[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [gulliver] les ports, tj les ports...


From Maxime Chatelle <xamad at tiscali dot fr>
Subject Re: [gulliver] les ports, tj les ports...
Date Sun, 1 Jun 2003 07:14:03 +0200

Salut,

Le Dimanche 1 Juin 2003 02:06, DENIZOT Julien a écrit :
> Merci pour ton aide,
>
> alors je t'explique plus en detail mon ptit probleme.
> Je veux proteger mon serveur (web, mysql(en locale), php et
> passerelle), parceque je me suis fait piraté par samba (que je
> n'utilise plus pour l'instant ). donc je resonne comme ceci :
> il me faut autoriser les ports 80 pour apache et  53 pour bind.
> donc tous les autre ports, entre 1 et 1023, sauf le 80 et le 53
> doivent etre fermé.

Je ne pense pas pas que tu ai besoin que le port 53 soit ouvert vers 
l'extérieur.

>
> Mais je vais plus loin, parceque je veux proteger efficassement mon
> serveur ( j'en ais marre des faire des restaurations ... ) :
>
> donc, j'utilise snort qui detecte les tentatives d'intrusion. Snort
> utilise un ensemble de regles, et tu peux cree les tienne. Donc,
> comme je suis malin, j'ai cree une regle qui donne ca :
>
> Tous les ip qui interroge un port entre 1 et 1023 ( sauf le 80 et le
> 53) sont bannies par shorewall (mon fire wall). Alors evidement, ca
> ejecte pas mal, mais je n'ais pas eu trop de loupé, mes visiteurs
> n'ont de probleme.

Je ne suis pas sur que ce soi nécessaire de bannir des ip. Si le pirate 
passe par sa propre connection chez son FAI (ça c'est un pirate 
debutant) , alors sont ip change a chaque connection. Sinon il passe 
par un cheval de troie installé chez un utilisateur et la c'est pareil. 
Ou alors ( peu probable) il a un cheval de troie sur un serveur a ip 
fixe et la le banissement des ip "peut" etre utile mais pas 
indispensable.

>
> qu'en pense tu ?

Je dirais qu'il te faut configurer ton firewall a n'autoriser que les 
paquets ayant un état établis a entrer sauf pour ton port 80
En fait, le mieux c'est tu aille voir là :
http://lea-linux.org/reseau/murdefeu.php3
http://lea-linux.org/reseau/firewall.php3
http://lea-linux.org/reseau/iptables.php3

Bon Ok c'est de la doc pour NetFilter et non pas pour ShoreWall
Mais la base reste la même je suppose.
(Si tu compte utiliser Netfilter , au lieux de mettre les paquet en DROP 
tu les met en REJECT <-- ça simule un port réellement fermé)

En gros, rejete tous ce qui n'est pas explicitement nécessaire.

Et il te restera plus qu'a securiser apache en le chrootant (un "bon" 
pirate sais en sortir) et si possible, de le faire tourner sous un 
utilisateur ayant un minimum de droit.

Plus les log de snort mais il faut les lire et en tirer des regles, 
personnellement je n'ai aucun soucis. Mais , en fait, toutes les 5 min 
environ j'ai un port qui se fait scanner alors si j'avais banni ces 
adresse ip depuis le debut, il resterai plus beaucoup d'adresse ip a 
avoir le droit de venir se connecter.

> et les autre ports, entre 1024 à 49151, si j'ai bien compris peuvent,
> eu aussi, etre bani ?
>
> et au dessus de 49151 ? j'en fait koi ?
>
> Merci de ton aide.
>

Petite astuce en passant : J'ai fait un routeur/Gateway/NAT avec un 
vieux 486 dont tous les ports sont fermer de l'extérieur qui redirige 
le trafic web vers mon serveur.

-- 
---------------------------
VIVE Le Logiciel Libre

---- Liste gulliver ----
Se désinscrire, mailto:gulliver-unsubscribe at listes dot gulliver dot eu dot org
GULLIVER,       http://gulliver.eu.org/