Se protéger de Msblast / Lovsan filtre IPtable

[Gesp]

Il y a un sujet dans la user-list qui donne des règles pour la V1.3 et ultérieure pour filtrer un certain nombre de ports <BR><!-- BBCode auto-link start --><a href="http://marc.theaimsgroup.com/?l=ipcop-user&m=106064982010099&w=2" target="_blank">http://marc.theaimsgroup.com/?l=ipcop-user&m=106064982010099&w=2</a><!-- BBCode auto-link end --> <BR> <BR>Je ne suis pas tout à fait sûr que ce soit comme cela qu'il faut faire parce que si l'auteur a dit filtrer sur le port 445 les accès externes, j'ai testé et cela supprime aussi les accès internes donc plus d'interface web du tout pour la V1.3.1 <BR> <BR>Donc est-ce vraiment le CUSTOMINPUT qui est la bonne solution. <BR> <BR>Comme j'ai mis <!-- BBCode Start --><B>filtre iptable</B><!-- BBCode End --> dans le sujet du titre, je pense que tom-tom va bien passer par ici <IMG SRC="images/smiles/icon_rolleyes.gif"> <BR> <BR>Cela ne dispense pas non plus d'un petit windowsupdate (j'avais le SP4 W2k et 7 patches de retard) et de la mise à jour de l'antivirus.<BR><BR><font size=-2></font>

[nemesis]

humm bizare de devoir modifier les règles... <BR> <BR>en toute logique tout ce qui essaye de rentrer sur le red par le port 135 445 devrait etre automatiquement bloqué! <BR> <BR>le seul truc à bloquer à la riguer serait le port utilisé par la backdor (je l'ai vu ds un des liens postés sur le sujet). <BR> <BR>moi ma v 1.2 bloque toutes les attaques sur 135 /445 ss problème dc ... <BR>d'ailleur à 84 tentatives/heure sur le 135 ça deviens vite lourd a regarder ds les logs d'autant plus k'il y en a ki ont encore le worm MS-Sql!!!!!

[micj]

Je suis un peu étonné car de mon côté aucune attaque sur le port 135 n'a été identifiée par mon firewall (IPCop 1.3) je peux donc raisonnablement penser que mon FAI a bloqué ce port...

[Muzo]

Pour info le port Backdoor est le 4444

[nemesis]

mouai ou alors que ipcop v 1.3.x a un gros soucis au niveau de ses règles... je trouve ç assez inquietant comme info..

[hb]

déjà 266 attaques sur le port 135 aujourd'hui sur un total de 500 <BR>ouahhhh ça fait froid dans le dos <BR> <BR>merci IPCOP <IMG SRC="images/smiles/icon_bise.gif">

[Gesp]

Je pense que l'on est protégé sans modifier les règles mais l'intérêt de les modifier peut être d'un autre ordre <BR>- ne pas encombrer vos logs avec les attaques <BR>- bloquer quelq'un qui serait infecté et qui donc va pouvoir sortir légalement, ce qui fait que la connection est établie (celles-ci ne le font pas je crois mais je n'ai pas encore compris grand-chose)

[antolien]

Peut-être que de bloquer le 135 en sortie éviterai bien des déconvenues... <BR>quelque chose comme ça ? <BR>Iptables -I FORWARD -p tcp --dport 135 -j DROP <BR> <BR>Sinon, normalement, il n'y a pas à s'inquiéter normalement les ports en entrée sont bloqués et j'ai au moins 200 attaques sur le 135 <IMG SRC="images/smiles/icon_smile.gif">

[tomtom]

D'apres ce que je lis, l'interet est bien uniquement de supprimer les logs dues aux différents attaques sur les ports standard de SMB.... <BR> <BR>Bon, ce n'est pas très esthétiques ce scripts pour plusieurs raisons : <BR> <BR>1- ca rajoute des règles au lieu de modifier les règles existantes <BR> <BR>2- ca ne protège absolument pas mieux <BR> <BR>3- effectivement ca bloque forcemment l'acces sur le port 445 y compris depuis l'interne, ce qui est quand même ennuyeux <IMG SRC="images/smiles/icon_rolleyes.gif"> <BR> <BR>4- il parle d'empecher le traffic netbios de sortir, mais c'est completement faux car en jouant sur la chaine inuput (via CUSTOMINPUT), on n'empeche absolument pas le traffic netbios de partir sur Internet.... <BR> <BR>personnellement je vous propose d'adapter evntuellement une partie de mon script que je vous livre : <BR> <BR>echo -n " Pas de NETBIOS sur Internet: " <BR>$IPTABLES -A InOut -p udp --dport 135:139 -j DROP <BR>$IPTABLES -A InOut -p tcp --dport 135:139 -j DROP <BR>$IPTABLES -A InOut -p udp --dport 445 -j DROP <BR>$IPTABLES -A InOut -p tcp --dport 445 -j DROP <BR># Ainsi que le SSDP/UPnP <BR>$IPTABLES -A InOut -p udp --dport 1900 -j DROP <BR>$IPTABLES -A InOut -p tcp --dport 1900 -j DROP <BR>$IPTABLES -A InOut -p udp --dport 5000 -j DROP <BR>$IPTABLES -A InOut -p tcp --dport 5000 -j DROP <BR> <BR>$IPTABLES -A INPUT -i $IFRED -j InOut <BR>$IPTABLES -A OUTPUT -o $IFRED -j InOut <BR>$IPTABLES -A FORWARD -i $IFRED -j InOut <BR>$IPTABLES -A FORWARD -o $IFRED -j InOut <BR> <BR>Voila, simple et efficace : PAS DE NETBIOS SUR INTERNET ! <BR> <BR> <BR>Thomas

[antolien]

Attention au port 445 si on veux administrer de l'exterieur en https sur ipcop car il écoute sur le 445 <BR> <BR><BR><BR><font size=-2></font>

[micj]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-08-13 10:50, nemesis a écrit: <BR>mouai ou alors que ipcop v 1.3.x a un gros soucis au niveau de ses règles... je trouve ç assez inquietant comme info.. <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Ben non car finallement c'est mon fai qui bloque tout ... y compris ce qu'il ne devrait pas, on n'est jamais content de toute manière... <BR>

[nemesis]

Apparement il y a même des FAI qui se sont fait cramés par ce vers quelqu'un pour confirmer?

[Gesp]

Dans ma boite et ce n'est pas une petite, je n'ai pas pu me connecter la première fois. <BR> <BR>J'ai appelé la hot-line ou l'on a carrément dit de rappeler l'après-midi parce qu'il y avait un problème généralisé dù à un virus sur toute la région parisienne. <BR>N'empèche que 10 mn après tout fonctionnait. Alors je ne sais pas si c'était celui-là, et si la hot-line était bien au courant. <BR> <BR>Ce qui est sûr, c'est que cela me parait totalement impossible que le/les firewalls trainent avec le port 135 d'ouvert vers le net que ce soit dans un sens ou dans l'autre. <BR> <BR>Mais il suffit que quelqu'un revienne lundi matin avec son portable d'infecté pour que les firewalls n'empèchent pas le problème de rentrer vu qu'il est déjà à l'intérieur. <BR>Et vu que je ne vois pas grand chose d'appliqué comme patch sur mon poste W2K...

[micj]

C'est le truc débile des utilisateurs béta d'internet ... <BR> <BR>J'ai quotidiennement 100 à 200 alertes code red ... et j'ai encore reçu il y a peu une loveletter ...

[nemesis]

ça s'apelle se faire faire un enfant dans le dos <IMG SRC="images/smiles/icon_lol.gif">! <BR> <BR>en tt cas il m'a l'air bien fun ce vers!