[Résolu] Protocole ICMP

Nolanux · Le 04/09/2014, à 13:11

Bonjour à tous/toutes,

Autodidacte et débutant sur la partie serveur et réseau dans le domaine de l'informatique, je suis en train de configurer un serveur qui officiera en tant que DHCP (cette partie est terminée), mais également de passerelle. Ceci dans le cadre d'un réseau domestique. J'utilise Ubuntu Serveur 12.04 (je dois faire la M.à.J. vers la 14 mais je préfère pour le moment, me concentrer sur la théorie afin de faire un cahier des charges valable).

Pour ce, je suis en train de d'étudier diverses documentations et tutoriels, notamment celui-ci que je trouve assez intéressant : http://olivieraj.free.fr/fr/linux/information/firewall , pour la partie sécurité/filtrage.

Je souhaite donc, sécuriser mon serveur qui, puisqu'il va officier également en tant que passerelle, ne devra pas laisser passer des paquets douteux.

J'en viens à ma question : selon vous, est il pertinent de bloquer en entrée sur la carte réseau connectée à internet les paquets ICMP de sorte à ce que le serveur ne puisse être "Pingé" ?
Je sais que, de l'extérieur, je ne pourrai contrôler si le serveur réponds ou pas, mais je me demande si cette règle pourrait être pertinente dans le cadre d'essais d'intrusion. Evidemment, cela ne serait pas l'unique règle qui entrera en application. J'utilise Netfilter qui me semble pour le moment un choix intéressant.

Si cette option est valable, à votre connaissance, outre le ping qui sera impossible de l'extérieur, il y aurait il d'autres fonctionnalités qui me seront refusées si je bloque ICMP ?
(je viens de m'apercevoir qu'il me sera impossible d'effectuer un Traceroute de l'intérieur vers l'extérieur, mais suivant la configuration réseau que je veux utiliser, ça ne me posera pas e problème, du moins à ma connaissance, d'en effectuer en interne).

D'avance, je vous remercie

Dernière modification par Nolanux (Le 05/09/2014, à 10:29)

ssdg · Le 04/09/2014, à 13:33

Si tu es derrière une Box d'opérateur (un modem/routeur quoi), alors ce sera ta box qui sera "au contact" d'internet et qui se fera passer pour ton serveur, ton ordi perso, ta console,... auprès des machines sur internet.

Du coup, quand un ping sera fait depuis internet, il n'arrivera jamais au serveur et recevra une réponse de la box.

Nolanux · Le 04/09/2014, à 13:45

Merci de ta réponse ssdg,

Et dans le cas ou ma box réponde à un ping, il y a t'il un quelconque moyen de remonter jusqu'au serveur ?

tiramiseb · Le 04/09/2014, à 20:29

Salut,

Tu parles d'une passerelle. Mais côté public, ta passerelle aura-t-elle une adresse privée donnée par la box ou alors l'adresse publique de ta connexion ?
Dans le premier cas, aucun filtrage n'est nécessaire car c'est la box qui est en frontal : tant que tu ne fais pas de redirection de port, rien ne rentrera.
Dans le second cas, en effet ta passerelle est elle-même en frontal sur Internet, il faut alors sécuriser tout ça.

Concernant le sujet de l'ICMP, je suis contre son blocage : cela contrevient à la norme, qui dit que tout ordinateur doit répondre au ping : c'est une "entorse au règlement" pour une raison de pseudo-sécurité.
Tout ce que cela peut permettre, c'est de deviner le système d'exploitation qui tourne sur ta machine (car il y a de nombreuses piles IP différentes et un Linux ne répond pas au ping de la même manière qu'un Windows. Mais ce n'est pas une "porte d'entrée".

Concernant le logiciel à utiliser, bien sûr que tu utiliseras Netfilter, tu n'as pas le choix : c'est le pare-feu de Linux, le "seul" pare-feu que tu puisses utiliser.

Par contre, il y a différentes interfaces pour le configurer.
J'imagine que tu envisages d'utiliser directement iptables : c'est très dommage car c'est un logiciel très bas niveau qui ne t'apporte pas grand chose "pour commencer".
Je te conseillerais plutôt d'utiliser un logiciel comme Shorewall : avec lui tu pourras faire des jolis trucs sans faire des erreurs idiotes...

pires57 · Le 05/09/2014, à 01:26

Tiramiseb a tout dis ( ou presque)
Pour le firewall tout dépend de tes connaissances, si tu n'en as pas sur iptables alors effectivement prendre shorewall sera plus simple pour toi.

Nolanux · Le 05/09/2014, à 08:32

Tout d'abord, merci à tous pour vos réponses,

Tiramiseb a écrit :

Tu parles d'une passerelle. Mais côté public, ta passerelle aura-t-elle une adresse privée donnée par la box ou alors l'adresse publique de ta connexion ?

Côté public, je reçois mon IP de mon FAI. Pour le moment, je n'ai pas encore les connaissances suffisantes pour savoir ce que tu entends par "adresse publique de ma connexion"

Tiramiseb a écrit :

Concernant le sujet de l'ICMP, je suis contre son blocage : cela contrevient à la norme, qui dit que tout ordinateur doit répondre au ping : c'est une "entorse au règlement" pour une raison de pseudo-sécurité.

Voilà qui est clair et précis ! Je ne suis pas du tout au courant des pratiques à appliquer en ce qui concerne les réseaux (je travaille dans la robotique, qui, chez nous est un cursus d'informaticien industriel, et je n'ai eu que peu de cours de réseaux). Donc, merci de m'avoir indiqué la procédure !

Quand tu dis qu'un ping peut permettre de deviner l'OS qui se trouve derrière, mais que ça ne peut pas être une porte d'entrée, cela ne peut il déjà pas être une indication pour permettre d'exploiter les failles dudit OS ?

Tiramiseb a écrit :

Je te conseillerais plutôt d'utiliser un logiciel comme Shorewall : avec lui tu pourras faire des jolis trucs sans faire des erreurs idiotes...

Merci pour le renseignement ! IpTables revient le plus souvent dans les docs et les tutos que j'ai lu et (sans avoir rien configuré, je commence à avoir un aperçu global de la chose). J'en ai déduit que c'était le standard en matière de configuration de Netfilter. Je vais me renseigner et découvrir Shorewall.

Encore merci !

tiramiseb · Le 05/09/2014, à 09:48

Côté public, je reçois mon IP de mon FAI. Pour le moment, je n'ai pas encore les connaissances suffisantes pour savoir ce que tu entends par "adresse publique de ma connexion"

Tu reçois ton IP de ton FAI, c'est alors peut-être une adresse publique...
Si tu nous disais quelle est cette adresse, on pourrait te le confirmer.

Il y a deux possibilités :
- ta box (ton modem) est configuré comme routeur, c'est lui qui a l'adresse IP publique et il distribue des adresses IP privées aux PC qui sont "derrière" lui, il fait office de serveur DHCP ;
- ta box (ton modem) est configuré en "bridge", c'est alors ta passerelle qui a l'adresse IP publique, reçue par le FAI.

Quand tu dis qu'un ping peut permettre de deviner l'OS qui se trouve derrière, mais que ça ne peut pas être une porte d'entrée, cela ne peut il déjà pas être une indication pour permettre d'exploiter les failles dudit OS ?

C'est un début d'idée de commencement d'introduction de possibilité d'éventuellement trouver une hypothétique faille.
Mais si tu maintiens ton système à jour (mise à jour des paquets et pas de maintien de système obsolète), alors il n'y a pour ainsi dire pas de risque.

J'en ai déduit que c'était le standard en matière de configuration de Netfilter

Ce n'est pas parce que c'est le « standard » que c'est la meilleure solution dans tous les cas

Shorewall est une surcouche à iptables qui permet de faciliter la gestion du pare-feu.

pires57 a écrit :

Pour le firewall tout dépend de tes connaissances, si tu n'en as pas sur iptables alors effectivement prendre shorewall sera plus simple pour toi.

Euh j'ai largement les connaissances suffisantes pour faire n'importe quel pare-feu avec uniquement iptables, mais je ne suis pas fou, je préfère utiliser des outils efficaces, d'où Shorewall...

Nolanux · Le 05/09/2014, à 10:06

Tiramiseb a écrit :

- ta box (ton modem) est configuré comme routeur, c'est lui qui a l'adresse IP publique et il distribue des adresses IP privées aux PC qui sont "derrière" lui, il fait office de serveur DHCP

Oui, c'est cela, ma box fait office de routeur et dhcp. Mais, en test, j'ai monté et configuré un serveur DHCP (qui fonctionne hourra ;-) ) et désactivé le service DHCP de ma box.
PS : Pour des raisons de travaux, je n'ai pour le moment qu'un portable et ma box disponible. Tout le réseau devrait être remis en route pour milieu, fin octobre, mais ça ne m'empêche pas de me renseigner bien sûr.

D'un autre côté (je me renseigne encore), en quoi la technique de configuration de la box en bridge est elle intéressante ? Quels sont les avantages et les inconvénients de ce procédé ? (si tu préfères me référer vers une doc, je suis prenant aussi)

Tiramiseb a écrit :

C'est un début d'idée de commencement d'introduction de possibilité d'éventuellement trouver une hypothétique faille.

d'accord, je vois où tu veux en venir :-)

Tiramiseb a écrit :

Ce n'est pas parce que c'est le « standard » que c'est la meilleure solution dans tous les cas smile

Je suis bien d'accord avec toi. Mais étant plus que novice dans le domaine, je ne peux malheureusement faire qu'avec les outils que je glane ça et là, et je préfère demander des infos à des personnes plus aguerries dans ce domaine, qui ont plus d'expériences que moi. D'où l'importance de ce forum, je n'aurais jamais eu vent de Shorewall si tu ne m'avais pas indiqué que cela existait.

Pour le firewall tout dépend de tes connaissances, si tu n'en as pas sur iptables alors effectivement prendre shorewall sera plus simple pour toi.
Euh j'ai largement les connaissances suffisantes pour faire n'importe quel pare-feu avec uniquement iptables, mais je ne suis pas fou, je préfère utiliser des outils efficaces, d'où Shorewall...

Je crois qu'en l’occurrence, il s'adressait à moi ;-)

tiramiseb · Le 05/09/2014, à 10:17

en quoi la technique de configuration de la box en bridge est elle intéressante ? Quels sont les avantages et les inconvénients de ce procédé ?

mode routeur, c'est la box qui a l'adresse IP publique :
- avantage : tu n'as rien à gérer niveau sécurité et tout ça
- inconvénient : c'est sur la box que tu dois faire des redirections si tu veux que des paquets entrants arrivent sur une autre machine

mode bridge, c'est la passerelle qui a l'adresse IP publique :
- avantage : c'est toi qui gères la sécurité, les redirections, etc
- inconvénient : c'est toi qui dois gérer la sécurité

Je crois qu'en l’occurrence, il s'adressait à moi ;-)

Oui, j'ai mal formulé mon complément. Je disais juste que même quand on s'y connait, on ne se fait pas chier à utiliser directement iptables.

Nolanux · Le 05/09/2014, à 10:29

@Tiramiseb

Ok, je comprends la différence entre le mode routeur et le mode bridge, à creuser donc !
Je te remercie pour toutes ces informations.
Je passe le sujet en résolu !

pires57 · Le 05/09/2014, à 10:55

Sisi, je t'assure qu'il y a encore des gens qui le font
Iptables c'est une manière plus complexes mais qui permet beaucoup plus de chose par rapport a ufw ou d'autres outils. Shorewall se configure dans des fichiers de conf de manière relativement simple (cela fini même par devenir ennuyant)

tiramiseb · Le 05/09/2014, à 11:08

Sisi, je t'assure qu'il y a encore des gens qui le font

Oui, je sais qu'il y a des masochistes dans le monde...

Iptables c'est une manière plus complexes mais qui permet beaucoup plus de chose par rapport a ufw ou d'autres outils

UFW c'est clair qu'il est beaucoup plus limité.

Par contre avec Shorewall on peut faire l'énorme majorité des choses proposées par iptables.
Les cas où Shorewall ne permet pas de faire ce que l'on veut sont rares...

Nolanux · Le 05/09/2014, à 11:26

Je viens de parcourir un peu en diagonale, en effet, ça à l'air beaucoup moins compliqué qu' Iptables !

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 04/09/2014, à 13:11

[Résolu] Protocole ICMP

#2 Le 04/09/2014, à 13:33

Re : [Résolu] Protocole ICMP

#3 Le 04/09/2014, à 13:45

Re : [Résolu] Protocole ICMP

#4 Le 04/09/2014, à 20:29

Re : [Résolu] Protocole ICMP

#5 Le 05/09/2014, à 01:26

Re : [Résolu] Protocole ICMP

#6 Le 05/09/2014, à 08:32

Re : [Résolu] Protocole ICMP

#7 Le 05/09/2014, à 09:48

Re : [Résolu] Protocole ICMP

#8 Le 05/09/2014, à 10:06

Re : [Résolu] Protocole ICMP

#9 Le 05/09/2014, à 10:17

Re : [Résolu] Protocole ICMP

#10 Le 05/09/2014, à 10:29

Re : [Résolu] Protocole ICMP

#11 Le 05/09/2014, à 10:55

Re : [Résolu] Protocole ICMP

#12 Le 05/09/2014, à 11:08

Re : [Résolu] Protocole ICMP

#13 Le 05/09/2014, à 11:26

Re : [Résolu] Protocole ICMP

Pied de page des forums