Idée de premières règles

Discussion in 'LnS French Forum' started by r_e_endymion, Oct 18, 2006.

Thread Status:
Not open for further replies.
  1. r_e_endymion

    r_e_endymion Registered Member

    Joined:
    Sep 26, 2006
    Posts:
    35
    Location:
    France
    Bonjour,

    je voulais vous soumettre une partie de mes règles actuelles de filtrage internet, en fait les 8 premières règles, et avoir vos avis dessus.
    1: Bloquer toutes les protocoles ETH entrants/sortants qui ne sont ni IPv4, ni ARP
    2: Bloquer tous les paquets entrants dont je ne suis pas le destinataire MAC
    3: Bloquer tous les paquets sortants dont je ne suis pas la source MAC
    4: AntiMAC Spoofing (Bloquer les paquets entrants dont la source est ma MAC)
    5: Bloquer tous les protocoles IP entrants/sortants qui ne sont ni TCP, ni UDP, ni ICMP
    6: Bloquer tous les paquets entrants dont je ne suis pas le destinataire IP
    7: Bloquer tous les paquets sortants dont je ne suis pas la source IP
    8: AntiIP Spoofing (Bloquer les paquets entrants dont la source est mon IP)

    Ces règles, sont non tracées, et me permettent de dégager pas mal de paquets non désirés sans saturer les traces. Ensuite, elles permettent de créer des règles plus simples par la suite, car dans celles qui suivent il n'est plus nécessaire de préciser que le PC est source/destination IP ou ETH.

    Frederic pourra peut-être nous dire si ça permet de balayer les règles plus rapidement ou non, selon son implémentation, mais je pense que faire un test une fois, est plus rapide que le faire plusieurs fois dans plusieurs règles.

    Maintenant, je ne suis pas certains que ces règles ne bloquent pas certains paquets 'désirés', aussi j'aimerais avoir votre avis sur ces règles.

    N'hésitez surtout pas à me donner vos avis avisés et éclairés.

    Au plaisir de lire vos nombreuses réponses.
     
  2. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut r_e_endymion :)


    Ouais, mais tu demande des "avis avisés" et éclairés...
    Je vais t'en donner mais je crois qu'ils ne sont ni l'un ni l'autre. ;)

    Et l'IPV6 c'est pour ta p'tite soeur? Pourquoi bloquer ça?
    Les paquets ARP ne peuvent pas provenir d'internet mais du réseau local seulement si je ne m'abuse...

    Les Adresses MAC telles que l'adresse MAC de ta carte réseau ne circulent pas sur internet mais en réseau local seulement...

    L'adresse MAC de ta carte réseau ne va pas plus loin que vers le routeur et n'est pas envoyée sur le net...

    L'Usurpation de l'adresse MAC de ton routeur ou de ta carte réseau ne donnerait rien à un attaquant car ces adresses MAC ne circulent qu'en local... il faudrait d'abord avoir un réseau local et un poste de travail qui forge des paquets avec l'adresse MAC de ta station de travail et l'adresse IP Local de celle-ci... Depuis internet je ne pense pas que cela soit faisable...

    OK. Peuvent aussi être bloqués par la règle de clôture de ton jeu de règles:
    Bloquer tout le reste en entrée et en sortie...

    Donne pas grand chose: en TCP il suffit d'utiliser la fonction Stateful qui vérifie si les paquets reçus font partie de la séquence de paquets d'une connexion existante. En Udp il n'y a pas de garantie qu'une trame a été reçue par le destinataire et une inspection "stateful" est impossible aussi loin que je sache. Pour l'Icmp il suffit de bloquer les signaux qui ne sont pas en réponse à une demande explicite de ton système avec l'Icmp Type 8 code 0, soit tout ce qui n'est pas: Type 0 code 0 ou Type 11 code 0. Remarque qu'en réseau local il faut parfois autoriser aussi la fragmentation donc permettre le Icmp code 4 type 3...
    (Pour certaines connexions internet aussi je crois... À moins de bidouiller le MTU ? Bloodscourge avait résolu un problème de ce genre de cette façon alors que je n'y voyait "que du feu"... à vérifier donc...)


    pas certain que cela soit utile...

    Oui: pour bloquer le "Land Attack": des pquets TCP avec le flag syn dont l'adresse source est la même que l'adresse de destination ET égale à ton adresse IP. Ne pas confondre avec le bouclage en local sur 127.0.0.1...
    Ces derniers sont normaux et LNS ne t'oblige pas à t'en préoccuper:
    options | options avancées | autodétection de l'interface réseau...


    Pour des raisons de débogage ne serait-il pas mieux d'avoir des traces de l'application de ces règles pour voir ce que ça fait ou pas ?

    En tout cas bravo car tu fouille à fond dans ces choses et tu sera bientôt (si ce n'est déjà fait) un PRO de Look'n'Stop !

    :)
     
  3. r_e_endymion

    r_e_endymion Registered Member

    Joined:
    Sep 26, 2006
    Posts:
    35
    Location:
    France
    Salut climenole,

    je suis toujours heureux de lire ton avis, tant à mes questions qu'à celles des autres sur ce forum, et sur ton super site.

    comme tu l'as peut-être deviné, j'utilise LNS dans un cadre réseau d'entreprise, ou je peux te dire qu'il passe non seulement beaucoup de cochonneries, mais ou les attaques sont quotidiennes, et ou le corporate cherche à tout espionner. C'est pour ça que je cherche à recevoir et transmettre que le strict minimum et tant pis si pour les administrateurs de mon réseau qui laissent passer les attaques ou en sont même à l'origine, je suis 'invisible'.

    pour ce qui est de l'IPv6, même si je doute que ma petite-soeur l'utilise https://www.wilderssecurity.com/images/icons/icon12.gif , on ne l'utilise pas non plus sur notre réseau, donc je le bloque.

    Je sais que certaines de ces règles sont redondantes avec la règle finale qui bloque tout, mais plus tôt les trames non désirées sont bloquées et plus rapidement LNS passe à la trame suivante. Question d'optimisation de mon point de vue, mais peut-être est-ce illusoire... Frederic pourra peut-être nous donner son avis la-dessus.

    Sinon, si je ne trace pas ces règles, c'est à cause de la quantité incroyable de paquets éliminés par ces règles : des milliers de requêtes pas heure... donc je ne garde que l'essentiel pour analyse ultérieure, détecter les attaques, etc...

    enfin voilà.
     
  4. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Oui, tant que Look 'n' Stop ne gère pas IPV6, c'est préférable de bloquer.

    Frédéric
     
  5. r_e_endymion

    r_e_endymion Registered Member

    Joined:
    Sep 26, 2006
    Posts:
    35
    Location:
    France
    merci de ta réponse Frédéric, ça me conforte dans l'idée de conserver ces règles et de notamment filtrer le plus tôt possible tous les protocoles que je ne désire pas.
     
  6. r_e_endymion

    r_e_endymion Registered Member

    Joined:
    Sep 26, 2006
    Posts:
    35
    Location:
    France
    A la demande de certains utilisateurs, voici un fichier contenant les toutes premières règles que j'utilise dans LNS.
    Il faudra les éditer et les personnaliser avec vos adresses IP et adresses MAC.
    les champs à modifier ont les valeurs :
    MAC en hexa 80.80.80.80.80.80
    MAC en decimal 128.128.128.128.128.128
    IP en hexa 80.80.80.80
    IP en decimal 128.128.128.128

    Certaines de ces règles nécessitent la présence du plugin d'édition des règles RAW. Donc installez le avant d'importer mon fichier.
    Je rappelle que j'utilise ces règles dans un réseau d'entreprise, donc ces règles sont à étudier et adapter en fonction des besoins de chaque utilisateur. Vous en faites ce que vous voulez, mais ce n'est pas la peine de venir me dire que ça bloque votre connection internet, etc... Ces règles fonctionnent parfaitement dans mon environnement de travail, et je ne ferais pas de support dessus, en dehors d'apporter quelques éclaircissements si l'on m'en demande.

    Sinon, je ne saurais trop vous conseiller d'aller jeter un coup d'oeil aux articles Look'N'Stop de notre cher ami Climenole, qui sont très riches en informations. Et à la fin du dernier article, il met son propre jeu de règles en téléchargement.
    http://climenole.wordpress.com
    Voilà, amusez-vous bien à créer vos propres règles!
     

    Attached Files:

    Last edited: Oct 25, 2006
  7. zozot

    zozot Registered Member

    Joined:
    Apr 26, 2006
    Posts:
    50
    Location:
    france
    salut,

    je vais voir ça

    merci r_e_endymion
     
Thread Status:
Not open for further replies.