Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Mon iptables, suis-je en securite ?

mytux

Bonjour,
je viens de recuperer uns script iptables sur la toile, il est assez similaire a celui du tuto Ubuntu. J'ai quelque notion en reseaux, mais je ne suis pas expert en la matiere, donc qu'en pensez vous, esse suffisant pour une utilisation sur poste de travail ?

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]

-A INPUT -m state --state INVALID -j DROP
-A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
-A INPUT -p tcp --tcp-flags ALL ALL -j DROP
-A INPUT -p tcp --tcp-flags ALL NONE -j DROP
-A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP

-A INPUT -m pkttype --pkt-type broadcast -j DROP

-A INPUT -f -j LOG --log-prefix "[#1 iptables fragments : ]"
-A INPUT -f -j DROP

-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT

-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -p tcp -m tcp --dport 111 -m state --state NEW -j REJECT --reject-with tcp-reset

COMMIT

Hoper

Réponse sans rien lire des régles que tu as posté : OUI.

Sachant qu'aucune règle iptable n'est nécéssaire pour un poste de travail "normal" avec une utilisation "normale". Par contre, je te conseil très sincèrement de ne pas mettre en place de configuration spécifique. Tu risque de t'arracher les cheveux un jour, et de perdre beaucoup, beaucoup de temps, avant de comprendre qu'un dysfonctionnement X ou Y viendra en fait d'une de tes règles. Si tu fais ça pour améliorer tes connaissances en réseau et pour mieux comprendre comment fonctionne un Firewall, c'est très bien. Si tu espère sincèrement augmenter la sécurité de ton poste de travail, ça ne servira strictement à rien. (Désactiver javascript dans ton navigateur par exemple te protégera infiniment plus).

mytux

Merci pour l'info,
moi qui m'embête depuis matusalem avec UFW, ( Uncompliated Firewall lol 😃 )

Hoper

Je te conseil non seulement d’arrêter de te prendre la tete, mais de surtout bien désinstaller tout ce que tu a pu installer. Encore récemment j'ai passer un moment chez un linuxien, pour essayer de comprendre pourquoi des trucs simples ne fonctionnaient pas chez lui (cnx ssh entre deux machines etc) avant de voir qu'il avait installé ce genre de trucs (et bien d'autres).

Il y a des tas de choses qu'on peut faire (habitudes à prendre etc) pour etre un peu plus en sécurité. Mais installer un FW (sous linux en plus) n'en fait vraiment pas parti.

Si tu habite pas trop loin du 78, je ferai justement une présentation sur le sujet :
http://hoper.dnsalias.net/tdc/index.php?post/2013/08/13/Presentation-securite

(Les slides devraient arriver très bientôt mais j'ai pas encore tout à fait terminé... Surtout, ce seront comme d'habitude plus des tetes de chapitre, une espèce d'aide mémoire pour me souvenir de ce que j'ai l'intention de raconter plus qu'un truc vraiment utilisable directement.

mytux

J'ai un system minimal et ma racine ne fais que 2.06GiB; comme je suis assez sensible a la securite reseaux je ne garde que le strict necessaire sur mon PC. J' ai supprimer tous les services reseaux inutiles, et en plus j'ai une wheezy, avec seulement les depots main. Donc, niveau stabilite et securite des paquets, je crois que suis au point. Seul, bemol, mon password, impossible de retenir, un mot de passe genere par pwgen ou mkpasswd, et c' est vraiment pas tres ergonimique a frapper.

Niveau firewall, c'est quand meme l'outil de reference pour la securite, meme si les risques sur station de travail sont moins eleves que sur server, c'est toujours un plus.

J'habite dans les hauts de seine, ca me fait un peu loin mais j essaierai de passer quand meme, ca ma l'aire interessant.

tiramiseb

Niveau firewall, c'est quand meme l'outil de reference pour la securite, meme si les risques sur station de travail sont moins eleves que sur server, c'est toujours un plus.

Hu ?
À partir du moment où tu n'as aucun service en écoute, en quoi un firewall serait un plus ?
Il n'y a rien à filtrer, alors pourquoi vouloir filtrer ?

Hoper

Niveau firewall, c'est quand meme l'outil de reference pour la securite

Non, c'était. Cela fait bien longtemps que les attaques ne se font plus sur les couches basses (OS, pile TCP...) mais ont remontés d'au moins un voir deux niveau. Un firewall classique (réseau) ne sert plus à rien depuis... pfff... Au moins l'invention des reverse shell. A partir du moment ou tu autorise ton ordinateur à te connecter à l’extérieur (surfer sur le web) alors tu autorise potentiellement une connexion entrante (via donc une cnx en reverse) et aucun firewall ne pourra rien y changer.

Quoi qu'il en soit tu sera le bienvenu. N’hésite pas à envoyer un petit message quand tu aura une certitude (ou pour demander des infos sur le lieu ou autre).

Pour ta problématique de mot de passe, cela se résoud très facilement. Et oui, il faut absolument que tu sois capable de retenir le mot de passe sans aucun soucis, sinon c'est un mauvais mot de passe. Voici un exemple de très bon mot de passe : "1MDPDoitEtreSimpleARetenir!"

En résumé, il faut qu'il soit long (>14 caractères), pourquoi pas bien plus quand cela se justifie, il doit se retenir sans difficulté. Le fait de mixer majuscule/minuscule, de mettre des chiffres ou des caractères spéciaux est un plus, mais ce n'est pas le plus important (il vaut beaucoup mieux qu'il ai par exemple 2 caracteres en plus et pas de chiffre).
Une phrase toute simple : "c'est un bon mot de passe ?" peut très bien faire l'affaire.

mytux

supprimer tous les services reseaux inutiles

Cela ne veut pas dire qu' il n y en a aucun.

tiramiseb

Cela ne veut pas dire qu' il n y en a aucun.

netstat -tlnpu

ça donne quoi ?

Hoper

Juste pour signaler que j'ai édité mon message précédent.

mytux

Oep, si j' ai bien compris les attaques sont plus proches de la couche applications qu'autre fois, et c'est pour cela qu'il faut desactiver javascript. Dernierement j'ai suivis, un fil sur debian-facile.org. Justement il parlait, de la configuration de sudo, et de la force du mot de passe et des failles du naviguateur, dont les plugins pdf et flash, et donc de la prise de controle du compte root etc...

%sudo	ALL=(ALL:ALL) ALL

Visiblement il serait plus judicieux de mettre un login, complique, en plus du mdp, pour sudo. Ou meme de ne plus utiliser sudo du tout, mais seulement su.

netstat :

Connexions Internet actives (seulement serveurs)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat        PID/Program name
udp        0      0 0.0.0.0:34287           0.0.0.0:*                           2436/dhclient   
udp        0      0 0.0.0.0:68              0.0.0.0:*                           2436/dhclient   
udp6       0      0 :::53717                :::*                                2436/dhclient

Bien sur j'ai un server ssh mais il ne tourne pas en ce moment.

mon iptables ponctuel pour ssh :

-A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 4 --name SSH --rsource -j LOG --log-prefix "[#1 : SSH brute-force ] : "
-A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 4 --name SSH --rsource -j DROP
-A INPUT -p tcp --dport 22 -m recent --set --name SSH --rsource
-A INPUT -p tcp --dport 22 -j ACCEPT

Ps: Quand j' etais jeune mon passwd c'etait : 'motdepasse'

Hoper

Visiblement il serait plus judicieux de mettre un login, complique, en plus du mdp, pour sudo. Ou meme de ne plus utiliser sudo du tout, mais seulement su.

Heu non, au contraire... sudo est beaucoup plus sécurisé que su. Mais on s'éloigne vraiment du sujet la.. Une personne qui se connecte sur ton ordinateur via une "faille" applicative, il a besoin d'aucun mot de passe et utilise les permissions du logiciel en question.

mytux

Oai ok, mai si il peut avoir acces a mon ordinateur et si j ai un mot de passe bidon, facilement crackable, ce ne serait pas une sconde porte d'ouverte ?

tiramiseb

et c'est pour cela qu'il faut desactiver javascript.

Bof... je ne vois pas l'intérêt.

Ton "netstat" montre que tout ce que tu as en écoute, c'est ton client DHCP, qui ne peut bien sûr pas être bloqué.
Donc tu n'as pas besoin de pare-feu 🙂

Pour ton filtrage de SSH, je n'en vois pas trop l'intérêt. En fait, je n'ai jamais vu l'intérêt de filtrer quelque chose de cette manière, "contre" les "brute force"...
Pour pouvoir pénétrer sur ton système par SSH, on doit découvrir ton username et ton mot de passe : si ton mot de passe est suffisamment sécurisé, il n'y a pas de risque...

tiramiseb

si j ai un mot de passe bidon, facilement crackable

Si tu as un mot de passe bidon, facilement crackable, alors tu peux oublier tout le reste : le mot de passe est la base de la sécurité.