Pages : 1
#1 Le 21/08/2013, à 15:02
- mytux
Mon iptables, suis-je en securite ?
Bonjour,
je viens de recuperer uns script iptables sur la toile, il est assez similaire a celui du tuto Ubuntu. J'ai quelque notion en reseaux, mais je ne suis pas expert en la matiere, donc qu'en pensez vous, esse suffisant pour une utilisation sur poste de travail ?
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
-A INPUT -p tcp --tcp-flags ALL ALL -j DROP
-A INPUT -p tcp --tcp-flags ALL NONE -j DROP
-A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -m pkttype --pkt-type broadcast -j DROP
-A INPUT -f -j LOG --log-prefix "[#1 iptables fragments : ]"
-A INPUT -f -j DROP
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 111 -m state --state NEW -j REJECT --reject-with tcp-reset
COMMIT
Hors ligne
#2 Le 21/08/2013, à 16:10
- Hoper
Re : Mon iptables, suis-je en securite ?
Réponse sans rien lire des régles que tu as posté : OUI.
Sachant qu'aucune règle iptable n'est nécéssaire pour un poste de travail "normal" avec une utilisation "normale". Par contre, je te conseil très sincèrement de ne pas mettre en place de configuration spécifique. Tu risque de t'arracher les cheveux un jour, et de perdre beaucoup, beaucoup de temps, avant de comprendre qu'un dysfonctionnement X ou Y viendra en fait d'une de tes règles. Si tu fais ça pour améliorer tes connaissances en réseau et pour mieux comprendre comment fonctionne un Firewall, c'est très bien. Si tu espère sincèrement augmenter la sécurité de ton poste de travail, ça ne servira strictement à rien. (Désactiver javascript dans ton navigateur par exemple te protégera infiniment plus).
Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org
Hors ligne
#3 Le 21/08/2013, à 17:29
- mytux
Re : Mon iptables, suis-je en securite ?
Merci pour l'info,
moi qui m'embête depuis matusalem avec UFW, ( Uncompliated Firewall lol )
Hors ligne
#4 Le 21/08/2013, à 18:33
- Hoper
Re : Mon iptables, suis-je en securite ?
Je te conseil non seulement d’arrêter de te prendre la tete, mais de surtout bien désinstaller tout ce que tu a pu installer. Encore récemment j'ai passer un moment chez un linuxien, pour essayer de comprendre pourquoi des trucs simples ne fonctionnaient pas chez lui (cnx ssh entre deux machines etc) avant de voir qu'il avait installé ce genre de trucs (et bien d'autres).
Il y a des tas de choses qu'on peut faire (habitudes à prendre etc) pour etre un peu plus en sécurité. Mais installer un FW (sous linux en plus) n'en fait vraiment pas parti.
Si tu habite pas trop loin du 78, je ferai justement une présentation sur le sujet :
http://hoper.dnsalias.net/tdc/index.php … n-securite
(Les slides devraient arriver très bientôt mais j'ai pas encore tout à fait terminé... Surtout, ce seront comme d'habitude plus des tetes de chapitre, une espèce d'aide mémoire pour me souvenir de ce que j'ai l'intention de raconter plus qu'un truc vraiment utilisable directement.
Dernière modification par Hoper (Le 21/08/2013, à 18:37)
Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org
Hors ligne
#5 Le 21/08/2013, à 20:42
- mytux
Re : Mon iptables, suis-je en securite ?
J'ai un system minimal et ma racine ne fais que 2.06GiB; comme je suis assez sensible a la securite reseaux je ne garde que le strict necessaire sur mon PC. J' ai supprimer tous les services reseaux inutiles, et en plus j'ai une wheezy, avec seulement les depots main. Donc, niveau stabilite et securite des paquets, je crois que suis au point. Seul, bemol, mon password, impossible de retenir, un mot de passe genere par pwgen ou mkpasswd, et c' est vraiment pas tres ergonimique a frapper.
Niveau firewall, c'est quand meme l'outil de reference pour la securite, meme si les risques sur station de travail sont moins eleves que sur server, c'est toujours un plus.
J'habite dans les hauts de seine, ca me fait un peu loin mais j essaierai de passer quand meme, ca ma l'aire interessant.
Hors ligne
#6 Le 21/08/2013, à 20:51
- tiramiseb
Re : Mon iptables, suis-je en securite ?
Niveau firewall, c'est quand meme l'outil de reference pour la securite, meme si les risques sur station de travail sont moins eleves que sur server, c'est toujours un plus.
Hu ?
À partir du moment où tu n'as aucun service en écoute, en quoi un firewall serait un plus ?
Il n'y a rien à filtrer, alors pourquoi vouloir filtrer ?
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#7 Le 21/08/2013, à 20:53
- Hoper
Re : Mon iptables, suis-je en securite ?
Niveau firewall, c'est quand meme l'outil de reference pour la securite
Non, c'était. Cela fait bien longtemps que les attaques ne se font plus sur les couches basses (OS, pile TCP...) mais ont remontés d'au moins un voir deux niveau. Un firewall classique (réseau) ne sert plus à rien depuis... pfff... Au moins l'invention des reverse shell. A partir du moment ou tu autorise ton ordinateur à te connecter à l’extérieur (surfer sur le web) alors tu autorise potentiellement une connexion entrante (via donc une cnx en reverse) et aucun firewall ne pourra rien y changer.
Quoi qu'il en soit tu sera le bienvenu. N’hésite pas à envoyer un petit message quand tu aura une certitude (ou pour demander des infos sur le lieu ou autre).
Pour ta problématique de mot de passe, cela se résoud très facilement. Et oui, il faut absolument que tu sois capable de retenir le mot de passe sans aucun soucis, sinon c'est un mauvais mot de passe. Voici un exemple de très bon mot de passe : "1MDPDoitEtreSimpleARetenir!"
En résumé, il faut qu'il soit long (>14 caractères), pourquoi pas bien plus quand cela se justifie, il doit se retenir sans difficulté. Le fait de mixer majuscule/minuscule, de mettre des chiffres ou des caractères spéciaux est un plus, mais ce n'est pas le plus important (il vaut beaucoup mieux qu'il ai par exemple 2 caracteres en plus et pas de chiffre).
Une phrase toute simple : "c'est un bon mot de passe ?" peut très bien faire l'affaire.
Dernière modification par Hoper (Le 21/08/2013, à 20:58)
Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org
Hors ligne
#8 Le 21/08/2013, à 20:55
- mytux
Re : Mon iptables, suis-je en securite ?
supprimer tous les services reseaux inutiles
Cela ne veut pas dire qu' il n y en a aucun.
Hors ligne
#9 Le 21/08/2013, à 20:58
- tiramiseb
Re : Mon iptables, suis-je en securite ?
Cela ne veut pas dire qu' il n y en a aucun.
netstat -tlnpu
ça donne quoi ?
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#10 Le 21/08/2013, à 21:00
- Hoper
Re : Mon iptables, suis-je en securite ?
Juste pour signaler que j'ai édité mon message précédent.
Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org
Hors ligne
#11 Le 21/08/2013, à 21:40
- mytux
Re : Mon iptables, suis-je en securite ?
Oep, si j' ai bien compris les attaques sont plus proches de la couche applications qu'autre fois, et c'est pour cela qu'il faut desactiver javascript. Dernierement j'ai suivis, un fil sur debian-facile.org. Justement il parlait, de la configuration de sudo, et de la force du mot de passe et des failles du naviguateur, dont les plugins pdf et flash, et donc de la prise de controle du compte root etc...
%sudo ALL=(ALL:ALL) ALL
Visiblement il serait plus judicieux de mettre un login, complique, en plus du mdp, pour sudo. Ou meme de ne plus utiliser sudo du tout, mais seulement su.
netstat :
Connexions Internet actives (seulement serveurs)
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat PID/Program name
udp 0 0 0.0.0.0:34287 0.0.0.0:* 2436/dhclient
udp 0 0 0.0.0.0:68 0.0.0.0:* 2436/dhclient
udp6 0 0 :::53717 :::* 2436/dhclient
Bien sur j'ai un server ssh mais il ne tourne pas en ce moment.
mon iptables ponctuel pour ssh :
-A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 4 --name SSH --rsource -j LOG --log-prefix "[#1 : SSH brute-force ] : "
-A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 4 --name SSH --rsource -j DROP
-A INPUT -p tcp --dport 22 -m recent --set --name SSH --rsource
-A INPUT -p tcp --dport 22 -j ACCEPT
Ps: Quand j' etais jeune mon passwd c'etait : 'motdepasse'
Dernière modification par mytux (Le 21/08/2013, à 21:47)
Hors ligne
#12 Le 21/08/2013, à 21:53
- Hoper
Re : Mon iptables, suis-je en securite ?
Visiblement il serait plus judicieux de mettre un login, complique, en plus du mdp, pour sudo. Ou meme de ne plus utiliser sudo du tout, mais seulement su.
Heu non, au contraire... sudo est beaucoup plus sécurisé que su. Mais on s'éloigne vraiment du sujet la.. Une personne qui se connecte sur ton ordinateur via une "faille" applicative, il a besoin d'aucun mot de passe et utilise les permissions du logiciel en question.
Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org
Hors ligne
#13 Le 21/08/2013, à 22:02
- mytux
Re : Mon iptables, suis-je en securite ?
Oai ok, mai si il peut avoir acces a mon ordinateur et si j ai un mot de passe bidon, facilement crackable, ce ne serait pas une sconde porte d'ouverte ?
Dernière modification par mytux (Le 21/08/2013, à 22:02)
Hors ligne
#14 Le 21/08/2013, à 22:10
- tiramiseb
Re : Mon iptables, suis-je en securite ?
et c'est pour cela qu'il faut desactiver javascript.
Bof... je ne vois pas l'intérêt.
Ton "netstat" montre que tout ce que tu as en écoute, c'est ton client DHCP, qui ne peut bien sûr pas être bloqué.
Donc tu n'as pas besoin de pare-feu
Pour ton filtrage de SSH, je n'en vois pas trop l'intérêt. En fait, je n'ai jamais vu l'intérêt de filtrer quelque chose de cette manière, "contre" les "brute force"...
Pour pouvoir pénétrer sur ton système par SSH, on doit découvrir ton username et ton mot de passe : si ton mot de passe est suffisamment sécurisé, il n'y a pas de risque...
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#15 Le 21/08/2013, à 22:11
- tiramiseb
Re : Mon iptables, suis-je en securite ?
si j ai un mot de passe bidon, facilement crackable
Si tu as un mot de passe bidon, facilement crackable, alors tu peux oublier tout le reste : le mot de passe est la base de la sécurité.
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
Pages : 1