Nmap et ipcop 1.3.0!!!

par **emptiness** » 18 Fév 2004 02:20

Bonjour à tous, je cherche depuis quelques jours des informations pour bloquer les scans (nmap) de mon adresse ip à partir de l'extérieur. Par défaut ipcop n'a pas l'air de bloquer ca. Pour bloquer les pings c'est ok mais pas pour les scans. Et je ne fais que utiliser nmap <Adresse ip>. Je me suis mis à chercher cette solution car une personne que je connais a mis un routeur d'une compagnie X qui à l'air de bloquer ca. Car quand je fais un nmap, il me retourne rien ou bien c'est tres tres tres long, parce qu'il me donne aucune réponse. Je cherche une facon pour arrimer ca avec les règles de firewall de ipcop. En passant je trouve que Ipcop est un très bel outil. D'ailleur en tant qu'adepte de Debian, je suis très content de voir ses dérivés. Merci d'avance!!! God Of Emptiness

par **JaDiuM** » 18 Fév 2004 18:27

Bonjour, Pour stopper explicitement les scans de type Nmap, il faut pour cela se baser sur le Flag du packet : ce qui donne pour les quelques modes les plus connus d'Nmap iptables -N VISU_FLAGS iptables -A VISU_FLAGS -p tcp --tcp-flags ALL FIN,URG,PSH -m limit --limit 5/minute -j LOG --log-level 6 --log-prefix " SCAN NMAP INVALID " iptables -A VISU_FLAGS -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP iptables -A VISU_FLAGS -p tcp --tcp-flags SYN,RST SYN,RST -m limit --limit 5/minute -j LOG --log-level 6 --log-prefix " SYN/RST " iptables -A VISU_FLAGS -p tcp --tcp-flags SYN,RST SYN,RST -j DROP iptables -A VISU_FLAGS -p tcp --tcp-flags SYN,FIN SYN,FIN -m limit --limit 5/minute -j LOG --log-level 6 --log-prefix " SYN/FIN SCAN " iptables -A VISU_FLAGS -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP iptables -A VISU_FLAGSS -p tcp --tcp-option 64 -m limit --limit 5/minute -j LOG --log-level 6 --log-prefix " Bogus TCP FLAG 64 " iptables -A VISU_FLAGS -p tcp --tcp-option 64 -j DROP iptables -A VISU_FLAGS -p tcp --tcp-option 128 -m limit --limit 5/minute -j LOG --log-level 6 --log-prefix " Bogus TCP FLAG 128 " iptables -A VISU_FLAGS -p tcp --tcp-option 128 -j DROP iptables -A VISU_FLAGS -p tcp --tcp-flags ALL ALL -m limit --limit 5/minute -j LOG --log-level 6 --log-prefix "Merry Xmas Tree:" iptables -A VISU_FLAGS -p tcp --tcp-flags ALL ALL -j DROP iptables -A VISU_FLAGS -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -m limit --limit 5/minute -j LOG --log-level 6 --log-prefix "XMAS-PSH:" iptables -A VISU_FLAGS -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP iptables -A VISU_FLAGS -p tcp --tcp-flags ALL NONE -m limit --limit 5/minute -j LOG --log-level 6 --log-prefix "NULL_SCAN" iptables -A VISU_FLAGS -p tcp --tcp-flags ALL NONE -j DROP Pour le nombre par minute et le loglevel c'est à chacun de voir Cdt

par **tomtom** » 18 Fév 2004 18:44

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> En passant je trouve que Ipcop est un très bel outil. D'ailleur en tant qu'adepte de Debian, je suis très content de voir ses dérivés. </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> En passant, IPCop n'ets pas basé sur debian, mais sur une RH pour les anciennes versions et LFS plus recemment... Pour bloquer les scans, il faut effectiveemnt droper explicitement les options des paquets utilisés en general. Mais bloquer complétement les scans de ports est impossible. Ce qui est mieux, c'est de les detecter avec un IDS... t.

par **emptiness** » 18 Fév 2004 20:11

Merci, je vérifie tous ca et j'en donne des nouvelles. J'imagine qu'il faut que je change PSCAN dans les regles de Ipcop??? Je m'avais fais dire que c'étais basé sur Debian. Il y avait de grande ressemblance. Désolé mais c'est un bel outil quand meme!!!! God of Emptiness

par **nivou** » 19 Fév 2004 01:34

trés intéressant cette petite discution ! je prends note de tout ça <IMG SRC="images/smiles/icon_wink.gif">

par **emptiness** » 19 Fév 2004 05:22

Salut, j'ai ajouté ces quelques lignes. En faisant mes tests, il n'y pas de changement. Quand je fais un nmap <Adresse ip>, j'obtient mon scan. Mais je me suis apercu de quelques chose. Lorsque je désactive mon forward du port 80, il ne me retourne rien. Mais lorsque je l'active c'est là qu'il me retourne son scan. Donc je continue de chercher!!! Si vous avez des conseils ou des solutions ne vous géner pas, je suis très ouvert. <IMG SRC="images/smiles/icon_help.gif"> Merci encore!!! God Of Emptiness

par **tomtom** » 19 Fév 2004 11:49

Le scan par defaut est un syn-scan basique, cad envoi d'un paquet sur le port recherché avec le flag Syn positionné. Comme c'est un comportement classique sur internet, c'est tres difficile à bloquer.... Avec des drops, tu es dans le cas le plus lent pour le scanneur. t.

par **emptiness** » 19 Fév 2004 16:01

Sauf que c'est possible puisque comme je disais dans mon 1er message, il y a des routeur qui le font. Et certain routeur assez cheap. En résumé, si un routeur réussi a bloquer tout ca, pourquoi une personne normal avec un peu d'aide ne pourrais pas??? God Of Emptiness

par **JaDiuM** » 19 Fév 2004 16:53

bonjour, effectivement avec un port ouvert c'est plus delicat. Dans ce cas test ceci : il faut que le module CONFIG_IP_NF_TARGET_REJECT soit en Y dans ton kernel : D'abord creer la policie TREJECT: #TREJECT c'est un tcp reject iptables -t filter -A TREJECT -p tcp -j REJECT --reject-with tcp-reset iptables -t filter -A TREJECT -p udp -j REJECT --reject-with icmp-port-unreachable iptables -t filter -A TREJECT -p icmp -j DROP iptables -t filter -A TREJECT -j REJECT Puis remplacer le DROP par TREJECT dans les règles precedantes. Cdt

par **emptiness** » 19 Fév 2004 22:14

Merci!! Mais si je vérifie bien je crois que ce modules n'est pas là dans IpCop?? Est-ce que je me trompe?? Si jamais je veux installer un module de plus, est-ce que je peux le compiler à part??? <IMG SRC="images/smiles/icon_help.gif"> God Of Emptiness

par **La-Truffe** » 20 Fév 2004 00:21

Bonjour à tous, Pour bloquer un certain nb d'attaques tq les Scan de Ports, j'ai installé au boulot des IPCop 1.3.0 sur lequel j'ai installé un Snort compilé avec le patch snortsam. En effet ce petit patch, couplé à un agent fonctionnant en background, permet de definir quelle action le système doit entreprendre lorsque qu'une attaque est détectée. Ces actions peuvent etres des logs, des envois de mail ou beaucoup plus cool l'ajout de regles iptables. Ainsi lorsque qq essaie de scanner les ports de mes Firewall, automatiquement, son adresse est "blacklistée" pendant 15 minutes et un mail est envoyé aux admins. L'inconvenient de cette methode est qu'il faut modifier les fichiers RULES de snort (regle par regle....) afin d'avoir le comportement désiré pour chaque regle.

par **emptiness** » 20 Fév 2004 20:57

Ca peut etre pas pire. Est-ce que c'est la meme chose que Snort-Flexresp???? God Of Emptiness

par **JaDiuM** » 21 Fév 2004 16:03

Bonjour emptiness, Donc en résumant: Vérifis avec lsmod que le module ipt_REJECT est bien chargé, si il est présent fais comme ceci pour ton ipcop: dans tes policies rajoute: #TREJECT (rejet avec tcp reset) /sbin/iptables -N TREJECT /sbin/iptables -A TREJECT -p tcp -j REJECT --reject-with tcp-reset /sbin/iptables -A TREJECT -p udp -j REJECT --reject-with icmp-port-unreachable /sbin/iptables -A TREJECT -p icmp -j DROP /sbin/iptables -A TREJECT -j REJECT puis #CHECKSCAN (Vérification des limites par Flags avec TREJECT) /sbin/iptables -N CHECKSCAN /sbin/iptables -A CHECKSCAN -p tcp -m limit --limit 5/minute -j LOG --log-prefix "SCAN NMAP INVALID " /sbin/iptables -A CHECKSCAN -p tcp -m limit --limit 5/minute -j LOG --log-prefix "SYN/RST " /sbin/iptables -A CHECKSCAN -p tcp --tcp-flags SYN,FIN SYN,FIN -m limit --limit 3/minute -j LOG --log-prefix "SYN/FIN SCAN " /sbin/iptables -A CHECKSCAN -p tcp --tcp-option 64 -m limit --limit 2/minute -j LOG --log-prefix "Bogus TCP FLAG 64 " /sbin/iptables -A CHECKSCAN -p tcp --tcp-option 128 -m limit --limit 2/minute -j LOG --log-prefix "Bogus TCP FLAG 128 " /sbin/iptables -A CHECKSCAN -p tcp --tcp-flags ALL ALL -m limit --limit 3/minute -j LOG --log-prefix "Merry Xmas Tree: " /sbin/iptables -A CHECKSCAN -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -m limit --limit 3/minute -j LOG --log-prefix "XMAS-PSH: " /sbin/iptables -A CHECKSCAN -p tcp --tcp-flags ALL NONE -m limit --limit 3/minute -j LOG --log-prefix "NULL_SCAN " /sbin/iptables -A CHECKSCAN -j TREJECT Enfin #CHECKBAD (Spécification des Flags NMAP) /sbin/iptables -N CHECKBAD /sbin/iptables -A CHECKBAD -p tcp --tcp-flags ALL FIN,URG,PSH -j CHECKSCAN /sbin/iptables -A CHECKBAD -p tcp --tcp-flags SYN,RST SYN,RST -j CHECKSCAN /sbin/iptables -A CHECKBAD -p tcp --tcp-flags SYN,FIN SYN,FIN -j CHECKSCAN /sbin/iptables -A CHECKBAD -p tcp --tcp-option 64 -j CHECKSCAN /sbin/iptables -A CHECKBAD -p tcp --tcp-option 128 -j CHECKSCAN /sbin/iptables -A CHECKBAD -p tcp --tcp-flags ALL ALL -j CHECKSCAN /sbin/iptables -A CHECKBAD -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j CHECKSCAN /sbin/iptables -A CHECKBAD -p tcp --tcp-flags ALL NONE -j CHECKSCAN Pour finir la rêgle d'application: /sbin/iptables -A INPUT -j CHECKBAD /sbin/iptables -A FORWARD -j CHECKBAD maintenant bien veiller à l'integration dans l'existant Cdt

par **emptiness** » 23 Fév 2004 16:17

Bonjour Jadium, Premierement merci pour ces précieuses réponsse et j'ai tres hate d'essayer tout ca. Mais voilà, le module est malheureusement pas chargé. Quelqu'un a-t-il une moyen pour que je puisse charger ce module??? La source du kernel sur ipcop n'est surement pas là?? Une idée???? <IMG SRC="images/smiles/icon_help.gif"> God Of Emptiness

par **tomtom** » 23 Fév 2004 16:22

ca m'etonnerait qu'il ne soit pas compilé. essaye modprobe ipt_reject t.

Nmap et ipcop 1.3.0!!!

Qui est en ligne ?