16 juillet 2014 | Posted in:Logiciel

Lorsque que l’on a un serveur ouvert sur internet , on s’expose à toutes sortes de menaces. Alors on peut avoir un anti-virus, un système anti DDOS comme celui fourni par ovh, rkhunter pour scanner votre machine, mais toutes ces solutions sont bien souvent des remèdes. Comment se protéger en amont de ses menaces? Comment se prémunir des scans ou de parc de zombies?

La seule et unique réponse que j ai trouvé est votre firewall. Jusque la vous allez me dire : sans rire voila un grand comique, comme si on était pas au courant !!!

Mais comme toute solution le firewall a aussi plusieurs faiblesses.

Dans le principe vous allez bloquer des ports, ou des ips. Mais comment connaître les ips?

Soit lors d’une attaque en analysant les logs vous relevez l’IP de l’attaquant et la blacklistez, soit un logiciel comme fail2ban le fait. Mais on reste la encore dans le remède et l’attaque a déjà eu lieu et a pu avoir de nombreuses conséquences.

Dans cet article, je vais vous présenter un système normalement utilisé par les ‘pirates du p2p’ pour se protéger de Hadopi ou de la RIAA que nous allons retourner à notre avantage.

Peerguardian 2

Peerguardian dans sa version 2 pour linux, est une surcouche à votre firewall. Il va se nourrir d’une ou plusieurs listes d’ip considérées comme dangereuses pour faire votre blacklist. Traduction : un attaquant ne pourra même pas arriver jusque vous et débuter un scan ou une attaque, grâce à peerguardian.

Comme je le disais plus haut à la base peerguardian comme son nom l’indique est un logiciel pour particulier qui s’adonne au téléchargement disons pas très légal. Et pour éviter de se faire sniffer et repérer par les ayants droits, ils utilisent ce petit logiciel. Mais il existe plein d’autres listes contenant les ips de spammeur, les ZBOTS , spyware et compagnie.

Vous trouverez toutes les listes ici : https://www.iblocklist.com/lists.php

Installation

On edite le fichier source.list

et on rajoute :

on installe les clés.

et l’on met à jour les dépôts :

on peut maintenant installer peerguardian :

je rajoute le paquet iftop afin de pouvoir regarder le trafic en temps réel.

Configuration

la configuration ce fait sur 3 fichiers :

/etc/pgl/pglcmd.conf : fichier de configuration principal

/etc/pgl/allow.p2p : fichier de whitelist

/etc/pgl/blocklists.list : fichier contenant les urls des listes à aspirer lors de la mise à jour

Le fichier pglcmd.conf est vide, personnellement j ai rajouté deux choses :

Mes serveurs sont en lan derrière un firewall et je veux pas bloquer la communication entre eux donc j ai mis :

WHITE_LOCAL= »1″

et pour etre sur que ca marche :

ensuite j’automatise les mises à jour

il faut bien sur adapter la plage ip à vos besoins.

Ensuite pour whitelister un client ou votre propre ip éditez le fichier allow.p2p

Le fichier fonctionne de cette manière pour whitelister le bureau par exemple qui a l ip 1.1.1.1 vous rajoutez la ligne

bureau:1.1.1.1

et le tour est joué, vous pouvez aussi mettre des plages d ip.

Pour la gestion des listes éditons les fichiers blocklists.list

il suffit alors tout simplement de dé-commenter et commenter les urls de listes dont le nom est bien souvent suffisamment parlant pour savoir de quoi il en retourne.

exemple :

http://list.iblocklist.com/lists/bluetack/web-exploit

ATTENTION : Avant de lancer pglcmd pensez à whitelisté votre ip !!! sinon vous pouvez vous retrouver blacklisté !

Utilisation de Peerguadian

Voici les lignes de commandes

pglcmd startdemarre pgl et inject les régles dans iptables
pglcmd stopstop pgl et purge iptables
pglcmd restartrestarts pgl.
pglcmd reloadreconstruit la liste local et la charge dans pgl
pglcmd updateMet a jour et reconstruie la liste local et reload dans pgl
pglcmd statusmontre iptables
pglcmd testpour faire un test
pglcmd search PATTERNpermet de rechercher une liste par rapport au mot clé PATTERN
pglcmd statsvoir les stats de pgl
pglcmd reset_statsreset les stats de pgl
pglcmd show_configPermet de voir la configuration actuel

Et après :

Si ca vous intéresse et pour vous rendre compte que le net est un monde dangereux regardez les logs des ips bloqués :

j’ai trouvé aussi le pglcmd stats très intéressant .

En conclusion

Peerguadian est une surcouche pour votre firewall qui ne manque pas d’intérêt. On a vu que sa grande force est justement de se nourrir de listes et donc de bloquer des attaques relevées par d’autres que vous.
Malheureusement il y a un revers à la médaille. En effet, les listes bloquent de larges plages d’ip, chez free par exemple et ovh.
On peut donc blacklister des internautes sans le savoir et rendre son site ou webservices inaccessible.

Il existe toute fois une page permettant de vérifier une ip
https://www.iblocklist.com/search.php
mais je n’ai pas trouvé comment se faire déblacklister à part bien sur peut être par le formulaire de contact.

A utiliser donc mais avec des pincettes surtout pour de la prod

3 Comments

  1. rhum
    15 août 2014

    nikel merci mon pote.
    par contre le firewall ralentit considerablement mon proxy ( squid )
    n’y a -t-il pas moyen de lui dire de ne pas filtrer un port donné ?

  2. rhum
    15 août 2014

    bon ben laisse choir j’ai trouvé la solution :

    dans pglcmd.conf j’ai mis :

    WHITE_TCP_IN= »squid »
    WHITE_TCP_OUT= »squid »

    j’ai essayé, au préalable de mettre le port sur lequel j’ai configuré mon proxy ça me fonctionnait pas.

  3. rhum
    17 août 2014

    tiens j’ai un soucis ;

    depuis que j’ai ajouté ça dans pglcmd.conf pgl ne log plus rien
    c pas tres bon signe

Leave a Reply


You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

*