Passerelle debian pour checker un flux de données

Passerelle debian pour checker un flux de données - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 14-10-2010 à 12:55:51    

Bonjour
 
J'ai un serveur Exchange qui apparemment spam la planète entière. J'aimerais Ajouter une passerelle debian (ou autre) entre mon serveur Exchange et ma passerelle internet (que je ne maitrise pas, c'est un boitier opérateur), afin de checker le trafic qui passe.
Ce serveur Exchange étant dédié à l'intranet et ne servant qu'aux calendriers partagés, je ne devrais avoir aucune communication vers autre chose que mon vpn.
Ça vous parait compliqué à mettre en place ?


---------------
Mon topic de vente - Mon feed-back
Reply

Marsh Posté le 14-10-2010 à 12:55:51   

Reply

Marsh Posté le 14-10-2010 à 13:07:20    

tuxbleu a écrit :


Ça vous parait compliqué à mettre en place ?


Non.
Un équipement avec 2 interfaces réseau suffit. Mais tu restes vague dans  "checker le trafic qui passe".
  - Pourquoi ne pas le faire directement sur le serveur exchange ?  
  - es tu sûr que ce soit le serveur qui est incriminé ?
  - que disent les logs du serveur ?
  - ne pense tu pas qu'un PC vérolé serait coupable ?


---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 15-10-2010 à 09:06:23    

o'gure a écrit :


Non.
Un équipement avec 2 interfaces réseau suffit. Mais tu restes vague dans  "checker le trafic qui passe".
  - Pourquoi ne pas le faire directement sur le serveur exchange ?
  - es tu sûr que ce soit le serveur qui est incriminé ?
  - que disent les logs du serveur ?
  - ne pense tu pas qu'un PC vérolé serait coupable ?

 

- Pourquoi ne pas le faire directement sur le serveur exchange ?
Heu, t'as un outils ? Ca m'interesse :)
  - es tu sûr que ce soit le serveur qui est incriminé ?
Oui, le serveur est clairement incréminé, mon FAI m'a piqué une crise, avec l'IP du serveur Exchange dans ses logs qui spamait la planète entière
  - ne pense tu pas qu'un PC vérolé serait coupable ?
Sur ce sous domaine, il n'y a que le serveur Exchange (enfin pas de postes utilisateurs, j'ai un serveur Debian aussi)

 

Message cité 1 fois
Message édité par tuxbleu le 15-10-2010 à 09:06:32

---------------
Mon topic de vente - Mon feed-back
Reply

Marsh Posté le 15-10-2010 à 09:15:36    

tuxbleu a écrit :


 
  - Pourquoi ne pas le faire directement sur le serveur exchange ?
Heu, t'as un outils ? Ca m'interesse :)


Tout dépend le niveau d'information que tu souhaites, sous quelle forme tu veux le résultat, les moyens d'accès que tu as au serveur, etc... Quand tu fais ce genre d'analyse la logique voudrais que tu regardes d'abord les logs du serveur...
Sinon wireshark te permettra de savoir exactement ce qui sort/entre de ton serveur.
 
Si ton FAI a identifié clairement ton serveur, c'est qu'il a une adresse IP publique ? Es-tu sûr qu'il soit correctement configuré et non pas un open relay ? au niveau virus & co qu'est ce que ça donne ?


---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 15-10-2010 à 09:41:21    

o'gure a écrit :


Tout dépend le niveau d'information que tu souhaites, sous quelle forme tu veux le résultat, les moyens d'accès que tu as au serveur, etc... Quand tu fais ce genre d'analyse la logique voudrais que tu regardes d'abord les logs du serveur...
Sinon wireshark te permettra de savoir exactement ce qui sort/entre de ton serveur.
 
Si ton FAI a identifié clairement ton serveur, c'est qu'il a une adresse IP publique ? Es-tu sûr qu'il soit correctement configuré et non pas un open relay ? au niveau virus & co qu'est ce que ça donne ?


Non, il n'a pas d'IP publique.
Ce serveur Exchange ne sert qu'à la gestion des calendriers, il a toutefois une passerelle pour communiquer dans notre VPN.
Je souhaite un niveau très bas d'information, simplement voir si il y a des paquets qui veulent aller ailleurs qu'en 10.170.x.x
Après c'est du bonus.
 
A tout hazard, es-ce que ca a une chance de marcher :  
- Sur le serveur, je met une route via ma passerelle à tout ce qui est à destination de 10.170.
- J'envoie tous le reste sur un ip quelconque, genre ma débian qui sert de serveur ssh, dont le parfeu refuse tout (sauf port ssh).
?


---------------
Mon topic de vente - Mon feed-back
Reply

Marsh Posté le 15-10-2010 à 09:49:01    

S'il n'a pas d'adresse IP publique comment ton FAI arrive à identifier que le coupable est précisément ton serveur exchange ?

 

Hasard c'est avec s, sinon c'est Thierry Hazard et il ne te sera d'aucune aide...

 

A mon avis tu es en train de te monter une usine à gaz pour un truc qui ne le nécessite pas.
  Etape 1 : check déjà en local sur le serveur : configuration / log / wireshark / antivirus

 

 Etape 2 : regarde si sur ton switch tu peux faire du mirroring de port. Tu installes ta debian dans sur un port du switch et tu mirror le trafic intéressant (en l'occurence tout ce qui passe par le port de ton serveur)
  Si le mirroring n'est pas possible, met ta "passerelle" en coupure entre ton switch et ton serveur exchange et tu bridges ses deux interfaces (une reliée au serveur, l'autre au switch) et tu sniffes le trafic.

 

Mais l'étape 1 est l'étape nécessaire avant de partir dans des choses plus compliquée [:spamafote]

Message cité 1 fois
Message édité par o'gure le 15-10-2010 à 09:49:47

---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 15-10-2010 à 09:52:35    

si tu n'as qu'une interface sur ta passerelle, configure la route par défaut de ton serveur exchange vers ton serveur SSH.
active le routage sur ton serveur ssh
configure correctement la route par défaut de ton serveur ssh
désactive le filtrage
installe wireshark/tcpdump/autre outils d'analyse de flux pour voir ce qu'il se passe
et analyse

 


edit: mais avant de lancer ça, fait l'étape 1 précédente...

Message cité 2 fois
Message édité par o'gure le 15-10-2010 à 09:53:29

---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 15-10-2010 à 10:05:22    

o'gure a écrit :

S'il n'a pas d'adresse IP publique comment ton FAI arrive à identifier que le coupable est précisément ton serveur exchange ?
 
Hasard c'est avec s, sinon c'est Thierry Hazard et il ne te sera d'aucune aide...
 :lol: (c'était la bonne réaction ?)
 
A mon avis tu es en train de te monter une usine à gaz pour un truc qui ne le nécessite pas.
  Etape 1 : check déjà en local sur le serveur : configuration / log / wireshark / antivirus
Ca je l'ai fais en long en large... Ca a l'air clean, mais je cherche un autre av pour vérifier.
  Etape 2 : regarde si sur ton switch tu peux faire du mirroring de port. Tu installes ta debian dans sur un port du switch et tu mirror le trafic intéressant (en l'occurence tout ce qui passe par le port de ton serveur)
  Si le mirroring n'est pas possible, met ta "passerelle" en coupure entre ton switch et ton serveur exchange et tu bridges ses deux interfaces (une reliée au serveur, l'autre au switch) et tu sniffes le trafic.
 
Non, il ne le fait pas
 
Mais l'étape 1 est l'étape nécessaire avant de partir dans des choses plus compliquée [:spamafote]



---------------
Mon topic de vente - Mon feed-back
Reply

Marsh Posté le 15-10-2010 à 10:06:43    

o'gure a écrit :

si tu n'as qu'une interface sur ta passerelle, configure la route par défaut de ton serveur exchange vers ton serveur SSH.
active le routage sur ton serveur ssh
configure correctement la route par défaut de ton serveur ssh
désactive le filtrage
installe wireshark/tcpdump/autre outils d'analyse de flux pour voir ce qu'il se passe
et analyse
 
 
edit: mais avant de lancer ça, fait l'étape 1 précédente...


 :jap:


---------------
Mon topic de vente - Mon feed-back
Reply

Marsh Posté le 15-10-2010 à 11:21:13    

o'gure a écrit :

si tu n'as qu'une interface sur ta passerelle, configure la route par défaut de ton serveur exchange vers ton serveur SSH.
active le routage sur ton serveur ssh
configure correctement la route par défaut de ton serveur ssh
désactive le filtrage
installe wireshark/tcpdump/autre outils d'analyse de flux pour voir ce qu'il se passe
et analyse
 
 
edit: mais avant de lancer ça, fait l'étape 1 précédente...


Une astuce là dessus ? Logiciel à utiliser par exemple :)
(Me dites pas que c'est full iptable comme configuration :sweat:


---------------
Mon topic de vente - Mon feed-back
Reply

Marsh Posté le 15-10-2010 à 11:21:13   

Reply

Marsh Posté le 15-10-2010 à 11:41:05    

1. http://www.google.fr/search?q=activer+le+routage+linu
2. sudo sysctl  net.ipv4.ip_forward = 1

 

Par contre si je me plante pas, il faudrait désactiver les messages icmp redirect afin que tous les flux passent par le serveur SSH.

 


Sinon, l'étape 1 ?  wireshark directement sur l'exchange ? Les logs d'exchange, tout ça ?

Message cité 1 fois
Message édité par o'gure le 15-10-2010 à 11:41:32

---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 15-10-2010 à 11:48:23    

o'gure a écrit :

1. http://www.google.fr/search?q=activer+le+routage+linu
2. sudo sysctl  net.ipv4.ip_forward = 1
 
Par contre si je me plante pas, il faudrait désactiver les messages icmp redirect afin que tous les flux passent par le serveur SSH.
 
 
Sinon, l'étape 1 ?  wireshark directement sur l'exchange ? Les logs d'exchange, tout ça ?


 
merci pour le point 2 en particulier.
Wireshark, lorsque je filtre par source=ipexchange, j'ai rien qui ne sorte de mon vpn dans les destinations, ca me laisserait penser que j'ai éradiqué mon "virus" spammeur.


---------------
Mon topic de vente - Mon feed-back
Reply

Marsh Posté le 15-10-2010 à 11:59:00    

pour loger le trafic réseaux, un coup de shorewall ?


---------------
Mon topic de vente - Mon feed-back
Reply

Marsh Posté le 15-10-2010 à 13:11:21    

Non, wireshark pareil [:spamafote]
ou tcpdump puis analyse à posteriori par wireshark


---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 15-10-2010 à 14:48:14    

Dans le but de loguer ce qui passe par ma passerelle, j'ai un soucis avec shorewall :  
 
Oct 15 14:37:51 PASSERELLE kernel: [11517.654638] host 10.170.12.241/if2 ignores redirects for 10.170.0.106 to 10.170.12.254.
 
Je suis en 10.170.0.106, le serveur Exchange en 10.170.12.241, la passerelle du vpn en 10.170.12.254.
Si je coupe shorewall, tout passe bien, j'imagine que je suis trop restrictif :
 
rules :  
 
ACCEPT          $FW             net:10.170.0.0/24
ACCEPT          net             net:10.170.0.0/24
 
policy :
 
#SOURCE         DEST            POLICY          LOG LEVEL       LIMIT:BURST
$FW             net             DROP            info
net             $FW             ACCEPT          info
net             all             DROP            info
# The FOLLOWING POLICY MUST BE LAST
all             all             DROP            info


Message édité par tuxbleu le 15-10-2010 à 14:53:05

---------------
Mon topic de vente - Mon feed-back
Reply

Marsh Posté le 15-10-2010 à 15:35:11    

tuxbleu a écrit :

pour loger le trafic réseaux, un coup de shorewall ?


 

o'gure a écrit :

Non, wireshark pareil [:spamafote]
ou tcpdump puis analyse à posteriori par wireshark



---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 15-10-2010 à 17:23:21    

Même sans loguer, je souhaite dropper les paquets qui ne sont pas à destination de ce que je souhaite (10.170.x)


---------------
Mon topic de vente - Mon feed-back
Reply

Marsh Posté le 20-10-2010 à 23:26:16    

personne n'a une piste ?


---------------
Mon topic de vente - Mon feed-back
Reply

Marsh Posté le 21-10-2010 à 08:16:33    

[:heink]


---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 21-10-2010 à 10:21:20    


Pour ma conf de shorewall ?
Meme si j'analyse avec wireshark, ca m'empeche pas de vouloir Droper certains paquets  [:airforceone] , et de façon plus générale, de vouloir appréhender ce genre de situation (une passerelle de filtrage) que je pourrais re-utiliser dans d'autre circonstances.  :jap:


---------------
Mon topic de vente - Mon feed-back
Reply

Marsh Posté le 21-10-2010 à 10:29:04    

Le :heink: était là pour signaler qu'au final on ne sait toujours pas si c'est ton serveur qui pose/posait problème.

 

Après si tu veux controler/filtrer les flux avec passerelle en coupure, il te faudrait faire les choses correctement :
 - passerelle avec plusieurs interfaces
 - positionnement en coupure entre ton routeur internet et le LAN avec une interface dédiée pour chaque segment réseau

 

Sinon dans shorewall, tu blacklistes l'adresse IP de ton serveur mail. Mais je le redis, le serveur n'est pas le seul problème dans ton cas je pense. N'importe quel PC sur ton intranet/vpn est succeptible d'être un zombie, et si j'insistais sur l'analyse du serveur c'était justement sur ce point...


Message édité par o'gure le 21-10-2010 à 10:29:45

---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 22-10-2010 à 12:43:48    

Je suis un peu la tête dans le seau sur différents sujets. Pour celui ci en particulier, une migration de serveur est en cours.


---------------
Mon topic de vente - Mon feed-back
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed