ? Hier, j'ai lu beaucoup de post sur ce forum et là, je me suis aperçu que la question sur snort remonte assez loin et beaucoup de discussions y sont déjà... Là aussi je me suis rendu compte que je n'ai pas été assez loin dans mes recherches avant de demander secours. Mea culpa!
Merci encore pour ce forum, merci pour votre patience et merci de partager encore votre savoir.

[philippe_PMA]

Vous confondez routage et commutation. Dans votre exemple la freebox n'est pas strictement en routeur. Vous aviez sans doute configurer des transferts de ports.

D'ailleurs en mode routeur, il est possible de configurer l'adresse d'une DMZ pour y envoyer tout le traffic sans destinataire reconnu.

Dans ce cas elle se comporte comme un routeur NAT.

avec en partie des adresses non routables (de mémoire)

Je ne sais pas comment tout cela était connecté, mais je crains le pire ...

Pas de transfert de ports configuré.

En mode routeur, la FreeBox est effectivement un routeur NAT.

Je confirme et signe, en mode routeur FreeBox, les PC derrière la FreeBox ne recoivent que ce qui leur est adressé, la FreeBox fesant le tri, pardon le routage.