Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Interdire les Helpers dans conntrack avec Ubuntu svp ?

[supprimé]

Oui je peux répondre à toutes ces questions, merci à toi de les poser surtout.

Je ne sais pas si j'ai configuré le module nf_conntrack pour qu'ils se charge au démarrage, cela ne me dit rien du tout.

J'ai utilisé la commande mdoprob (comme indiquée dans Misc) et j'ai tapé (quand ma machine est déjà démarrée) :

modprobe nf_conntrack nf_conntrack_helper=0

Voilou !

tiramiseb

Bon, on va reprendre les bases parce que j'ai l'impression que tu ne comprends pas vraiment ce que tu fais.

=> /proc/sys, c'est un "point d'accès" vers la configuration des différents modules du noyau chargés à un instant T. Ça permet de changer le paramétrage des modules sans avoir à les décharger/recharger
=> /etc/sysctl.conf, c'est un fichier chargé au démarrage de l'ordinateur, il affecte les valeurs qu'on lui donne dans les différentes entrées de /proc/sys, dans la limite des paramètres présents dans /proc/sys au démarrage
=> nf_conntrack est un module du noyau dont l'objectif est de gérer le suivi de connexions au niveau du routage/filtrage réseau ("connection tracking")
=> /proc/sys/net/netfilter/nf_conntrack_helper est un des paramètres du module nf_conntrack, il n'apparaît donc que quand nf_conntrack est chargé
=> /proc/sys/net/netfilter/nf_conntrack_helper permet d'activer ou désactiver les "connection tracking helpers"
=> si nf_conntrack n'est pas chargé au démarrage, alors /proc/sys/net/netfilter/nf_conntrack_helper n'existe pas au démarrage et donc sysctl ne peut pas lui assigner quelque valeur que ce soit
=> de plus, si on donne un paramètre en argument de la commande modprobe, celui-ci est donné au chargement du module et l'utilisation de /proc/sys n'est pas nécessaire

Par conséquent :
- si le module se charge automatiquement au début du démarrage (ce qui n'est a priori pas le cas pour nf_conntrack, sauf configurations particulières), alors il faut modifier /etc/sysctl.conf ou un fichier dans /etc/sysctl.d/
- si tu charges le module à la main avec « modprobe nf_conntrack » (sans oublier le "sudo" si nécessaire), alors tu peux modifier la valeur de /proc/sys/net/netfilter/nf_conntrack_helper a posteriori comme tu sais le faire
- si tu charges le module à la main avec « modprobe nf_conntrack nf_conntrack_helper=0 », alors la valeur de /proc/sys/net/netfilter/nf_conntrack_helper est déjà 0 car tu l'as donnée au chargement du module
- si tu veux que le module se charge lors du démarrage, il faut mettre les arguments de "modprobe" dans le fichier /etc/modules, tu y mettrais donc « nf_conntrack nf_conntrack_helper=0 »

Cela étant dit, il y a toujours un truc que je ne comprends pas : pourquoi veux-tu désactiver les "connection tracking helpers" ?

[supprimé]

tiramiseb a écritBon, on va reprendre les bases parce que j'ai l'impression que tu ne comprends pas vraiment ce que tu fais.

=> /proc/sys, c'est un "point d'accès" vers la configuration des différents modules du noyau chargés à un instant T. Ça permet de changer le paramétrage des modules sans avoir à les décharger/recharger
=> /etc/sysctl.conf, c'est un fichier chargé au démarrage de l'ordinateur, il affecte les valeurs qu'on lui donne dans les différentes entrées de /proc/sys, dans la limite des paramètres présents dans /proc/sys au démarrage
=> nf_conntrack est un module du noyau dont l'objectif est de gérer le suivi de connexions au niveau du routage/filtrage réseau ("connection tracking")
=> /proc/sys/net/netfilter/nf_conntrack_helper est un des paramètres du module nf_conntrack, il n'apparaît donc que quand nf_conntrack est chargé
=> /proc/sys/net/netfilter/nf_conntrack_helper permet d'activer ou désactiver les "connection tracking helpers"
=> si nf_conntrack n'est pas chargé au démarrage, alors /proc/sys/net/netfilter/nf_conntrack_helper n'existe pas au démarrage et donc sysctl ne peut pas lui assigner quelque valeur que ce soit
=> de plus, si on donne un paramètre en argument de la commande modprobe, celui-ci est donné au chargement du module et l'utilisation de /proc/sys n'est pas nécessaire

Par conséquent :
- si le module se charge automatiquement au début du démarrage (ce qui n'est a priori pas le cas pour nf_conntrack, sauf configurations particulières), alors il faut modifier /etc/sysctl.conf ou un fichier dans /etc/sysctl.d/
- si tu charges le module à la main avec « modprobe nf_conntrack » (sans oublier le "sudo" si nécessaire), alors tu peux modifier la valeur de /proc/sys/net/netfilter/nf_conntrack_helper a posteriori comme tu sais le faire
- si tu charges le module à la main avec « modprobe nf_conntrack nf_conntrack_helper=0 », alors la valeur de /proc/sys/net/netfilter/nf_conntrack_helper est déjà 0 car tu l'as donnée au chargement du module
- si tu veux que le module se charge lors du démarrage, il faut mettre les arguments de "modprobe" dans le fichier /etc/modules, tu y mettrais donc « nf_conntrack nf_conntrack_helper=0 »

Cela étant dit, il y a toujours un truc que je ne comprends pas : pourquoi veux-tu désactiver les "connection tracking helpers" ?

Désolé de reprendre ce message en entier, cela va alourdir la page certainement, mais cela me fera une sorte de "sauvegarde" si jamais tu édites ton message et que le forum cafouille et l'efface complètement, je le sauvegarde car il m'aide et qu'il y a beaucoup de données intéressantes dedans.

Je suis désolé de ne pas te dire depuis le début pourquoi je veux faire cela, cela me regarde bien évidement, et je suis le seul à décider de dévoiler pourquoi ou pas. (Mais beaucoup d'autres membres font comme moi, si c'est personnel, c'est personnel, je ne cherche pas à aller plus en avant si je vois que la personne ne veut rien dire, et si mon aide ne présente rien dans dangereux, je vais aider cette personne à appliquer ses réglages sans savoir pourquoi, cela fait partie de sa liberté de vouloir le faire sans se justifier, aucun soucis là dessus 😉 ).

Je me retrouve juste bête parce que je ne sais pas pourquoi là personne voulait faire cela, mais si elle n'a pas voulu le dire, je comprends aussi que c'est son droit, et je l'accepte ! Et je continuerai de l'aider si j'en suis capable, et ce même sur d'autres problèmes, tout au long de l'année, voilou ! (Mais cela dit je te dis ça maintenant mais je vais te dire plus loin pourquoi je voulais court-circuiter les Helpers Tiramiseb).

Je trouve déjà bien solides tes connaissances du système d'exploitation Ubuntu, j'ai effectivement ajouté la ligne : nf_conntrack nf_conntrack_helper=0 dans /etc/modules et au démarrage de ma machine, le réglage des helpers est enfin sur 0 au lieu de 1 ! Génial pour moi, tes explications m'ont aidé, mais surtout ta patience liée à ton écoute lol, combien de fois je n'ai pas su aider les gens parce que je ne les écoutai pas, je ne le compte plus, donc merci de ne pas avoir reproduit le schéma que j'ai fait avec plein d'autres personnes.

Donc voilà en gros pourquoi je voulais faire cela :

Dans le Misc numéro 64 consacré en partie à Netfilter et Iptables, à conntrack et d'autres choses encore, ils disent que l'activation des Helpers peut présenter des dangers de sécurité (comme l’utilisation d'un Helper avec un logiciel pour IRC par exemple), mais comme j'annule la mise en place des Helpers dès le démarrage d'Ubuntu et que je ne sais pas quels sont les logiciels exacts qui s'en servent, pour moi je comble une faille de sécurité potentielle liée aux Helpers !

C'est tout... Je reste là si tu as d'autres questions, mais le danger d'activation des Helpers est "étalé sur beaucoup de pages du magazine Misc numéro 64 et là, décemment, je ne peux pas copier-coller les intégralités des articles qui en parlent, et ça m’ennuie car tu aurais peut-être encore mieux compris pourquoi je fais cela (ceci dit, tu es sûrement au courant de tout cela vu tes connaissances du système d'exploitation Ubutnu, et tu vois que finalement je ne cours pas de réel danger ? Mais ça il n'y a que toi qui pourra le voir, moi je ne suis que débutant dans tout ceci, et donc peut-être j'ai exagéré avec cette règle de sécurité).

Mais je te remercie beaucoup pour ton aide, ta solution fonctionne très bien maintenant, je change le titre de la discussion et la passe en résolue.

tiramiseb

donc peut-être j'ai exagéré avec cette règle de sécurité

Oui 🙂

Les helpers, ça sert juste à faire fonctionner des protocoles inhabituels à travers un pare-feu sous Linux. Ces protocoles, ce sont des protocoles qui peuvent communiquer sur différents ports : avec eux, ce n'est pas parce qu'un port est ouvert que la communication fonctionne.

Plus concrètement, prenons l'exemple du FTP. Le FTP utilise deux ports : le 21 (pour les commandes) et le 20 (pour les données).
Imaginons que tu aies un pare-feu de réseau sous Linux et que tu y autorises le port 21 (initialisation de la connexion FTP) mais pas explicitement le port 20.

- avec le helper, lorsque la connexion au port 20 se fera (transfert de données), le pare-feu se rendra compte que c'est lié à une connexion en cours sur le port 21 correspondant et il autorisera le transfert.
- sans le helper, la connexion au port 20 sera refusée et tu ne pourras pas transférer de données car le pare-feu n'aura pas compris que ces deux connexions sont liées.

Avec IRC, c'est pour les transfert DCC (direct client-to-client) que ça entre en jeu : pour communiquer dans les "chat-room" tu te connectes au serveur IRC par le port 6667 ; pour les transferts entre clients, tu te connectes directement au client correspondant, à travers un port aléatoire. Si tu actives le helper irc, le pare-feu comprendra que c'est lié et autorisera le transfert.

Mais dans tous les cas, si la connexion d'origine n'est pas autorisée (port FTP 21 par exemple, ou port 6667 IRC), alors cela n'a aucun impact.

Pour ma part, je n'estime pas que c'est une faille de sécurité.
Je n'ai pas le MISC 64 sous les yeux, il est dans un carton au fond de mon garage, alors je ne peux pas donner mon avis par rapport à la façon dont l'article est tourné.

[supprimé]

Merci Tiramiseb. C'est vrai que les articles parlant des Helpers sont étalés dans le numéro 64 donc difficile d'en expliquer ici tous les dangers sans reprendre chaque article. Néanmoins, il disent ceci en gros :

L’étude des helpers et l’attaque par spoofing obligent à une mise à niveau des protections. Aussi, les recommandations de protection pour Netfilter ont été mises à jour dans le document « Secure use of iptables and connection tracking helpers » [SECUSE] qui décrit des méthodes de limitations de l’impact des helpers. Celles-ci se résument à deux grandes lignes : suppression de l’association automatique des helpers à un port (et donc activation manuelle de l’association entre flux et helper) et anti- spoofing strict.

Donc si j'ai bien compris tes explications et tout ce que j'ai lu dans le Misc 64, il vaut mieux faire manuellement l'association entre un flux et un helper, et avoir une politique anti-spoofing stricte. (elle est décrite aussi cette politique anti-spoofing dans misc 64 mais là je n'ai pas eu de difficulté à la mettre en place depuis que le membre "Wholes" ici même m'a expliqué comment utiliser Iptables correctement.) Comme quoi il faudra toujours l'aide des autres pour avancer dans un endroit que l'on ne connaît pas.

tiramiseb

Il me semble que tu as plutôt bien compris.

Cela dit, on est déjà dans une sécurisation assez pointue, avant ça il faut faire les trucs de base. Ne sachant pas où tu en es de la sécurisation de tes systèmes, je ne saurais pas dire s'il est trop "tôt" pour te pencher sur ce genre de problématiques.

[supprimé]

Ok et oui je vais chercher les trucs pointus, pour apprendre à les reproduire, mais effectivement si tu ne sais pas où j'en suis cela risque d'être difficile de voir si j'applique la bonne logique depuis le début et comme le montre mes messages précédents, ce n'est peut-être pas le cas malheureusement :-(

Mais on peut peut-être avancer un peu en aveugle tous les deux, dans le sens où si tu sais déjà que si je n'ai pas fait telle ou telle action avant de mettre en place cette politique des helpers, tu sauras que je suis effectivement hors concours pour ce truc sur les helpers. Je pensais à ce genre de question, toi tu me demanderais ceci par exemple :

As-tu manger une banane et un kiwi aujourd'hui, avant de mettre les noix fraîches au menu ?

(où ici je dis "noix fraîches" à la place de "interdiction à Ubuntu de lancer les Helpers automatiquement")

Ce qui pourrait créer chez toi ce type de question :

As-tu bien paramétrer Iptables sur l'anti-spoffing avant de mettre en place la sécurisation des Helpers stp ?

Enfin voilà, je ne sais pas ce qui pourrait te faire dire que j'ai fait tout ça pour rien, toi seul peut me poser les questions qu'il faut, merci Tiramiseb, si tu as d'autres priorités aucun soucis, j'attendrai d'avancer avec toi quand tu seras dispo, je sais que tu aides bien les gens et tu peux tout de suite faire passer mes demandes dans la fin de classement des priorités des gens sur le forum.

@ plus et bonne aprem aussi.

tiramiseb

je ne sais pas ce qui pourrait te faire dire que j'ai fait tout ça pour rien

Bah en fait, je n'ai jamais poussé la sécurisation jusqu'à ce point-là (sur plusieurs dizaines de réseaux que j'ai sécurisés).
L'essentiel dans la sécurité d'un réseau, c'est de maintenir les machines à jour et de n'autoriser que des flux pertinents.
Ensuite, on peut affiner la sécurité de tout plein de manières, celle que tu étudies là en est une parmi d'autres.
Et l'« acharnement » qu'on mettra à sécuriser quelque chose sera proportionnel à la sensibilité de ce qu'on a à protéger : tu ne vas pas mettre des douves et une herse à un chalet de campagne 🙂

Par ailleurs, tu charges le module de connection tracking pour désactiver l'assignation automatique des helpers... Mais en as-tu seulement besoin, du connection tracking ?

[supprimé]

Pour l'utilisation de IRC et FTP (pour la famille) je pensais que ce serait mieux si je le faisais que de le laisser comme ça, je suis cela dit trop pointilleux parfois, mais je préfère le faire du fait que j'ai appris le problème, que de ne pas le faire et un jour me rendre compte que oui, j'aurais du le faire. Et puis il faut que je comprenne par tout ces biais comment Ubuntu fonctionne, ça aussi c'est important pour moi, et je ne peux apprendre tout ceci qu'avec des membres comme toi, qui sont instruits sur le sujet. Donc oui je pense que c'est utile pour moi. Mais en général je renomme aussi mes discussions pour être pertinent dans les recherches Google que d'autres personnes pourraient être amenées à lancer, je ne fais pas tout ceci que pour ma pomme non plus hein, si ça peut servir à quelqu'un d'autre que le travail soit mâché je trouve que c'est utile aussi de ce côté là, en gros j'aime comprendre un peu les choses, sur la sécurité en ce moment car j'aime bien ce domaine. Je suis tombé sur des discussions de forum qui parlaient de techniques photographiques qui m'ont intéressées aussi récemment, mais je me suis dit en la lisant, que le type qui avait posé toutes ces questions, laissait une trace sur ce forum, de tout ce qu'il avait demandé et éclairci, et pour lui et pour les autres, les suivants. Donc je fais toutes ces démarches (pointues certes ici), pour les rendre plus accessibles à des gens qui le seraient moins mais que cela intéressera. Je comprends que tu me demandes si ça va me servir à moi personnellement (et j'y ai répondu au dessus), mais en allant chercher des gens comme toi, je mets en place des briques "plus claires" sur certains sujets. En fournissant toujours un max d'infos et de liens et d'arguments et de références littéraires vérifiables (malheureusement ici, de façon payantes, car le numéro 64 de Misc est très bien fait en version PDF, et on peut l'avoir dès cette aprem en ligne, mais moyennant une certaine somme), et c'est là que ça m’ennuie de transmettre une référence payante, mais en même temps l'ayant lu et ayant appris ce que j'y ai appris, je pense que les femmes et hommes qui l'ont écrit méritent que l'on paye. Donc bon, le numéro est cher, mais dedans c'est nous qui allons prendre cher si je puis dire ! Voilà, je peux pas expliquer mes démarches ici de meilleures façons, elles sont intéressées oui, mais elles sont là aussi et surtout pour les autres membres.

tiramiseb

Et puis tu as tout à fait le droit d'être simplement curieux, hein.

Je t'ai demandé ce que tu cherchais à faire pour être sûr que tu pars dans la bonne direction, car il n'est pas rare de voir des gens batailler avec quelque chose pour se rendre compte, des jours après, qu'ils n'en avaient pas besoin. Si tu m'avais simplement écrit « j'essaie d'en apprendre un peu plus sur la sécurité sous Linux » ça m'aurait suffi comme réponse 😉

Je me permets de réagir sur la phrase suivante :

ça m’ennuie de transmettre une référence payante, mais [...] je pense que les femmes et hommes qui l'ont écrit méritent que l'on paye

Oui, tout à fait. Il ne faut pas jurer que par les écrits gratuits. Les magazines sérieux comme Linux Pratique, GNU/Linux Mag France ou MISC sont écrit par des professionnels du secteur, des gens souvent à la pointe. On est rémunérés pour les articles qu'on écrit car c'est un réel travail d'écrire un bon article. Sans publication de ce genre, le niveau global des documentations et de l'apprentissage de manière générale serait largement inférieur.
En tout cas, j'écrirais beaucoup moins si ce n'était pas rémunéré, car il faudrait que je trouve un autre moyen de "faire rentrer de l'argent"...

[supprimé]

Merci beaucoup pour ta réponse Tiramiseb.

« Page précédente