logs firewall : 6000 acces en 6h c beaucoup ?

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar mOuNs044 » 29 Août 2003 15:14

BJ, <BR>comme g pas trouvé de reponse, je post ( j'ai cherché si,si <IMG SRC="images/smiles/icon_smile.gif"> ) <BR> <BR>en visualisant mes logs de firewall dans l'interface web d'ipcop, je constate environ 6000 demandes d'accés depuis la mise en service de ce matin (a 9h00 ), un chiffre impressionnant pour un newbie....et un nombre non moins impressionnant de tentatives d'acces au port 7215 (tcp ou udp) en provenances d'adresses sources diverses.... <BR>alors la question, basique peut-etre, est la suivante : y'a t-il lieu de s'inquieter ? ces acces au port 7215 laissent-ils presager quelques ennuis ?... sachant que g un client p2p (aie...pas sur la tete <IMG SRC="images/smiles/icon_smile.gif"> ) en DMZ..... <BR> <BR>please no rtfm <IMG SRC="images/smiles/icon_bise.gif"> <BR> <BR>ps g encore une question a propos des logs snort, <BR>mais pas tout en meme temps <IMG SRC="images/smiles/icon_biggrin.gif">
-La théorie c quand on sait tout mais que rien ne fonctionne.
-La pratique c quand tout fonctionne mais qu'on ne sait pas pourquoi...
-- AE
Avatar de l’utilisateur
mOuNs044
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 210
Inscrit le: 04 Août 2003 00:00
Localisation: Nantes

Messagepar mOuNs044 » 29 Août 2003 15:32

je peut donner plus d'info sur ma config si y'a besoin <IMG SRC="images/smiles/icon_wink.gif">
-La théorie c quand on sait tout mais que rien ne fonctionne.
-La pratique c quand tout fonctionne mais qu'on ne sait pas pourquoi...
-- AE
Avatar de l’utilisateur
mOuNs044
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 210
Inscrit le: 04 Août 2003 00:00
Localisation: Nantes

Messagepar yannva » 29 Août 2003 15:37

Si tu décris un peu ta config ca ira surement mieux : <BR>- type de config , Ip utilisés, ports ouverts et transférés <BR>on pourra t'aider <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>Yann
Image
Si tous ceux qui croient avoir raison n'avaient pas tort, la vérité ne serait pas loin. [Pierre Dac]
Avatar de l’utilisateur
yannva
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 340
Inscrit le: 31 Août 2002 00:00
Localisation: Nancy

Messagepar mOuNs044 » 29 Août 2003 15:52

voili,voila <BR> <BR>pour commencer c un usage domestique... <BR> <BR>adsl 512/128....modem ethernet....(dhcp fai)ipcop <BR> <BR>ipcop---green(192.168.1.1)dhcp..........(192.168.1.xxx).......2postes(winXP/debian) <BR> | <BR> |____DMZ(192.168.10.1)ip fixes.......(192.168.10.50)......client p2p(sous debian) <BR> <BR>si il en faut + ya qu'a demander <IMG SRC="images/smiles/icon_razz.gif">
-La théorie c quand on sait tout mais que rien ne fonctionne.
-La pratique c quand tout fonctionne mais qu'on ne sait pas pourquoi...
-- AE
Avatar de l’utilisateur
mOuNs044
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 210
Inscrit le: 04 Août 2003 00:00
Localisation: Nantes

Messagepar mOuNs044 » 29 Août 2003 15:53

tant que j'y pense : <BR>ipcop=Ppro200+dd1 Go+ramedo96Mo <BR>
-La théorie c quand on sait tout mais que rien ne fonctionne.
-La pratique c quand tout fonctionne mais qu'on ne sait pas pourquoi...
-- AE
Avatar de l’utilisateur
mOuNs044
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 210
Inscrit le: 04 Août 2003 00:00
Localisation: Nantes

Messagepar Gesp » 29 Août 2003 16:04

Pour répondre sur la quantité, le 16 j'ai vu environ une alerte par mn sur le port 135. <BR> <BR>Depuis je drop systématiquement les paquets entrant (pour les logs) et sortant (parce que rien ne devrait sortir par là) sur les ports <BR>135:139, 445, 1900, 5000 donc c'est beaucoup plus calme. <BR>Tu peux adapter si nécessaire pour le port que tu cites <BR> <BR>Dans le cas des IP variables, suivant ce que le précédent utilisateur de ton adresse utilisait comme trafic, il faut un certain temps aux logiciels de peer pour se désintéresser de ton adresse. <BR>Si cela te gènait, tu fais une déco/reco et tu pourrais être plus tranquille avec la nouvelle adresse <BR> <BR>j'ai mis cela dans rc.local pour filtrer. Il suffit de lancer le fichier une fois (il est aussi lancé au démarrage) <BR>Par rapport à ce que tomtom avait indiqué, il manque un filtrage sur le OUPUT mais il n'y a pas actuellement de CUSTOMOUTPUT dans IPCop. Si j'ai à peu près compris le fonctionnement d'iptables, ce n'est pas bien grave puisque que je ne dois pas avoir de processus local me générant de traffic sur les ports à filtrer. <BR> <BR>/sbin/iptables -A InOut -p udp --dport 135:139 -j DROP <BR>/sbin/iptables -A InOut -p tcp --dport 135:139 -j DROP <BR>/sbin/iptables -A InOut -p udp --dport 445 -j DROP <BR>/sbin/iptables -A InOut -p tcp --dport 445 -j DROP <BR> <BR># Ainsi que le SSDP/UPnP <BR>/sbin/iptables -A InOut -p udp --dport 1900 -j DROP <BR>/sbin/iptables -A InOut -p tcp --dport 1900 -j DROP <BR>/sbin/iptables -A InOut -p udp --dport 5000 -j DROP <BR>/sbin/iptables -A InOut -p tcp --dport 5000 -j DROP <BR> <BR>/sbin/iptables -A CUSTOMINPUT -i $IFACE -j InOut <BR>/sbin/iptables -A CUSTOMFORWARD -i $IFACE -j InOut <BR>/sbin/iptables -A CUSTOMFORWARD -o $IFACE -j InOut <BR> <BR># ma pile est naze, faudrait que je la change alors en palliatif au redémarrage <BR>/bin/touch /var/ipcop/time/settimenow <BR>
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar mOuNs044 » 29 Août 2003 16:18

ouloulou! <BR>ca se complique vite avec ipcop!, mais plus c compliqué plus on en apprend <IMG SRC="images/smiles/icon_smile.gif"> <BR>g eu un peu de mal a trouver rc.local déjà mais maintenant je m'apercois qu'il est.......vide ! c normal ? <BR> <BR>pas pour la pile prends des rechargeable NiMH c se qui coute le moins cher à la longue <IMG SRC="images/smiles/icon_biggrin.gif">
-La théorie c quand on sait tout mais que rien ne fonctionne.
-La pratique c quand tout fonctionne mais qu'on ne sait pas pourquoi...
-- AE
Avatar de l’utilisateur
mOuNs044
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 210
Inscrit le: 04 Août 2003 00:00
Localisation: Nantes

Messagepar mOuNs044 » 29 Août 2003 16:40

cayest, <BR>g ajouté les deux lignes iptables a rc.local pour le port 7215 <BR>par contre apres je suis déjà 'largué' <BR>qu'entends tu par ssdp/upnp ? c'est toujours à ajouté dans rc.local ? <BR>les lignes avec 'CUSTOMINPUT' aussi? <BR>et, si tu as du temps a perdre, a quoi servent-elles ces lignes (custominput) <BR> <BR>merci d'avance <IMG SRC="images/smiles/icon_smile.gif">
-La théorie c quand on sait tout mais que rien ne fonctionne.
-La pratique c quand tout fonctionne mais qu'on ne sait pas pourquoi...
-- AE
Avatar de l’utilisateur
mOuNs044
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 210
Inscrit le: 04 Août 2003 00:00
Localisation: Nantes

Messagepar Gesp » 29 Août 2003 18:42

Dans rc.local, tu peux mettre tes modifs, c'est un script vide qui ne sera jamais changé par un fix. Il est sauvegardé dans la disquette de backup. <BR> <BR>Les cibles CUSTOMxxx pour iptables sont destinées à ajouter des règles particulières à celles définies dans rc.firewall. <BR>A priori les cibles CUSTOMxx sont définies au bon endroit dans rc.firewall pour que l'on puisse ajouter ses propres règles perso dans rc.local sans avoir à toucher à rc.firewall. <BR> <BR>Après comprendre les règles, il faut regarder les explications de tomtom sur ce forum et aller voir <!-- BBCode auto-link start --><a href="http://christian.caleca.free.fr/netfilter/" target="_blank">http://christian.caleca.free.fr/netfilter/</a><!-- BBCode auto-link end --> <BR> <BR>Concernant SSDP, je ne sais pas, je fais confiance à tomtom mais si je ne sais pas que je n'ai besoin, je peux m'en passer. <BR> <BR>Concernant UPnP c'est un protocole Microsoft qui n'est pas vraiment sécurisé donc sur une machine qui le supporterait comme le font beaucoup de petits routeurs parce que les clients le demandaient, il est très facile d'ouvrir tous les ports que l'on veut de l'extérieur en se faisant passer pour quelqu'un que l'on est pas. <BR>C'est aussi pour cela que la plupart des distrib Linux se refusent de le faire même si le soft Linux existe parce que l'on pourrait presque ne pas avoir de firewall que ce serait pareil. <BR>UPnP est demandé parce que les logiciels Microsoft en avaient besoin pour passer les firewalls mais avec MSN6 maintenant plus besoin donc UPnP au mieux tombera certainement rapidement dans l'oubli si des virus ne se décident pas à utiliser les failles qu'il représente. <BR>Mais comme il y a certainement encore plein de failles moins spécifiques dans les softs Microsoft, peut-être n'est ce pas une cible intéressante pour les virus? <BR>En tout cas, fermer UPnP ne fait pas de mal.
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar mOuNs044 » 29 Août 2003 19:40

merci !! <IMG SRC="images/smiles/icon_bise.gif"> <IMG SRC="images/smiles/icon_bise.gif"> <BR>en ma qualité de newbie je pense avoir compris l'essentiel <BR>le rc.local est donc reservé aux 'add-on' perso, <BR> <BR>en fait je suppose que le blocage des port n'est fait qu'en sortie (malgre le parametre InOut) car j'ai bien lu dans la doc que la version 1.3 d'ipcop bloquait par defaut TOUS les ports en entrée (sauf le 113 je crois)...?? <BR> <BR>par contre CUSTOMINPUT là j'ai pas bien compris (un alias pour placer nos regles supplementaires au bon endroit dans rc.firewall ??) <IMG SRC="images/smiles/icon_confused.gif"> <BR> <BR>enfin je suppose que la reponse est dans l'expli de netfilter (j'avais parcouru une parti du site mais pas eu le temps de m'attaquer à ca (c quand meme un gros morceau <IMG SRC="images/smiles/icon_biggrin.gif"> ) <BR>pour resumer, tout ce que tu m'as indiqué est à placer dans rc.local et ipcop 'drop' dardart tout ce qui se presente à ces ports (cela dit est-ce que ca apparait toujours dans les logs?) <BR>en tout cas merci d'aider les newbies <IMG SRC="images/smiles/icon_smile.gif">
-La théorie c quand on sait tout mais que rien ne fonctionne.
-La pratique c quand tout fonctionne mais qu'on ne sait pas pourquoi...
-- AE
Avatar de l’utilisateur
mOuNs044
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 210
Inscrit le: 04 Août 2003 00:00
Localisation: Nantes

Messagepar Gesp » 29 Août 2003 20:04

si tu as juste ajouté 2 lignes iptables avec le port que tu veux 'drop'er en tcp et udp, ce n'est pas suffisant. Il faut aussi les 3 lignes <BR>/sbin/iptables -A CUSTOMINPUT -i $IFACE -j InOut <BR>/sbin/iptables -A CUSTOMFORWARD -i $IFACE -j InOut <BR>/sbin/iptables -A CUSTOMFORWARD -o $IFACE -j InOut <BR> <BR>Oui presques tous les ports sont fermés en entrée sauf le 113 , celui du DHCP s'il est utilisé. <BR>La différence avec ces règles pour l'entrée, c'est qu'il ne sont plus dans le log du firewall donc moins de bazard pour en retrouver l'essentiel. <BR>Pour la sortie, les règles standards ne bloquent rien donc là même si un virus est déjà sur votre réseau sur le port 135, si vous voyez ce que je veux dire, il ne passera pas s'il ne sait pas essayer un autre port non bloqué.
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar mOuNs044 » 29 Août 2003 20:08

impecable!, g tout compris (enfin presque pour la presence obligatoire des lignes CUSTOM-quelquechose j'irai voir sur l'expli netfilter) <BR> <BR>par contre, sans vouloir abuser, c quoi cette histoire de pile ? <IMG SRC="images/smiles/icon_confused.gif">
-La théorie c quand on sait tout mais que rien ne fonctionne.
-La pratique c quand tout fonctionne mais qu'on ne sait pas pourquoi...
-- AE
Avatar de l’utilisateur
mOuNs044
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 210
Inscrit le: 04 Août 2003 00:00
Localisation: Nantes

Messagepar nemesis » 29 Août 2003 20:17

en fait la ligne permet a la machine de se mettre à l'heure tte seule au démarage qud la pile du bios est naze je pense
ce n'est pas parce qu'il n'y a pas de preuve qu'une chose existe qu'elle ne peut pas exister
Avatar de l’utilisateur
nemesis
Amiral
Amiral
 
Messages: 1954
Inscrit le: 01 Jan 2003 01:00
Localisation: 75

Messagepar mOuNs044 » 29 Août 2003 20:26

oups! <BR>j'avais pas compris ça comme ça.. <BR>j'avais plutot pensé a un truc de programmation un peu barbare <IMG SRC="images/smiles/icon_lol.gif"> <BR> <BR>sinon pour appliquer toutes ces bonnes modifs (qui j'espere serviront aussi a d'autres) en petit reboot des familles ou on relance juste une partie ?
-La théorie c quand on sait tout mais que rien ne fonctionne.
-La pratique c quand tout fonctionne mais qu'on ne sait pas pourquoi...
-- AE
Avatar de l’utilisateur
mOuNs044
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 210
Inscrit le: 04 Août 2003 00:00
Localisation: Nantes

Messagepar mOuNs044 » 30 Août 2003 10:28

encore une ch'tite question : <BR>dans les règles supplementaires données par Gesp je vois : <BR>/sbin/iptables -A InOut -p udp --dport 445 -j DROP <BR>/sbin/iptables -A InOut -p tcp --dport 445 -j DROP <BR> <BR>si je fais ça ipcop va 'droper' tous les paquets arrivant ou voulant sortir du port 445 <BR>or si je veux consulter mon ipcop par son interface web en mode sécurisé je fais une requète https sur le port 445 avec mon navigateur préféré il me semble (https://le_nom_de_mon_ipcop:445) <BR>je suppose que si je fais ça sa ne fonctionnera plus (ou alors g rien compris... <IMG SRC="images/smiles/icon_bawling.gif"> ) <BR> <BR>à moins qu'il n'y ait qu'une seule interface reseau affectctée par ces règles (RED en l'occurence) et qu'on puisse toujours l'interroger (l'interface web d'ipcop depuis l'interieur du reseau...) <BR>merci de me "désembrouiller" <IMG SRC="images/smiles/icon_biggrin.gif">
-La théorie c quand on sait tout mais que rien ne fonctionne.
-La pratique c quand tout fonctionne mais qu'on ne sait pas pourquoi...
-- AE
Avatar de l’utilisateur
mOuNs044
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 210
Inscrit le: 04 Août 2003 00:00
Localisation: Nantes

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité