IPCop v2 sécurité/réseau compromis

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. Une description est donnée sur le portail phénIXUS : http://www.ixus.net/ipcop/.

IPCop v2 sécurité/réseau compromis

Message par Popci » 15 Déc 2011 21:50

Bonjour,

En tant que particulier, j'ai installé IPCop v2 kernel to 2.6.32.48 Version du noyau : GNU/Linux 2.6.32-5
sur un vieux poste (Pentium III 550 Mhz) afin d'avoir un réseau privé sécurisé.
De plus, cela me fait découvrir les commandes linux, configurer des interfaces réseau et
enrichir mes connaissances et cela grâce à votre forum PhenIXUS et je vous en remercie.

Le but de ma visite est qu'aujourd'hui vers 12:00 tous les matériels de mon petit réseau
ont été redémarrés méchamment depuis Internet (CBVG834G, IPCop, RP614 et Postes). "Aie Carambar"
De plus, mon client OPENVPN ne veut pas se connecter sur le serveur. :-(

* Mon schémas logique
Internet Numéricable <-> Box Netgear CBVG834G <-> ( Red ) IPCop v2.0.2 ( Green ) > <-> Netgear RP614 v3 <-> tous les PC

* Câblage - Fonctions
Prise < Câble coaxial > CBVG834G - Parefeu actif - Mode routeur < Câble Ethernet > IPCop Deux cartes réseaux IP Statiques < Câble Ethernet > RP614 - Parefeu actif - Mode routeur < Câble Ethernet > Poste Client IP Statiques

* Adressages réseaux détails
Internet Numericable DNS 89.2.0.1-89.2.0.2
<-> CBVG834G IP LAN : 192.168.0.1 Masque Statique : 255.255.255.252 Passerelle : 192.168.0.1
DNS Statiques 24-113-32-30/24-113-32-29 DHCP : Non IP début/fin : 192.168.0.2
<-> ( Red ) IPCop IP Statique : 192.168.0.2 Masque Statique : 255.255.255.252 Passerelle Statique : 192.168.0.2
DNS Statique : 24.113.32.30/24.113.32.29
( Green ) <-> RP614 IP LAN Statique : 192.168.6.1 Masque Statique : 255.255.255.248 Passerelle Statique : 192.168.6.1
DNS Statique : 192.168.6.1/24.113.32.29 DHCP : Oui IP début : 192.168.6.2 fin : 192.168.6.6
PortInternet : 192.168.6.5 Masque : 255.255.255.248
DNS : 192.168.6.1/24.113.32.29
<-> Poste IP Statique : 192.168.6.3 Masque : 255.255.255.248 Passerelle : 192.168.6.1
DNS : 192.168.6.1/24.113.32.29

* Adressages réseaux simple
Internet Numéricable <-> CBVG834G 192.168.0.1 <-> 192.168.0.2 ( Red ) IPCop v2 ( Green ) > 192.168.6.5 <-> RP614 192.168.6.1 <-> PC 192.168.6.3-6


L'accès à l'interface Web IPCop est : https://192.168.0.2:8443
La configuration d'IPCop est par défaut (aucun ajout ou modification de règle du parefeu)
et les mises à jour sont installées.

Depuis mon poste, je "ping" et j'accède à tous les matériels (RP614,IPCop,CBVG834G).
Tout fonctionne parfaitement, mais...

Quand j'ai vu tous les matériels redémarrer, effet garanti : Surprenant :!: 1s 2s 3s 4s pour finir en Impressionnant :?:
Surtout que je comptais sur IPCop pour protéger mon réseau vert. "Loupé"
Par conséquent, je pense que la configuration de mon réseau n'est pas bonne et j'aimerai avoir l'avis d'experts
(réseau, sécurité) pour y mettre un peu d'ordre.
Dans le fichier journal d'IPCop, j'ai eu Nombre total d'accès au pare-feu pour 2011-12-15: 3

Heure Chaine Interface Proto Source Port source Adresse MAC Destination Port destination
12:01:13 RED DROP wan-1 TCP 65.54.95.19 80(HTTP) 00:00:00:00:00:00 192.168.0.2 34483
12:02:05 RED DROP wan-1 TCP 65.54.95.37 443(HTTPS) 00:00:00:00:00:00 192.168.0.2 34571
15:29:30 RED DROP wan-1 TCP 193.46.63.181 80(HTTP) 00:00:00:00:00:00 192.168.0.2 33480

Pourquoi je pense qu'il s'agirait d'un problème réseau ?
Parce que, j'ai essayé de connecter mon client OPENVPN sur le serveur IPCop sans succès.

Pendant plusieurs jours, j'ai lu des tutoriels afin de configurer IPCop et OPENVPN.
OPENVPN 2.2.1 n'arrive pas à trouver le serveur distant alors que je le "ping".
Pendant un moment, j'ai eu l'erreur (WSAECONNRESET) (code=10054) car je n'utilisais pas les bons certificats.
Depuis, "OpenVPN GUI" tourne en boucle à la recherche d'un serveur sans pouvoir se connecter.
Le fichier journal m'indique qu'il est bien en route -> "openvpnserver[1801] Initialization Sequence Completed".
Le certificat client a été correctememnt créé et importé dans le dossier "config".


Dans le journal système d'OPENVPN l'erreur suivante est apparue :
openvpnserver[1638] NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x.
Be aware that this might create routing conflicts if you connect to the VPN server from public locations
such as internet cafes that use the same subnet.


Hors, sur le modem routeur CBVG834G je ne peux pas changer d'adresse de passerelle.
Elle doit être obligatoirement en 192.168.0.XXX
J'ai donc laissé 192.168.0.1 et sur la patte réseau red d'IPCop j'utilise 192.168.0.2.

Au niveau de l'adresse zone RED, je ne vois pas ce que je peux faire de plus.
Par contre, il paraît évident que l'accès à l'interface Web d'IPCop par l'adresse 192.168.0.2 n'est pas sécuritaire.
J'avouerais que là je 'me dés'Sèche :-)

En vous remerciant de vos éclaircissements et du temps passé à me répondre.

Popci

Mes recherchent :ixus,max-ipcop,pcimpact,generation-nt,ipcop.org,nilz,thinkhole,ondaflow,homearcor,workaround
PS : Veuillez m'excuser pour la tartine, mais j'ai fait au plus court et respesté la charte.
Dernière édition par Popci le 16 Déc 2011 11:18, édité 1 fois.
Popci
 
Message(s) : 2
Inscription : 15 Déc 2011 17:54

Re: IPCop v2 sécurité/réseau compromis

Message par Franck78 » 15 Déc 2011 22:12

Hello,
Le but de ma visite est qu'aujourd'hui vers 12:00 tous les matériels de mon petit réseau
ont été redémarrés méchamment depuis Internet (CBVG834G, IPCop, RP614 et Postes). "Aie Carambar"

On se calme, un intru n'aurait aucun avantage à couper les matériels qu'il contrôle. En particulier le switch local !!
Quand tout redémarre, c'est que le courant est revenu :)

Ensuite, il faut comprendre que IPCop ou un autre firewall n'empèchera jamais une machine windows de télécharger un trojan qui donnera un accès local à l'intru, derrière le firewall.

Ca viendra peut être un jour, analyse de tout les flux sortants pour détecter une connexion étrange. Et un Pentium III n'y suffira plus.

Sinon, bien la présentation. Mais poster deux problèmes (openvpn et intrusion) est généralement une mauvaise idée ;-)

Franck
Franck78
 
Message(s) : 525
Inscription : 11 Sep 2011 16:04
Localisation : France

Re: IPCop v2 sécurité/réseau compromis

Message par Franck78 » 15 Déc 2011 22:18

et respesté la charte.

je ne résiste pas à relever le beau lapsus révélateur : pester après la charte :)


Sinon pour openvpn, à la première lecture, je dirais qu'il n'y a aucun transfert de port depuis l'internet vers le serveur openvpn.
Donc c'est dans le dg834 que ca se passe.
Franck78
 
Message(s) : 525
Inscription : 11 Sep 2011 16:04
Localisation : France

Re: IPCop v2 sécurité/réseau compromis

Message par jibe » 15 Déc 2011 23:31

Salut,

Franck78 a écrit :Sinon, bien la présentation.

Une félicitation de Franck, c'est vraiment exceptionnel : apprécie, Popci ! ;)

Cela dit, c'est vrai que c'est mérité ! :)

Franck78 a écrit :Mais poster deux problèmes (openvpn et intrusion) est généralement une mauvaise idée ;-)

Ah, bon : me voilà rassuré ! La réaction précédente me paraissait vraiment inquiétante :lol: :P

Bon, c'est un peu vrai. Mais vu que le premier point me semble expliqué et résolu, on va dire que ça ira pour cette fois !

Concernant ton problème OpenVPN, je n'ai pas le temps de vérifier, mais tes masques sous-réseau sont surprenants ! Je comprends ta démarche, maisje me demande si une erreur ne se serait pas glissée dans cette config peu ordinaire et ne pourrait pas être l'explication. Cela dit, vu ton caractère méthodique et consciencieux, je suis probablement à côté de la plaque. Mais bon, sait-on jamais...

Popci a écrit :Par contre, il paraît évident que l'accès à l'interface Web d'IPCop par l'adresse 192.168.0.2 n'est pas sécuritaire.

Pourquoi donc ?
L'avertissement d'OpenVPN ne concerne pas la sécurité, mais la possibilité de conflits de routage : en effet, tu as de très fortes chances de te trouver dans un LAN ayant lui aussi ce genre d'adresses. Prendre un autre groupe d'adresses comme 192.168.123.x diminue statistiquement ce genre de risque dans d'énormes proportions !

Je ne connais pas Ipcop, et je vais peut-être raconter des bêtises, mais l'interface web ne devrait être ouverte côté RED que si nécessaire. Si l'administration se fait généralement par le LAN, il vaut mieux n'ouvrir l'interface sur le web que momentanément le jour où on veut administrer depuis le WAN, et refermer ensuite. Si par contre tu dois pouvoir à tout instant administrer par le côté WAN, tu n'as guère le choix. Et l''adresse de ton interface RED ne changera rien, ni dans un cas ni dans l'autre !
jibe. En vert ou en rouge-orangé : je modère - En noir ou autre couleur : je parle à titre personnel.

L'idée que quand on n'a pas quelque chose, on puisse se bouger pour l'avoir, c'est une démarche qui parait absolument normale pour les gens du Logiciel Libre et totalement surnaturelle pour tout le reste de la population. (Benjamin Bayart)
jibe
 
Message(s) : 943
Inscription : 09 Sep 2011 23:19
Localisation : Haute Savoie

Re: IPCop v2 sécurité/réseau compromis

Message par Popci » 16 Déc 2011 18:11

Bonjour,

Merci ! Vos réponses sont très intéressantes.

Franck78 a écrit :On se calme, un intru n'aurait aucun avantage à couper les matériels qu'il contrôle. En particulier le switch local !!
Quand tout redémarre, c'est que le courant est revenu

L'arrêt a été brutale et immédiat. Les matériels ont redémarré immédiatement.
Par conséquent la coupure de courant est à proscrire.
De plus, la télé est sur le même réseau. :lol:

Franck78 a écrit :Ensuite, il faut comprendre que IPCop ou un autre firewall n’empêchera jamais une machine Windows
de télécharger un trojan qui donnera un accès local à l'intru, derrière le firewall.

Cela sous entend-il que mon système personnelle est infecté ? Par Windows sans doute.
La poste a été formaté il y à une semaine.
Bon, je vais effectuer un contrôle avec "malwarebytes' et virus removal tools".
Également me documenter et mettre en place une :
" Analyse de tout les flux sortants pour détecter une connexion étrange".

Franck78 a écrit :Mais poster deux problèmes (openvpn et intrusion) est généralement une mauvaise idée.

Mon but étant d'orienter l'intrusion et le message d'OPENVPN NOTE [1638]
vers un mauvais adressage (IP, Masque, DNS, Passerelle) que j'ai établie dans mon réseau.
En clair, je pensais que c'est deux problèmes étaient liés dû à une mauvaise configuration de mes adresses réseau.
Donc, créer un sujet "intrusion" c'est noté.

Franck78 a écrit :je ne résiste pas à relever le beau lapsus révélateur : pester après la charte

Non, pas du tout.
J'ai lu quelques interventions sur le forum.
Des utilisateurs n'ont pas respectés la charte et ont été remis à leur place ce qui est tout à fait justifié.
Mais surtout, j'ai mis ce lien à l'intention des utilisateurs.
Il est pratique, car il regroupe des informations très intéressantes
sur le mode d'emploi, la recherche, les schémas et surtout comment bien poser sa question.

Franck78 a écrit :Sinon pour openvpn, à la première lecture, je dirais qu'il n'y a aucun transfert de port depuis l'internet vers le serveur openvpn.

En effet, aucun sur le CBVG834G.
Par contre, je l'ai mis en place sur le RP614.
Je suis perplexe, quand au transfert de port sur le CBVG834G, car mon client ne peut pas accéder au serveur d'IPCop ?

Poste Client <-> RP614 <-> (Green) IPCop (Red) <-> CBVG834G <-> Internet
--------------------------------------------|_______\Intervention/______|
--------------------------------------------|_____\OPENVPN UDP 1194/__|
--------------------------------------------|____________\ / __________|
--------------------------------------------|_____Transfert de port _____|

Poste Client <-> RP614 <-> (Green) IPCop (Red) <-> CBVG834G <-> Internet
---- |_______Aucune connexion_____|

Bon, je vais mettre en place le transfert de port sur le CBVG834G et tester.
Quoi qu'il en soit, la configuration d'OPENVPN est un autre sujet.

jibe a écrit :Une félicitation de Franck, c'est vraiment exceptionnel : apprécie, Popci !
Cela dit, c'est vrai que c'est mérité !

J'apprécie et merci.
Je ne vous dirais pas qu'après avoir posté.
J'étais à la fois curieux de la réponse et fébrile à l'idée de ne pas avoir respecté la charte.
Évidemment, les remarques et les critiques sont les bienvenus.
Une remise en question ou un autre de point vue me permettra d'approfondir mes connaissances.
Le plus difficile est de transmettre par écrit. (synthétiser, faire passer une information)
Contrairement au "visuel". Les messages peuvent passer par les gestes, l'ouï, le physique et surtout la parole.

jibe a écrit :mais tes masques sous-réseau sont surprenants | cette config peu ordinaire

Pourquoi mes masques sont-ils surprenants ?
Pourquoi ma configuration est-elle peu ordinaire ?

Ma démarche est la suivante :

* Schémas
Postes Clients | 192.168.6.3 > < 192.168.6.1 | RP614 | 192.168.6.5 >
Adressage Statique | > Limiter la multidiffusion < | Adressage Statique | Une adresse de liaison >

< 192.168.6.5 (Green) | IPCop | 192.168.0.2 (Red) >
Aucune multidiffusion < Une adresse de liaison | Adressage Statique | Une adresse de liaison >

< 192.168.0.1 (Red) | CBVG834G | Internet >
Aucune multidiffusion < Une adresse de liaison | Adressage Statique | >

Mon but, étant de mettre une seule adresse de liaison entre les matériels
afin que les données empreintes qu'un seul chemin.
Définir une plage d'adresses DHCP ainsi qu'un masque restrictif afin d'interdire l'accès au réseau privé depuis l'Internet.

jibe a écrit :mais je me demande si une erreur ne se serait pas glissée dans cette config peu ordinaire et
ne pourrait pas être l'explication.

Hum ! hum ! une erreur. Je vais un peu plus me creuser la tête vide alors.
Un petit tour à la pêche va sans doute m'éclairer vers une solution.

Popci

PS : Comment prononcez-vous "PhenIXUS" ?
Popci
 
Message(s) : 2
Inscription : 15 Déc 2011 17:54

Re: IPCop v2 sécurité/réseau compromis

Message par jdh » 16 Déc 2011 19:21

Moi aussi, je constate qu'il y a des infos : schéma, adressage, ...

Néanmoins,
- un masque /30 est très rare : il pourrait être sans difficulté remplacé par un /24 et un câble croisé !
- la passerelle de l'Ipcop doit être 192.168.0.1 (=box) et non 192.168.0.2 (=Red),
- les dns sont des adresses ip (pas de masque !), faut-il indiquer ceux du fai ou la box ?,
- quel est le rôle de l'inutile RP614 : que vient faire un routeur/firewall là ? A remplacer par un élémentaire switch !
- les adressages de part et d'autre du RP614 ne sont pas distincts !!


Un schéma simple et élémentaire serait :

Internet <-> box <- croisé -> (Red) Ipcop (Green) <-> switch <-> pc

réseau Red : 192.168.0.x/24, box=192.168.0.1/24, (Red)=192.168.0.2/25+dns 192.168.0.1+gateway 192.168.0.1
réseau Green : 192.168.6.x/24, (Green)=192.168.6.1/24 fournit dns et dhcp
dhcp Ipcop : range 192.168.6.10-192.168.6.19, dns=192.168.6.1, gtw=192.168.6.1

D'où la question RP614 inutile
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
jdh
 
Message(s) : 731
Inscription : 02 Nov 2011 00:36
Localisation : Nantes - Angers

Re: IPCop v2 sécurité/réseau compromis

Message par Franck78 » 16 Déc 2011 23:44

Postes Clients | 192.168.6.3 > < 192.168.6.1 | RP614 | 192.168.6.5 >

Il est bien entendu que le RP614 n'est la que pour servir de switch 4 ports.... toute sa quincaillerie routeur avec son port wan étant parfaitement inutile.

Il n'y a qu'une coupure de courant pour stopper simultanément des équipements. La télé possède simplement une très bonne alim dans le cas des microcoupures.
Chaque appareil met un temps plus en moins long pour s'arreter. Pour obtenir l'arret simultané des appareils, il faudrait mesurer ce temps, contrôler les appareils en même temps et lancer un décompte aussi précis que le lancement d'une fusée par la nasa.
En plus pour apprécier le résultat, il faudrait qu'il y ait quelqu'un pour l'observer (vous). C'est tellement inutile qu'on va arreter la hein ?

On ne va pas non plus vous étripper si il y a des entorses à la charte, cool :)

Les clients openvpn, ils se situent où ? Sur le lan (green) ou internet ?


Pourquoi mes masques sont-ils surprenants ?
parce que ce n'est en aucun cas un élément de sécurité mais un simple réglage IP utilisé pour le routage.


Franck
Franck78
 
Message(s) : 525
Inscription : 11 Sep 2011 16:04
Localisation : France

Re: IPCop v2 sécurité/réseau compromis

Message par jibe » 17 Déc 2011 00:03

Salut,

Popci a écrit :L'arrêt a été brutale et immédiat. Les matériels ont redémarré immédiatement.
Par conséquent la coupure de courant est à proscrire.

Justement, au contraire : cela est typique d'une coupure de courant, s'il n'y a pas d'onduleurs ou que les batteries sont HS (cas beaucoup plus fréquent qu'on ne le croit !). Cela s'appelle une micro-coupure, qui dure quelques dizaines de millisecondes, et à quoi les ordinateurs sont généralement extrêmement sensibles, alors qu'une coupure si brève ne se remarque pas du tout sur la lumière et peu (pas si la durée est très brève, visible mais souvent pas comme une coupure si la durée est un peu plus longue) sur la TV.

Popci a écrit :Cela sous entend-il que mon système personnelle est infecté ? Par Windows sans doute.

Non : réponse ci-dessus pour ce cas précis. Mais cela aurait pu/se pourrait !
Il est souvent très difficile, voire impossible de supprimer W$. Pas nécessairement pour des raisons informatiques ni valables d'ailleurs. Mais les choses sont ainsi : certains (beaucoup plus qu'on croit) refusent de changer de voiture si ce n'est pour le même modèle par peur d'avoir à s'adapter à la nouvelle !

Quand je peux, je remplace les postes W$ par du Linux. Quand je ne peux pas, j'impose Linux pour tout ce qui est accès internet, et je désactive la passerelle sur les postes W$. C'est le seul moyen de ne pas être trop emmerbêté ;) En général, les gens s'y font très bien, souvent même sont fiers de montrer le gain en rapidité et vantent la fiabilité incomparable 8-) . Dans les entreprises, un KVM leur permet de passer facilement de la machine W$ à la machine linux en gardant un seul écran/clavier/souris.

Popci a écrit :Pourquoi mes masques sont-ils surprenants ?
Pourquoi ma configuration est-elle peu ordinaire ?

Je pense que la réponse de jdh éclaire ta lanterne ?

PS : grillé par Franck78 :lol:
jibe. En vert ou en rouge-orangé : je modère - En noir ou autre couleur : je parle à titre personnel.

L'idée que quand on n'a pas quelque chose, on puisse se bouger pour l'avoir, c'est une démarche qui parait absolument normale pour les gens du Logiciel Libre et totalement surnaturelle pour tout le reste de la population. (Benjamin Bayart)
jibe
 
Message(s) : 943
Inscription : 09 Sep 2011 23:19
Localisation : Haute Savoie

Re: IPCop v2 sécurité/réseau compromis

Message par jdh » 17 Déc 2011 00:32

2 remarques oubliées :
- l'accès à l'interface Ipcop est https://102.168.6.5:8443/ (adresse Green et non adresse Red)
- puisque la box envoie tout (mode dmz) à Red d'Ipcop, il est normal de recevoir beaucoup de m. d'où les drop dans log.
(Ai-je compris qu'il y ait le mode dmz ?)

Ma question : pourquoi OpenVPN ?
- j'utilise OpenVPN comme outil de connexion depuis l'extérieur (mode road-warrior) avec un firewall gérant OpenVPN,
- pour un micro en Green, il n'y a pas lieu d'utiliser OpenVPN vers Ipcop pour accéder à une ressource du réseau Green.
- je déconseille de tester OpenVPN de cette façon : on test depuis le côté Red (soit via un switch soit depuis Internet).
- j'ai compris utilisation depuis Green mais fallait-il que je comprenne depuis Internet ?

(Evitons les problèmes avec un RP614 comme simple switch : un switch de base 5 ports ne coute que 15€.)
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
jdh
 
Message(s) : 731
Inscription : 02 Nov 2011 00:36
Localisation : Nantes - Angers


Retour vers ipcop

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Google [Bot] et 1 invité

cron