Problème Anti-spoof et Ipcop 1.3

par **antolien** » 21 Juil 2003 13:27

Bon, suite à une erreur, je me suis rendu compte que j'accédais à mon site web en DMZ à partir de mon LAN, en tapant sur l'ip publique ! Comme j'avais pas mal bidouillé mon ipcop, je l'ai réinstallé pour être sûr que je n'avais pas fait d'erreur. Bon, j'accède aussi au GUI d'ipcop ainsi qu'a mon serveur de mail , toujours en DMZ. En partant de ce principe , je me dit que si quelqu'un spoof mon ip, il peut passer mon firewall. en regardant partout dans les fichiers de conf, je n'ai pas trouvé grand chose au niveau de l'antispoof à par ces règles : /sbin/iptables -A RED -o $IFACE --destination 10.0.0.0/8 -j DROP # Private addresses /sbin/iptables -A RED -o $IFACE --destination 127.0.0.0/8 -j DROP # Loopback /sbin/iptables -A RED -o $IFACE --destination 169.254.0.0/16 -j DROP # DHCP nets /sbin/iptables -A RED -o $IFACE --destination 172.16.0.0/12 -j DROP # Private addreses /sbin/iptables -A RED -o $IFACE --destination 192.168.0.0/16 -j DROP # Private addresses /sbin/iptables -A RED -o $IFACE --destination 224.0.0.0.0/4 -j DROP # Multicast ça tombe bien que tomtom soit dans les parages <IMG SRC="images/smiles/icon_smile.gif"> , car là ce qui me dérange dans ces règles, c'est le destination, car ce serait plutôt les plages ip privées en source qu'il faudrait bloquer sur l'interface RED. et justement, en retrouvant le rc.firewall posté par tomtom (encore lui lol) pour l'antispoof, on obtient plutôt : $IPTABLES -t nat -A PREROUTING -i $IFRED -s $PRIVA -j DROP $IPTABLES -t nat -A PREROUTING -i $IFRED -s $PRIVB -j DROP $IPTABLES -t nat -A PREROUTING -i $IFRED -s $PRIVC -j DROP #$IPTABLES -t nat -A PREROUTING -i $IFRED -s $PRIVD1 -j DROP #$IPTABLES -t nat -A PREROUTING -i $IFRED -s $PRIVD2 -j DROP #$IPTABLES -t nat -A PREROUTING -i $IFRED -s $MULTICAST -j DROP #$IPTABLES -t nat -A PREROUTING -i $IFRED -s $LOOPBACKNET -j DROP #$IPTABLES -t nat -A PREROUTING -i $IFRED -s $RESERVEDIP -j DROP (avec les plages privées dans les variables PRIVA, B, etc...) Voilà, j'éspère me tromper, mais en tout cas ce n'est pas normal de pouvoir attaquer mon adresse publique avec une ip privée. Qu'en pensez vous ?

par **tomtom** » 21 Juil 2003 15:02

tu as raison Antolien.... Les règles que tu vois là sevrent à empecher des requetes avec des ip privées source de partir sur internet (tout routeur sur internet devrait avoir ce genre de bloquage !) Pour bloquer en entree, IPCop doit utiliser les techniques d'antispoofing du noyau (rp_filter...). Tu peux ajouter les règles facilement, car ke ne pense pas que le blocage par le noyau soit une solution efficace ! T.

par **grosbedos** » 21 Juil 2003 15:05

quand on met rp_filter a 0, on desactive l'antispoofing, non?

par **tomtom** » 21 Juil 2003 15:17

Oui, mais il y a plusieurs rp_filters... il faut les mettre tous à zero.... mais rp_filter a été developpé pour les noyaux 2.2, je prefère utiliser le blocage par iptables dans le prerouting... Affaire de gouts... <IMG SRC="images/smiles/icon_wink.gif"> T.

par **grosbedos** » 21 Juil 2003 15:21

ok... mais la le gros prob c'est que je vois pas ou il y a des regles d'antispoof sur ipcop.. j'ai beau chercher je voi pas la... avec un ipcop d'origine (pas debridé lol) peut on attaquer un serveur en dmz par son adresse publique??? avec la 1.2.0 je me rappel que non..avec la 1.3.0 j'ai pas du essayer vu que ca passer pas sur la 1.2..quelqu'un peut il essayer??

par **remi** » 21 Juil 2003 15:29

Ca fonctionne, on a fait les tests avec Antolien ce matin. Ce qui est le plus strange, c que ca fonctionne (j'arrive a acceder) avec les ports 80,81,21 mais pas avec 25 et 110

par **antolien** » 21 Juil 2003 15:32

Ben sur la 1.3 j'ai essayé et le problème est justement là. Le rp_filter est à 0 par défaut et je vois pas d'autres règles d'antispoof. Sur la 1.2 l'antispoof était activé. Donc par défaut , ipcop 1.3 n'aurai pas d'antispoof ? ça me parraît grave pour une distrib dédiée firewall.

par **antolien** » 21 Juil 2003 15:35

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-07-21 15:29, remi a écrit: Ca fonctionne, on a fait les tests avec Antolien ce matin. Ce qui est le plus strange, c que ca fonctionne (j'arrive a acceder) avec les ports 80,81,21 mais pas avec 25 et 110 </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Le 25 passe chez moi, pas le 110 tu as raison, mais je comprend plus rien à vrai dire <IMG SRC="images/smiles/icon_lol.gif">

par **nemesis** » 21 Juil 2003 15:36

c peut etre une erreur ds la config de base! je pense k'il faudrait avertir les dev d'ipcop non?

par **antolien** » 21 Juil 2003 15:44

Si c'est une erreur dans la config de base, ce serait bien bête de s'en rendre compte seulement maintenant <IMG SRC="images/smiles/icon_confused.gif"> J'avais tellement l'habitude de mettre un host pour résoudre avec l'ip privée que j'ai jamais fait attention <IMG SRC="images/smiles/icon_frown.gif">

par **grosbedos** » 21 Juil 2003 15:59

remy et antolien, vous pourriez parler de vos tests???ben pluto antolien car remy est occupé si j'ai bien compris

par **remi** » 21 Juil 2003 16:01

SVP, remi avec un I pas un Y <IMG SRC="images/smiles/icon_mad.gif"> merci <IMG SRC="images/smiles/icon_bise.gif">

par **antolien** » 21 Juil 2003 16:10

Ben les test n'ont pas été très loin, de mon coté je cherche surtout à trouver une règle d'antispoofing. Aucune trace, mais j'arrive pas à y croire...

par **tomtom** » 21 Juil 2003 16:25

Attention Antolien, avec mes règles par exemple, il y a l'anti-spoofing, et pourtant on peut acceder sans problème à une dmz en utilisant une ip publique, même au firewall lui-même ! La raison est que je fais le bloquage sur l'interface d'entée des paquets, or même si j'utilise l'ip publique, les paquets arrivent par l'interface green. Ce qui creait le blocage avec l'ancienne version, c'est que RP_Filter verifie que les paquets arrivent par une interface qui a une route vers cette ip (je ne suis pas sur de bien me faire comprendre....) Antolien si tu as toujours le petit topo que j'avais fait la dessus, tu peux le poster ici <IMG SRC="images/smiles/icon_wink.gif"> Bref, ce n'est pas parceque tu peux utiliser l'adresse red depuis green que l'antispoofing ne fonctionne pas... Par contre evidemment si tu ne trouves aucune règle..... T.

par **grosbedos** » 21 Juil 2003 16:32

desolé remi.... t'enerve pas non plus..

Problème Anti-spoof et Ipcop 1.3

Qui est en ligne ?