logs firewall : 6000 acces en 6h c beaucoup ?

[mOuNs044]

BJ, <BR>comme g pas trouvé de reponse, je post ( j'ai cherché si,si <IMG SRC="images/smiles/icon_smile.gif"> ) <BR> <BR>en visualisant mes logs de firewall dans l'interface web d'ipcop, je constate environ 6000 demandes d'accés depuis la mise en service de ce matin (a 9h00 ), un chiffre impressionnant pour un newbie....et un nombre non moins impressionnant de tentatives d'acces au port 7215 (tcp ou udp) en provenances d'adresses sources diverses.... <BR>alors la question, basique peut-etre, est la suivante : y'a t-il lieu de s'inquieter ? ces acces au port 7215 laissent-ils presager quelques ennuis ?... sachant que g un client p2p (aie...pas sur la tete <IMG SRC="images/smiles/icon_smile.gif"> ) en DMZ..... <BR> <BR>please no rtfm <IMG SRC="images/smiles/icon_bise.gif"> <BR> <BR>ps g encore une question a propos des logs snort, <BR>mais pas tout en meme temps <IMG SRC="images/smiles/icon_biggrin.gif">

[mOuNs044]

je peut donner plus d'info sur ma config si y'a besoin <IMG SRC="images/smiles/icon_wink.gif">

[yannva]

Si tu décris un peu ta config ca ira surement mieux : <BR>- type de config , Ip utilisés, ports ouverts et transférés <BR>on pourra t'aider <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>Yann

[mOuNs044]

voili,voila <BR> <BR>pour commencer c un usage domestique... <BR> <BR>adsl 512/128....modem ethernet....(dhcp fai)ipcop <BR> <BR>ipcop---green(192.168.1.1)dhcp..........(192.168.1.xxx).......2postes(winXP/debian) <BR> | <BR> |____DMZ(192.168.10.1)ip fixes.......(192.168.10.50)......client p2p(sous debian) <BR> <BR>si il en faut + ya qu'a demander <IMG SRC="images/smiles/icon_razz.gif">

[mOuNs044]

tant que j'y pense : <BR>ipcop=Ppro200+dd1 Go+ramedo96Mo <BR>

[Gesp]

Pour répondre sur la quantité, le 16 j'ai vu environ une alerte par mn sur le port 135. <BR> <BR>Depuis je drop systématiquement les paquets entrant (pour les logs) et sortant (parce que rien ne devrait sortir par là) sur les ports <BR>135:139, 445, 1900, 5000 donc c'est beaucoup plus calme. <BR>Tu peux adapter si nécessaire pour le port que tu cites <BR> <BR>Dans le cas des IP variables, suivant ce que le précédent utilisateur de ton adresse utilisait comme trafic, il faut un certain temps aux logiciels de peer pour se désintéresser de ton adresse. <BR>Si cela te gènait, tu fais une déco/reco et tu pourrais être plus tranquille avec la nouvelle adresse <BR> <BR>j'ai mis cela dans rc.local pour filtrer. Il suffit de lancer le fichier une fois (il est aussi lancé au démarrage) <BR>Par rapport à ce que tomtom avait indiqué, il manque un filtrage sur le OUPUT mais il n'y a pas actuellement de CUSTOMOUTPUT dans IPCop. Si j'ai à peu près compris le fonctionnement d'iptables, ce n'est pas bien grave puisque que je ne dois pas avoir de processus local me générant de traffic sur les ports à filtrer. <BR> <BR>/sbin/iptables -A InOut -p udp --dport 135:139 -j DROP <BR>/sbin/iptables -A InOut -p tcp --dport 135:139 -j DROP <BR>/sbin/iptables -A InOut -p udp --dport 445 -j DROP <BR>/sbin/iptables -A InOut -p tcp --dport 445 -j DROP <BR> <BR># Ainsi que le SSDP/UPnP <BR>/sbin/iptables -A InOut -p udp --dport 1900 -j DROP <BR>/sbin/iptables -A InOut -p tcp --dport 1900 -j DROP <BR>/sbin/iptables -A InOut -p udp --dport 5000 -j DROP <BR>/sbin/iptables -A InOut -p tcp --dport 5000 -j DROP <BR> <BR>/sbin/iptables -A CUSTOMINPUT -i $IFACE -j InOut <BR>/sbin/iptables -A CUSTOMFORWARD -i $IFACE -j InOut <BR>/sbin/iptables -A CUSTOMFORWARD -o $IFACE -j InOut <BR> <BR># ma pile est naze, faudrait que je la change alors en palliatif au redémarrage <BR>/bin/touch /var/ipcop/time/settimenow <BR>

[mOuNs044]

ouloulou! <BR>ca se complique vite avec ipcop!, mais plus c compliqué plus on en apprend <IMG SRC="images/smiles/icon_smile.gif"> <BR>g eu un peu de mal a trouver rc.local déjà mais maintenant je m'apercois qu'il est.......vide ! c normal ? <BR> <BR>pas pour la pile prends des rechargeable NiMH c se qui coute le moins cher à la longue <IMG SRC="images/smiles/icon_biggrin.gif">

[mOuNs044]

cayest, <BR>g ajouté les deux lignes iptables a rc.local pour le port 7215 <BR>par contre apres je suis déjà 'largué' <BR>qu'entends tu par ssdp/upnp ? c'est toujours à ajouté dans rc.local ? <BR>les lignes avec 'CUSTOMINPUT' aussi? <BR>et, si tu as du temps a perdre, a quoi servent-elles ces lignes (custominput) <BR> <BR>merci d'avance <IMG SRC="images/smiles/icon_smile.gif">

[Gesp]

Dans rc.local, tu peux mettre tes modifs, c'est un script vide qui ne sera jamais changé par un fix. Il est sauvegardé dans la disquette de backup. <BR> <BR>Les cibles CUSTOMxxx pour iptables sont destinées à ajouter des règles particulières à celles définies dans rc.firewall. <BR>A priori les cibles CUSTOMxx sont définies au bon endroit dans rc.firewall pour que l'on puisse ajouter ses propres règles perso dans rc.local sans avoir à toucher à rc.firewall. <BR> <BR>Après comprendre les règles, il faut regarder les explications de tomtom sur ce forum et aller voir <!-- BBCode auto-link start --><a href="http://christian.caleca.free.fr/netfilter/" target="_blank">http://christian.caleca.free.fr/netfilter/</a><!-- BBCode auto-link end --> <BR> <BR>Concernant SSDP, je ne sais pas, je fais confiance à tomtom mais si je ne sais pas que je n'ai besoin, je peux m'en passer. <BR> <BR>Concernant UPnP c'est un protocole Microsoft qui n'est pas vraiment sécurisé donc sur une machine qui le supporterait comme le font beaucoup de petits routeurs parce que les clients le demandaient, il est très facile d'ouvrir tous les ports que l'on veut de l'extérieur en se faisant passer pour quelqu'un que l'on est pas. <BR>C'est aussi pour cela que la plupart des distrib Linux se refusent de le faire même si le soft Linux existe parce que l'on pourrait presque ne pas avoir de firewall que ce serait pareil. <BR>UPnP est demandé parce que les logiciels Microsoft en avaient besoin pour passer les firewalls mais avec MSN6 maintenant plus besoin donc UPnP au mieux tombera certainement rapidement dans l'oubli si des virus ne se décident pas à utiliser les failles qu'il représente. <BR>Mais comme il y a certainement encore plein de failles moins spécifiques dans les softs Microsoft, peut-être n'est ce pas une cible intéressante pour les virus? <BR>En tout cas, fermer UPnP ne fait pas de mal.

[mOuNs044]

merci !! <IMG SRC="images/smiles/icon_bise.gif"> <IMG SRC="images/smiles/icon_bise.gif"> <BR>en ma qualité de newbie je pense avoir compris l'essentiel <BR>le rc.local est donc reservé aux 'add-on' perso, <BR> <BR>en fait je suppose que le blocage des port n'est fait qu'en sortie (malgre le parametre InOut) car j'ai bien lu dans la doc que la version 1.3 d'ipcop bloquait par defaut TOUS les ports en entrée (sauf le 113 je crois)...?? <BR> <BR>par contre CUSTOMINPUT là j'ai pas bien compris (un alias pour placer nos regles supplementaires au bon endroit dans rc.firewall ??) <IMG SRC="images/smiles/icon_confused.gif"> <BR> <BR>enfin je suppose que la reponse est dans l'expli de netfilter (j'avais parcouru une parti du site mais pas eu le temps de m'attaquer à ca (c quand meme un gros morceau <IMG SRC="images/smiles/icon_biggrin.gif"> ) <BR>pour resumer, tout ce que tu m'as indiqué est à placer dans rc.local et ipcop 'drop' dardart tout ce qui se presente à ces ports (cela dit est-ce que ca apparait toujours dans les logs?) <BR>en tout cas merci d'aider les newbies <IMG SRC="images/smiles/icon_smile.gif">

[Gesp]

si tu as juste ajouté 2 lignes iptables avec le port que tu veux 'drop'er en tcp et udp, ce n'est pas suffisant. Il faut aussi les 3 lignes <BR>/sbin/iptables -A CUSTOMINPUT -i $IFACE -j InOut <BR>/sbin/iptables -A CUSTOMFORWARD -i $IFACE -j InOut <BR>/sbin/iptables -A CUSTOMFORWARD -o $IFACE -j InOut <BR> <BR>Oui presques tous les ports sont fermés en entrée sauf le 113 , celui du DHCP s'il est utilisé. <BR>La différence avec ces règles pour l'entrée, c'est qu'il ne sont plus dans le log du firewall donc moins de bazard pour en retrouver l'essentiel. <BR>Pour la sortie, les règles standards ne bloquent rien donc là même si un virus est déjà sur votre réseau sur le port 135, si vous voyez ce que je veux dire, il ne passera pas s'il ne sait pas essayer un autre port non bloqué.

[mOuNs044]

impecable!, g tout compris (enfin presque pour la presence obligatoire des lignes CUSTOM-quelquechose j'irai voir sur l'expli netfilter) <BR> <BR>par contre, sans vouloir abuser, c quoi cette histoire de pile ? <IMG SRC="images/smiles/icon_confused.gif">

[nemesis]

en fait la ligne permet a la machine de se mettre à l'heure tte seule au démarage qud la pile du bios est naze je pense

[mOuNs044]

oups! <BR>j'avais pas compris ça comme ça.. <BR>j'avais plutot pensé a un truc de programmation un peu barbare <IMG SRC="images/smiles/icon_lol.gif"> <BR> <BR>sinon pour appliquer toutes ces bonnes modifs (qui j'espere serviront aussi a d'autres) en petit reboot des familles ou on relance juste une partie ?

[mOuNs044]

encore une ch'tite question : <BR>dans les règles supplementaires données par Gesp je vois : <BR>/sbin/iptables -A InOut -p udp --dport 445 -j DROP <BR>/sbin/iptables -A InOut -p tcp --dport 445 -j DROP <BR> <BR>si je fais ça ipcop va 'droper' tous les paquets arrivant ou voulant sortir du port 445 <BR>or si je veux consulter mon ipcop par son interface web en mode sécurisé je fais une requète https sur le port 445 avec mon navigateur préféré il me semble (https://le_nom_de_mon_ipcop:445) <BR>je suppose que si je fais ça sa ne fonctionnera plus (ou alors g rien compris... <IMG SRC="images/smiles/icon_bawling.gif"> ) <BR> <BR>à moins qu'il n'y ait qu'une seule interface reseau affectctée par ces règles (RED en l'occurence) et qu'on puisse toujours l'interroger (l'interface web d'ipcop depuis l'interieur du reseau...) <BR>merci de me "désembrouiller" <IMG SRC="images/smiles/icon_biggrin.gif">