logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 15-09-2015 19:51:09

kawer
Membre
Lieu : Earth
Distrib. : Debian Stable
Noyau : Current
(G)UI : Xfce
Inscription : 08-10-2013

[Abandon] Sécurité tcp additionnel (tcpcrypt) et iptables

Bonsoir,

Après avoir installé tcpcryptd et avoir ajouté dans mon fichier iptables :


iptables -filter -A OUTPUT -p tcp --dport 80 -j NFQUEUE --queue-num 666
iptables -filter -A INPUT -p tcp --sport 80 -j NFQUEUE --queue-num 666
 



J'obtiens après le lancement de tcpcryptd :


Initializing...
Reading random seed from /dev/urandom
Running
Testing network via 171.66.3.195
No timestamp provided in packet - expect low performance due to calls to gettimeofday
Test result: port 80 crypt 0 req 0 state 2 err 666 flags 0
Test result: port 80 crypt 0 req 1 state 2 err 666 flags 0
Test result: port 80 crypt 1 req 2 state 1 err 666 flags 0
Test result: port 7777 crypt 0 req 0 state 2 err 666 flags 0
Test result: port 7777 crypt 0 req 1 state 2 err 666 flags 0
Test result: port 7777 crypt 1 req 2 state 2 err 666 flags 0
Tests done! 1 2 3 4 5 6 failed [6/6]!
 



Après deux vérification il semble que iptables ne filtre pas correctement les paquets tcp passant par le port 80 nécessitant l'utilisation de tcpcrypt.

Si quelqu'un a une idée, wink

Dernière modification par kawer (27-09-2015 03:04:25)


Songez à ce que vous avez été, à ce que vous êtes, et à ce que vous serez un jour, et vous deviendrez humbles. Saint Vincent de Paul
La maladie la plus constante et la plus mortelle, mais aussi la plus méconnue de toute société, est l’indifférence. Abbé Pierre
Carpe diem, quam minimum credula postero. Horace

Hors ligne

#2 16-09-2015 02:08:18

kawer
Membre
Lieu : Earth
Distrib. : Debian Stable
Noyau : Current
(G)UI : Xfce
Inscription : 08-10-2013

Re : [Abandon] Sécurité tcp additionnel (tcpcrypt) et iptables

Je précise avoir chargé les modules nécessaire au kernel, le problème est que le paramètre 'NFQUEUE --queue-num 666' ne filtre pas, je n'arrive pas encore à faire communion avec un serveur utilisant tcpcryptd, le flux passe, permet d'afficher la page, mais n'utilise pas tcpcrypt.

Fonctionne chez vous ? Vous pouvez simplement lancer tcpcryptd dans un term ou bien vous rendre sur ici si vous n'avez pas une boite de dialogue pour écrire un message, c'est que ce n'est pas opérationnel :'(

Merci

Dernière modification par kawer (16-09-2015 02:09:12)


Songez à ce que vous avez été, à ce que vous êtes, et à ce que vous serez un jour, et vous deviendrez humbles. Saint Vincent de Paul
La maladie la plus constante et la plus mortelle, mais aussi la plus méconnue de toute société, est l’indifférence. Abbé Pierre
Carpe diem, quam minimum credula postero. Horace

Hors ligne

#3 16-09-2015 10:51:10

raleur
Membre
Inscription : 03-10-2014

Re : [Abandon] Sécurité tcp additionnel (tcpcrypt) et iptables

A moins que la syntaxe d'iptables ait changé pendant les vacances, ces commandes sont erronées. La table doit être spécifiée avec "-t <table>" ou "--table <table>" et non "-<table>".

D'autre part, comme tu écris "avoir ajouté dans ton fichier iptables", je suppose que ce ne sont pas les seules règles présentes. N'y aurait-il pas d'autres règles placées avant dans les chaînes qui empêcheraient celles-ci d'être atteintes ?

La commande iptables-save affichera toutes les règles de toutes les chaînes de toutes les tables actives pour vérifier la présence et le placement de ces règles par rapport aux autres.

Il vaut mieux montrer que raconter.

Hors ligne

#4 16-09-2015 13:02:01

kawer
Membre
Lieu : Earth
Distrib. : Debian Stable
Noyau : Current
(G)UI : Xfce
Inscription : 08-10-2013

Re : [Abandon] Sécurité tcp additionnel (tcpcrypt) et iptables

Merci de ta réponse,

Je n'avais pas fait de copier coller donc une petite erreur c'est glisser autant pour moi, afin d'éviter tout doute voici mon fichier iptables :


#!/bin/bash
 

### BEGIN INIT INFO
# Provides: firewall
# Required-Start:
# Required-Stop:
# Should-Start:
# Should-Stop:
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Short-Description: Start and Stop
# Description:
### END INIT INFO

echo Setting firewall rules...

###### Debut Initialisation ######

# Interdire toute connexion entrante - sortante
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT ACCEPT

# Vider les tables actuelles
iptables -t filter -F
iptables -t filter -X

# Ne pas casser les connexions etablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT

# ping
#iptables -t filter -A OUTPUT -p icmp -j ACCEPT

# tcpcrypt http,
iptables -t filter -A OUTPUT -p tcp --dport 80 -j NFQUEUE --queue-num 666
#iptables -t filter -A INPUT -p tcp --dport 80 -j NFQUEUE --queue-num 666


# dns dnscrypt
#iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT
 



J'ai également essayer avec les règles suivantes :


#!/bin/bash
 

### BEGIN INIT INFO
# Provides: firewall
# Required-Start:
# Required-Stop:
# Should-Start:
# Should-Stop:
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Short-Description: Start and Stop
# Description:
### END INIT INFO

echo Setting firewall rules...

###### Debut Initialisation ######

# Interdire toute connexion entrante - sortante
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP

# Vider les tables actuelles
iptables -t filter -F
iptables -t filter -X

# Ne pas casser les connexions etablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT

# ping
iptables -t filter -A OUTPUT -p icmp -j ACCEPT

# tcpcrypt http,
iptables -t filter -A OUTPUT -p tcp --dport 80 -j NFQUEUE --queue-num 666
#iptables -t filter -A INPUT -p tcp --dport 80 -j NFQUEUE --queue-num 666

# dns dnscrypt
iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT
 



Mais le résultat est le même. Certains sites fonctionnerons et d'autre nécessiteront le lancement de tcpcryptd afin de fonctionner mais ce n'est pas pour autant que tcpcrypt fait son boulo :'(


Songez à ce que vous avez été, à ce que vous êtes, et à ce que vous serez un jour, et vous deviendrez humbles. Saint Vincent de Paul
La maladie la plus constante et la plus mortelle, mais aussi la plus méconnue de toute société, est l’indifférence. Abbé Pierre
Carpe diem, quam minimum credula postero. Horace

Hors ligne

#5 16-09-2015 16:51:30

raleur
Membre
Inscription : 03-10-2014

Re : [Abandon] Sécurité tcp additionnel (tcpcrypt) et iptables

Tu n'as visiblement pas suivi les instructions fournies dans la documentation du paquet tcpcryptd en ce qui concerne sa cohabitation avec le suivi de connexion. Pas étonnant que cela ne fonctionne pas.

Je te suggère de procéder par étape :
1) -P ACCEPT partout, et seulement les deux règles NFQUEUE correctes pour intercepter les paquets.
2) Quand cela fonctionne, ajoute les règles de filtrage.

Dernière modification par raleur (16-09-2015 16:52:04)


Il vaut mieux montrer que raconter.

Hors ligne

#6 16-09-2015 22:27:40

kawer
Membre
Lieu : Earth
Distrib. : Debian Stable
Noyau : Current
(G)UI : Xfce
Inscription : 08-10-2013

Re : [Abandon] Sécurité tcp additionnel (tcpcrypt) et iptables

Pour des raisons de sécurité, je ne passerais pas le FOWARD et le INPUT a ACCEPT. Même si j'ai déjà essayé par curiosité et que ça n'a rien donné.

Tu parle du suivi de connection, je ne vois pas par quoi remplacer la commande a moins que tu partage ton lien vers la documentations que tu a trouvé afin que j'avise. Même si je ne vois pas comment me passer de la commande du suivi de connection car j'utilise d'autre ports qui n'utilise pas tcpcrypt et qui ont donc besoin d'un suivi state sur iptables.

Dernière modification par kawer (16-09-2015 22:28:50)


Songez à ce que vous avez été, à ce que vous êtes, et à ce que vous serez un jour, et vous deviendrez humbles. Saint Vincent de Paul
La maladie la plus constante et la plus mortelle, mais aussi la plus méconnue de toute société, est l’indifférence. Abbé Pierre
Carpe diem, quam minimum credula postero. Horace

Hors ligne

#7 17-09-2015 07:59:25

raleur
Membre
Inscription : 03-10-2014

Re : [Abandon] Sécurité tcp additionnel (tcpcrypt) et iptables

La documentation à laquelle je me réfère est celle incluse dans le paquet tcpcryptd et installée dans le répertoire /usr/share/doc/tcpcryptd/. Je pensais que c'est de là que tu avais tiré les deux règles mentionnées dans ton premier message. Le fichier /usr/share/doc/tcpcryptd/INSTALL-Linux.markdown.gz indique que les règles doivent être un peu modifiées pour fonctionner avec le suivi de connexion.

Il vaut mieux montrer que raconter.

Hors ligne

#8 27-09-2015 02:34:58

kawer
Membre
Lieu : Earth
Distrib. : Debian Stable
Noyau : Current
(G)UI : Xfce
Inscription : 08-10-2013

Re : [Abandon] Sécurité tcp additionnel (tcpcrypt) et iptables

j'avais déjà pris lecture du man et en avais retenue que le suivi de connexion n'était nécessaire que pour un nat avec le FORWARD d'activer. Il ma parût logique étant donné que le suivis de connection doit ce faire sur un autre protocole que lo, donc il faut que le suivis des paquets de la machine a vers internet soit bien crypté et renvoyé par un second protocole de cryptage a la machine émanente de la requête (la machine derrière le nat). #je précise que je n'utilise pas encore le nat avec tcpcryptd, pas pour le moment.

Sinon j'ai abandonné, tcpcryptd est mal porté sur linux et je ne pense pas qu'il soit a la base porté sur debian, c'est le même bug que sur celui de github, (un cryptage sans peine libre et qui peu ce propager à une vitesse énorme si on en parlais un peu plus (peut-être que les gens ce méfie de nouveau émergant qui si sa ce trouve il se retrouverons bourré de vulnérabilité ...) ) nouveau émanent d'une application utilisant des variables noyau (module*, je sais j'ai mon language à moi même et je pense qu'il est très comprehensible) mal implémenté sur le kernel lui même, il faudra donc vérifier l'implémentation et la bonne coordination entre netfilter et l'application, sans compté entre deux le noyau.
Il y a le problème du mkdir -p /var/run/tcpcryptd à faire sinon il ne ce lance pas, un problème de chmod applicatif relatif avec ces droits, je pense.

Donc la question est est-ce parcequ'il résulte d'un manquement à la "sécurité local debian" que tcpcryptd est si délaissé (je ne site pas le problème de dépendance vitale non installé alors qu'elle ce trouve dans les dépots et qui font que sans elles, impossible de faire fonctionner l'application à sa principale et seul fonction ....
Ou bien est-ce parceque debian considère que la vie privé qui est aussi contraignante et non indispensable ne vaut pas mieux en faite que de la simple conduite protectrice et ce peu importe le produit utilisé, comparable à un triple brossage de dent journallier pour les fervants des non sos dentiste ?

Ps : Désolé de ne pas avoir eu l'opportunité de le lire sur une liste de discussion mais c'est un fait accompli ! Argh 4 edit pour une phrase j'ai vraiment pas trop le temps en faite pour, écrire un message correctement smile bien que mon orthographe n'enlève rien à mon appréhension des choses.

Dernière modification par kawer (27-09-2015 14:25:20)


Songez à ce que vous avez été, à ce que vous êtes, et à ce que vous serez un jour, et vous deviendrez humbles. Saint Vincent de Paul
La maladie la plus constante et la plus mortelle, mais aussi la plus méconnue de toute société, est l’indifférence. Abbé Pierre
Carpe diem, quam minimum credula postero. Horace

Hors ligne

#9 27-09-2015 15:07:16

kawer
Membre
Lieu : Earth
Distrib. : Debian Stable
Noyau : Current
(G)UI : Xfce
Inscription : 08-10-2013

Re : [Abandon] Sécurité tcp additionnel (tcpcrypt) et iptables

ploplop tongue

Songez à ce que vous avez été, à ce que vous êtes, et à ce que vous serez un jour, et vous deviendrez humbles. Saint Vincent de Paul
La maladie la plus constante et la plus mortelle, mais aussi la plus méconnue de toute société, est l’indifférence. Abbé Pierre
Carpe diem, quam minimum credula postero. Horace

Hors ligne

#10 28-09-2015 13:28:37

raleur
Membre
Inscription : 03-10-2014

Re : [Abandon] Sécurité tcp additionnel (tcpcrypt) et iptables

kawer a écrit :

j'ai vraiment pas trop le temps en faite pour, écrire un message correctement


Tu as quand même eu le temps d'écrire ce long message que je trouve particulièrement confus au point de ne savoir pas quoi répondre sur le fond.

kawer a écrit :

mon orthographe n'enlève rien à mon appréhension des choses.


Ton appréhension, peut-être. Ma compréhension en revanche...


Il vaut mieux montrer que raconter.

Hors ligne

#11 28-09-2015 14:31:31

kawer
Membre
Lieu : Earth
Distrib. : Debian Stable
Noyau : Current
(G)UI : Xfce
Inscription : 08-10-2013

Re : [Abandon] Sécurité tcp additionnel (tcpcrypt) et iptables

raleur a écrit :

kawer a écrit :

j'ai vraiment pas trop le temps en faite pour, écrire un message correctement


Tu as quand même eu le temps d'écrire ce long message que je trouve particulièrement confus au point de ne savoir pas quoi répondre sur le fond.


Le message ne t'étais pas forcément déstiné, chacun sa compréhension des choses. Peut-être passera par ici quelqu'un qui comprendra.

raleur a écrit :

kawer a écrit :


]mon orthographe n'enlève rien à mon appréhension des choses.


Ton appréhension, peut-être. Ma compréhension en revanche...


C'est bien ce que je dit, merci quand même de ton aide précédente cool

Dernière modification par kawer (28-09-2015 14:45:52)


Songez à ce que vous avez été, à ce que vous êtes, et à ce que vous serez un jour, et vous deviendrez humbles. Saint Vincent de Paul
La maladie la plus constante et la plus mortelle, mais aussi la plus méconnue de toute société, est l’indifférence. Abbé Pierre
Carpe diem, quam minimum credula postero. Horace

Hors ligne

#12 28-09-2015 22:47:32

kawer
Membre
Lieu : Earth
Distrib. : Debian Stable
Noyau : Current
(G)UI : Xfce
Inscription : 08-10-2013

Re : [Abandon] Sécurité tcp additionnel (tcpcrypt) et iptables

même si tu a peut-être compris cool

Dernière modification par kawer (28-09-2015 22:47:44)


Songez à ce que vous avez été, à ce que vous êtes, et à ce que vous serez un jour, et vous deviendrez humbles. Saint Vincent de Paul
La maladie la plus constante et la plus mortelle, mais aussi la plus méconnue de toute société, est l’indifférence. Abbé Pierre
Carpe diem, quam minimum credula postero. Horace

Hors ligne

Pied de page des forums