filtrage applicatif, et pas suivant le port ...

[leon47]

bonjour à tous,

après une cure intensive sur iptables j'arrive à faire globalement ce que je veux sur un firewall qui filtre suivant les ports sources et destinataires.

mais bon, il est plutôt facile de changer le port d'un service, ainsi si je fait tourner un serveur web sur le port 110 (port pop en théorie) et que sur mon réseau j'ai interdit le port 80 et 443 (http standart) pour interdire le net, la personne peut donc se connecter sur le site qui tourne sur le port 110, vu que j'ai autoriser l'accès à des serveurs pop ...

je sais qu'il est possible d'encapsuler tous les protocoles dans du SSH, mais sans aller jusque là, serait il possible d'avoir un filtrage sur le contenu d'une trame, interdire tout ce qui contient tel info dans la trame ???

en vous remerciant beaucoup beaucoup ^^

[zoto]

Salut

Tu as ce projet qui fait de l'applicatif :http://www.nufw.org/index.php3?lang=fr

Sinon tu met un proxy avec authentification comme squid .

Enfin certain patch pour iptables par permettent de faire ce type de filtrage, comme par exemple du filtrage anti p2p

a+

[leon47]

le proxy ne va pas faire de filtrage applicatif, j'en ai déja un pour filltrer les sites autorisés, les heures de connection autoriser ... mais je n'ai pas trouvé de filtrage suivant le contenu de la trame :(

je regarde du coté du projet que tu m'a donné

[edit]

c'est carrément un remplaceant de iptables :(

j'aurai aimé garder mon iptables moi ...

mais je garde ce lien sous le coude

je regarde les patch de noyau pour les customiser afin de convenir à mes besoin :)

[/edit]

[tuXXX]

mais bon, il est plutôt facile de changer le port d'un service, ainsi si je fait tourner un serveur web sur le port 110 (port pop en théorie) et que sur mon réseau j'ai interdit le port 80 et 443 (http standart) pour interdire le net, la personne peut donc se connecter sur le site qui tourne sur le port 110, vu que j'ai autoriser l'accès à des serveurs pop ...

Normalement on met tout en DROP et on accepte les connexions par dessus... C'est beaucoup plus sécurisé!

Pour ce qui est du filtrage comme tu l'entends, je ne vois pas pourquoi tu lancerait un serveur web sur le port 110 de ton propre serveur alors que tu ne veux pas...

Et si c'est qu'un qui te pirate ton serveur, il aura vite fait de toucher à ton firewall pour faire ce qu'il veut...

(et pour rappel, il faut être root pour lancer des serveurs sur des ports <1000, donc si tu as peur pour les gens qui pourraient avoir des comptes unix sur ton serveur c'est facile de limiter)

[zoto]

Salut

Il reste les porblemes de certains logiciels qui peuvent passer même si les port sont fermés.

Kazaa et msn par exemple passe même si les ports qu'ils utilisent habituellement sont fermés, car dans ce cas là ils squattent le port 80 .

a+

[nonas]

Kazaa et msn par exemple passe même si les ports qu'ils utilisent habituellement sont fermés, car dans ce cas là ils squattent le port 80 .

Ah les

En fw applicatif il y a ça : http://tuxguardian.sourceforge.net/

Mais je ne sais pas si le projet est encore actif.

[tuXXX]

avec iptables tu peux filtrer par ports de destination et n'accepter en sortie par le port 80 que les paquets qui vont vers un port 80...

ça devrait suffire, non? (mais c'est vrai qu'il y a toujours moyen en ayant un serveur en face de passer par là pour n'importe quoi...)

J'ai entendu assez récemment parler de détection de type de paquet avec iptables... il faudrait aussi regarder par là...

[Sufflope]

En fw applicatif il y a ça : http://tuxguardian.sourceforge.net/

Mais je ne sais pas si le projet est encore actif.

Je cite :

" Requirements

You need Linux kernel 2.6.10 or higher, compiled with LSM support."

Donc ça doit pas être complètement mort non plus

[zoto]

avec iptables tu peux filtrer par ports de destination et n'accepter en sortie par le port 80 que les paquets qui vont vers un port 80...

ça devrait suffire, non? (mais c'est vrai qu'il y a toujours moyen en ayant un serveur en face de passer par là pour n'importe quoi...)

J'ai entendu assez récemment parler de détection de type de paquet avec iptables... il faudrait aussi regarder par là...

Salut

Ça ne change pas le probléme, vu que si un fait comme ça il vont scanner, passer par le "tunnel"

Donc une passerelle n'y change rien même si tu autorise le port 80 de 192.168.0.1 a 192.168.0.10 et de 192.168.0.10 a 192.168.0.1, ça va se jouer sur la machine cliente 192.168.0.10

a+

[leon47]

quand je dis que je veux filtrer tel ou tel appli, c'est un exemple ...

je veux juste empécher les utilisateurs de squatter les ports de mon serveur ouvert pour faire autres choses que les logiciels qui marchent par déaut sur ce port.

du genre MSN qui va gentillement squatter mon port 80 !

à la longue les captures avec ethereal suivies d'analyse sont particulièrement énervante ^^

[tsubasaleguedin]

pour info:

http://club.mandriva.com/xwiki/bin/view/Ti...tifMandriva2006

[nofun]

j'avais trouvé ça si ça peut aider (c'est très succint mais ça peut être une piste).

[zoto]

Salut

Sinon pour ce qui est des soft comme msn messenger, il leur faut se connecter a un serveur .

Si tu as un proxy comme squid sur ton réseaux, tu blacklist les serveur de msn et hop, plus de msn .

Bete et mechant mais assez efficace .

Pareil pour certain client p2p

a+

ps : un patch pour lutter contre le p2p avec iptables http://sourceforge.net/projects/iptables-p2p

[fubiga]

une astuce pour le http et ftp:

squid peut laisse passer que le http et ftp

a toi de voir si tu le mets en proxy "normal" ou en proxy transparent (avec iptable, rediriger le port 80 sur le 3128, les utilisateurs ne veront pas quil passent par un proxy)

c'est peut etre la solution la plus simple si tu veux laisser sortir QUE les flux http et ftp

[leon47]

j'ai déja le patch pour le noyau anti p2p ...

pour info j'utilise ipcop (www.ipcop.org)

la meilleur façon de procéder est pour l'instant de logguer par période d'une semaine tout ce qui se passe par un port légitime, et de blamer les utilisateurs qui l'utilise pour un autre but que celui original.

cette règle est clairement marquée dans la charte informatique de l'établissement.

en applicant cette règle, les utilisateurs prennent peur et ne recommencent pas ...

le patron n'est mis au courant quau bout de 2-3 abus, je ne suis pas non-plus un tyran ^^

je préviens, et si ca continue quand même, la sanction tombe, mais je suis conscient que certains utilisateurs ne savent même pas qu'elles enfreignent les règles avant de les prévenir, donc, toujors prévenir avant d'alarmer la hiérarchie ...