Enrichir dynamiquement un pare-feu

thialme · Février 20, 2016, 4:31pm

[quote=“usinagaz”]
ceci dit, postentry, c’est exactement le sujet, mais je répète, ça écoute un nombre de port limité … je préfèrerai psad … à voir, avec un pti script dynamique, style un daemon maison un cron ou autre … pour lire les logs de psad que je rengerai dans un fichier spécial “cassecouilles.log” [/quote]

Psad est capable de répondre aux différentes attaques en agissant dynamiquent sur les politiques iptables. Il est aussi possible de le coupler avec swatch, ou avec un script.

thialme · Février 20, 2016, 4:31pm

[quote=“BorisTheButcher”]
En fait un scanneur standard va rester bloquer assez longtemps. Si il lance en parallele un scan sur 20 ports, il va commencer a le sentir. Sur ta machine ca n’aura pas trop d’influence (peut-etre meme moins que droper 20 fois des paquets)

Mais c’etait plus pour info que je donnais cette reference, il faut bien savoir ce qu’on fait (je ne sais pas a priori pourquoi c’est deconseillé de melanger avec conntrack, peut etre c’est preferable de lancer le tarpit seulement sur certains ports que vous n’utilisez pas: 139,emule,…).
Quelqu’un avec de bonnes connaissances comprendra vite qu’il est tombé dans un piège, il faut s’attendre a d’autres reactions ensuite… c’est de la psychologie tout ca [/quote]

La target TARPIT laissant ouverte les connexions, celles-ci sont présentes dans le suivi de connexion. Pas conséquent, si une attaque vise a rendre un port inutilisable, de nombreuses connexions vont être créées et ainsi remplir les tables conntrack jusqu’à ce que plus aucune connexions réelles n’y soient présentes. C’est pour cela qu’il faut utiliser auparavant la target NOTRACK sur ces connexions.

thialme · Février 20, 2016, 4:31pm

dexmon:

en fait, comme je l’ai expliquer je veux pas refaire le fail2ban mais je voudrais améliorer le mécanisme de bannissement.
fail2ban est limiter car par ex.: pour pure-ftpd, il a fallu demander à créer un regex exprès pour lui sinon ça marchais pas.
Avec le système de tables ou de fichier à parser et bien on pourrais demander à iptables de faire

iptables bloque ssh
et
iptables bloque ftp
ou
iptables bloque http
ou encore
iptables bloque smtp

c’est juste pour aider a comprendre ce que voudrais faire mais évidemment c’est pas les bonne syntaxe pour iptables
Et ça peu importe le démon que ça soit proftpd, pure-ftpd, vsftpd, apache ou un autre serveur web…serveur imap, smtp, bref le mail comme courier, qmail, tous les services.
Il ne se baserais donc plus sur le démon mais sur le service.

C’est pas un module iptables que tu voudrais faire par hasard ! Autrement, tu peux toujours faire une chaine utilisateur qui fait un peu ce genre de chose et tu rediriges tout le traffic que tu veux gérer au travers de cette chaine.

panthere · Février 20, 2016, 4:31pm

Hello

Dexmon a écrit

tu a un exemple sous la main, j’ai un peux de peine a comprendre ?

dexmon · Février 20, 2016, 4:31pm

Comment créer cette chaîne ?
Tu peux me montrer un exemple stp ?

thialme · Février 20, 2016, 4:31pm

Comment créer cette chaîne ?
Tu peux me montrer un exemple stp ?[/quote]

# Log every stealth scans - Let the IDS do its job afterwards
# ( Null/FIN/Xmas scans )
$IPTABLES -N tcp_inval  (1)
$IPTABLES -A tcp_inval -p tcp --tcp-flags SYN,FIN,RST,ACK RST,ACK -j RETURN (4)
$IPTABLES -A tcp_inval -j LOG --log-prefix "DROP - STEALTH" --log-level warning (5)
$IPTABLES -A tcp_inval -j DROP (6)

# Any attempts to connect HAVE TO start with a SYN
$IPTABLES -A INPUT -p tcp ! --syn -m state --state INVALID -j tcp_inval (2)
$IPTABLES -A FORWARD -p tcp ! --syn -m state --state INVALID -j tcp_inval (3)

La chaîne utilisateur est ici tcp_inval déclarée en (1).
En (2) et (3) on redirige le traffic INPUT et FORWARD selon certains critères pour passer au travers de tcp_inval afin de subir un traitement identique (4) , (5) et (6).

C’est l’esprit.