Petite conf simple sur ipfw - Sécurité - Windows & Software
Marsh Posté le 10-09-2010 à 19:02:20
Tu peux pas filtrer via le firewall windows en modifiant l'étendue des pc qui peuvent avoir accès a ton appli tout simplement ?
Marsh Posté le 10-09-2010 à 19:12:50
C'est une bonne remarque mais si je passe par le firewall de Windows, je vais devoir déléguer sa gestion aux admins systèmes et ils n'aiment pas trop avoir à gérer des exceptions sur leurs infras et je dois t'avouer que le peu que j'ai vu de la conf du firewall de Windows sous 2003 se résumait à bloquer tous les flux entrant (sauf ports spécifiés) après son activation et à devoir enregistrer les applis qui ont le droit de sortir.
Après, j'ai peut-être fait l'impasse sur des possibilités de configuration plus abouties avec cet outil et si tu as des solutions à me proposer je suis quand même preneur. Je préfèrerais me passer des admins systèmes mais si c'est faisable par ce biais, ça serait effectivement plus simple. Pourrais-tu un m'expliquer la marche à suivre ?
Merci d'avance à toi.
Marsh Posté le 10-09-2010 à 20:50:34
Jte fais un screenshot sur un serveur lundi, voir si y'a des options de config qui pourraient convenir a ton besoin.
Marsh Posté le 10-09-2010 à 21:35:27
ccp6128 a écrit : Jte fais un screenshot sur un serveur lundi, voir si y'a des options de config qui pourraient convenir a ton besoin. |
Merci à toi, c'est sympa. Passe un bon week-end !
Marsh Posté le 13-09-2010 à 11:57:21
Re,
Alors, excuse mes screenshots en anglais vu que j'ai pas de serveur en 2003 francais sous la main.
Si le firewall windows est activé sur ton serveur, voici ce que tu peux faire :
Dans les exceptions qui permettent a ton programme de fonctionner, tu cliques sur "Propriétés" puis "Changer l'étendue" et dans l'onglet Personnalisé tu mets quelque chose du genre 127.0.0.1/255.0.0.0
Ton soft ne pourra communiquer qu'avec localhost du coup.
Marsh Posté le 16-09-2010 à 11:30:42
Merci de ta réponse. J'ai trouvé la conf sous wipfw mais si l'équipe système rechigne à ajouter un nouveau soft nous employerons cette méthode.
Marsh Posté le 10-09-2010 à 18:49:33
Salut à tous,
J'ai besoin d'un petit coup de main pour construire un fichier de conf pour ipfw ou plutôt pour son portage sous Windows wipfw (http://wipfw.sourceforge.net/).
Le contexte : j'ai une application qui est utilisée pour le transfert d'informations sensibles. Celle-ci écoute sur le port 1414 en tcp sans possibilité d'ajouter une authentification au flux qui sont relayés. J'aurais donc souhaité limiter l'écoute de cette application sur le localhost mais ceci n'a malheureusement pas été prévu par l'éditeur. Une fois lancée, l'application écoute donc sur toute les interfaces sur le port 1414 ce qui signifie que toutes les machines de son réseau peuvent se connecter et envoyer des flux.
Comme contournement de cette limitation, j'ai cherché un firewall qui soit assez léger et peu intrusif pour ne pas allourdir la solution ni générer d'effets de bord pour les autres applications fonctionnant sur le serveur. J'ai donc opté pour wipfw qui semble répondre parfaitement à ces critères. Seul problème : sa syntaxe est plutôt complexe pour un néophyte et je n'ai pas assez de pratique dans le domaine pour être sûr de ce que je fais.
Plutôt que digérer des dizaines de pages de doc pour ce micro-problème, je me suis dit qu'il y aurait bien quelques gourous de BSD sur les forums pour me torcher le problème en 10 secondes montre en main! ;-)
Récapitulons : les processus tournant sur mon serveurs doivent être capable de se connecter sur 127.0.0.1:1414 mais les autres machines du réseau doivent être bloquées lorsqu'elles essayent de se connecter sur ce port.
Le fichier de conf par défaut de wipfw est le suivant :
# First flush the firewall rules
-f flush
# Localhost rules
add 100 allow all from any to any via lo*
# Prevent any traffic to 127.0.0.1, common in localhost spoofing
add 110 deny log all from any to 127.0.0.0/8 in
add 110 deny log all from 127.0.0.0/8 to any in
#Testing rules, to find ports used by services if we aren't sure. These rules allow ALL traffic to pass through the firewall, disabling any subsequent rules
#add 140 allow log logamount 500 tcp from any to any
#add 150 allow log logamount 500 udp from any to any
add check-state
add pass all from me to any out keep-state
add count log ip from any to any
Merci d'avance à tous pour vos réponses !
Remarque : les habitués auront reconnus le port, 1414 utilisé par Websphere MQ de IBM, anciennement MQ-Series. Il ne s'agit pourtant pas de MQ mais du SupportPac MQ-IPT qui ne sait malheureusement pas limiter l'écoute sur localhost.