[iptables] Sécurisation d'un serveur

Le
Aéris
--BEGIN PGP SIGNED MESSAGE--
Hash: SHA1

Hello les gens !

Je souhaiterai avoir quelques informations et astuces afin de sécuriser
un minimum les connexions réseau d'un serveur.

J'ai déjà une config « standard » : https://gist.github.com/1078590
— DROP par défaut
— acceptation des connexions sur les ports utiles (80, 443, 22…)
— acceptation des connexions déjà établies

1ère question : est-ce que vous trouvez des choses à redire ou à
améliorer dans cette configuration ?

Malheureusement, je subis actuellement des attaques, que je ne parviens
pas à limiter, et qui écroulent rapidement mes machines.
Les attaques proviennent de centaines d'IP différentes, et envoient des
quantités astronomiques de données sur le serveur (100Mb/s en download…).
Tout sature, aussi bien en terme de slots que de bande passante…

2nde question : comment puis-je me prémunir de ce genre d'attaque ?
Limiter la bp ou le nombre de connexion par IP ? Est-ce faisable via
iptables uniquement ?

Merci d'avance pour vos réponses !

- --
Aeris
--BEGIN PGP SIGNATURE--
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQEcBAEBAgAGBQJOHJG9AAoJEK8zQvxDY4P9T44IAKr0R6Q62kM3mcHwdGfFkC7u
ZKJXgy26AehGsm1MJfVML5XRKq+m6FlTXJlGNIsuGuMiCjNjSEFY7mqEfVSfzAlA
AKajgK7A/Z5t7hb8+boByDA+LRVmp7mbP9At6j/R51xtBvESakcW+NzkDUxvNaju
uBxqcXMEDXpyEid1F0evTgVLp08+uWGoM4imDQhzQa1G/S9XLtfxUI9UxAVwCvKE
zvBP+1lWsKRsa46QquyEbI6owzDh4Opgh8gf+U/yJH5YdEx1PlP0r1VjrVDzSx5/
24yt++YCJWgI9DnLeJ+Fxwnh9rhCyfIon1+BEoy6PezY6QssePDZZ/oKKo70ZsE=
=BJdh
--END PGP SIGNATURE--
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Fabien LE LEZ
Le #23557411
On Tue, 12 Jul 2011 20:26:05 +0200, Aéris
Malheureusement, je subis actuellement des attaques, que je ne parviens
pas à limiter, et qui écroulent rapidement mes machines.



Quel genre d'attaques ? Quel(s) port(s) ? Quel type de données ?
Aéris
Le #23557511
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Le 12/07/2011 21:37, Fabien LE LEZ a écrit :
Quel genre d'attaques ? Quel(s) port(s) ? Quel type de données ?



Tout plein d'IP (> 1.000) qui balancent mass de données vers le serveur
(>100Mb/s).
A priori le port 80, mais les attaques sont encore en cours d'analyse et
pas grand chose dans les logs.
On dirait un mix entre du syn-flood et de l'overflow apache.

Au passage, si vous avez des infos sur comment analyser ce genre
d'attaque, je suis preneur.

- --
Aeris
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQEcBAEBAgAGBQJOHKVIAAoJEK8zQvxDY4P91wwIAKKHp3VMbkaJli6Zb98BEHU8
NeqC4zkjCkvIt+xgUTxmbwZrFihNRiD6aZJN1XJqZ4BzPKgjyo6mODkvJCbQAQdY
M8yNHifP8ENrX8ymgoxIwpdhrp5jQtHEfDXBHUdK99Rhcnqd9IaoNUujyNEgFbuh
366PIvBs3+JwulcSrFCW9WvhmuMaTK5Hj6NMyx9p7Qlt0DTJVNVkvF4VrRg41ONJ
9L+SjReSTMJAwNuRKAjYR/+slyfnsL5bnzuvHKlBZVOoMTAQuf7TZiVnoDcZgs6z
z6BpQImF2NnfS3IRqLyUd+nrldRIdsKXwqCnf0vozLhIpc1pEvWJLVjJXzQg8OM =ghiH
-----END PGP SIGNATURE-----
Erwan David
Le #23557761
Aéris
Le 12/07/2011 21:37, Fabien LE LEZ a écrit :
Quel genre d'attaques ? Quel(s) port(s) ? Quel type de données ?



Tout plein d'IP (> 1.000) qui balancent mass de données vers le serveur
(>100Mb/s).
A priori le port 80, mais les attaques sont encore en cours d'analyse et
pas grand chose dans les logs.
On dirait un mix entre du syn-flood et de l'overflow apache.

Au passage, si vous avez des infos sur comment analyser ce genre
d'attaque, je suis preneur.




Ben là déjà, c'est pas sur ton routeur qu'il faut filtrer, mais en
amont, parceque tant qu'ils t'enverront des paquets ils passeront sur ta
ligne et la satureront...

--
Le travail n'est pas une bonne chose. Si ça l'était,
les riches l'auraient accaparé
Kevin Denis
Le #23559681
Le 12-07-2011, Aéris
A priori le port 80, mais les attaques sont encore en cours d'analyse et
pas grand chose dans les logs.
On dirait un mix entre du syn-flood et de l'overflow apache.

Au passage, si vous avez des infos sur comment analyser ce genre
d'attaque, je suis preneur.



Un tcpdump -n -i eth0 -s0 -X -e posé quelque part pourrait être un
bon début pour te répondre. (inutile de mettre 1Go, hein. 10Mo me parait
un grand max).
--
Kevin
Publicité
Poster une réponse
Anonyme