Re: Intérêt d'ajouter iptables à un conteneur LXC dédié à OpenVPN ? [RESOLU]

8 réponses
Avatar
Olivier
--047d7b6704c3beeb1a04f3db4ce7
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Le 5 mars 2014 10:14, Olivier <oza.4h07@gmail.com> a =E9crit :

> Bonjour,
>
> Je pr=E9pare un conteneur LXC d=E9di=E9 =E0 OpenVPN.
> Par d=E9faut, iptables n'est pas install=E9 dans le conteneur.
>
> Ce conteneur recevra du trafic en provenance du WAN via une box de type
> Freebox sur laquelle une re-direction idoine (UDP/1194) aura pr=E9alablem=
ent
> =E9t=E9 mise en place.
>
> Les exemples de configuration d'OpenVPN sur le web mentionnent souvent de=
s
> r=E8gles iptables (exemple: [1]).
>
> Dans mon cas de figure (machine d=E9di=E9e OpenVPN), avant de basculer en
> production, j'aimerai savoir quel serait l'int=E9r=EAt d'installer iptabl=
es et
> d'y configurer des r=E8gles sp=E9cifiques ?
>
> Je pense que =E7a na pas d'int=E9r=EAt en terme de s=E9curit=E9 mais sera=
is ravi
> d'entendre vos avis sur la question.
>
> Slts
>
>
> [1] http://www.hermann-uwe.de/blog/howto-using-openvpn-on-debian-gnu-linu=
x
>

Je viens de faire un essai : je suis surpris de noter un nombre important
de tentatives de connexion sur le port 1194/UDP.

J'imaginais na=EFvement, qu'=E9tant donn=E9 sa destination (VPN), personne =
n'y
tenterai de connexion.
=C0 l'=E9vidence, ce n'est pas le cas et iptables m'a permis d'interdire
imm=E9diatement une IP source suspecte.

Slts

--047d7b6704c3beeb1a04f3db4ce7
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

<div dir=3D"ltr"><div class=3D"gmail_extra"><br><br><div class=3D"gmail_quo=
te">Le 5 mars 2014 10:14, Olivier <span dir=3D"ltr">&lt;<a href=3D"mailto:o=
za.4h07@gmail.com" target=3D"_blank">oza.4h07@gmail.com</a>&gt;</span> a =
=E9crit :<br>
<blockquote class=3D"gmail_quote" style=3D"margin:0 0 0 .8ex;border-left:1p=
x #ccc solid;padding-left:1ex"><div dir=3D"ltr"><div><div><div><div><div><d=
iv>Bonjour,<br><br></div>Je pr=E9pare un conteneur LXC d=E9di=E9 =E0 OpenVP=
N.<br></div>
Par d=E9faut, iptables n&#39;est pas install=E9 dans le conteneur.<br><br><=
/div><div>Ce conteneur recevra du trafic en provenance du WAN via une box d=
e type Freebox sur laquelle une re-direction idoine (UDP/1194) aura pr=E9al=
ablement =E9t=E9 mise en place.<br>

</div><div><br></div>Les exemples de configuration d&#39;OpenVPN sur le web=
mentionnent souvent des r=E8gles iptables (exemple: [1]).<br><br></div>Dan=
s mon cas de figure (machine d=E9di=E9e OpenVPN), avant de basculer en prod=
uction, j&#39;aimerai savoir quel serait l&#39;int=E9r=EAt d&#39;installer =
iptables et d&#39;y configurer des r=E8gles sp=E9cifiques ?<br>

</div><br>Je pense que =E7a na pas d&#39;int=E9r=EAt en terme de s=E9curit=
=E9 mais serais ravi d&#39;entendre vos avis sur la question.<br><br></div>=
Slts<br><br><br><div><div><div>[1]=20


=09
=09
=09
<a href=3D"http://www.hermann-uwe.de/blog/howto-using-openvpn-on-debian-gn=
u-linux" target=3D"_blank">http://www.hermann-uwe.de/blog/howto-using-openv=
pn-on-debian-gnu-linux</a>

</div></div></div></div>
</blockquote></div><br></div><div class=3D"gmail_extra">Je viens de faire u=
n essai : je suis surpris de noter un nombre important de tentatives de con=
nexion sur le port 1194/UDP.<br><br></div><div class=3D"gmail_extra">J&#39;=
imaginais na=EFvement, qu&#39;=E9tant donn=E9 sa destination (VPN), personn=
e n&#39;y tenterai de connexion.<br>
</div><div class=3D"gmail_extra">=C0 l&#39;=E9vidence, ce n&#39;est pas le =
cas et iptables m&#39;a permis d&#39;interdire imm=E9diatement une IP sourc=
e suspecte.<br><br></div><div class=3D"gmail_extra">Slts<br></div></div>

--047d7b6704c3beeb1a04f3db4ce7--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/CAPeT9ji=88-cQUmYZA68dNx-XCS1wJ6ggwLbPzU70v3=CraVFg@mail.gmail.com

8 réponses

Avatar
Bernardo
Fail2ban pourrait t'être utile dans ce cas...

Olivier a écrit :
Le 5 mars 2014 10:14, Olivier a écrit :

Bonjour,

Je prépare un conteneur LXC dédié à OpenVPN. Par d éfaut, iptables n'est
pas installé dans le conteneur.

Ce conteneur recevra du trafic en provenance du WAN via une box de typ e
Freebox sur laquelle une re-direction idoine (UDP/1194) aura
préalablement été mise en place.

Les exemples de configuration d'OpenVPN sur le web mentionnent souvent
des règles iptables (exemple: [1]).

Dans mon cas de figure (machine dédiée OpenVPN), avant de ba sculer en
production, j'aimerai savoir quel serait l'intérêt d'install er iptables
et d'y configurer des règles spécifiques ?

Je pense que ça na pas d'intérêt en terme de sécur ité mais serais ravi
d'entendre vos avis sur la question.

Slts


[1]
http://www.hermann-uwe.de/blog/howto-using-openvpn-on-debian-gnu-linux




Je viens de faire un essai : je suis surpris de noter un nombre importa nt
de tentatives de connexion sur le port 1194/UDP.

J'imaginais naïvement, qu'étant donné sa destination (VP N), personne n'y
tenterai de connexion. À l'évidence, ce n'est pas le cas et i ptables m'a
permis d'interdire immédiatement une IP source suspecte.

Slts



--
Cordialement,
Bernardo.

Le réel n'est jamais « ce qu'on pourrait croire » mais il est toujours
ce qu'on aurait dû penser...
-+- Gaston Bachelard ; La formation de l'esprit scientifique

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Avatar
Bzzz
On Wed, 5 Mar 2014 13:38:37 +0100
Olivier wrote:

> de type Freebox sur laquelle une re-direction idoine (UDP/1194)
> aura préalablement été mise en place.



Comme tu viens de le constater, mauvaise idée que d'utiliser
le port par défaut.
Tires-en un au sort et branches-toi dessus, ça élimine déj à
les scripts kiddies (pck ça prend un certain temps de scanner
64k ports).

> basculer en production, j'aimerai savoir quel serait l'intérêt
> d'installer iptables et d'y configurer des règles spécifiques ?



Ben il faut quand même que les packets puissent passer.

> Je pense que ça na pas d'intérêt en terme de sécuri té mais



Pas vraiment à partir du moment où ta conf est correctement
faite; DH2048, 1 certif par client, TLS, etc:
https://openvpn.net/index.php/open-source/documentation/howto.html#security

J'imaginais naïvement, qu'étant donné sa destination (VPN),
personne n'y tenterai de connexion.



Personne n'a sous-entendu que _tous_ les crackers étaient
intelligents (sans compter les sondes automatiques, et…
ton propre gouvernement)

À l'évidence, ce n'est pas le cas et iptables m'a permis
d'interdire immédiatement une IP source suspecte.



Tout dépend de l'interdiction, si c'est drop ça va, si c'est
reject, c'est relativement risqué parce qu'il y a des cons
très très cons (et qu'on est jamais à l'abri d'un 0-day ou
d'un DDOS).

--
Gynécologue, c'est un métier accessible aux sourds.
En effet il n'y a rien à entendre et on peut lire sur les lèvres.
-- Coluche

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Avatar
Sylvain L. Sauvage
Le mercredi 5 mars 2014 13:55:15 Bzzz a écrit :
[…]
Comme tu viens de le constater, mauvaise idée que d'utiliser
le port par défaut.



Parfois, c’est aussi la seule solution. P.ex. quand on veut s e
connecter depuis un réseau de paranoïaques¹ qui filtrent les
ports en sortie autres que les ports connus (53, 80…).

——
1. ce qui n’est pas un terme forcément péjoratif.

[…] 64k ports).



64 _ki_ ;o)

[…]
> J'imaginais naïvement, qu'étant donné sa destination (VPN),
> personne n'y tenterai de connexion.

Personne n'a sous-entendu que _tous_ les crackers étaient
intelligents (sans compter les sondes automatiques, et…
ton propre gouvernement) […]



Ce n’est pas parce que le port X est réservé / prà ©féré / le
port par défaut pour le service Y qu’on n’a pas le droit d’y
mettre le service Z.
Parfois (voir cas au-dessus), c’est une façon de contour ner
les pare-feu très stricts.

443 sert aussi dans ces cas. (Rarement le 80 parce qu’il pass e
plus souvent par un proxy, lequel jette les autres protocoles
que HTTP…)

--
Sylvain Sauvage

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Avatar
Bzzz
On Wed, 05 Mar 2014 15:52:56 +0100
"Sylvain L. Sauvage" wrote:

Parfois, c’est aussi la seule solution. P.ex. quand on veut se
connecter depuis un réseau de paranoïaques¹ qui filtrent l es
ports en sortie autres que les ports connus (53, 80…).



Je me rappelle d'avoir vu un pkg qui permet de faire des
redirections auto sur un seul port (c'est là que le bât
blesse: me rappelle plus de son nom).

Genre, sur le 80 tu peux avoir ton svr http, ton ssh et
autre chose encore.

SI c'est le cas, ça vaut le coup de le chercher (synaptic
ou grep direct dans le listing des pkg).

--
L'amour rend fou. Il n'y a que la guerre qui Rambo. -- Coluche

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Avatar
Bzzz
On Wed, 05 Mar 2014 16:26:25 +0100
Meutel wrote:

SSLH (http://www.rutschle.net/tech/sslh.shtml), ça permet
d'utiliser le même port pour HTTPS, SSH et OpenVPN. Indispensable
pour traverser des firewalls corpo. L'inconvenient étant que dans
les logs des services on perd l'IP source.



Aaah, dans l'cochon, comme disent les allemands ;)

Et puis, perdre l'IP source ça n'a que peu d'importance
(à part quand il s'agit de script kiddies).

--
C'est tout petit la Belgique : tu fais un excès de vitesse,
t'es déjà à l'extérieur... -- Coluche

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Avatar
Meutel
Le 2014-03-05 16:00, Bzzz a écrit :
On Wed, 05 Mar 2014 15:52:56 +0100
"Sylvain L. Sauvage" wrote:

Parfois, c’est aussi la seule solution. P.ex. quand on veut se
connecter depuis un réseau de paranoïaques¹ qui filtrent les
ports en sortie autres que les ports connus (53, 80…).



Je me rappelle d'avoir vu un pkg qui permet de faire des
redirections auto sur un seul port (c'est là que le bât
blesse: me rappelle plus de son nom).

Genre, sur le 80 tu peux avoir ton svr http, ton ssh et
autre chose encore.

SI c'est le cas, ça vaut le coup de le chercher (synaptic
ou grep direct dans le listing des pkg).

--
L'amour rend fou. Il n'y a que la guerre qui Rambo. -- Coluche



SSLH (http://www.rutschle.net/tech/sslh.shtml), ça permet d'utiliser le
même port pour HTTPS, SSH et OpenVPN. Indispensable pour traverser des
firewalls corpo. L'inconvenient étant que dans les logs des services on
perd l'IP source.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Avatar
Sébastien NOBILI
Le mercredi 05 mars 2014 à 16:00, Bzzz a écrit :
Je me rappelle d'avoir vu un pkg qui permet de faire des
redirections auto sur un seul port (c'est là que le bât
blesse: me rappelle plus de son nom).



Je suis fortement intéressé par la guérison de ton amnésie !

Seb

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Avatar
Bzzz
On Wed, 5 Mar 2014 16:38:39 +0100
Sébastien NOBILI wrote:

Je suis fortement intéressé par la guérison de ton amnà ©sie !



Meuhtel vient de donner la réponse.

--
[ ] Safeguard this message - it is an important historical document.
[ ] Delete after reading -- Subversive Literature.
[ ] Ignore and go back to what you were doing.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/