Question de stratégie Iptables ....
Question de stratégie Iptables .... - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 30-12-2002 à 17:37:31
Bah à moins que ton backdoor aille par lui-même ouvrir une connexion vers une machine extérieure sans que personne ne lui demande quoi que ce soit, t'es à l'abris...
Après, même avec les solutions que tu proposes, rien n'empêcherait qqn de demander au backdoor d'ouvrir une cession vers un client qui serait par exemple sur le port 80 de sa babasse...
Bref, faut bien voir que simplement avec iptables, t'auras jamais une sécurité parfaite...
Après, faut passer à des systèmes d'analyse d'en-tête de paquets, genre snort... mais c'est BEAUCOUP plus bourrin...
Marsh Posté le 30-12-2002 à 17:46:46
| BigBen a écrit : |
Et rien n'empeche le soft de la backdoor d'encapsuler son protocole dans de l'HTTP, dans quel cas t'es fichu...
Marsh Posté le 30-12-2002 à 17:49:50
| BigBen a écrit : Bah à moins que ton backdoor aille par lui-même ouvrir une connexion vers une machine extérieure sans que personne ne lui demande quoi que ce soit, t'es à l'abris... |
Argh, j'y avais pas pensé....
C'est donc le problème insoluble visiblement...
A moins de taper dans la grosse artillerie.
Le passant.
![[:dawa]](https://forum-images.hardware.fr/images/perso/dawa.gif "[:dawa]")
Marsh Posté le 30-12-2002 à 23:45:46
Ben tu bloques tout les ports et apres t'ouvres les ports que tu utilses 1 par 1 
c la meilleur solution..
@+
Marsh Posté le 31-12-2002 à 00:22:31
| Zzozo a écrit : Si, y'a une solution ... |
J'aime pas les chèvres... ni le Larzac... 
Le passant.
Marsh Posté le 31-12-2002 à 01:13:07
| aurelboiss a écrit : Ben tu bloques tout les ports et apres t'ouvres les ports que tu utilses 1 par 1 |
Nan le probleme est le meme...
Une appli backdoor peut tres bien utiliser un port normalement utilise pour un truc standard (http, ftp, ssh... etc...).
Ou alors tu precise aussi les adresses ip de destination... mais c'est pas tres faisable en pratique 
---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.
Marsh Posté le 31-12-2002 à 14:15:53
Tu peux aussi changer les ports par defaut genre le HTTP sur le port 8012, le FTP sur le 2123...
Et surtout chrooter tes applications qui le supportent (presque toutes maintenant), et tu devrais etre a peu pres protege, meme en cas d'attaque...
snort c'est bien, mais un peu lourd. Tu peux prendre un truc genre Tripwire aussi (pas le Tripwire for webpages, hein). Ca verifie l'intergite de tes fichiers, bien foutu et pas trop lourd...
Sujets relatifs:
- Alerte iptables sur ip de la classe 10.X.X.X
- Forward de port iptables
- Une regle Iptables ...
- Question important : Convertir une partoche FAT32 ou NTFS en Ext3
- Pb script iptables : forward pop3
- [question outlook]
- Debian question d'un débutant
- [iptables] FTP [resolu]
- Règles avec IPChains ou IPTables
- petit question rappide sur Squid
Marsh Posté le 30-12-2002 à 17:31:24
Bon, je suis en train d'essayer de rendre mes règles un peu plus stricte, mais je me retrouve face à un problème inattendu : comment m'y prendre.
Je travail essentiellement sur le Forward (ma passerelle ne fait que du filtrage, donc très simple).
Et jusqu'a present, j'avais quelque chose comme :
Qui a le mérite d'être très simple et relativement efficace. En cas de backdoor, je suis à poil...
Donc, pour l'éviter, je me suis lancé dans une restriction plus importante de ce qui rentre (donc sur la 2nde règle). Je me suis mit à préciser les ports qui étaient autorisés....
Soit :
Hormis que c'est une prise de tête pas possible, je ne suis toujours pas à l'abris des backdoor.
Donc, ma question : est-ce si choquant de vouloir controler tout ce qui sort, sans trop faire attention à ce qui rentre ??
Soit, quelque chose de la forme :
Je pose la question, car je n'ai rien trouvé du style sur le Net, donc est-ce une énorme bourde ?? ou pas ?
Le passant.
Message édité par le passant le 30-12-2002 à 17:33:26