| View previous topic :: View next topic |
| Author |
Message |
jpopcenter
n00b
Joined: 12 Jan 2005
Posts: 18
|
 Posted: Sat Jan 15, 2005 12:30 am Post subject: [ALERTE] Mauvaise utilisation "courante" d'iptable |
 |
|
Hello tout le monde,
Suite à la rédaction d'un petit HOWTO sur l'utilisation d'iptables, je viens de remarquer quelque chose qui est assez utiliser dans les configurations d'iptables que je vois sur internet (et que j'utilisait aussi par le passé).
Et quel ne fut pas ma surprise lorsque j'ai vu que le type de configuration le plus courant est aussi le "moins" sécurisé 
Je m'explique, voici la partie de code incriminée
| Code: |
# vidange des tables (pas toujours suivi d'un ménage dans les modules chargés qui peuvent garder des configurations antérieur apparement)
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables-t mangle -F
iptables -t mangle -X
# Basique politique par défaut pour la table FILTER (les autres semblent etre à ACCEPT par défaut)
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
# Configuration du NAT
iptables -A FORWARD -i ethX -o pppX -j ACCEPT
iptables -A FORWARD -o ethX -i pppX -j ACCEPT
iptables -t nat -A POSTROUTING -j MASQUERADE
|
Bon, vous allez me dire, pas grand chose de terrible dans cette configuration. On peut retrouver quelques modifications concernant les INPUT/OUTPUT de la table FILTER à propos de l'interface de sortie sur le net (cad pppX dans l'exemple) comme par exemple autoriser la navigation sur le net via le port 80, etc...
En général, on teste que la machine routeur/firewall est protegée vis-à-vis du vilain méchant internet (bon, ok, c'est cool....)
Elle est aussi protegée du reseau local (au cas où un de mes potes tente une attaque sur mon bô serveur via le rezo local pendant que je suis au chiotte) et même faire, tenez-vous bien, du NAT (translation d'adresse).
Puis, l'auteur conclu en parlant de possibilités folles, de sécurité au moins aussi avancé que dans les bureaux du FBI, de la flexibilité de la transparence NAT, etc...
Ainsi avec le script exposé ci-dessus, vous vous dites (enfin, pas les plus informés, malins, experts, etc...) que votre réseau est FORCEMENT protégé puisque la politique par défaut des INPUT/OUTPUT est le DROP et que cette même politique n'est pas surchargé dans le script.
Malheureusement (oui, oui, j'accouche), le NAT est tellement "transparent" que les machines du réseau local, elles, accèdent à internet sans aucun problème bien que le firewall inviolable (et inviolé) n'est sensé laisser AUCUN paquet vu sa politique sur INPUT/OUTPUT. J'ai très bien pu noter que mon beau WinXP sur le réseau local à pu se connecter sans problème au net, à msn messenger, à ma boite mail et même à mes bons vieux blaster et toutes les saloperies qui trainait la patte dans le coin (les mauvaises langues diront qu'ils sont fort quand même chez M$ de pouvoir accepter les virus à travers un bon firewall)
Conclusion : bah, heu... faîtes gaffe, sortez couvert, heu... ha oui... bonne année...
ok j'ai compris -----> []
P.S. sur l'utilité du topic
Vu la multitude des howtos dispos qui disent comment tel ou tel truc marchent, je me suis dis pourquoi ne pas en faire à propos de quelque chose qui ne marche pas car après tout, c'est aussi en faisant des erreurs qu'on apprends contrairement aux travaux de style HOWTO (même s'ils sont essentiels) qui nous apprennent surtout à recopier...
Quant aux utilisateurs avertis d'iptables, un conseil, une idée, une solution élégante pour "sécuriser" une configuration iptables est la bienvenue, bien evidemment... |
|
| Back to top |
|
 |
Talosectos
Guru
Joined: 31 Aug 2004
Posts: 329
Location: Bugey-Libre
|
| Posted: Sat Jan 15, 2005 6:31 am Post subject: Re: [ALERTE] Mauvaise utilisation "courante" d'ipt |
|
|
| jpopcenter wrote: |
| Code: |
# vidange des tables (pas toujours suivi d'un ménage dans les modules chargés qui peuvent garder des configurations antérieur apparement)
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables-t mangle -F
iptables -t mangle -X
# Basique politique par défaut pour la table FILTER (les autres semblent etre à ACCEPT par défaut)
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
# Configuration du NAT
iptables -A FORWARD -i ethX -o pppX -j ACCEPT
iptables -A FORWARD -o ethX -i pppX -j ACCEPT
iptables -t nat -A POSTROUTING -j MASQUERADE
|
|
C'est vrai que la politique par défaut est réglé à jeter mais que les trois lignes autorise tous les paquets à traverser le firewall dans les deux sens, autant pas mettre de politique par défaut et surtout pas de firewall.
Par contre c est vrai que le firewall lui est bien protégé 
_________________
Comité de lutte contre le language sms et les fautes volontaires
Utilisez la fonction recherche ! |
|
| Back to top |
|
|
pounard
Tux's lil' helper
Joined: 17 Oct 2002
Posts: 143
|
| Posted: Sun Jan 23, 2005 2:14 pm Post subject: |
|
|
boarf, un autre détail, pour chopper la saloperie de blaster avec ces regles, il faut que le windows aille lui meme le chercher, ca fait quand meme une sacrée différence
en plus une chose bien logique est de filter qq ports stratégiques, comme tous les ports smb et autres choses du genre...
j'ai pu le net, donc je suis plus chez moi, donc j'ai pas mon firewall sous la main, mais ca marchait plutot pas mal alors que j'ai a peu pres la meme chose avec juste le filtrage des ports smb en plus... mon ex colloc windowsien avec sa machine allumée 24/24 a jamais eu aucun soucis sur ce plan la, alors qu'il en abusait du net!
_________________
<!-- ceci est une signature libre -->
Ceci n'est pas un virus, rassurez vous, aucune MST ne passe par les groupes pornos sur usenet; |
|
| Back to top |
|
|
|
|
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
|
|
French
