[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Securite sur un firewall

Bonsoir,

On Fri, 23 Aug 2002 10:03:22 +0200
Samuel Colin <Samuel.Colin@inrets.fr> wrote:


> Tiens, c'est marrant, c'est ce que je suis en train de faire. 
> Juste par curiosité, tu parles de "vieux pentium" et d'usb. C'est quoi ce que tu entends par "vieux pentium" ?

Un P130, 4O Mo de ram, 2,1 Go de hd, une Matrox millenium 1, un modem USRobotics 33.6 et une carte PCI/USB. Rien de tres puissant, mais ca fonctionne bien j'ai juste la carte USB qui deconne de temps en temps mais je ne me plein pas.
J'ai utilise le modem pstn pour mettre a jour la patate en woody afin d'avoir le support usb sans devoir patcher le noyau. Depuis j'utilise un Speedtouch usb et je suis satisfait de mes 100 K/s et plus de temps en temps.
  

> > - Gnutella est le seul seveur present sur mon reseau et pas en permanence.
> > 
> Ben, si le port qu'il utilise est ouvert, ça devrait rouler.

Tres bonne idees, il me faudait donc tout fermer sauf pour les mails, news, ftp, http, gnutella et apt-get. Quel port utilise-t-on pour le streaming audio ?
Si je ne me trompe pas, il est impossible de se connecter avec un pour x si il n'existe pas un serveur qui ecoute se port. Donc theoriquement, je ne risque rien de ce cote la !

Je pourrais aussi eliminer les users telque mail, .....
 
> 
> 
> > Ce que je voudrais :
> > - Ameliorer la securite passive, je ne veux pas qu'un p'tit c** entre dans mon systeme apres avoir lu un simple article sur la securite.
> 
> Donc le système de la white list : interdire tous les ports et ouvrir au fur et à mesure des besoins. C'est déjà très suffisant contre les scripts kiddies.

On va faire en sorte que cela fonctionne.

> 
> > - Mettre en place un systeme anti-intrusion pour detecter les scans des ports.
> 
> Le Firewall HOWTO est très bien écrit. On y lit que beaucoup de ports scanners envoient des paquets avec tous les flags/ou aucun flag de mis, ce qui permet une détection simple par iptables.

Pour l'instant, j'utilise un fichier firewall que j'ai trouve sur www.256bit.org. Je ne m'y connais pas assez bien pour dire ce qu'il vaut exactement. Tu definis tes 2 ou 3 interfaces, les ports a utiliser, quelques autres parametres et il fait tout le reste seul.

> 
> > - Mettre en place un systeme de reporting pour eviter de lire des tas de lignes de logs.
> > 
> Toujours les règles iptables dans ton rc.firewall à adapter en fonction de tes besoins. Si il est bien configuré il ne devrait sauvegarder que les logs douteux.
> 
Pour l'instant il doit logger beaucoups de choses. J'ai enormement ce couple de lignes :
pppd[1245]: rcvd [LCP .......]
pppd[1245]: sent [LCP .......]
les ..... remplacent diverses donnees comme des nombres hex ou des mots comme sync. Le plus etonnant est que l'option de log etait desactivee. 

> Lectures recommandées : IP-Masquerading HOWTO, Firewall HOWTO, IPChains HOWTO (sur lequel iptables est basé, mais certains principes généraux seront toujours valables).
> 
Je vais re garder ces docs

> > Le plus:
> > - Un bon systeme de nettoyage des logs.
> >
> Là il faudrait préciser : un nettoyage régulier qui conserve les logs suspicieux, etc?

Je veux juste eviter que ma pertition /var/log soit full donc eliminer les vieux logs de plus d'un mois par exemple

Merci pour cette reponse.

Thierry
Reply to: