Detection/analyse d'intrusions IPTables/IPFilter
Detection/analyse d'intrusions IPTables/IPFilter - réseaux et sécurité - Linux et OS Alternatifs
Sujets relatifs:
- Passerelle avec iptables : problème de SMTP
- securiser iptables
- securiser iptables
- [IPTables] Forward des icmp
- analyse sur une architecture réseau
- script iptables
- Déconnexion Gaim depuis la mise en place de mon script iptables
- [iptables] allow ping
- configuration d'iptables
- Aide Ouvir le port 443 (https) sur Debian [iptables inside]
Marsh Posté le 01-08-2005 à 12:41:36
Bonjour
J'utilise IPTables sur un routeur derriere un modem, et IPFilter sur mon poste derriere le routeur. Pour IPT, il relativement aisé de faire des correlations entres les logs en les comparant avec la table d'etats sur le routeur pour detecter des tentatives d'intrusions. en general ca se limite a des tests de ports par exemple pour trouver le port interne utilisé sur une connexion sortante.
Par contre, je ne sais pas comment faire pour trouver la cause des rejets de paquets par IPFilter sur une connexion TCP sans utiliser de sniffer.Vu que ca passe IPTables, a priori l'etat des @IP et ports sont bons. Et effectivement le sniffer indique qu'il sagit simplement de paquest dupliqués par mon poste alors l'ACK dupliqué en reponse est rejeté vu qu'ipf rejette tous les paquets qui ne sont pas indispensables pour maintenir le niveau TCP coherent. Sur certaines connexion il n'y a jamais d'erreurs alors que sur d'autres, ca peut monter jusqu'a 100x plus que la moyenne alors je trouve ca suspect, d'autant plus que l'IP la plus sucpecte est sur les meme reseau ISP que moi donc aucune raison qu'il y ai des erreurs IP alors qu'il n'y en a pas sur des connexions a lautre bout de la planete. Que je sache la seule facon de forcer la reemission de paquets est de jouer sur la valeur de l'ACK mais je rien remarqué d'anormal de ce coté la...
Je suis en train de lire la doc de l'impementation d'ipfilter. Je ne connais pas en detail IPTables , mais il me semble qu'il n'integre pas tous les tests de sequence d'IPfilter, ce qui expliquerait que ca passe sur lun et pas l'autre. Par contre il n'y a pas grand chose au niveau de la conf utlisateur (en tout cas j ai pas vu) qui me permettrait d'affiner les logs comme on peut le faire avec IPT en placant des tests de types variés, parce que c'est sympa que ca soit rejeté mais si on sait pas vraiment pourquoi, a force ca rends parano d'en avoir autant sans en avoir la cause.
Donc en fait je postais pour savoir ce que vous feriez a ma place pour savoir si la source ce ces erreurs est d'origine intentionnelle; si qq1 a une idee.
Message édité par metabaron1 le 01-08-2005 à 12:45:15