Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
718 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Detection/analyse d'intrusions IPTables/IPFilter

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Detection/analyse d'intrusions IPTables/IPFilter

n°713687
metabaron1
Posté le 01-08-2005 à 12:41:36  profilanswer
 

Bonjour
 
J'utilise IPTables sur un routeur derriere un modem, et IPFilter sur mon poste derriere le routeur. Pour IPT, il relativement aisé de faire des correlations entres les logs en  les comparant avec la table d'etats sur le routeur pour detecter des tentatives d'intrusions. en general ca se limite a des tests de ports par exemple pour trouver le port interne utilisé sur une connexion sortante.
 
Par contre, je ne sais pas comment faire pour trouver la cause des rejets de paquets par IPFilter sur une connexion TCP sans utiliser de sniffer.Vu que ca passe IPTables, a priori l'etat des @IP et ports sont bons. Et effectivement le sniffer indique qu'il sagit simplement de paquest dupliqués par mon poste alors l'ACK dupliqué en reponse est rejeté vu qu'ipf rejette tous les paquets qui ne sont pas indispensables pour maintenir le niveau TCP coherent.  Sur certaines connexion il n'y a jamais d'erreurs alors que sur d'autres, ca peut monter jusqu'a 100x plus que la moyenne alors je trouve ca suspect, d'autant plus que l'IP la plus sucpecte est sur les meme reseau ISP que moi donc aucune raison qu'il y ai des erreurs IP alors qu'il n'y en a pas sur des connexions a lautre bout de la planete. Que je sache la seule facon de forcer la reemission de paquets est de jouer sur la valeur de l'ACK mais je rien remarqué d'anormal de ce coté la...
Je suis en train de lire la doc de l'impementation d'ipfilter. Je ne connais pas en detail IPTables , mais il me semble qu'il n'integre pas tous les tests de sequence d'IPfilter, ce qui expliquerait que ca passe sur lun et pas l'autre. Par contre il n'y a pas grand chose au niveau de la conf utlisateur (en tout cas j ai pas vu) qui me permettrait d'affiner les logs comme on peut le faire avec IPT en placant des tests de types variés, parce que c'est sympa que ca soit rejeté mais si on sait pas vraiment pourquoi, a force ca rends parano d'en avoir autant sans en avoir la cause.
 
Donc en fait je postais pour savoir ce que vous feriez a ma place pour savoir si la source ce ces erreurs est d'origine intentionnelle; si qq1 a une idee.


Message édité par metabaron1 le 01-08-2005 à 12:45:15
mood
Publicité
Posté le 01-08-2005 à 12:41:36  profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Detection/analyse d'intrusions IPTables/IPFilter

 

Sujets relatifs
Passerelle avec iptables : problème de SMTPsecuriser iptables
securiser iptables[IPTables] Forward des icmp
analyse sur une architecture réseauscript iptables
Déconnexion Gaim depuis la mise en place de mon script iptables[iptables] allow ping
configuration d'iptablesAide Ouvir le port 443 (https) sur Debian [iptables inside]
Plus de sujets relatifs à : Detection/analyse d'intrusions IPTables/IPFilter


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR