Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 11-12-2012 19:24:33

lorus
Modérateur
Lieu : /var/log/snort/alert
Distrib. : Debian Squeeze/Wheezy/Freebsd amd64
Noyau : 2.6.32 / 3.2/
(G)UI : Gnome 2.30.2 / 3.2.4 / (bsd)2.32.1
Inscription : 25-07-2010

Que faire après avoir configuré UFW?

Salut à toutes et tous.

Suite à cette discussion -> http://debian-facile.org/viewtopic.php?pid=56231#p56231, nous proposons ici des solutions pour compléter l'usage de son pare feu smile
Chacun ira de sa contribution. Snort, FWsnort, Rkhunter, Aide, liste non exhaustive.

smile

Lorus.

Si vous êtes fan du « Si ce n’est pas cassé, ne le corrigez pas » , vous serez un grand fan de BSD. Mais si vous êtes du genre à avoir besoin que tout soit le plus récent possible, vous feriez mieux de migrer vers Linux aussi vite que possible histoire de ne pas être à la traîne.BSD a un système de base comprenant de nombreux outils, ils sont tous développés et packagés ensemble pour être cohésif.

Hors ligne

#2 11-12-2012 20:05:35

vince06fr
Membre
Distrib. : Debian Sid/experimental
Noyau : Linux 3.7-trunk-amd64
(G)UI : gnome-shell (gnome 3.6)
Inscription : 29-10-2012

Re : Que faire après avoir configuré UFW?

Pour moi :
Sur une machine cliente , une liste non exaustive de trucs qui peuvent augmenter la sécurité de l'utilisateur

  • Firewall de la box plus ou moins parefeu logiciel(netfilter via iptables et ufw) bloquant tout les ports entrants. si besoin on ouvre juste les ports necessaires aux services installés (serveur SSH, serveur VNC, torrent, etc...) ; perso si la machine est unique sur le reseau, je désactive netfilter, si j'ai plusieurs machines, je l'active

  • Analyse régulière des ports en ecoute au moyen de netstat comme conseillé par Lorus

  • sniff régulier du réseau au moyen de wireshark, tshark ou tcpdump

  • Mise à jour de sécurité, le moins de dépôts tiers possible, le moins de logiciels à code fermé possible

  • utilisation de module complementaire dans firefox/iceweasel pour augmenter la sécurité (une liste de module complementaire conseillé par duckduckgo est disponible en bas de cette page : http://donttrack.us/ )

  • Moteur de recherche respectueux de la vie privée (duckduckgo, startpage ou ixquick) ; j'aime bien duckduckgo car l'auteur reverse une partie des revenus généré par celui-ci à des projets libres, ixquick et startpage proposent de passer par le proxy ixquick pour renforcer l'anonymat

Dernière modification par vince06fr (11-12-2012 20:36:48)

Hors ligne

#3 12-12-2012 10:29:49

lorus
Modérateur
Lieu : /var/log/snort/alert
Distrib. : Debian Squeeze/Wheezy/Freebsd amd64
Noyau : 2.6.32 / 3.2/
(G)UI : Gnome 2.30.2 / 3.2.4 / (bsd)2.32.1
Inscription : 25-07-2010

Re : Que faire après avoir configuré UFW?

smile

Oui vince06.fr et comme tu l'avais évoqué, le scan de faille peut être différent pour:

  • Utiliser une faille ou un défaut de sécurité du logiciel pour pénétrer complète-
    ment le système : c’est l’exploit.

  • Utiliser une faille du système pour exécuter du code : c’est installer un troyen,
    par exemple.Voir la liste de nos amis de Fédora => http://books.google.fr/books?id=zz8cDAF … ux&f=false, Brrrrrrr lol

  • Utiliser une faille par accès distant répertorié.


/!\Toute l'équipe de Debian Facile vous rappelle que l'usage d'un scanner ne doit être que pour son réseau personnel! Si une plainte est déposée à votre FAI, votre connexion internet sera coupée. Je rappelle que nous sommes constructifs, nous cherchons à nous préserver de ceux qui utilisent cet outil à des fins destructrices, pas à les imiter roll /!\

Iptables supporte nativement la détection de scans avec l'option --tcp-flags, Nmap permet de pouvoir prévoir les futures attaques, avec plusieur type de scan entenant compte des six segments qui composent le protocole TCP: URG, ACK, SYN, FIN, PUSH, RST

  • URG : Signale la présence de données URGentes

  • ACK : Signale que le paquet est un accusé de réception (ACKnowledgement)

  • PSH : Données à envoyer tout de suite (PuSH)

  • RST : Rupture anormale de la connexion (ReSeT)

  • SYN : Demande de synchronisation (SYN) ou établissement de connexion

  • FIN : Demande la FIN de la connexion



Le scan en vanilla TCP connect qui est le scan par défaut de Nmap:

# nmap 192.168.1.1


Les scans furtifs:
Le scan en connexion demi-ouverte, si un port est ouvert, il y a réponse positive

# # nmap -sS 192.168.1.1


Le scan FIN consiste en l'envoi de paquets TCP avec seulement le flag FIN armé

# nmap -sF 192.168.1.1


Le scan NULL consiste en l'envoi de paquets TCP avec seulement le flag NULL armé

# nmap -sN 192.168.1.1


Le Xmas (joyeux noël big_smile ) scan consiste en l'envoi de paquets TCP avec les flags FIN/URG/PUSH armés.

# nmap -sX 192.168.1.1


L'otion -O permet de trouver le système d'exploitation:

# nmap -O 192.168.1.1


Cette règle permet de détecter l'envoi un grand nombre de paquets TCP avec les flags précités...
Configurer Iptables pour empêcher les scans (ou les ralentir fortement)

# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT



Il faut noter que certains segments au niveau de la couche IP ou TCP sont propres à chaque système d'exploitation...
Chaque segment de la couche TCP a un but et celui-ci est déterminé, Ils permettent à l'expéditeur ou au destinataire de préciser quels indicateurs devraient être utilisés si le segment est géré correctement par l'autre extrémité.

Je détail un peu plus mon otion limit de ma règle:
Tout d'abord, ce module doit être spécifié explicitement avec `-m limit' ou `--match limit'
Comme vous pouvez le constater, le module  --limit bloque le nombre maximum de correspondances acceptées par seconde. On peut spécifier son unité explicitement, en utilisant `/second', `/minute', `/hour' ou `/day', ou en abrégé (ainsi `1/second' est identique à `1/s'). Cela peut être pratique pour un serveur en surcharge également.

Quant à l'option --tcp-flags elle vous permet de filtrer les requêtes excessives du à un scanner sur des protocoles TCP avec les flags FIN et/ou SYN et/ou ACK et/ou RST armé(s) etc....

Mon serveur était configuré avec cette option, je n'ai jamais eu de souci particulier! Mais une sécurité n'est jamais parfaite wink

Sinon il y a la méthode bourrin...

# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j DROP


On drop (refuse) tous les fanions et puis c'est tout. Na, nan mais!
smile

ÉDIT: j'ajoute que le scan peut avoir lieu sur le protocole UDP, ce protocole est apparu avec le développement des réseaux locaux dont la fiabilité permet de s'affranchir des fonctions de contrôle... À vous d'adapter votre règle Iptables en conséquence.

@MaTTux_: Finalement, avec un Iptable correctement configuré, Snort est-il utile?

Dernière modification par lorus (12-12-2012 11:52:27)


Si vous êtes fan du « Si ce n’est pas cassé, ne le corrigez pas » , vous serez un grand fan de BSD. Mais si vous êtes du genre à avoir besoin que tout soit le plus récent possible, vous feriez mieux de migrer vers Linux aussi vite que possible histoire de ne pas être à la traîne.BSD a un système de base comprenant de nombreux outils, ils sont tous développés et packagés ensemble pour être cohésif.

Hors ligne

#4 12-12-2012 14:37:51

MaTTuX_
La Paillasse !!!
Lieu : Zoubidou-Land
Distrib. : 75 serveurs
Noyau : 3.2.0-4-amd64
(G)UI : tty et ... pas gnome en tout cas....
Inscription : 28-05-2007
Site Web

Re : Que faire après avoir configuré UFW?

Ben oui, les failles des services, failles systèmes tu en fais quoi ?

MaTTuX_

\o/ Le closedSource c'est tabou on a viendra tous à bout \o/

Hors ligne

#5 12-12-2012 22:13:06

vince06fr
Membre
Distrib. : Debian Sid/experimental
Noyau : Linux 3.7-trunk-amd64
(G)UI : gnome-shell (gnome 3.6)
Inscription : 29-10-2012

Re : Que faire après avoir configuré UFW?

a propos de nmap, à noter l'existrence d'un GUI : zenmap
zenmap est dans les dépots donc installable via apt-get ou aptitude

Pour les failles, on peut utiliser un scanner de faille comme openvas qui est un fork libre de nessus
Il comprend pas mal de plugin dont nikto (scanner de faille web dont j'ai fait une demo ici

Pour installer openvas :

# apt-get install openvas-server openvas-client


Création d'un utilisateur

#  openvas-adduser


à login choisissez un nom d'utilisateur
authentification choisissez pass
rentrez 2 fois le mot de passe de votre choix
Ne definissez pas de regles (faites ctrl+D)
Répondre Y à la question Is that ok?

Lancez maintenant le serveur en faisant

# service openvas-server start


Lancez ensuite le client

$ openvas-client



Connectez-vous au serveur en cliquant sur l'icone de connexion, vous pouvez ensuite lancer simplement un scan en utilisant l'assistant.

Dernière modification par vince06fr (12-12-2012 22:19:07)

Hors ligne

#6 21-12-2012 14:48:38

lorus
Modérateur
Lieu : /var/log/snort/alert
Distrib. : Debian Squeeze/Wheezy/Freebsd amd64
Noyau : 2.6.32 / 3.2/
(G)UI : Gnome 2.30.2 / 3.2.4 / (bsd)2.32.1
Inscription : 25-07-2010

Re : Que faire après avoir configuré UFW?

À noter l'existence de ce site qui réalise plusieurs séries de test en ligne, fort pratique tout de même : http://www.pcflank.com/

smile

Si vous êtes fan du « Si ce n’est pas cassé, ne le corrigez pas » , vous serez un grand fan de BSD. Mais si vous êtes du genre à avoir besoin que tout soit le plus récent possible, vous feriez mieux de migrer vers Linux aussi vite que possible histoire de ne pas être à la traîne.BSD a un système de base comprenant de nombreux outils, ils sont tous développés et packagés ensemble pour être cohésif.

Hors ligne

#7 22-12-2012 04:55:47

MaTTuX_
La Paillasse !!!
Lieu : Zoubidou-Land
Distrib. : 75 serveurs
Noyau : 3.2.0-4-amd64
(G)UI : tty et ... pas gnome en tout cas....
Inscription : 28-05-2007
Site Web

Re : Que faire après avoir configuré UFW?

lorus a écrit :

À noter l'existence de ce site qui réalise plusieurs séries de test en ligne, fort pratique tout de même : http://www.pcflank.com/

smile


Je doute de l'éfficacité du site, j'ai fais un test rapide et il trouve des ports qui sont fermés chez moi et ne trouve pas les ports ouvert comme le 22 par exemple. hmm


\o/ Le closedSource c'est tabou on a viendra tous à bout \o/

Hors ligne

#8 22-12-2012 14:18:38

vince06fr
Membre
Distrib. : Debian Sid/experimental
Noyau : Linux 3.7-trunk-amd64
(G)UI : gnome-shell (gnome 3.6)
Inscription : 29-10-2012

Re : Que faire après avoir configuré UFW?

Les ports sont ils ouvert sur ta box? parce qu'en fait ce genre de site va bloquer sur le pare-feu de la box si celui-ci est activé (et normalement il l'est)

Dernière modification par vince06fr (22-12-2012 14:19:19)

Hors ligne

#9 22-12-2012 14:45:09

jc1
Membre
Inscription : 03-06-2011

Re : Que faire après avoir configuré UFW?

Bonjour,

Oui, vous testez avec ce site, le premier firewall, donc aujourd'hui plutôt la box, pas le PC wink
Ces genres de sites étaient pratiques quand on était relié au net par un modem, plus trop aujourd'hui avec les box.
Il y a encore les tests de navigateurs qui sont intéressants.

Il y a aussi ce site qui est une référence dans les tests : https://www.grc.com
Lien de test : https://www.grc.com/x/ne.dll?bh0bkyd2
Le site est lent (10-20s) de test

Les extensions Firefox sont sympas, je les utilise.

J'ajouterais 3 :
CS lite pour gérer les cookies en fonction des sites.
Modifie header (au lieu de refconf) qui permette de contrôler tous les headers de FF, il est plus performant d'après les tests que j'ai fait.
Flasblock pour gérer le flash en fonction des sites.

AdBlock et AdBlock plus, je préférer AdBlock Lite où il n'a y a pas de pub possible même les "gentilles" comme dans AdBlock

Attention, au final FF devient plus lourd et plus lent, mais on est protégé.

Dernière modification par jc1 (22-12-2012 14:47:14)

Hors ligne

#10 22-12-2012 20:18:30

lorus
Modérateur
Lieu : /var/log/snort/alert
Distrib. : Debian Squeeze/Wheezy/Freebsd amd64
Noyau : 2.6.32 / 3.2/
(G)UI : Gnome 2.30.2 / 3.2.4 / (bsd)2.32.1
Inscription : 25-07-2010

Re : Que faire après avoir configuré UFW?

MaTTuX_ a écrit :

lorus a écrit :

À noter l'existence de ce site qui réalise plusieurs séries de test en ligne, fort pratique tout de même : http://www.pcflank.com/

smile


Je doute de l'éfficacité du site, j'ai fais un test rapide et il trouve des ports qui sont fermés chez moi et ne trouve pas les ports ouvert comme le 22 par exemple. hmm



Bah chez moi, avec ma machine en DMZ et quand ma mini livebox ne buggue pas big_smile , le scan est bon, j'ai fait tous les tests hormis le test rapide et la vitesse de connexion. Il a même trouvé lors du Stealth Test que des ports udp répondaient tandis que les tcp sont furtifs. 'Vais essayer de corriger cela.


        TCP "ping"        stealthed  
    TCP NULL      stealthed  
    TCP FIN               stealthed  
    TCP XMAS      stealthed  
    UDP       non-stealthed



Ceci dit, c'est basique mais je trouve l'idée pratique. Bien entendu, rien ne remplace un scan de son réseau avec des outils disponible comme l'évoquait vince smile

smile

Édit

Merci JC1 pour le site que tu mentionnes, j'ai testé et tout semble OK

GRC Port Authority Report created on UTC: 2012-12-22 at 18:42:30

Results from scan of ports: 0-1055

    0 Ports Open
    0 Ports Closed
 1056 Ports Stealth
---------------------
 1056 Ports Tested

ALL PORTS tested were found to be: STEALTH.

TruStealth: PASSED - ALL tested ports were STEALTH,
                   - NO unsolicited packets were received,
                   - NO Ping reply (ICMP Echo) was received.
 

Dernière modification par lorus (22-12-2012 20:44:35)


Si vous êtes fan du « Si ce n’est pas cassé, ne le corrigez pas » , vous serez un grand fan de BSD. Mais si vous êtes du genre à avoir besoin que tout soit le plus récent possible, vous feriez mieux de migrer vers Linux aussi vite que possible histoire de ne pas être à la traîne.BSD a un système de base comprenant de nombreux outils, ils sont tous développés et packagés ensemble pour être cohésif.

Hors ligne

#11 22-12-2012 21:40:20

MaTTuX_
La Paillasse !!!
Lieu : Zoubidou-Land
Distrib. : 75 serveurs
Noyau : 3.2.0-4-amd64
(G)UI : tty et ... pas gnome en tout cas....
Inscription : 28-05-2007
Site Web

Re : Que faire après avoir configuré UFW?

vince06fr a écrit :

Les ports sont ils ouvert sur ta box? parce qu'en fait ce genre de site va bloquer sur le pare-feu de la box si celui-ci est activé (et normalement il l'est)



J'ai pas de box ici, et si tu tentes un ssh sur mon ip tu te conecte sans soucis smile


\o/ Le closedSource c'est tabou on a viendra tous à bout \o/

Hors ligne

#12 22-12-2012 21:41:24

MaTTuX_
La Paillasse !!!
Lieu : Zoubidou-Land
Distrib. : 75 serveurs
Noyau : 3.2.0-4-amd64
(G)UI : tty et ... pas gnome en tout cas....
Inscription : 28-05-2007
Site Web

Re : Que faire après avoir configuré UFW?

jc1 a écrit :

Bonjour,

Il y a aussi ce site qui est une référence dans les tests : https://www.grc.com
Lien de test : https://www.grc.com/x/ne.dll?bh0bkyd2
Le site est lent (10-20s) de test



C'est normal que c'est lent, les tests ne peuvent se faire vite.

Salutation

MaTTuX_


\o/ Le closedSource c'est tabou on a viendra tous à bout \o/

Hors ligne

#13 05-01-2013 11:15:58

Sangokuss
Membre
Lieu : IDF
Distrib. : Wheezy 7.0
Noyau : 3.2.0
(G)UI : Gnome 3.4
Inscription : 24-12-2012
Site Web

Re : Que faire après avoir configuré UFW?

Après la configuration d'Ufw,

- je limite la surface d'attaque de mon système : autrement dit, je n'installe que ce qui m'est nécessaire et je n'hésite pas à désactiver tous les autres services.
- je n'utilise pas d'applications propriétaires du type Adobe Flash ou Java pour mon navigateur.
- Enfin, mes documents ne sont jamais stockés sur le même disque physique que mon système : en fonction de mes besoins, je connecte (ou pas) mes données (chiffrées).

Pas de travail... Ben, pas de miracle !

Hors ligne

#14 08-01-2013 21:52:10

lorus
Modérateur
Lieu : /var/log/snort/alert
Distrib. : Debian Squeeze/Wheezy/Freebsd amd64
Noyau : 2.6.32 / 3.2/
(G)UI : Gnome 2.30.2 / 3.2.4 / (bsd)2.32.1
Inscription : 25-07-2010

Re : Que faire après avoir configuré UFW?

/!\Toute l'équipe de Debian Facile vous rappelle que l'usage d'un scanner ne doit être que pour son réseau personnel! Si une plainte est déposée à votre FAI, votre connexion internet sera coupée. Je rappelle que nous sommes constructifs, nous cherchons à nous préserver de ceux qui utilisent cet outil à des fins destructrices, pas à les imiter roll /!\

À propos des IDS (Snort par exemple), il est possible de le tromper avec le Slow scan de nmap. Cette technique est utilisée pour supprimer les traces des ports, les pièges IDS, en supprimant les traces du vilain pas bô. L’objectif est que les paquets qui arrivent ne soient pas détectés. La fragmentation temporaire ou Slow scan peut être utilisée en complément de ?Scan_delay.

Exemple:

 nmap ??scan_delay <en millisecondes> < destination >



Il y a le FTP bounce scan (technique désuète de nos jours) qui permet de se connecter à un serveur FTP qui peut se trouver derrière un pare-feu.

 nmap –b <[Utilisateur:mot_de_passe@]adresseFTP[:port]> < destination >
 



Le TCP reverse ident scan permet de révéler le nom d’utilisateur d’un processus quelconque et d’obtenir des informations sur les serveurs.

nmap –I < destination >



Le Decoy scan, cette technique permet de camoufler l’identité de l’attaquant.

nmap ?D <piège1 [,piège2] [,moi],...> < destination >



Le Fragmentation scan, l’idée est de diviser un paquet en plusieurs fragments IP, en fractionnant l’en-tête TCP, afin de s’infiltrer dans un système sécurisé.

nmap –f < destination >



Le Spoofed scan, cette technique permet de rediriger les paquets

 nmap -S <origine> <destination >




L'est puissant le Nmap wink

Amicalement.


Si vous êtes fan du « Si ce n’est pas cassé, ne le corrigez pas » , vous serez un grand fan de BSD. Mais si vous êtes du genre à avoir besoin que tout soit le plus récent possible, vous feriez mieux de migrer vers Linux aussi vite que possible histoire de ne pas être à la traîne.BSD a un système de base comprenant de nombreux outils, ils sont tous développés et packagés ensemble pour être cohésif.

Hors ligne

Pied de page des forums