J'ai peur ! [SECURITE INSIDE]

Recherche :

Dernière réponse

Sujet : J'ai peur ! [SECURITE INSIDE]

disconect

Matafan a écrit a écrit :

Si ça peut aider, voilà un petit script pour une station seule :

ouais...merci...mais bon
1) il me faut un script pour un routeur/fw
2) avec IPCHAINS et non iptables (kernel 2.2.19)

merci qd meme :(

Votre réponse

Nom d'utilisateur

Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !

Le ton de votre message

Votre réponse

Smilies

Liste des smilies perso
Wiki smilies
Chercher un smiley

Options

Activer votre signature
Désactiver les smilies
Activer la notification par email du sujet

Aperçu

Vous avez perdu votre mot de passe ?

Vue Rapide de la discussion

disconect

Matafan a écrit a écrit :

Si ça peut aider, voilà un petit script pour une station seule :

ouais...merci...mais bon
1) il me faut un script pour un routeur/fw
2) avec IPCHAINS et non iptables (kernel 2.2.19)

merci qd meme :(

matafan

Si ça peut aider, voilà un petit script pour une station seule :

#!/bin/sh
#
# A simple firewall script for a single workstation
#

IPTABLES=/sbin/iptables

#
# Deletes all chains and rules
#
cat /proc/net/ip_tables_names | while read table; do
iptables -t $table -L -n | while read c chain rest; do
if test "X$c" = "XChain" ; then
iptables -t $table -F $chain
fi
done
iptables -t $table -X
done

#
# Sets the default policy
#
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT

#
# Accepts all valid incoming packets that does not start a new connection
#
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#
# Accpets all packets comming from ourselves
#
$IPTABLES -A INPUT -s localhost -j ACCEPT

#
# Public services
#
$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT # SSH
$IPTABLES -A INPUT -p tcp --dport 23 -j ACCEPT # SSH on telnet port
$IPTABLES -A INPUT -p tcp --dport 21 -j ACCEPT # FTP
$IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT # HTTP
$IPTABLES -A INPUT -p tcp --dport 113 -j ACCEPT # ident

#
# Logs all incoming packets that will be dropped to syslogd
#
$IPTABLES -A INPUT -j LOG --log-level notice --log-prefix "PACKET DROPPED "

disconect

:bounce: :hello:

disconect

kernelh a écrit a écrit :

Pour identifier les process associés aux ports:
netstat -tunlp

:jap: tres pratique

disconect

kernelh a écrit a écrit :

Il faut la mini arbo pour le user si le shell est /bin/false
/bin
/bin/ls

/lib
/lib/[libs pour ls]

/etc

ah k , mais justement je voulais eviter ça :( c'est quand meme bizarre....bon bah vais retourner le pb dans l'autre sens, comment je peux empecher la connection ssh à un utilisateur ? ça je pense que c'est possible assez facilement quand meme ? :)

kernelh

Pour identifier les process associés aux ports:
netstat -tunlp

kernelh

Il faut la mini arbo pour le user si le shell est /bin/false
/bin
/bin/ls

/lib
/lib/[libs pour ls]

/etc

disconect

apolon34 a écrit a écrit :

tentes le coup avec /sbin/nologin

pareil

apolon34

tentes le coup avec /sbin/nologin

disconect

apolon34 a écrit a écrit :

essaie simplement sans lui specifier de shell (tu laisses :: pour la syntaxe)

donc là, il fait style qu'il va se logguer sur le shell, mais finalement non car "Cannot execute :: No such....." ce qui est normal .
Mais par contre, je peux toujours pas me logger en ftp...donc ça revient au même :(

apolon34

essaie simplement sans lui specifier de shell (tu laisses :: pour la syntaxe)

disconect

:bounce:

disconect

sylmariz a écrit a écrit :

salut,

patche ton kernel ... vers 2.2.20 ou + il y a la faille ptrace sur les <= 2.2.19 ...

++

oups, je n'avais pas lu que apolon en avait fait allusion, autant pour moi !

c'est cool....je sais que y a la faille ptrace....mais bon....faudrait dejà que les gars obtiennent un compte, puis que la faille ptrace fonctionne....

bon sinon, personne peut me dire precisement les commandes ipchains à rentrer pour etre mieux securise qu'actuellement tout en continuant à avoir un serveur ftp, ssh, et du routage pour mon lan interne ? plz !! ça urge legerement.....

autrement, une question tte bete concernant pure-ftpd, j'ai creer un utilisateur (adduser machin) et je ne veux pas qu'il ai de shell, seulement qu'il puisse acceder au ftp, donc j'ai mis /bin/false dans le /etc/passwd, mais apres je ne peux plus me connecter au ftp :(

sylmariz

salut,

patche ton kernel ... vers 2.2.20 ou + il y a la faille ptrace sur les <= 2.2.19 ...

++

oups, je n'avais pas lu que apolon en avait fait allusion, autant pour moi !

disconect

comment je ferme ces ports:
111/tcp open sunrpc
515/tcp open printer
1241/tcp open msg
??! eskyl sont utiles ?

disconect

ok si qqn à d'autres conseils etc ! enfin surtout de la pratique :D plz ... :hello:

apolon34

Disconect a écrit a écrit :

hein ? faut autoriser la meme chose si je compte surfer ?
c'est à dire ?
Sinon je viens de remarquer cette ligne :D:
target prot opt source destination ports
MASQ all ------ anywhere anywhere n/a

comment je la reproduis ?

et comment donc je mets ce qu'il faut en OUTPUT ? et ke doit je mettre (je sais ça fait bcp de questions)

malheureusement je peux pas t'aider plus

simplement, si tu comptes surfer sur ton serveur, il faut que les paquets puissent atteindre le serveur(d'ou l'utilite des chaines en output)

il y a aussi la solution de mettre la regle par defaut de output a accept(pas genant, pas de spyware sous linux!!)

disconect

apolon34 a écrit a écrit :

je connais mal(pas) ipchains

ca ne devrait pas changer pour le nat, par contre il faut autoriser la meme chose en output si tu comptes surfer...

hein ? faut autoriser la meme chose si je compte surfer ?
c'est à dire ?
Sinon je viens de remarquer cette ligne :D:
target prot opt source destination ports
MASQ all ------ anywhere anywhere n/a

comment je la reproduis ?

et comment donc je mets ce qu'il faut en OUTPUT ? et ke doit je mettre (je sais ça fait bcp de questions)

apolon34

Disconect a écrit a écrit :

si je met tout en drop, et que j'ouvre qq ports comme ça:
ipchains -I input 1 -s 0/0 -d 0/0 20 -p tcp -j ACCEPT -b
ipchains -I input 1 -s 0/0 -d 0/0 21 -p tcp -j ACCEPT -b
ipchains -I input 1 -s 0/0 -d 0/0 3000:5000 -p tcp -j ACCEPT -b
ipchains -I input 1 -s 0/0 -d 0/0 ssh -p tcp -j ACCEPT -b

ça devrait etre bon non ?
sinon, ça ne change rien pour le partage de connexion ? (nat ?)

:hello:

je connais mal(pas) ipchains

ca ne devrait pas changer pour le nat, par contre il faut autoriser la meme chose en output si tu comptes surfer...

disconect

si je met tout en drop, et que j'ouvre qq ports comme ça:
ipchains -I input 1 -s 0/0 -d 0/0 20 -p tcp -j ACCEPT -b
ipchains -I input 1 -s 0/0 -d 0/0 21 -p tcp -j ACCEPT -b
ipchains -I input 1 -s 0/0 -d 0/0 3000:5000 -p tcp -j ACCEPT -b
ipchains -I input 1 -s 0/0 -d 0/0 ssh -p tcp -j ACCEPT -b

ça devrait etre bon non ?
sinon, ça ne change rien pour le partage de connexion ? (nat ?)

:hello:

disconect

apolon34 a écrit a écrit :

si tu cherches la securite, reste pas en 2.2.19 ya un trou la dedans

passes en 2.2.21 si tu veux rester en 2.2 ou mieux, 2.4.18

si tu passes en 2.4, tu peux utiliser iptables

sinon pour ton prob de secu: ipchains-howto

tu mets les regles par defaut a drop (rien ne passe!)

et tu ouvres ce dont tu as besoin

ouais, j'ai dejà essaye de passer en 2.4.18, j'ai recompile, etc...enfin bon c'est une tres longue histoire mais j'avais de gros pb concernant pppd sous le 2.4.18, et ça m'a gonfle donc suis revenu sous 2.2.19.

bon vais voir concernant les regles par defaut de ipchains.
enfin , si tu connait qq lignes qui m'eviterait de me taper toute la doc (je sens les bonnes reflexions là...), n'hesite pas :hello:

apolon34

si tu cherches la securite, reste pas en 2.2.19 ya un trou la dedans

passes en 2.2.21 si tu veux rester en 2.2 ou mieux, 2.4.18

si tu passes en 2.4, tu peux utiliser iptables

sinon pour ton prob de secu: ipchains-howto

tu mets les regles par defaut a drop (rien ne passe!)

et tu ouvres ce dont tu as besoin

disconect

monokrome a écrit a écrit :

commence par mettre tes polices par défaut en DROP, et ouvre petit a petit ce dont tu as besoin, c la regle n°1, tout ce qui n'est pas nécessaire est interdit..alors que dans ton cas vu que tes polices sont ACCEPT tout ce qui n'est pas explicitement refusé est autorisé :(

le plus simple est de tout fermer d'abord et non l'inverse ;)

(tres bonnes docs sur le site de netfilter)
http://netfilter.samba.org

heu...en pratique, je fais comment pour corriger ça ?
car en fait, ça à ete autoconfigure ( :heink: ) par rp-pppoe, et apres j'ai rajoute le ftp & ssh & les ports pour le passive ftp.
Donc si tu pouvais me dire step by step, qu'est ce que je dois taper dans le shell, car je ne connais pas bien (du tt :??: ) ipchains. :jap:

monokrome

commence par mettre tes polices par défaut en DROP, et ouvre petit a petit ce dont tu as besoin, c la regle n°1, tout ce qui n'est pas nécessaire est interdit..alors que dans ton cas vu que tes polices sont ACCEPT tout ce qui n'est pas explicitement refusé est autorisé :(

le plus simple est de tout fermer d'abord et non l'inverse ;)

(tres bonnes docs sur le site de netfilter)
http://netfilter.samba.org

disconect

Dark_Schneider a écrit a écrit :

http://grc.com

bof :-/

Dark_Schneider

http://grc.com

disconect

Citation :

nikauch a écrit :
--------------------------------------------------------------------------------
ba a mon avis tu t y est mal pris
j explique :
tu as input en accept et ensuite tu refuse.
pour avois un firewall digne de ce nom, met tes regels en drop et ensuite tu accept certain ports
voila

--------------------------------------------------------------------------------

heu...en pratique je dois faire koi ? (je debute )

:bounce:

pour info, je viens de refaire un test avec security space....et ça me fait tres peur:
[img][/img]

3 trous de securite (HIGH)
1 Medium...

:( :sweat:

disconect

voici le nouveau result de nessus, plugin à jour, j'ai aucun hole trouvée .

NESSUS SECURITY SCAN REPORT

Created 10.06.2002 Sorted by host names

Session Name : Session2
Start Time : 10.06.2002 14:53:56
Finish Time : 10.06.2002 15:15:32
Elapsed Time : 0 day(s) 00:21:36

Total security holes found : 15
high severity : 0
low severity : 10
informational : 5

Scanned hosts:

Name High Low Info
------------------------------------------------
192.168.0.2 0 10 5

Host: 192.168.0.2

Open ports:

ssh (22/tcp)
sunrpc (111/tcp)
printer (515/tcp)
unknown (1241/tcp)
ftp (21/tcp)

Service: general/tcp
Severity: Low

Nmap did not do a UDP scan, I guess.

Service: general/tcp
Severity: Low

Nmap found that this host is running Linux 2.1.19 - 2.2.19

Service: ftp (21/tcp)
Severity: Low

a FTP server is running on this port.
Here is its banner :
220-=(<*> )=-.:. (( Welcome to PureFTPd 1.0.11 )) .:.-=(<*> )=-

Service: ssh (22/tcp)
Severity: Low

a ssh server is running on this port

Service: ftp (21/tcp)
Severity: Low

Remote FTP server banner :
-=(<*> )=-.:. (( Welcome to PureFTPd 1.0.11 )) .:.-=(<*> )=-

Service: ssh (22/tcp)
Severity: Low

Remote SSH version : SSH-2.0-OpenSSH_3.0.2p1 Debian 3.0.2p1-7

Service: ssh (22/tcp)
Severity: Low

The remote SSH daemon supports the following versions of the
SSH protocol :

. 1.99
. 2.0

Service: general/udp
Severity: Low

For your information, here is the traceroute to 192.168.0.2 :
192.168.0.2

Service: ssh (22/tcp)
Severity: Low

You are running a version of OpenSSH older than OpenSSH 3.2.1

A buffer overflow exists in the daemon if AFS is enabled on
your system, or if the options KerberosTgtPassing or
AFSTokenPassing are enabled. Even in this scenario, the
vulnerability may be avoided by enabling UsePrivilegeSeparation.

Versions prior to 2.9.9 are vulnerable to a remote root
exploit. Versions prior to 3.2.1 are vulnerable to a local
root exploit.

Solution :
Upgrade to the latest version of OpenSSH

Risk factor : High

Service: general/tcp
Severity: Low

The plugin port_shell_execution.nasl was too slow to finish - the server killed it

disconect

BMOTheKiller a écrit a écrit :

essaye cette adresse et fais les différents scans proposés : http://scan.sygate.com

en fait c'est le site d'un bon firewall pour un autre OS (alternatif :D ), mais c'est bien pratique pour tester ses règles firewall sous nux

:hello:

ouais dejà fait je connais, mais bon c'est pas super explicite, enfin disons bcp moins interessant que nessus :)

disconect

nikauch a écrit a écrit :

ba a mon avis tu t y est mal pris
j explique :
tu as input en accept et ensuite tu refuse.
pour avois un firewall digne de ce nom, met tes regels en drop et ensuite tu accept certain ports
voila
:hello:

heu...en pratique je dois faire koi ? (je debute :D)

Sinon je viens de scanner avec nessus 1.2 , il m'a trouve une faille concernant exim mais en fait c'est faux (false positive).

sinon, je viens de tt commenter dans inetd et de le relancer (killall -HUP inetd), et relancer nmap:

Starting nmap V. 2.54BETA31 ( www.insecure.org/nmap/ )
Interesting ports on (192.168.0.2):
(The 1549 ports scanned but not shown below are in state: closed)
Port State Service
21/tcp open ftp
22/tcp open ssh
111/tcp open sunrpc
515/tcp open printer
1241/tcp open msg

Nmap run completed -- 1 IP address (1 host up) scanned in 5 seconds

voilà....
heu c koi ça 111,515,1241 ?

Bon je viens d'updater les plugin de nessus, et vais refair un scan.

nikauch

ba a mon avis tu t y est mal pris
j explique :
tu as input en accept et ensuite tu refuse.
pour avois un firewall digne de ce nom, met tes regels en drop et ensuite tu accept certain ports
voila
:hello:

BMOTheKiller

essaye cette adresse et fais les différents scans proposés : http://scan.sygate.com

en fait c'est le site d'un bon firewall pour un autre OS (alternatif :D ), mais c'est bien pratique pour tester ses règles firewall sous nux

:hello:

disconect

Ouais....chais po pkoi , vu que j'ai un ftpd et un sshd qui tourne 24h/24h depuis 40 jours, j'ai peur qu'on me "pirate" :D

Alors:
Debian Woody (kernel 2.2.19....)
Pure-ftpd 1.0.11 (mais je viens de voir que la 12 est dispo so...vais aller le patcher je pense)
Sshd : OpenSSH-3.0.2p1 Debian 3.0.2p1-7

Config IPCHAINS:
Chain input (policy ACCEPT):
target prot opt source destination ports
ACCEPT tcp ------ anywhere anywhere ssh -> any
ACCEPT tcp ------ anywhere anywhere any -> ssh
ACCEPT tcp ------ anywhere anywhere 3000:5000 -> any
ACCEPT tcp ------ anywhere anywhere any -> 3000:5000
ACCEPT tcp ------ anywhere anywhere ftp -> any
ACCEPT tcp ------ anywhere anywhere any -> ftp
ACCEPT tcp ------ anywhere anywhere ftp-data -> any
ACCEPT tcp ------ anywhere anywhere any -> ftp-data
DENY udp ------ anywhere anywhere any -> 0:1023
DENY tcp ------ anywhere anywhere any -> 0:1023
DENY tcp -y---- anywhere anywhere any -> any
DENY icmp ------ anywhere anywhere echo-request
Chain forward (policy DENY):
target prot opt source destination ports
MASQ all ------ anywhere anywhere n/a
Chain output (policy ACCEPT):

Donc voilà....et quand je fais un audit de securité (securityspace.com) il me trouve 3 High Hole !!!!! mais bien evidemment vu que c'est l'essai gratuit...je peux pas voir les medium et High holes....
j'ai bien essaye de le faire moi meme avec nessus, mais depuis qqtemp j'ai un big pb, nmap ne fonctionne plus ! je ne peux plus scanner ma machine, mais je peut scanner ttes les autres ip, voici le message :

heu.......lol.....j'arrive à faire un nmap, je viens de reesayer...voici ce qu'il me donne:

Starting nmap V. 2.54BETA31 ( www.insecure.org/nmap/ )
Interesting ports on (192.168.0.2):
(The 1544 ports scanned but not shown below are in state: closed)
Port State Service
9/tcp open discard
13/tcp open daytime
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
37/tcp open time
111/tcp open sunrpc
113/tcp open auth
515/tcp open printer
1241/tcp open msg

Nmap run completed -- 1 IP address (1 host up) scanned in 3 seconds

:sweat:

Heu....je voudrais bien qq conseils plz pour vraiment bloquer, et securiser ma machine svp :hello: