Articles avec les mots clés ’iptables’
Fedora 17 : le pare-feu dynamique firewalld
Fedora 17 permet de remplacer le pare-feu traditionnel statique (outils iptables et fichier /etc/sysconfig/iptables) par un pare-feu dynamique nommé firewalld possédant une interface d-bus. Il est ainsi possible de modifier les règles à la volée sans avoir à redémarrer le daemon.
Installation :
Firewalld n’est pas actif par défaut sous Fedora 17. A priori, cela est prévu pour Fedora 18, le temps pour les développeurs de finaliser les outils spécifiques et d’adapter ceux existants à ce nouveau pare-feu.
L’installation se fait simplement à l’aide de la commande :
yum install firewalld
Il convient alors de désactiver le lancement du pare-feu statique installé par défaut afin que celui-ci n’interfère pas avec firewalld :
systemctl stop iptables.service systemctl disable iptables.service
Nous pouvons ensuite permettre le démarrage automatique de firewalld :
systemctl start firewalld.service systemctl enable firewalld.service
La commande firewall-cmd :
La commande firewall-cmd permet de contrôler le pare-feu dynamiquement (liste des règles actives, ouverture/fermeture de port, …)
firewalld supporte le concept de « zone de réseau » permettant de gérer des profils de règles à appliquer en fonction du réseau sur lequel on se trouve ( par exemple tout fermer lorsque l’on est sur un réseau
public et ouvrir ssh et samba lorque l’on est sur un réseau professionnel).
Pour connaître la zone par défaut, il faut utiliser la commande :
firewall-cmd --get-default-zone
Par défaut, sous Fedora, la commande retournera public.
La zone a lancer par défaut est fixée dans le fichier /etc/firewalld/ firewalld.conf :
# default zone # The default zone used if an empty zone string is used. # Default: public DefaultZone=public
Pour connaître la zone en cours d’exécution, nous pouvons utiliser la commande :
firewall-cmd --get-active-zones
La réponse fournie ici est « public: em1 » ce qui signifie que le profil public est en cours d’execution sur l’interface réseau em1.
Pour obtenir la liste des services autorisés pour le profil public, il suffit de taper :
firewall-cmd --zone=public --list=service
Pour obtenir la liste des ports ouvert pourle profil public, il suffit de taper :
firewall-cmd --zone=public --list=port
L’ensemble des profils définis s’obtient avec la commande :
firewall-cmd --get-zones
Par défaut, sous Fedora les profils drop work internal external trusted home dmz public block sont présents.
Le liste des services pré-définis se trouve sous le répertoire /usr/lib/firewalld/services :
Ce sont de simples fichiers xml. Il nous est donc possible de créer un fichier de services par exemple pour une application fonctionnant sur le port 9000 en créant le fichier /etc/firewalld/services/monappli.xml :
<?xml version="1.0" encoding="utf-8"?> <service name="monappli"> <short>MonAppli (9000)</short> <description>Mon serveur d'applications.</description> <port protocol="tcp" port="9000"/> </service>
Pour que firewalld prenne connaissance de ce nouveau service, il est nécessaire de le redémarrer :
systemctl restart firewalld.service
Pour activer le service monappli dans le profil home, il suffit ensuite de faire :
firewall-cmd --zone=home --add --service=monappli
Pour connaître l’ensemble des services actifs sous le profil home :
firewall-cmd --zone=home --list=service
Pour retirer un service d’un profil (par exemple ipp-client du profil home), il faut taper :
firewall-cmd --zone=home --remove --service=ipp-client
Plutôt que de passer par des services prédéfinis, nous pouvons également ouvrir des ports directement :
firewall-cmd --zone=home --add --port=9000/tcp
Pour activer le profil home, il suffit de faire :
firewall-cmd --set-default-zone=home
Attention, ceci est un changement permanent (cela modifie le fichier /etc/firewalld/firewalld.conf). Lors du prochain redémarrage de firewalld, le profil chargé par défaut sera home
Cependant, les services/ports activés ou désactivés à l’aide de la commande firewall-cmd seront perdus. En effet, cette commande n’impacte que la session courante du service firewalld.
Si nous voulons effectuer des modifications permanentes, il faut modifier les fichiers de configurations des zones.
Par exemple pour rajouter de manière permanent le service monappli au profil de zone home, il faut tout d’abord copier le fichier par défaut de cette zone dans le répertoire /etc/firewalld/zones :
cp /usr/lib/firewalld/zones/home.xml /etc/firewalld/zones/
Puis modifier le fichier /etc/firewalld/zones/home.xml :
<?xml version="1.0" encoding="utf-8"?> <zone name="home"> <short>Home</short> <description>For use in home areas. You mostly trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description> <service name="ssh"/> <service name="ipp-client"/> <service name="mdns"/> <service name="samba-client"/> <service name="dhcpv6-client"/> <service name="monappli"/> </zone>
Comme nous l’avons vu, le nouveau pare-feu firewalld permet de changer les règles à la volée mais nous sommes dans l’obligation de modifier les fichiers de configuration à la main dés que nous voulons que les changements opérés soient permanents. Cependant, le concept de zone peut être utile pour les ordinateurs mobiles. firewalld permet également, via l’option –timeout, d’ouvrir un port/service pour une durée determinée.
Par exemple, pour autoriser le service monappli sur le profil home (en cours d’execution) pendant 10s il faut faire:
firewall-cmd --zone=home --add --service=monappli --timeout=10
Ainsi s’achève ce tour d’horizon de firewalld …
Mise en place du port knocking sous CentOS
Le port Knocking est une méthode permettant d’ouvrir dynamiquement des ports protégés par un pare-feu. Pour cela, une suite de connexion sur plusieurs ports doit être effectuée. Un processus tourne alors en arrière-plan et vérifie régulièrement le journal de connexion du pare-feu pour ouvrir un port spécifique si une séquence est détectée.
Cette technique est notamment utilisée pour protéger l’accès au port 22 (SSH) d’une machine.
Pour mettre en place le port knocking sous CentOS, nous allons utiliser le démon knockd disponible à cette adresse. L’installation à partir des sources consistent à installer tout d’abord les dépendances puis le démon knockd.
- yum install gcc libpcap-devel
- cd /usr/local/src/
- wget http://www.zeroflux.org/proj/knock/files/knock-0.5.tar.gz
- tar -xzvf knock-0.5.tar.gz
- ./configure
- make
- make install
Ensuite, il vous faut supprimer la règle autorisant SSH en entrée sur le serveur.
- vi /etc/sysconfig/iptables
#-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
- Redémarrez le pare-feu : service iptables restart
Il vous faut maintenant définir la séquence de port à « frapper » pour ouvrir le port SSH. Dans notre exemple, nous choisissons les ports 2222, 3333 et 4444.
- vi /etc/knockd.conf
[options] UseSyslog PidFile = /var/run/knockd.pid Interface = eth0 [opencloseSSH] sequence = 2222,3333,4444 seq_timeout = 15 tcpflags = syn start_command = /sbin/iptables -I INPUT -s %IP% -p tcp --dport 22 -j ACCEPT cmd_timeout = 60 stop_command = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
La séquence doit être effectuée dans les 15 secondes et vous avez 60 secondes pour vous connecter en SSH sur le serveur.
Il ne vous reste plus qu’à lancer le démon knockd.
- /usr/sbin/knockd -d
Depuis votre client, essayez maintenant de vous connecter en SSH sur votre serveur. La connexion est maintenant impossible puisque le pare-feu n’autorise plus le port 22 en entrée. Par contre le serveur SSH est toujours à l’écoute. Récupérez par exemple le client Knock pour Windows.
Depuis un poste sous Windows, en ligne de commande, « frappez les ports » : knock.exe 192.168.0.100 2222 3333 4444
Vous pouvez maintenant vous connecter normalement en SSH sur votre serveur dans un certain laps de temps.
Protéger les accès SSH avec fail2ban
Fail2ban est un logiciel qui lit différents fichiers de logs (apache,ssh,cyrus-imap,…) et qui permet d’exécuter des actions en conséquence (envoi de mail, blocage via iptables, …).
En regardant d’un peu plus prêt les logs sur une machine dont le port ssh est ouvert, on remarque :
Ce sont des tentatives d’intrusion. Nous allons utiliser le logiciel fail2ban pour bloquer ce genre de tentatives.
L’installation (sous Ubuntu depuis les sources) se fait de manière très simple. Les pré-requis sont d’avoir python & gamin d’installé.
Il suffit de décompresser l’archive et ensuite de lancer la commande ./setup.py install
Une fois l’installation effectuée, il reste à copier un script de lancement présent dans le répertoire files du répertoire des sources. Il existe plusieurs scripts adaptés à différentes distributions ainsi que des plugins nagios.
Le fichier utilisé sera redhat-initd qui s’adapte facilement pour ubuntu, moyennant quelques légères modifications.
Effectuez ensuite les actions nécessaires pour que ce script soit lancé au démarrage de la machine en fonction de votre distribution.
Nous allons ensuite définir les jails, c’est a dire la configuration des services à surveiller.
Les fichiers de configuration se trouvent dans /etc/fail2ban. Ce derniers contient deux répertoires : filter.d qui défini les regexp a rechercher dans les fichiers de log et action.d qui défini les actions à effectuer en cas de dépassement du nombre d’échecs autorisés.
Le répertoire /etc/fail2ban contient aussi deux fichiers de configuration : fail2ban.conf et jail.conf.
Conformément à la documentation officielle, il est préférable de travailler dans les fichiers fail2ban.local et jail.local qui écrasent les paramètres par défaut définis dans fail2ban.conf et jail.conf.
Voici donc le contenu de mon fichier jail.local :
On défini un jail ssh-iptable. On regarde le nombre d’échecs successifs dans le fichier /var/log/auth.log grâce au filtre sshd (présent dans filter.d). Si le nombre d’échecs est supérieur à 5 durant une période de 180s, alors l’adresse IP est bannie durant 600s.
Il suffit ensuite de lancer fail2ban et de tracer le fichier /var/log/fail2ban.log :
That’s it …
Ceci n’est qu’une courte démonstration des possibilités du logiciel fail2ban, pour plus d’informations, vous pouvez lire la documentation officielle