Sécuriser son routeur.

ploum · 18/09/2003 17:05:18

Voilà...

Le problème est simple : j'ai maintenant un routeur qui fonctionne parfaitement grace, entre autre à http://www.via.ecp.fr/~alexis/formation … ewall.html

J'aimerais maintenant savoir ce que je dois faire pour le sécuriser un maximum afin d'éviter à tout intrus de pénétrer sur le réseau.

Avez-vous des conseils pour débuter ?

OcamlScheme · 18/09/2003 17:27:57

Tu devrais jetter un oeil à netfilter ...
si ma mémoire est bonne,
c'est un bon complément
aux iptables !

OS

kagou · 18/09/2003 17:59:03

Netfilter et iptables, c'est pas kifkif et bourrico ?

Sinon tu peux t'essayer à installer le méga patch de sécurité sur le noyau.
Installer un scanner de vulnérabilité (nessus) afin de tester ton PC.
Te fair scanner ton serveur à partir des différents scanners de sécu sur le net.
Installer snort afin de détecter les attaques etc ...

OcamlScheme · 18/09/2003 18:24:05

Netfilter et iptables, c'est pas kifkif et bourrico ?

Ou la la ... grosse fatigue moi ...
Excuse moi Ploum je voulais évidemment parler de Snort !!!
Allez pour la peine je vais faire le tuto d'install !! si tu es pas
trop pressé .. pour l'instant je suis sur la suite de la config de
zsh par CS !!!

En attendant tu peux toujours travailler avec l'original :
http://lea-linux.org/reseau/SNORT.php3

faut que je dorme plus moi ... :?

OS

CSCMEU · 19/09/2003 07:53:16

Netfilter et iptables, c'est pas kifkif et bourrico ?

Ja das ist la meme choses

Sinon tu peux t'essayer à installer le méga patch de sécurité sur le noyau.

Tu veux parler de grsecurity?

Installer un scanner de vulnérabilité (nessus) afin de tester ton PC. Te fair scanner ton serveur à partir des différents scanners de sécu sur le net. Installer snort afin de détecter les attaques etc ...

Oui un IDS (Intrusion Detection System) pour ca tu as le choix entre snort : http://www.snort.org/ et prelude http://www.prelude-ids.org/.

Fischer-Drinker · 19/09/2003 08:22:35

euh pour snort, j'ai fait une grosse doc. Il s'agit en fait de mon rapport de stage, mais il est en anglais. Je suis en train de le finir.

Il s'agit d'un guide avec apache-ssl, mysql, php, snort, acidlab et snortcenter (entre autres)

Razer_Raz · 01/12/2003 15:15:19

Netfilter et iptables, c'est pas kifkif et bourrico ?

Non.
Netfilter : code du noyau permettant la gestion des paquets
iptables : programme permettant de dialoguer avec ce code, afin de lui transmettre ce qu'il doît faire 8)

Pour comparaison, iptables est à netfilter ce que mount est à ext2-3

Pour répondre à ploum, une fois que tu auras acquis le principe d'un firewall, jette un coup d'oeil du coté de shorewall, qui facilite grandement la tâche...

Voila...

rent · 01/12/2003 16:39:31

Bonjour,

J'ai trouvé un tuto très bien fait sur netfilter/iptables http://www.guilde.asso.fr/rencontres/20030702/firewall/
Je vous conseille cette lecture
Merci à l'auteur Olivier ALLARD-JACQUIN pour ses explications.

Rent

kagou · 01/12/2003 19:06:44

Excellente doc, dont la news était passée sur linuxfr -> http://linuxfr.org/2003/07/21/13334.html et dont la version originale est ici -> http://olivieraj.free.fr/fr/linux/information/firewall/.
++

miky · 12/12/2003 05:09:29

- ouais tu peux utiliser le connexion tracking car dans le premier lien que tu as doné j'ai pas l'impression de l'avoir vu.
- Ensuite tu peux installer aide qui est un equivalent de tripwire, et donc tu pourras faire une empreinte propre de ton systeme
- Sinon tu fais une recherche sur tous les fichiers suid et sgid et tu vois vraiment si c'est indispensable.
- Tu peux recompiler ton noyau et mettre tout en dur et rien en module.
- Tu peux peut etre modifier la taille de la fenetre dans les packets que tu envoies vers l'exterieur ainsi ton systeme sera peut etre plus difficile a reconnaitre
- Tu peux supprimer toutes les bannieres, et supprimer le maximum de services qui ne te sont vraiment pas necessaires
- Pour iptables il y a une techniques pour essayer de rendre ton firewall invisible car si je fais un traceroute sur un serveur derriere ton fw on a
123.123.123.123
* * * <----- ton fw
111.11.11.11
Voila ya peut etre des choses inutiles dans ce que j'ai dis mais ca te donneras peut etre des idées
++

RastaTux · 20/12/2003 16:50:33

je recomande fortement le patch grsecurity. Avec les options HIGH (ou HIGH et ensuite custom)
Je l'ai installé depuis quelques temps et mon système s'en porte beaucoup mieux. Le p'tit bèmol est la perte de vitesse dans l'execution d'un prog (lancement, fork...) du au control de sécurité, mais au final, ca dérange pas trop sur un serveur (encore moins sur un firewall) mais comparer au gain de sécurité, random pid, random memory, anti buffer overflow, anti ptrace, etc..., la perte de vitesse n'est rien ! Et on peut pas lancé X avec la config à HIGH, mais X sur un serveur ??? y'a pas besoin !

Ha vi, faut patcher son kernel, et la version du patch et la version source actuel de chez debian ne sont plus patchable automatiquement, mais cela ce résou simplement en "patchant à la main" 2 fichiers...

Au passage, ma politique d'iptables est DROP TOUT, sauf ce qui doit être accessible...

Essayer un cat /proc/self/maps et vérifier que les segment memoire... ils sont toujours à la meme place. avec grsécurité : ils changent à chaque execution, et tous les segement ne sont pas avec l'attribut x (executable) surtout les portions de mémoire entre les librairie et à la fin de la zone employée...

Par exemple :

~$ cat /proc/self/maps
08048000-0804a000 r-xp 00000000 03:01 64144 /bin/cat
0804a000-0804c000 rw-p 00001000 03:01 64144 /bin/cat
0804c000-0804f000 rw-p 00000000 00:00 0
4b3c6000-4b3d9000 r-xp 00000000 03:01 97621 /lib/ld-2.2.5.so
4b3d9000-4b3da000 rw-p 00013000 03:01 97621 /lib/ld-2.2.5.so
...
bffc9000-bffcf000 rw-p ffffb000 00:00 0

~$ cat /proc/self/maps
08048000-0804a000 r-xp 00000000 03:05 32528 /bin/cat
0804a000-0804c000 rw-p 00001000 03:05 32528 /bin/cat
0804c000-0804d000 rwxp 00000000 00:00 0
40000000-40013000 r-xp 00000000 03:05 211833 /lib/ld-2.2.5.so
40013000-40014000 rw-p 00013000 03:05 211833 /lib/ld-2.2.5.so
...
bfffb000-c0000000 rwxp ffffc000 00:00 0

Remarqué la différence des segments mémoire en rwxp !!! C'est que qui évitera ou pas que le hacker entre ou de passer en root ...

Patché, surtout si votre tux est connecté à internet !

Andesi - forum

#1 18/09/2003 17:05:18

Sécuriser son routeur.

#2 18/09/2003 17:27:57

Re : Sécuriser son routeur.

#3 18/09/2003 17:59:03

Re : Sécuriser son routeur.

#4 18/09/2003 18:24:05

Re : Sécuriser son routeur.

#5 19/09/2003 07:53:16

Re : Sécuriser son routeur.

#6 19/09/2003 08:22:35

Re : Sécuriser son routeur.

#7 01/12/2003 15:15:19

Re : Sécuriser son routeur.

#8 01/12/2003 16:39:31

Re : Sécuriser son routeur.

#9 01/12/2003 19:06:44

Re : Sécuriser son routeur.

#10 12/12/2003 05:09:29

Re : Sécuriser son routeur.

#11 20/12/2003 16:50:33

Re : Sécuriser son routeur.

Pied de page des forums