Discussion :

[UbNeBe]

Bonjour,

Je viens du monde Windows et suis passé à Linux, plus précisément à Ubutnu 14.04 LTS, pour augmenter ma sécurité sur internet.


Dans ma petite maison d'un point de vue matériel il y a une box, un switch, 5 PC.

Je souhaiterai que tous ces PC aient accès à internet.

Je souhaiterai partager des dossiers à partir de 3 PC pour un accès au 5 et ne souhaite pas qu'ils soient vus à partir d'internet

Peut-être que cette configuration n'est pas propice à une meilleur sécurité et l'ajout d'un serveur sous Linux dédié à cette tâche serait plus à propos ?


J'ai lu pas mal de post où le "Sachant" indiqué qu'il n'y avait rien à faire sous Linux parce que on était derrière une box.
(Est-ce que toutes les box sont identiques d'un point de vue sécurité ?)

D'autre qui décrivait Netfilter mais qu'il fallait paramétrer pour "activer" le Firewall de Linux.

J'ai donc trouver quelques post dont d'excellents très bien fait qui exposaient les possibilités de iptables.

Ce qui me pousse à croire qu'il faut connaître les manières de faire des méchants du web pour créer des règles iptables capable de les contrer.

Y aurait-il d'autres applications à ajouter pour épauler Netfilter ?


Qu'avez vous mis en place chez vous ?

Que me conseillez-vous ?

[chrtophe]

Si tu utilises des partages "windows" - en fait SMB, tes dossiers ne seront pas visibles sur Internet car SMB n'est pas routable (les Box sont des routeurs).

Les plus gros dangers viennent comme pour Windows, d'installer n’importe quoi qui t'installe un backdoor sur ton poste.

Si tes clients sont sous Windows et qu'ils sont compromis, l'accès sur ton serveur depuis internet pourrait être le même qu'en local depuis un de tes clients, si la compromission vient d'un outil permettant de prendre la main sur le poste à l'insu de l'utilisateur. L'accès au serveur doit être le moins ouvert, les postes clients doivent avoir un antivirus, un antispyware, éventuellement un firewall à jour. Les comptes utilisateurs ne doivent pas être administrateur.

[UbNeBe]

Je suis d'accord avec vous.

Mes postes windows étaient exploitées uniquement en compte utilisateurs avec une suite de protection internet choisie parmi les mieux côtés.

Mais ça c'était avant

Etant l'administrateur de ma maison tout le monde passe à Linux, bon ok nous gardons une partition pour jouer à LOL et à D3 mais une toute propre sans aucun droit particullier et avec la suite de sécurité à jour.

Ce que je désire c'est avoir le sentiment d'avoir nettement progressé en matière de sécurité.

Ma démarche est issus des sites qui m'ont fait permis de mieux apprécier la méthode paranoïaque.

- J'ai cherché à arrêter les serveurs qui ne me servent pas (avahi, cups) afin de limiter les ports ouverts.

- J'ai modifié la configuration du serveur samba pour n'allouer les partages qu'en local.

- Je cherche à mettre en place un script iptables pour mettre en service Netfilter et là je bute voici ma réflexion.

Pour commencer l'initialisation :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
#!/bin/bash
#
##############################################################
# Régles iptables pour 1 seul moyen de communication : eth0
##############################################################
 
# Initialise la table Filter (par défaut tous les échanges sont refusés)
iptables -t filter -F
iptables -t filter -X 
iptables -t filter -P INPUT   DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT  DROP
 
# Initialise la table NAT (par défaut tous les échanges sont activés)
iptables -t nat -F
iptables -t nat -X 
iptables -t nat -P PREROUTING  ACCEPT
iptables -t nat -P OUTPUT      ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
 
# Initialise la table Mangle (par défaut tous les échanges sont activés)
iptables -t mangle -F
iptables -t mangle -X 
iptables -t mangle -P PREROUTING  ACCEPT
iptables -t mangle -P INPUT       ACCEPT
iptables -t mangle -P FORWARD     ACCEPT
iptables -t mangle -P OUTPUT      ACCEPT
iptables -t mangle -P POSTROUTING ACCEPT
 
# Desactivation du NAT
echo 0 > /proc/sys/net/ipv4/ip_forward

Rien de particulier me semble-t-il.

Voici pour la boucle locale :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
# Règles du localhost
iptables -t filter -A OUTPUT -o lo -s 127.0.0.0/8 -d 127.0.0.0/8 -j ACCEPT
iptables -t filter -A INPUT  -i lo -s 127.0.0.0/8 -d 127.0.0.0/8 -j ACCEPT

Je ne souhaite pas autoriser les ping de l'extérieur. Est-ce la bonne démarche ?

Et là pour le réseau local :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
# Règles de connexion au réseau local (137, 138, 139 pour samba à tester après)
iptables -t filter -A OUTPUT -o eth0 -s 192.168.0.2 -d 192.168.0.0/24 -p all -j ACCEPT
iptables -t filter -A INPUT  -i eth0 -s 192.168.0.0/24 -d 192.168.0.2 -p all -j ACCEPT

Je compte le filtrer plus tard juste pour l'utilisation des partages samba.

Pour finir avec le tri des paquets venant d'internet :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
# Seules les connexions initialisées par la machine sont autorisées
iptables -t filter -A OUTPUT -o eth0 -s 10.0.0.1 -d 10.0.0.0/8 -p all -m state --state ! INVALID           -j ACCEPT
iptables -t filter -A INPUT  -i eth0 -s 10.0.0.0/8 -d 10.0.0.1 -p all -m state --state RELATED,ESTABLISHED -j ACCEPT

A partir de cette description j'ai du mal à comprendre.

Pour définir mon adresse IP en tant que source pour la sortie par exemple est-elle codifiée et généraliste ou dois-je l'obtenir grâce au site ifconfig.me

Comment ça se passe avec ma box ? Elle obtient une adresse IP qui est identique quelque soit le nombre de PC passant par elle ?

Par la suite j'aimerai décrire ses règles plus précisément par port (80, ...)

Je souhaite le plus restrictif sans me brider pour autant (web, mail, peut-être skype)

Voila vous en savez un peu plus sur mes objectifs actuels.

Si vous pouvez me commenter ce qui ne marche pas où m'orienter vers un peu de lecture (max 50 pages s'il vous plaît )

[fredoche]

Si tu utilises des partages "windows" - en fait SMB, tes dossiers ne seront pas visibles sur Internet car SMB n'est pas routable (les Box sont des routeurs).

Je pense que c'est une erreur d'écrire cela : SMB est probablement un protocole de niveau supérieur à la couche 3 du modèle OSI, c'est un service.
SMB fonctionne sur IP (port TCP 445 en direct et port TC 139 via netbios notamment)

C'est netBEUI qui n'est pas routable, couche niveau 3 adressage

[UbNeBe]

Bonsoir,

Je compte sur vous pour m'aider mais je continue de chercher en parallèle.

Voici mon dernier script :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
#!/bin/sh 
#
IP_A_MOI=192.168.0.2
IP_RESEAU_LOCAL=192.168.0.0/24
echo "# Vidage des tables et des règles personnelles"
iptables -t filter -F
iptables -t filter -X
echo "# Interdire toutes connexions entrantes et sortantes"
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
echo "# Traitement interface local"
iptables -A INPUT  -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
echo "# Traitement réseau local"
iptables -t filter -A OUTPUT -o eth0 -s $IP_A_MOI -d $IP_RESEAU_LOCAL -p all -j ACCEPT
iptables -t filter -A INPUT  -i eth0 -s $IP_RESEAU_LOCAL -d $IP_A_MOI -p all -j ACCEPT
echo "# Autoriser HTTP et HTTPS"
iptables -t filter -A OUTPUT -o eth0 -p tcp -s $IP_A_MOI --dport 80  -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -p tcp -s $IP_A_MOI --dport 443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT  -i eth0 -p tcp -d $IP_A_MOI --sport 80  -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT  -i eth0 -p tcp -d $IP_A_MOI --sport 443 -m state --state RELATED,ESTABLISHED -j ACCEPT
echo "# On drop les scans XMAS et NULL."
iptables -t filter -A INPUT  -i eth0 -p tcp -d $IP_A_MOI --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
iptables -t filter -A INPUT  -i eth0 -p tcp -d $IP_A_MOI --tcp-flags ALL ALL -j DROP
iptables -t filter -A INPUT  -i eth0 -p tcp -d $IP_A_MOI --tcp-flags ALL NONE -j DROP
iptables -t filter -A INPUT  -i eth0 -p tcp -d $IP_A_MOI --tcp-flags SYN,RST SYN,RST -j DROP
echo "# On log ce qui ne passe pas"
iptables -t filter -A OUTPUT -j LOG --log-prefix "Out : "
iptables -t filter -A INPUT  -j LOG --log-prefix "In : "

Certes je n'ai pas encore tout testé mais c'est bon pour le surf.

J'ai constaté par les log que Firefox utilise pleins de port de sortie sur ma machine mais ni le 80 ni le 443.

De là j'aurai deux nouvelles questions :

- Peut-on créer un proxy sur sa propre machine pour obliger Firefox à n'utiliser que des ports de sortie spécifiques ou est-ce moins sécuritaire de faire de la sorte ?

- J'ai installé ULOGD 2 mais je n'arrive pas à le mettre en œuvre. J'ai modifié le fichier /etc/ulogd.conf comme tel :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
plugin="/usr/lib/x86_64-linux-gnu/ulogd/ulogd_output_LOGEMU.so"
 
[LOGEMU]
file="/var/log/ulog/syslogemu.log"
sync=1

J'ai tenté de le lancer par : "ulodg -d" mais au final il n'y pas de log dans /var/log/ulog/syslogemu.log. Comment dois-je faire ?

[chrtophe]

fredoche, je vais m'exprimer différent.

Il est en théorie routable, je le faisais entre serveurs NT avec Wins au tout début d'internet quand il n'y avait pas encore de dangers et que les machines avaient une adr ip directement visible sur Internet.

Maintenant, avec le NAT, et la plupart des FAIs qui bloquent les ports, c'est devenu quasi-impossible hormis via liaison VPN.

[ram-0000]

Maintenant, avec le NAT, et la plupart des FAIs qui bloquent les ports, c'est devenu quasi-impossible hormis via liaison VPN.

Je ne suis pas d'accord. SMB est routable et peut sortir sur Internet et même peu (ou pas) de FAI (Français du moins) bloquent ce protocole (par contre, c'est une hérésie en termes de sécurité d'avoir du SMB sur Internet, ça c'est sûr ).

Je dirais même plus, peu de protocoles sont bloqués par les FAI en France (hormis par exemple le SMTP pour bloquer le spam, et encore, cela peut se débloquer dans certains cas). Certains protocoles peuvent être ralentis pour préserver la bande passante globale du FAI (je pense à Kad, eDonkey et Torrent par exemple) mais pas bloqués. D'ailleurs, je ne suis même pas sûr que les FAI Français aient le droit de bloquer un protocole.

[becket]

J'utilise :

- iptables
- SELinux
- Les ACL sur le système de fichier
- J'utilisais aussi des services chrooté

[fredoche]

Moi ce que je voulais dire c'est que SMB n'est pas un protocole d'adressage, donc pas de niveau 3 OSI (la couche réseau), contrairement à IP, netBEUI, ou IPX, X25...

SMB en terme OSI est certainement de niveau 7, couche application.

Le routage se fait au niveau 3, c'est un non-sens d'exprimer du routage pour la couche applicative il me semble.

Et netBEUI n'était pas routable.

WINS n'est il pas un protocole de résolution de noms ? équivalent à DNS pour moi, niveau 7 application

[UbNeBe]

Merci becket c'est un peu ce que je cherche en temps que new-bee c'est d'avoir quelque références qui me permettront d'avancer.

Pour SELinux, je pense que j'aurai du mal à faire le tri des démons pour leur attribuer des droits suffisants mais nécessaires.

ACL semble bien se marier avec un serveur samba, je vais creuser.

Sans forcement dévoiler tes règles iptables pourrais-tu me décrire ce qu'elles contrent, ça me mettrait sur la voie.

Vous avez certainement vous aussi lecteurs vos recettes de sécurité que vous appliquer chez vous ou dans votre travail je serai heureux que vous en parliez si, bien sûr, vous le pouvez.

Quels sont les dangers à prendre en compte ?

[becket]

En ce qui concerne SELinux, il existe une série de policies déjà pre-configurée, il ne reste plus qu'a configurer quelques autorisations et modifier quelques paramètres

[Tlams]

Je ne souhaite pas autoriser les ping de l'extérieur. Est-ce la bonne démarche ?

C'est la box opérateur(modem+routeur) qui répond aux pings, pas les postes utilisateurs...

D'après ce que j'ai compris tu veux appliquer ces règles de firewall sur tous les postes.
C'est pas vraiment une bonne idée, trop lourd à gérer.
- Tu vas être disponible à chaque fois que ton frère veut play à un nouveau jeu pour ouvrir les ports sur les postes ?

Seule la box opérateur a une ip publique, si tu fais pas de redirections de ports, les services internes ne seront pas accessibles.

box, un switch, 5 PC.

Pour arriver à une solution un minimum exploitable et qui dure dans le temps, il te manque un élément.
box-> un parefeu -> un switch -> 5 PC.


Pour les règles IPTABLES (me corriger si je dis des conneries, je suis pas un pro):

iptables -t filter -A INPUT -i eth0 -p tcp -d $IP_A_MOI --sport 80 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT -i eth0 -p tcp -d $IP_A_MOI --sport 443 -m state --state RELATED,ESTABLISHED -j ACCEPT

Ton navigateur n'écoute pas(et jamais) en 80/443 ! Seul le serveur web écoute sur ces ports.
Les ports sont "aléatoires". Sinon tu ne pourrais pas avoir firefox + IE + Chrome(etc), sur un même poste.
Qui écouterait le seul port disponible ?


Pourquoi tu as internet alors que plus haut tu bloques tout ?

iptables -t filter -A OUTPUT -o eth0 -s $IP_A_MOI -d $IP_RESEAU_LOCAL -p all -j ACCEPT
iptables -t filter -A INPUT -i eth0 -s $IP_RESEAU_LOCAL -d $IP_A_MOI -p all -j ACCEPT

En fait là tu autorise tout...


D’ailleurs, tu n'as pas fait de règles ACCEPT pour le DNS(53)... Et pourtant tu peux naviguer comme tu veux.

echo "# On drop les scans XMAS et NULL."
....

Complétement inutile, tu veux empêcher ton frère de t'attaquer ?

[UbNeBe]

En ce qui concerne SELinux, il existe une série de policies déjà pré-configurée, il ne reste plus qu'a configurer quelques autorisations et modifier quelques paramètres

Pour SELinux, ton message m'encourage à m'y intéresser d'un peu plus près.

Seule la box opérateur a une ip publique, si tu fais pas de redirections de ports, les services internes ne seront pas accessibles.

En partant du postula qu'une machine, à partir d'internet, sous Windows peut se faire facilement malmenée alors qu'une sous Linux plus difficilement j'aurai tendance à penser que la Box ne joue pas un grand rôle dans la sécurité.
D'où mon envie de minimiser le nombre de port ouvert sur mon PC que j'assimile à autant de point d'entrée potentiellement dangereux.

Pour arriver à une solution un minimum exploitable et qui dure dans le temps, il te manque un élément.
box-> un parefeu -> un switch -> 5 PC.

L'idée d'un firewall entre ma box et mon switch m'encourage à y jeter un coup d’œil si je peux réussir à en faire un avec une vielle machine ? ...
J'ai l'impression que ça impliquera de la redirection d'adresse, non ?

Ton navigateur n'écoute pas(et jamais) en 80/443 ! Seul le serveur web écoute sur ces ports.
Les ports sont "aléatoires". Sinon tu ne pourrais pas avoir firefox + IE + Chrome(etc), sur un même poste.
Qui écouterait le seul port disponible ?

Tu as bien raison je m'en suis rendu compte : rien ne passé quand (pour un INPUT) j'avais ajouté --dport 80 ou --dport 463 parce que Firefox utiliser des ports du type 39000 ou 63000.

En fait là tu autorise tout...

D’ailleurs, tu n'as pas fait de règles ACCEPT pour le DNS(53)... Et pourtant tu peux naviguer comme tu veux.

Oui je voulais autorisé tout le trafic de mon réseau local uniquement.
Comme j'autorise par défaut les communications vers le réseau local, ma passerelle est incluse.
Est-ce pour ça que je n'ai pas à autoriser le DNS (53).
Je vais essayer de tester si c'est vraiment ça.

Complétement inutile, tu veux empêcher ton frère de t'attaquer ?

En fait je me rend bien compte qu'il y a une part de paranoïa dans tout cela.
D'ailleurs j'ai entendu un dicton qui m'a aidé à faire de bon choix par la suite (souvent technique).
C'était dans le film RONIN avec Robert de Niro, OK ça fait kitch.
J'ai appris par la suite qu'il était issu de David Rockefeller qui ne laissait rien au hasard pour ses affaires.

Ce dicton disait :

S'il y a un doute, il n'y en a plus !

[UbNeBe]

Merci Tlams

C'est bien parce que j'avais tout permis en local que je n'avais pas à déclarer le port 53 (DNS).

A mon script j'ai ajouté les règles de ma messagerie, j'ai viré celles du réseau local qui ne me servent pas encore et j'ai ajouté les règles liées au DNS :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
#!/bin/sh 
#
IP_A_MOI=192.168.0.2
IP_BOX=192.168.0.1
echo "# Vidage des tables et des règles personnelles"
iptables -F
iptables -X
echo "# Interdire toutes connexions entrantes et sortantes"
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
echo "# On drop les scans XMAS et NULL."
iptables -A INPUT  -i eth0 -p tcp -d $IP_A_MOI --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
iptables -A INPUT  -i eth0 -p tcp -d $IP_A_MOI --tcp-flags ALL ALL -j DROP
iptables -A INPUT  -i eth0 -p tcp -d $IP_A_MOI --tcp-flags ALL NONE -j DROP
iptables -A INPUT  -i eth0 -p tcp -d $IP_A_MOI --tcp-flags SYN,RST SYN,RST -j DROP
echo "# Traitement interface local"
iptables -A INPUT  -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
echo "# Accéder à la Box"
iptables -A OUTPUT -o eth0 -p udp -s $IP_A_MOI -d $IP_BOX --dport 53 -j ACCEPT
iptables -A INPUT  -i eth0 -p udp -s $IP_BOX -d $IP_A_MOI --sport 53 -j ACCEPT
echo "# Autoriser HTTP et HTTPS"
iptables -A OUTPUT -o eth0 -p tcp -s $IP_A_MOI --dport 80  -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -s $IP_A_MOI --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT  -i eth0 -p tcp -d $IP_A_MOI --sport 80  -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT  -i eth0 -p tcp -d $IP_A_MOI --sport 443 -m state --state ESTABLISHED -j ACCEPT
echo "# Autoriser les Mails"
iptables -A OUTPUT -o eth0 -p tcp -s $IP_A_MOI --dport 993 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -s $IP_A_MOI --dport 465 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT  -i eth0 -p tcp -d $IP_A_MOI --sport 993 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT  -i eth0 -p tcp -d $IP_A_MOI --sport 465 -m state --state ESTABLISHED -j ACCEPT
echo "# On log ce qui ne passe pas"
iptables -A OUTPUT -j LOG --log-prefix "Out : "
iptables -A INPUT  -j LOG --log-prefix "In : "

Pour les --state RELATED il semble que ce soit plutôt associé à une utilisation qui n'est ni pour les page web, ni pour la messagerie.
Mais ça c'est vraiment à mettre au conditionnel.
Par contre c'est pour ça que je les ai retiré. Ça semble marché.

[troumad]

Tu as aussi mon cours d'installation de serveurs sous Linux qui est disponible. Je m'en sers dès que je réinstalle mon serveur (le moins souvent possible) et je le mets à jour à ce moment. Il est plus orienté Mageia, j'ai eu fait des tests sous ubuntu, mais c'est vieux...

Il sert pour ma configuration : Box<->Firewall(serveur mageia)<->routeur(s)<->PC de la maison . C'est la configuration que je conseille.

[UbNeBe]

Merci Troumad

Je viens de parcourir le sommaire : ça à l'air très intéressant.

Ne lisant que lentement je doute revenir vite sur ce forum pour te poser quelques questions mais sache que j'y reviendrai !

[Tlams]

J'utilise Mageia en client, par contre en serveur/firewall... je ne suis pas certain de la pertinence du choix.

Pourquoi ne pas utiliser un pfsense ou une autre distribution spécialisé?

@UbNeBe:
Oublie le "serveur maison" avec des truc de récup.
- Consommation électrique non optimisé.
- Du bruit.
- Stabilité à voir...

Il vaut mieux partir sur une base propre, silencieuse, peu consommatrice et pas forcément hors de prix.
Exemple: PC Engines Apu1c,

Après rien n’empêche de s'entrainer sur des vieux postes de récup...

Il faut aussi savoir que toutes les box opérateurs ne proposent pas de mode Bridge (bypass la fonction routeur).

[troumad]

J'utilise Mageia en client, par contre en serveur/firewall... je ne suis pas certain de la pertinence du choix.

Mon expérience me dit qu'il vaut mieux une distribution qu'on maitrise. Elle a aussi tout ce qu'il faut pour un serveur.
Certes, je dois changer souvent de version, ça me permet de maintenir mes connaissances sur la gestion de serveur.