Différences

Ci-dessous, les différences entre deux révisions de la page.

--- 999-archives:132netfilter-plus:start [le 30/05/2025 à 13:58] – supprimée - modification externe (Date inconnue) 127.0.0.1
+++ 999-archives:132netfilter-plus:start [le 30/05/2025 à 14:00] (Version actuelle) – prof
@@ Ligne 1: / Ligne 1: @@
+====== Plus avec netfilter ======
+<note important>Cette page ancienne traite de fail2ban avec des règles iptables</note>
+Ce qu'il y a de merveilleux sur l'internet, c'est que les malveillants déploient des trésors d'énergie et parfois même d'ingéniosité (c'est plus rare) pour pourrir la vie du monde, mais dans le même temps, d'autres s'ingénient à fournir des outils de parade de plus en plus sophistiqués.
+Dans la lutte du Bien contre le Mal, la guerre n'est jamais finie malgré les victoires remportées de part et d'autre.
+===== Position du problème =====
+Nous disposons d'une machine directement accessible depuis l'internet, nous devons pouvoir y accéder à distance en utilisant ''ssh''. Jusqu'ici pas de problème, sauf que le Mal est présent partout sur l'internet et n'arrête pas d'essayer de trouver le moyen de prendre possession de cette pauvre machine par cette porte ''ssh''. Les « botnets » se louent, se vendent, bref, il y a des sous à se faire...
+Le Bien se doit donc de protéger cette machine du mieux qu'il pourra. Nous allons particulièrement étudier le cas de ''ssh'', étant bien entendu que chaque porte créée (http, smtp, imap, dns et que sais-je encore) devra elle aussi être protégée. Aussi nous allons nous pencher sur des outils comme [[http://www.fail2ban.org/|Fail2Ban]] et pourquoi pas [[http://www.shorewall.net/|Shorewall]] si le besoin s'en fait sentir.
+Tous ces outils s'appuient bien entendu sur Netfilter/iptables.
+Du côté du Bien, Netfilter s'améliore de jour en jour et propose des armes défensives fort intéressantes, nous allons ici en étudier une assez amusante, en plus d'être efficace. Il s'agit d'une collection de nouvelles cibles pour les règles ''iptables'', ainsi que d'un nouveau module. Tout ceci sera facilement ajouté à notre système préféré grâce au mécanisme ''dkms'', car pour l'instant, ces nouveautés ne sont pas officiellement intégrées au kernel.
+Il s'agit des [[http://xtables-addons.sourceforge.net/|« xtable-addons »]] que l'on pourra, sur Debian (Wheezy (actuelle stable) et Jessie (actuelle testing)), installer avec le paquet « xtables-addons-dkms ».
+Ce paquet nous fournira, entre autres choses :
+  * la cible ''TARPIT'' ;
+  * le module ''geoip''.
+Nous allons voir quelques façons de jouer avec cette armurerie en construisant un exemple solution défensive pour les attaques sur ''ssh''. Le tout pourra servir à protéger aussi les autres portes, mais ce n'est pas l'objet de ce chapitre.
+===== Le matériel de test =====
+Nous disposons de deux machines virtuelles installées sur un hôte muni d'un « bridge » ''br0''. Les deux machines virtuelles seront connectées sur ce pont. Par ailleurs, notre habituel ''Wireshark'' sera confortablement installé sur l'hôte et pourra voir tout ce qui passe sur le pont ''br0''.
+  * Dans le rôle du Bon, une Debian Jessie (testing à l'heure où ces lignes sont écrites) 192.168.10.40 ;
+  * dans le rôle de la Brute (qui sera aussi le Truand), une Debian Wheezy (stable à l'heure etc.) 192.168.10.34
+La différence de versions ne change pas grand chose à l'affaire, si ce n'est la version plus récente des outils mis en œuvre pour la défense.
+===== Les outils utilisés =====
+  * les ''xtables-addons'' pour ajouter de nouvelles cibles et de nouveaux modules à Netfilter ;
+  * ''fail2ban'' pour être réactif ;
+  * ''shorewall'' pour disposer d'une base solide (bien que complexe) qui permettra d’étendre les protections à d'autres portes et à d'autres types d'attaques.