Détecter la redirection de port dans un reseau local [Résolu]

[HNT]

Bonjour,

Je suis actuellement en train de mettre en place une salle internet 100 % Debian à mon école. Je voudrais avoir un certain contrôle sur ce que le gens font et pour ce faire je fait, entre autre du filtrage par port et j'emploie aussi Squid (au niveau d'une passerelle également sous Debian). Le filtrage par port empêchera les gens d'employé des jeux qui employe des ports exotiques.

Cependant, il y a toujours la possibilitée de rediriger le port du jeu sur le port 80, au niveau du client. Comment sur la passerelle et à l'aide d'iptables et/ou de squid, détecté que la requête courrante n'est pas de type HTTP ? Ou bien comment faire pour détecter la redirection des ports ?

[gorgonite]

il faut faire des filtres applicatifs... et non seulement des filtrages de ports


mais saches que s'ils peuvent ouvrir un tunnel ssh... c'est fini
(ps: je suis une hantise pour les admins de mon école )

[HNT]

Et on ne sait rien faire contre le tunnel SSH, du style dire que si le flux est crypté sur un port comme le 80, on refuse, note qu'alors tu va me dire qu'il suffit de passer par le 443 et je sais plus rien faire.

Sinon pour les filtres applicatifs, ça se fait ou ? au niveau d'iptables ? de squid et comment (grosso modo)

[gorgonite]

ipchains...

[HNT]

IPchains ? je pensais que c'était l'ancêtre d'iptables et qu'il n'avait été employé qu'avec les kernel 2.2 et <, on l'emploie toujours ?

[gorgonite]

Citation:

Envoyé par HNT

IPchains ? je pensais que c'était l'ancêtre d'iptables et qu'il n'avait été employé qu'avec les kernel 2.2 et <, on l'emploie toujours ?

aucune idée... tout ce que je sais c'est qu'il le faisait (je ne m'en sers jamais, iptables me suffit )


edit, j'ai trouvé celui-ci http://www.adella.org/spip/article.php3?id_article=24

si tu le testes, ton avis m'intéresse

[HNT]

Ok je testerai ça demain à l'école puis je te dis quoi.

[gorgonite]

sinon on peut aussi utiliser des détecteurs d'intrusion comme snort, et les dévier de leur but initial... pour qu'il coupe les communications jugées comme intrusions (par exemple, faire passer une communication ftp dans le port 80)

[HNT]

J'ai déjà un peu tester fireflier, l'idée du modèle client-serveur est bien, mais quand je tape /etc/init.d/fireflier start en console (pour le lancer sur ma passerelle), ça ne donne rien !
Le programme client plante et je dois le tuer. Si je fait un ps -ef sur le serveur aucune trace de fireflier, pourtant l'execution du script de démmarage ne produit aucune erreur et le syslog ne dit rien non plus ni le fichier kernel.log

[_solo]

c'est parti un peu en live la discussion la parce que faire du firewalling applicatif avec ipchains

non le mieux c'est nuFW en plus de filtrer au niveau 7 il filtre aussi par users

@gorgonite le fait de devier snort et le dévier de son but initial existe deja en snort_inline ,..

@HNT il existe deja des distibutions qui integre une partie de ses tools par defaut y as tu penser? ( IPCOP entre autre )...

ps si j'etait l'admin de ton reseaux gorgonite le seul truc que t'arriverais a faire c'est d'utiliser IE/firefox pour un usage extremement basique ( et encore )

[gorgonite]

Citation:

Envoyé par _solo

ps si j'etait l'admin de ton reseaux gorgonite le seul truc que t'arriverais a faire c'est d'utiliser IE/firefox pour un usage extremement basique ( et encore )

pas si sûr que cela... tout dépend de ce que les élèves doivent pouvoir faire, si le SI ne veut pas que la direction leur cause trop de problèmes (hé oui, en plus les étudiants crient fort )

[HNT]

Ok, est-ce que tu as des précisions au sujet de NuFW, tutos ou autre ?
Parce-que fireflier je rame un peu, j'ai ce client graphique et il est bien installé sur la passerelle mais je sais pas comment configurer ses règles. Je vais chercher du coté de nufw.

[David.Schris]

Citation:

Envoyé par HNT

Bonjour,

Je suis actuellement en train de mettre en place une salle internet 100 % Debian à mon école. Je voudrais avoir un certain contrôle sur ce que le gens font et pour ce faire je fait, entre autre du filtrage par port et j'emploie aussi Squid (au niveau d'une passerelle également sous Debian). Le filtrage par port empêchera les gens d'employé des jeux qui employe des ports exotiques.

Cependant, il y a toujours la possibilitée de rediriger le port du jeu sur le port 80, au niveau du client. Comment sur la passerelle et à l'aide d'iptables et/ou de squid, détecté que la requête courrante n'est pas de type HTTP ? Ou bien comment faire pour détecter la redirection des ports ?

Si le but est de n'autoriser que le protocole HTTP, tu peux utiliser SQUID comme proxy transparent (introduction à http://www.fido-fr.net/linux_proxy_transparent.shtml) et le paramétrer pour qu'il n'accepte QUE HTTP (pas HTTPS).
Avantages :
- toutes les machines passeront obligatoirement par le proxy ;
- seul le protocole HTTP sera autorisé ;
- c'est simple à mettre en place.
Inconvénient :
- seul HTTP est autorisé (pas de HTTPS).
On pourrait autoriser HTTPS avec SQUID mais c'est la porte ouverte à n'importe quoi : cela équivaut à autoriser les connections directes sur le port 443 et permet donc à un voyou comme gorgonite de se servir de la machine qui est chez lui comme d'un proxy (écoutant sur le port 443) pour se connecter n'importe-où avec n'importe quel protocole. A éviter, donc.

@_solo : je serai curieux de voir où tu as vu que NuFW faisait du filtrage au niveau 7. La partie de NuFW qui est installée sur les clients permet de n'autoriser que certaines applications à se connecter, certes...mais ce n'est pas du filtrage au niveau 7.
Pour ça, plutôt voir des choses comme : http://l7-filter.sourceforge.net/, http://ipp2p.org/, etc.

[gorgonite]

Citation:

Envoyé par David.Schris

un voyou comme gorgonite

je ne te permets pas de me traiter de voyou !!!!

en plus, le mieux est de laisser la possibilité de sortir en ssh...

[HNT]

Bon, sans vouloir partir dans le troll (c'est vrai que gorgonite fait quand même un peut voyou ), je vous remercie pour vos réponses. Ca marche comme je le voulais avec Squid.

David.Schris : l7filter à l'air très intéressant.

[David.Schris]

Citation:

Envoyé par HNT

l7filter à l'air très intéressant.

Je ne garantis rien quant aux performances : à tester convenablement avant de mettre ce type de solution en place.