Forum général.général Shorewall et des règles de sortie du firewall les plus restrictives possibles

Posté par  .
Étiquettes : aucune
0
16
déc.
2004
Hello,
Soit un serveur http+imap+smtp+ssh connecté à internet avec Shorewall comme firewall. En général, la règle de sortie de /etc/shorewall/policy par défaut est la suivante:

fw net ACCEPT

C'est pratique pour une machine de travail, mais laisse fonctionner les chevaux de Troie en toute quiétude.
Je trouve donc de n'autoriser en sortie que les protocoles dont on a besoin.

Donc j'aimerais avoir :

fw net DROP info

et dans /etc/shorewall/rules toutes les règles de sorties autorisées (HTML[S], ftp, DNS, WHOIS, smtp..., un ping raisonnable)

http://linux-bsd-central.com/index.php/content/view/21/(...) donne un exemple, mais je ne le trouve pas exhaustif et propre à une machine faisant office de serveur.

Avez vous quelques exemples dont je pourrais m'inspirer. J'aimerais éviter de transformer le serveur en autiste refusant tout nouveau paramétrage via SSH?

Merci

  • # Je ne comprends pas ...

    Posté par  . Évalué à 3.

    Tu sembles connaître le principe de shorewall.
    Tu as une documentation légère mais qui est une bonne base.
    Tu sais ce que tu veux faire de ta machine (et pas nous).

    On peut te donner autant d'exemples que tu le désires, mais je ne suis pas certain que ca t'avance beaucoup.

    J'ai raté un truc ?

    Tu fermes tranquillement les portes, puis tu ouvres petit à petit en fonction des besoins, ca ne prends pas vraiment beaucoup de temps.

    Les exemples situés sur http://www1.shorewall.net/pub/shorewall/Samples/(...) sont de bonnes bases (en particulier pour la partie ICMP)

    En fait le risque majeur pour ton serveur, c'est avant tout l'exploitation d'une faille sur tes HTTP, IMAP, SMTP et autres SSH pas filtrés plutôt que l'installation d'un cheval de troie depuis un compte local.

    Pour quelqu'un qui ne voyait pas quoi dire, c'est déjà pas mal :)

    M

    • [^] # Re: Je ne comprends pas ...

      Posté par  . Évalué à 2.

      En fait le risque majeur pour ton serveur, c'est avant tout l'exploitation d'une faille sur tes HTTP, IMAP, SMTP et autres SSH pas filtrés plutôt que l'installation d'un cheval de troie depuis un compte local.

      Tout dépend de ce que veut faire l'attaquant:
      S'il veut se servir de ma machine comme zombie, il va essayer d'installer un cheval de troie depuis une faille. C'est là où des règles de sortie peuvent réduire son action et permettre de savoir si on s'est fait hacké.
      S'il veut faire un défigurement, le pare-feu ne servira pas beaucoup.
      S'il veut faire un DoS, le firewall appliquera des règles d'entrée.

      Le but de mon message était de trouver un exemple de config orienté serveur, afin d'éviter de me retrouver "enfermé dehors" pour avoir oublier d'ouvrir certaines sorties indispensables (DNS,ping,SSH).

      L'exemple one-interface est plutôt orienté "station de travail", où tout peut sortir et rien n'entre.

      --
      Un serveur sûr est un machine éteinte enfermée dans un coffre, et encore...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.