Ce qu'il y a de merveilleux sur l'internet, c'est que les malveillants déploient des trésors d'énergie et parfois même d'ingéniosité (c'est plus rare) pour pourrir la vie du monde, mais dans le même temps, d'autres s'ingénient à fournir des outils de parade de plus en plus sophistiqués.

Dans la lutte du Bien contre le Mal, la guerre n'est jamais finie malgré les victoires remportées de part et d'autre.

Nous disposons d'une machine directement accessible depuis l'internet, nous devons pouvoir y accéder à distance en utilisant ssh. Jusqu'ici pas de problème, sauf que le Mal est présent partout sur l'internet et n'arrête pas d'essayer de trouver le moyen de prendre possession de cette pauvre machine par cette porte ssh. Les « botnets » se louent, se vendent, bref, il y a des sous à se faire…

Le Bien se doit donc de protéger cette machine du mieux qu'il pourra. Nous allons particulièrement étudier le cas de ssh, étant bien entendu que chaque porte créée (http, smtp, imap, dns et que sais-je encore) devra elle aussi être protégée. Aussi nous allons nous pencher sur des outils comme Fail2Ban et pourquoi pas Shorewall si le besoin s'en fait sentir.

Tous ces outils s'appuient bien entendu sur Netfilter/iptables.

Du côté du Bien, Netfilter s'améliore de jour en jour et propose des armes défensives fort intéressantes, nous allons ici en étudier une assez amusante, en plus d'être efficace. Il s'agit d'une collection de nouvelles cibles pour les règles iptables, ainsi que d'un nouveau module. Tout ceci sera facilement ajouté à notre système préféré grâce au mécanisme dkms, car pour l'instant, ces nouveautés ne sont pas officiellement intégrées au kernel.

Il s'agit des « xtable-addons » que l'on pourra, sur Debian (Wheezy (actuelle stable) et Jessie (actuelle testing)), installer avec le paquet « xtables-addons-dkms ».

Ce paquet nous fournira, entre autres choses :

• la cible TARPIT ;
• le module geoip.

Nous allons voir quelques façons de jouer avec cette armurerie en construisant un exemple solution défensive pour les attaques sur ssh. Le tout pourra servir à protéger aussi les autres portes, mais ce n'est pas l'objet de ce chapitre.

Nous disposons de deux machines virtuelles installées sur un hôte muni d'un « bridge » br0. Les deux machines virtuelles seront connectées sur ce pont. Par ailleurs, notre habituel Wireshark sera confortablement installé sur l'hôte et pourra voir tout ce qui passe sur le pont br0.

• Dans le rôle du Bon, une Debian Jessie (testing à l'heure où ces lignes sont écrites) 192.168.10.40 ;
• dans le rôle de la Brute (qui sera aussi le Truand), une Debian Wheezy (stable à l'heure etc.) 192.168.10.34

La différence de versions ne change pas grand chose à l'affaire, si ce n'est la version plus récente des outils mis en œuvre pour la défense.

• les xtables-addons pour ajouter de nouvelles cibles et de nouveaux modules à Netfilter ;
• fail2ban pour être réactif ;
• shorewall pour disposer d'une base solide (bien que complexe) qui permettra d’étendre les protections à d'autres portes et à d'autres types d'attaques.