Suis je protégé ?

par **nolan76** » 21 Avr 2004 21:55

Bonjour,

Tout d'abord je tiens à féliciter et remercier, les personnes reliées au projet IpCop de quelque nationalité que ce soit, parce que j'ai découvert un outil fabuleux, et je suis encore sur le $%#&!, de la facilité de mise en oeuvre de cette solution. Par ce biais, je remercie aussi, les "ixusiens", ceux qui animent, font vivre ce site/forum, sur lequel j'en apprends tout les jours.

Bien, maintenant venons en au coeur de mon intérrogation :

J'ai installé Ipcop 1.3 sur un PC que j'utilisais pas. J'y ai foutu mon modem Wanadoo Alcatel 330 USB pourpre, et j'ai relié mes deux PC, d'un doux cordon RJ45. Ipcop fait DHCP, j'ai activé Snort. Et voilà tout va béné en 2 2 :shock:

Bon, j'ai juste des gens qui me scannent toute la journée :

ça c'est des exemples de ligne de log du firewall (j'ai changé les ip par des x et les ports par des n°)

Code: Tout sélectionner: 21:10:40 INPUT ppp0 TCP xx.xx.xxx.xx n° xx.xx.xx.xxx n° 21:10:42 INPUT ppp0 TCP xx.xx.xxx.xx n° xx.xx.xx.xxx n°(MICROSOFT-DS)

et ça c'est des lignes de log de Snort :

Code: Tout sélectionner: Date: 04/21 05:58:45 Nom: WEB-CLIENT javascript URL host spoofing attempt Priorité: 1 Type: Attempted User Privilege Gain Informations sur l'adresse IP: xx.xx.xxx.xx:n° -> xx.xx.xxx.xx:n° Références: aucune entrée trouvée SID: n° Date: 04/21 05:59:19 Nom: (spp_portscan2) Portscan detected from xx.xx.xxx.xx: 1 targets 21 ports in 4 seconds Priorité: n/a Type: n/a Informations sur l'adresse IP: xx.xx.xxx.xx:n° -> xx.xx.xxx.xx:n° Références: aucune entrée trouvée SID: n/a

Donc question is :

- Suis je protégé sachant que j'ai rien fait de plus après l'installation ?
- J'ai vu que l'on pouvait empecher les pings, cela est il nécéssaire à une bonne protection
- Si je ne suis pas protégé, dois je mettre les doigts dans le cambouis, si oui quel est le minimum de chose à faire pour me protéger
- Si quelqu'un me pirate comment je le sais ?
- Et pour finir, comment être sûr que le routeur n'est pas accessible de dehors ?
- j'oubliais, c'est quoi le user DIAL ?

Merci pour vos futures réponses.

par **nolan76** » 21 Avr 2004 22:08

Vous allez dire c'est qui ce nouveau qui pose trop de question mais j'ai trouvé un élément de réponse sur la doc :oops:

:

http://ipcop.org/cgi-bin/twiki/view/IPCop/IPCopFAQfr#Comment_le_pare_feu_IPCop_foncti a écrit:Comment le pare-feu IPCop fonctionne-t-il ?
Le pare-feu IPCop se situe entre votre connexion Internet (modem, câble, ADSL, etc...) et votre réseau en utilisant un ensemble de règles standards (autrement dit utilisées par toute activité Internet) pour le trafic TCP/IP. Les règles par défaut, idéales pour la majorité des utilisateurs, sont en fait très simples. Elles vous permettent de "surfer" sur la toile et de visiter des sites Web, de faire du FTP, de lire vos e-mails et ainsi de suite. Tout en vous permettant de surfer, IPCop autorise le trafic de retour à rentrer sur votre réseau (uniquement le trafic de ce que vous avez demandé bien sur !). Par contre, si une requête TCP/IP arrive et qu'il ne s'agit pas d'une réponse à l'une de vos demandes, IPCop bloque ce trafic et laisse une trace dans les fichiers de logs (attaque potentielle).

Autrement dit, vous pouvez continuer votre activité normalement, mais toute tentative d'intrusion sera purement et simplement rejetée.

Voyez IPCop comme un policier faisant la circulation de ce qui a le droit de passer ou non, afin de vous protéger du trafic Internet.

ça suffit, pour dire je suis protégé ? ou il faut "tuner" un peu ?

par hb » 21 Avr 2004 22:17

l'interet d'empecher le ping c'est que certains novice scan uniquement les postes qui repondent au ping.
donc si tu bloques le ping tu elimines deja les petits jeunots qui scannent la planete toute la journée.
mais bon j'appel pas ça améliorer la protection
sinon plus tu FORWARD des ports plus tu créés des failles potetielles, donc n'ouvre que les ports dont tu as besoin.
je pense qu'ipcop en lui meme est une bonne protection, c'est ce que chacun lui ajoute/personalise qui a tendance à le fragiliser (peut etre)

perso j'ai juste eliminé le ping

par **nolan76** » 21 Avr 2004 22:24

merci pour ta réponse.

Je comptais aussi éliminer le ping (si j'arrive à me connecter avec putty !!), et donc je suppose que pour connaitre la liste de mes ports ouverts, il suffit de lire le fichier iptable, ou /etc/services ?

par **micjack** » 21 Avr 2004 22:29

Tu lance tout betement un scan de ton reseau local sur Ipcop avec un logiciel comme "superscan"
et tu serra fixé des ports ouverts...

Ou du coté red, par un scan en ligne :wink:

ou par le meme soft cité, en faisant un reverse sur ton ip publique...

par **nolan76** » 22 Avr 2004 11:40

J'arrive pas à me connecter en SSH avec Putty depuis le côté green, sur le port 222, j'ai loupé un épisode, j'ai cherché sur le forum/doc IPCOP mais j'ai pas trouvé

par **tito** » 22 Avr 2004 16:34

salut
si je ne me trompe il faut que tu aies SSH coché dans l'onglet SSH de la page système sur IPCOP

par **nolan76** » 22 Avr 2004 16:54

tito a écrit:salut
si je ne me trompe il faut que tu aies SSH coché dans l'onglet SSH de la page système sur IPCOP

Mais ça va autoriser un accès externe ce que je ne veux pas, je veux juste me logger en terminal depuis le GREEN (j'ai po d'écran

)

par **tito** » 22 Avr 2004 20:31

je crois pas. je pense que par défaut tu n'as pas d'accés externe à ipcop et cocher cette case ne suffit pas à rendre IPcop accessible de l'extérieur. Je ne suis pas sur à 100% de ce que j'avance qui confirme ou infirme ?

par **shadowman** » 22 Avr 2004 20:31

attention, perso le blocage du ping me fout ma connex en l'air ! enfin foutait, a l'epoque ou j'etais sous la 1.3, mamadoo aimait pas, quand y avait deco => pas de reco ! j'ai jamais su pourquoi...

par **ths** » 22 Avr 2004 21:11

l'acces ssh n'est possible que sur le green par defaut je pense, il faut ouvrir le port 222 pour le red pour avoir un acces externe il me semble.

et si tu coche pas cette case, tu n'aura pas d'acces ssh depuis ton green..

par **nolan76** » 23 Avr 2004 05:56

ths a écrit:l'acces ssh n'est possible que sur le green par defaut je pense, il faut ouvrir le port 222 pour le red pour avoir un acces externe il me semble.

et si tu coche pas cette case, tu n'aura pas d'acces ssh depuis ton green..

bien case cochée, accès depuis le green c'était bien ça. je vérifierai si il y a accès de dehors, quand je serais au boulot

par **Yvan** » 23 Avr 2004 08:40

Bonjour,

Si tu coche la case ssh tu met en route le service, tu ne change pas les regles de routages, donc par default à l'install d'ipcop, le port 222 est accessible du green mais pas du red comme l'indique plus haut ths il faut l'autoriser. Apres si tu a apporté des modifications à tes regles de routage il se peut que ton ipcop se comporte différement.

A + Yvan

par **nemesis** » 23 Avr 2004 10:41

Je confirme que le service ssh n'est accessible que depuis le green SI tu n'ajoute pas de règle pour le rendre accessible de l'extérieur.

Cdt

Nemesis

par **Mystic690** » 11 Mai 2004 16:52

avec la 1.3 par défaut à l'install je peux me connect depuis l'extérieur... hu?

ma config

green + red

là je vois pas pk je peux .......

Suis je protégé ?

Suis je protégé ?

oui

Qui est en ligne ?