Re: dynamic firewall

Top Page

Reply to this message
Author: Stéphane Morico
Date:  
To: Guilde de grenoble
Subject: Re: dynamic firewall
lol. Ce que tu peux faire aussi, c'est installer APKS (Advanced Port
Knocking Suite). C'est un port knocker.

Voir sur la page de Renaud Bidou : http://www.iv2-technologies.com/~rbidou/
Le README : http://www.iv2-technologies.com/~rbidou/apk.README.html

Il permet de lancer un service uniquement si certains paquets précis ont
été reçus. Par exemple, si tu reçois 3 paquets SYN/ACK avec tel numéro
de séquence en provenance du port 53 puis un RST et un TCP NULL en
provenance du port 80 ^ ^ tu lances une commande ou un script.

Dans ce cas, tu peux par exemple lancer le service SSH et éventuellement
modifier les règles iptables pour autoriser uniquement l'IP de celui qui
a envoyé les paquets... APKS n'ouvre pas de ports (pcap) donc est
invisible avec nmap par exemple. Une partie cliente (en perl) permet de
générer facilement les paquets...

Enfin c'est à voir suivant les besoins en sécu (ou le degré de paranoïa
^ ^)... Il y a plein d'autres soluces (commencer par changer le port ssh
!) - Mais surtout : KISS !


hervé de Dianous a écrit :

> Bonjour !
>
> C'est férié et les J.K veulent encore se connecter par ssh sur ma
> passerelle.
> J'ai installé ipdrop et il me suffit de repérer l'IP de l'attaquant
> pour faire ensuite :
> # ipdrop 200.105.144.182 on
> Et hop ! il ne voit plus la machine ;o)
> Le modem arrête de clignoter à tout va.
> Ne pas oublier de faire l'inverse un peu plus tard.
>
> http://www-128.ibm.com/developerworks/linux/library/l-fw/index.html
> Bonne lecture !
>
> reste plus qu'à amélioré le script pour récupérer automatiquement l'IP
> pointé par le auth.log :
> Jul 14 11:10:58 stargate sshd[549]: Failed password for illegal user *
> from 200.105.144.182 port 48327 ssh2
>
> et lui donner un realease-time de quelques minutes avant d'inverser.
>
> RV2D
>
>
>