redirections de ports et sécurité

[marc2006]

Bonjour,

 

J'ai procédé à ces redirections de ports :

 

21 TCP, 6891 TCP et 37202 TCP et UDP à l'adresse IP 192.168.0.10

13115 TCP, 50296 UDP et 37202 TCP et UDP à l'adresse IP 192.168.0.11

Pourriez-vous svp m'aider à écrire un script pour iptables et à sécuriser ma machine au mieux pour être protéger des attaques ? ( car les ports sont ouverts )

 

Merci pour votre aide.

 

ps : ma machine hébergera un serveur FTP, asterisk ( je n'ai pas besoin de rediriger de ports pour asterisk, n'est-ce pas ? ), je possède la freebox v5 et HD, routeur activé et wifi activé, dhcp freebox activé, WOL activé, ping désactivé, DMZ désactivé.

 

L'adresse IP utilisée par mon ordi sous Fedora 8 est 192.168.0.10 et sous windows XP Pro 192.168.0.11 ( je serai à changer cette configuration si la sécurisation des ports est possible )

Modifié le 18 avril 2008 par marc2006

[KewlCat]

J'ai procédé à ces redirections de ports :

(...) 37202 TCP et UDP à l'adresse IP 192.168.0.10
(...) 37202 TCP et UDP à l'adresse IP 192.168.0.11

Où as-tu configuré ces redirections ?

Est-ce normal que tu rediriges un même port vers deux endroits différents ? (ce qui, a priori, ne fonctionnera pas)

A part sécuriser les services qui écoutent sur ces ports, tu ne peux rien faire d'autre sur ces machines pour les protéger d'un accès extérieur. Ajouter des règles à iptables ne servirait à rien puisque le boulot de firewall / routage est fait en amont par la boite à laquelle tu demandes de rediriger ces ports....

A moins, bien sûr, que tu ne souhaites quelque chose de très spécial comme des règles pour bannir temporairement une IP coupable de nombreuses tentatives de connexion infructueuses, mais dans ce cas il va falloir nous en dire un peu plus...

[marc2006]

Où as-tu configuré ces redirections ?

Est-ce normal que tu rediriges un même port vers deux endroits différents ? (ce qui, a priori, ne fonctionnera pas)

A part sécuriser les services qui écoutent sur ces ports, tu ne peux rien faire d'autre sur ces machines pour les protéger d'un accès extérieur. Ajouter des règles à iptables ne servirait à rien puisque le boulot de firewall / routage est fait en amont par la boite à laquelle tu demandes de rediriger ces ports....

A moins, bien sûr, que tu ne souhaites quelque chose de très spécial comme des règles pour bannir temporairement une IP coupable de nombreuses tentatives de connexion infructueuses, mais dans ce cas il va falloir nous en dire un peu plus...

 

Ben j'ai redirigé un même port sur les 2 ips pour que cela fonctionne sur les ips, comme pour le port 21, comme ça je peux accéder au serveur ftp de l'extérieur ( pas encore essayé mais bon ), mais sinon pourquoi cela ne devrait pas marcher ?

 

Pour les ports 6891, 37202, 13115 et 50296, ce ne sont pas des services mais des logiciels qui écoutent sur ces ports, mais bon je me dis que ces adresses sont redirigées vers l'adresse que j'utilise sous windows, donc avec outpost pro, je suis quand même pas mal protégé ( non ? ) !

 

Mais sous linux, j'ai le port 6891 que j'ai redirigé, il est utilisé par amsn pour le transfert de fichier, le port 21 serveur ftp, 37202 pour azureus.

[Greywolf]

Ben j'ai redirigé un même port sur les 2 ips pour que cela fonctionne sur les ips, comme pour le port 21, comme ça je peux accéder au serveur ftp de l'extérieur ( pas encore essayé mais bon ), mais sinon pourquoi cela ne devrait pas marcher ?

 

tu expliques comment ton routeur sait à quel PC il faut envoyer la connexion entrante sur le port 21 s'il existe 2 règles de redirection vers des destinations différentes pour des conditions identiques ?

 

service et logiciel, c'est kif kif (un service est forcément un logiciel, l'inverse n'est pas forcément vrai)

 

tu n'expliques toujours pas tes besoins de sécurisation si tu rediriges un port vers un PC, le pare-feu logiciel éventuellement présent sur celui-ci doit laisser passer la connexion (port ouvert) si tu veux que le service en question fonctionne.

 

A moins, bien sûr, que tu ne souhaites quelque chose de très spécial comme des règles pour bannir temporairement une IP coupable de nombreuses tentatives de connexion infructueuses, mais dans ce cas il va falloir nous en dire un peu plus...

 

même question que KC

[marc2006]

tu expliques comment ton routeur sait à quel PC il faut envoyer la connexion entrante sur le port 21 s'il existe 2 règles de redirection vers des destinations différentes pour des conditions identiques ?

 

Je croyais qu'il envoyait la requête vers les 2 PCs !

 

service et logiciel, c'est kif kif (un service est forcément un logiciel, l'inverse n'est pas forcément vrai)

J'ai bien fait la distinction, non ?

 

tu n'expliques toujours pas tes besoins de sécurisation icon_confused.gif si tu rediriges un port vers un PC, le pare-feu logiciel éventuellement présent sur celui-ci doit laisser passer la connexion (port ouvert) si tu veux que le service en question fonctionne.

 

J'ouvre les ports dans la freebox, et dans iptables, mais mon souci c'est que ces ports sont ouverts, donc risque d'attaques, je me demandais s'il n'y avait pas un moyen pour sécuriser, donc à ce que j'ai compris, le service qui écoute sur ce port doit être sécurisé car c'est lui qui prend toutes les données qui traversent ce port, t'es d'accord ? Et donc si aucun service n'écoute sur ce port, il faut que je le ferme dans mon iptables temporairement car rien localement ne captent les données traversant ce port ?!

 

même question que KC

Rien à voir avec ça, pas pour l'instant du moins Modifié le 18 avril 2008 par marc2006

[KewlCat]

Je croyais qu'il envoyait la requête vers les 2 PCs !

Non. Il ne fait pas de multicast (en plus ça mettrait un bazar monstre si jamais les deux destinations avaient la bonne idée de répondre !)

 

J'ai bien fait la distinction, non ?

Y'en a pas... Techniquement, du point de vue qui nous intéresse ici, on se fout de savoir si le programme qui écoute sur ce port a une fenêtre ouverte sur ton bureau ou s'il a été lancé en tache de fond directement par Windows.

 

le service qui écoute sur ce port doit être sécurisé car c'est lui qui prend toutes les données qui traversent ce port, t'es d'accord ?

D'accord.

 

Et donc si aucun service n'écoute sur ce port, il faut que je le ferme dans mon iptables temporairement car rien localement ne captent les données traversant ce port ?!

Fermer le port quand le serveur n'est pas lancé ? Ca présente très peu d'interêt à mon avis, mais ça doit être faisable... Sous Linux il suffit de "wrapper" l'exécutable ciblé par un script qui ouvre le port puis lance le daemon puis referme le port...

Avoir un port ouvert avec rien qui écoute derrière, ça fait déjà quelque temps que ce n'est plus dangereux. Enfin... Avec des OS récents bien sûr !

 

Rien à voir avec ça, pas pour l'instant du moins

OK. Donc a priori on n'aura pas de règle iptables magique qui va tout sécuriser toute seule...

[marc2006]

Pour le serveur FTP, faut-il ouvrir dans la freebox, et dans iptables les ports pour le mode passif ? Car je n'ai ouvert que le port 21

 

++

 

iptables.script :

 

#!/bin/sh
echo "Configuration IPtables"
echo " [IPV4 Debut]"
IPTABLES=/sbin/iptables

echo 0 > /proc/sys/net/ipv4/ip_forward


# Alors la, on va appliquer quelques astuces
# pour empêcher les attaques de type spoofing
# et bloquer les réponses ICMP du firewall,
# comme ça c'est très propre. Attention, le
# fait de bloquer le trafic ICMP sur
# le firewall bloque les pings.

# Je veux pas de spoofing

if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
then
 for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
 do
echo 1 > $filtre
 done
fi

# pas de icmp

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

# Nous vidons les chaînes :
$IPTABLES -F

# Nous les faisons pointer par défaut sur DROP 
$IPTABLES -X

# Nous les faisons pointer par défaut sur DROP

$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT DROP

# Nous faisons de même avec toutes les autres tables, 
# à savoir "nat" et "mangle", mais en les faisant pointer
# par défaut sur ACCEPT. Ca ne pose pas de problèmes 
# puisque tout est bloqué au niveau "filter"

$IPTABLES -t nat -F
$IPTABLES -t nat -X

$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT

$IPTABLES -t mangle -F
$IPTABLES -t mangle -X 

$IPTABLES -t mangle -P PREROUTING ACCEPT
$IPTABLES -t mangle -P INPUT ACCEPT
$IPTABLES -t mangle -P OUTPUT ACCEPT
$IPTABLES -t mangle -P FORWARD ACCEPT
$IPTABLES -t mangle -P POSTROUTING ACCEPT

########################## FIN des "politiques par défaut"####################


########################## DEBUT des règles de filtrage#######################

# Autorise l'interface locale à dialoguer avec elle-même !
$IPTABLES -A OUTPUT -o lo -j ACCEPT
$IPTABLES -A INPUT -i lo -j ACCEPT

# Autorise le trafic sortant sur des connexions ouvertes
$IPTABLES -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Autorise le trafic entrant sur des connexions ouvertes
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Ignore les paquets provenant de l'extérieur avec une adresse non routable sur Internet
$IPTABLES -A INPUT -i eth0 -s 10.0.0.0/8 -j DROP
$IPTABLES -A INPUT -i eth0 -s 172.16.0.0/12 -j DROP
$IPTABLES -A INPUT -i eth0 -s 192.168.0.0/16 -j DROP
$IPTABLES -A INPUT -i eth0 -s 127.0.0.0/8 -j DROP

######################################""""""PORT a ouvrire""""""""""########

# Autorise les connexions entrantes sur un serveur local #
# Creer une ligne par protocole en changeant --dport	 #
# http, https, ftp, ssh, smtp, 53, 8080, ...			 #
##########################################################
# =============++++>>>> ENTRANTS
#			  TCP

$IPTABLES -A INPUT -i eth0 -m state --state NEW -p tcp --dport ftp -j ACCEPT # ftp
$IPTABLES -A INPUT -i eth0 -m state --state NEW -p tcp --dport 6891 -j ACCEPT # amsn
$IPTABLES -A INPUT -i eth0 -s 192.168.0.0/24 -d 0.0.0.0 -j DROP

#						  UDP

# FIN des règles de filtrage

$IPTABLES -t filter -A INPUT -i eth0 -s 192.168.0.0/24 -j ACCEPT

#on accepte tout ce qui sort vers l'exterieur
$IPTABLES -A OUTPUT -o eth0 -m state --state ! INVALID -j ACCEPT

# Toutes les règles qui n'ont pas passé les
# règles du firewall seront refusées ...

$IPTABLES -A FORWARD -j DROP
$IPTABLES -A INPUT -j DROP
$IPTABLES -A OUTPUT -j DROP

# Par curiosite, on peut tracer les demandes de connexions en provenance de l'exterieur
# Traces disponibles dans le fichier /var/log/messages
$IPTABLES -A INPUT -m state --state NEW -j LOG
# Idem pour les demandes faites localement vers l'extérieur (vers, troyan, ...)
$IPTABLES -A OUTPUT -m state --state NEW -j LOG

# FIN des règles pour le partage de connexion (i.e. le NAT)

echo " [IPV4 Termine]"

Modifié le 18 avril 2008 par marc2006