log ipchains ipcop v1.2

[shubnigourat]

Bonjour, <BR> <BR>Je suspecte de plus en plus Ipcop v1.2 d etre une vrai passoir. <BR>Notre reseau a subi par exemple quelques comtaminations de MSBLAST ces derniers temps. <BR> <BR>Pour en avoir le coeur nette j aimerais savoir ce que fait Ipchains en temps reel <BR>et eventuellement corriger les regles au fur et a mesure. <BR> <BR>En faisant un parallele avec l exellent Firewall Windows Look'n'stop j ai cherché a identifier dans les logs a visualiser les port filtrés en entrée ou en sortie, les ports autorisées en fonction des nlles regles ... <BR> <BR>j ai essayé ca : <BR> <BR>tail -f /var/log/messages <BR> <BR>au final il n y a pas grand chose qui apparait. <BR> <BR>En faisant un man de ipchains j ai vu qu il existait une option "-l" <BR>Avec cette option appliqué a qq regles perso . Y a enfin des choses qui remonte mais seulement en "INPUT" <BR> <BR>Pourquoi il n y a rien sur la chain OUTPUT dans les logs ? <BR> <BR>Pour poursuivre l analyse peut on activer la log ipchaisn "-l" dans les regles de base de Ipcop ? meme temporairement ? <BR> <BR>je ne risque pas de faire exploser la taille de la log /var/log/messages ? <BR>

[shubnigourat]

je me reponds a moi meme ! <BR>j ai reglé mon probleme de log OUTPUT invisible sur mes propres regles. <BR> <BR>Concernant la conf standard d ipcop, en passant en revue le /etc/rc.d/rc.firewall j ai vu qu il y a avait des ordres de "logging" pour les chains input et forward <BR> <BR># last rule in input chain is for logging. <BR>ipchains -A input -l <BR>et <BR>ipchains -A forward -l <BR> <BR>par contre y a rien pour OUTPUT <BR>il suffirait donc d ajouter <BR> <BR>ipchains -A output -l <BR> <BR>Est ce que je fais bien ? <BR>je veux dire : le systeme de gestion des log peut il gerer cette quantité d info sans faire exploser le /var ? <BR> <BR>En tout cas ca a l air de fonctionner. <BR>une commande de ce type <BR> <BR>tail -f /var/log/messages | grep 'firewall kernel' |cut -d" " -f1,4-9,14 <BR> <BR>donne un resultat assez proche des logs de Look'n'stop que j ai l habitude d analyser. <BR> <BR>le but est d etudier l activité générée par mes utilisateurs et d ajuster le filtrage en fonction : P2P, CHAT, jeux en reseau et autre applications illegales pendant les heures de travail. <BR>

[shubnigourat]

j allais oublier : <BR> <BR>ipchains -A output -l <BR> <BR>permet de logguer la chaine output <BR>MAIS qu est ce qui est enregistré au juste ? le traffic rejeté par un REJECT ou DENY ? <BR>ou alors tout, ACCEPT y compris ? <BR> <BR>Si toutes les regles de la chaine ouput sont logguées comment distinguer DENY, REJECT et ACCEPT ?

[nemesis]

ipcop 1.2 passoire? <BR> <BR>hum je pense qu'on a pas la même définition de firewall... <BR> <BR>en clair ipcop ne laisse rien rentrer (en tout cas pas à ma connaissance) par contre tout peut sortir depuis le lan (on parle pas de soft style ZA qui permettent aux gentil bidouilleurs de prog commerciaux de ne pas envoyer des infos sur le web..). <BR> <BR>Pour ton pb de msblast tu aurais pas des gens qui auraient des portables par hazard?..... <BR> <BR>ensuite pour ton problème de logs effectivement si tu as beaucoup de trafic sur ton lan -> l'exterieur genre des emuleurs ou des kazaaeurs fous tes logs risque d'exploser....

[shubnigourat]

Oui c est vrai. aux premieres heures de l alerte MSBlast les seules contaminations ont été provoqué par des connexion illégale de portable "perso" sur le reseau. <BR>Administrateurs : surveillez de pres cette population turbulante ! <BR> <BR>Depuis tous les postes ont été decomtaminés et patchés. J ai verrouillé les prise reseau sur la mac adresse des postes pour eviter la connexion sauvage des portables. <BR> <BR>Malgres ces mesures il reste plusieurs cas inexpliqués de contamination ces 2 derniers jours. C ets pour cela que j aimerai etudier de plus pret ce que filtre ipcop. <BR> <BR>Vous auriez d autre recommandation concernant l analyse des logs ipchains ? <BR> <BR> <BR> <BR>

[nemesis]

kels types de contaminations? <BR> <BR>parce que pour msblast je suis sur que c bloqué au niveau d'ipcop vu que la règle basique appliquée est que tout port < 1024 est bloqué dc blaster (135 139? 445 745) est bloqué. <BR> <BR>ensuite il faut savoir que au dessus du 1024 normalement tu n'as rien qui écoute donc t'es traiquille! <BR> <BR>@+

[shubnigourat]

Personnellement n ayant pas accés aux logs ipcop j avais mis en place un script qui fermait les ports utilisés par MSblast pour se propager : <BR> <BR># ANTI MSBLAST 08/2003 <BR> <BR>output udp 69 <BR>output tcp 135 <BR>output udp 135 <BR>output tcp 139 <BR>output udp 139 <BR>output tcp 445 <BR>output udp 445 <BR>output tcp 4444 <BR> <BR>input udp 69 <BR>input tcp 135 <BR>input udp 135 <BR>input tcp 139 <BR>input udp 139 <BR>input tcp 445 <BR>input udp 445 <BR>input tcp 4444 <BR> <BR>Le TCP 4444 serait un port utilisé par MSblast d apres les docs que j avais consulté sur le net avant la redaction du script. <BR> <BR>Si c est bien le cas, ipcop dans sa conf d origine ne protege pas de MSblast. <BR> <BR>Autre chose qui m inquiete : <BR>Avec une etude plus detaillé du rc.firewall.up effectivement les port 1-1024 sont fermés au traffic externe mais qu en est il au dessus ? <BR>Visiblement tout est ouvert. <BR> <BR>if [ "$RED_DEV" != "" ]; then <BR> ipchains -A block -p tcp -i $RED_DEV -d $RED_ADDRESS/$RED_NETMASK 1024:65535 -j ACCEPT <BR> ipchains -A block -p udp -i $RED_DEV -d $RED_ADDRESS/$RED_NETMASK 1024:65535 -j ACCEPT <BR>fi <BR> <BR>Ma question : <BR>je vais commenter ces 2 lignes. <BR>Puis grace a l affichage detaille des log je vais observer les ports filtrés et ouvrir ce dont mes clients ont besoins au cas par cas. <BR>La procédure est elle bonne ? <BR>Je ne risque pas de bloquer definitivement l Internet ? <BR> <BR>Je m etonne de ne pas voir d avantage de FAQ, Tips, modif, add-on, post du forum sur cet aspect de la configuration d origine de Ipcop.

[nemesis]

les ports supérieurs à 1024 ne sont pas utilisé par koi ke ce soit sur le system au niveau de l'entrée A MOINS que tu ai mis un serveur en écoute sur ce port là. <BR> <BR>en général ces ports sont utilisé pour établir des dataconnexion apres avoir négocier un accés sur les ports standards < 1024 <BR> <BR>moi je suis en icop 1.2 et à part une no réponse aux ping j'ai rien modifié à a config! <BR> <BR>et j'ai pas eu balster (je voudrais savor d'ailleur comment il peut attaquer par le port 44quechose (4444 je crois que c ça que tu as marqué) si il y a rien qui écoute la dessus! <BR>dc je pense que tu as pas trop à t'inquieter à part peut être pour les ports de p2p.