Re: netfilter : direction les oubliettes

Top Page

Reply to this message
Author: Olivier Allard-Jacquin
Date:  
CC: GUILDE
Subject: Re: netfilter : direction les oubliettes
    Bonsoir,

hervé de Dianous a écrit :
> Jonathan Ballet a écrit :
>
>> hervé de Dianous a écrit :
>>
>>> Connaissez-vous un moyen de droper l'IP d'un attaquant après n (3?)
>>> tentatives infructueuses de connexions sur un port d'une passerelle ?
>>> Il me semble avoir lu ici l'existance d'un script qui construit une
>>> règle iptable à la volée pour droper temporairement l'IP d'un J.K ?
>>> Marre de voir défiler des tentatives de connexions sur ssh et autres
>>> ports ouverts.
>>> Quoique, pour ssh il y a LoginGraceTime qui va bien.


    Il y a surtout le (/etc/ssh/sshd_config) :


PermitRootLogin no
AllowUsers herve rv2d autre_login

- La première ligne interdit de se loger directement en temps que root
(mais le "su" est possible)
- La seconde ligne n'autorise qu'aux utilisateurs "herve", "rv2d" et
"autre_login" de se logger. Les JK ne pourront donc pas utiliser les
logins root, nouser, ftp, et autre qui sont par defaut sur ta machine.

>> Il y a ça qui existe :
>> http://blog.andrew.net.au/2005/02/17#ipt_recent_and_ssh_attacks (assez
>> récent).
>> J'ai pas testé personnellement, mais ça correspond à ce que tu
>> cherches ;)
>
>
> Hôôôô ! Très intéresssant !
> Sauf que, en suivant le lien vers ce module :
> http://snowman.net/projects/ipt_recent/
> je vois que celà date de Mar 2003 et toujours pas intégré à Iptables !!!
>
> Olivier, qu'en penses-tu ?


    Je n'ai pas eu le temps de m'y pencher dessus. Cependant, la technique
me semble un tantinet "bourine" (multiplication des règles iptables pour
chaque tentative d'intrusion).


    Si tes serveurs (ssh, autre...) sont lancé sous le contrôle de xinetd
(voir
http://olivieraj.free.fr/fr/linux/information/firewall/fw-02-03.html#II-3-3
et
http://olivieraj.free.fr/fr/linux/information/firewall/fw-02-05.html#II-5-5
pour les explications), il y a un mécanisme assez sympathique qui peut
bannir cette adresse IP pour les démons lancé par xinetd :


<extrait>
SENSOR      Ce  flag  remplace  le  service  avec   un
detecteur  qui   detecte les acces au port
specifie.  NOTE :  Les  scans  furtifs  ne
seront  PAS  detectes.  Ce  flag doit etre
utilise seulement pour les  services  dont
vous  etes  sur  de  ne  pas avoir besoin.
Quand un acces est fait sur le port de  ce
service,  l'adresse  IP  est ajoutee a une
liste d'adresses interdites. Cela implique
que  tous les acces en provenance de cette
adresse  IP   seront   interdits   jusqu'a
l'expiration   du   delai   indique   dans
deny_time. Le temps passe sur cette  liste
est parametrable par l'attribut deny_time.
Le flag SENSOR va aussi obliger  xinetd  a
considerer  l'attribut du serveur comme un
attribut INTERNE sans  se  soucier  de  ce
qu'il  y  a sur la meme ligne. Autre chose
importante, il ne faut pas oublier que  si
socket_type  est  de  type  stream,  alors
l'attribut wait doit etre positionne a no.
</extrait>


    L'idée est de mettre en place un tel "senseur" sur un port que u
n'utilises pas (80, 25, 21, ...) et qui tentera potentiellement les JK.


    Après, tout dépend des types de démons que tu as


                        Olivier


Note : JK = Jean Keyvin = Jeunes adolescents ou vieux décerebrés sans
talent qui cherchent à rentrer dans des machines, pour y faire diverses
bêtises...

-- 
~~~~~~~  _____/\_____  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix /   _ \/ _   \    Olivier Allard-Jacquin
      /   / \  / \   \   Web:  http://olivieraj.free.fr/
     /___/  /  \  \___\  Mail: olivieraj@???
~~~~ /////  ///\\\  \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!