Forum Freedom-IP

Forum d'entraide de la communauté Freedom-IP

Vous n'êtes pas identifié(e).

#1 2017-03-02 18:59:47

bootstrap
Membre
Inscription : 2012-04-10
Messages : 82

une petite astuce de sécurité

bonjour

contrairement à ce que pourraient penser certains, les équipes d'identification ne procèdent pas continuellement à des actes d'attaque mais en réalité ils ont souvent recours à des procédés passifs (sit and wait). càd qu'ils lancent la surveillance et attendent que la cible finisse par commettre une erreur. et ça marche presque à tous les coups.

une des erreurs exploitées par ces équipes est la coupure intempestive des vpn.

en fait lorsque le vpn coupe brusquement les données sont transférées automatiquement sur la route par défaut "physique", ainsi l'ip réelle est divulguée.

la solution à ce problème est très simple et consiste à:

1. supprimer la route par défaut.
2. ajouter (s'ils ne sont pas déjà présents) des routes spécifiques (dits hosts) vers les ip des serveurs vpn employés.

exp (linux):

supposons que
-mon gateway est la 192.168.1.1
-mon ip du serveur vpn est 99.99.99.99

1.supprimer la route par défaut:

sudo route del default gw 192.168.1.1

2. ajouter le host vpn:

sudo route add -host 99.99.99.99 gw 192.168.1.1

3. vérifier la table de routage

route -n

il est vrai que ces commandes sont provisoires (annulées au redémarrage) mais il est possible de les rendre permanentes via rc ou bien ifup/ifdown.

NB:  j'ai choisi de ne pas poster les commandes windows (bien que semblables à celles de linux) car micro$oft n'a pas prévu la récupération de la table de routage par défaut (contrairement à linux les modifications de la table de routage sous windows sont permanentes). donc si vous êtes sur windows et que vous ne maîtrisez pas la gestion de la table de routage alors SVP n'en faîtes rien.

bonne chance à tous.

Hors ligne

#2 2017-03-02 19:13:07

David
Bof !!!
Inscription : 2012-01-30
Messages : 6 117

Re : une petite astuce de sécurité

Bonsoir ...

Pour le linux qui utilise les serveurs VPN j'ai, pour la configuration de ma carte réseau, "/etc/network/interfaces.d/eth0" (je n'ai pas mis toutes les lignes, la raison des '...') :

allow-hotplug eth0
iface eth0 inet static
	address 192.168.0.4
	netmask 255.255.255.0
	network 192.168.0.0
	broadcast 192.168.255
	post-up route add -host 5.135.29.52 gw 192.168.0.1 dev eth0
...
	post-up route add -host 94.23.190.160 gw 192.168.0.1 dev eth0
...
	post-up route add -host 94.23.190.128 gw 192.168.0.1 dev eth0

Cordialement, David.


C.G.U.                Règles

Hors ligne

#3 2017-03-02 19:44:30

bootstrap
Membre
Inscription : 2012-04-10
Messages : 82

Re : une petite astuce de sécurité

salut david

vous avez choisi la solution statique (ifup/ifdown) et c'est la meilleur solution (à mon avis).
mais je ne vois pas la post-up qui supprime la route par defaut: (peut être vous avez choisi de ne pas la lister)

post-up route del default gw 192.168.0.1 dev eth0

sinon je n'ai aucun doute que votre config est correctement protégée contre les fuites.

le pb est en revanche  très sérieux pour les utilisateurs de windows.

bien à vous.

Dernière modification par bootstrap (2017-03-02 19:45:29)

Hors ligne

#4 2017-03-02 19:49:07

David
Bof !!!
Inscription : 2012-01-30
Messages : 6 117

Re : une petite astuce de sécurité

Re ...

Non ... pour ajouter la route par défaut, il aurait fallut ce type de ligne:

gateway 192.168.0.2

C'est d'ailleurs pour cela que l'interface réseau est configurée en statique car avec le DHCP, je n'ai pas trouvé comment supprimer la route par défaut :

auto eth0
    allow-hotplug eth0
    iface eth0 inet dhcp

Cordialement, David.


C.G.U.                Règles

Hors ligne

#5 2017-03-02 19:57:27

bootstrap
Membre
Inscription : 2012-04-10
Messages : 82

Re : une petite astuce de sécurité

re

effectivement c vrai vous n'avez pas désigné la passerelle et donc la route par défaut n'est pas automatiquement ajoutée par la ifup.

alors tout est ok pour vous. c tout à fait prévisible  smile

Hors ligne

#6 2017-03-02 20:00:32

David
Bof !!!
Inscription : 2012-01-30
Messages : 6 117

Re : une petite astuce de sécurité

Re ...

Exactement, et comme vous l'avez bien noté dans votre premier message, sans route par défaut, rien ne sort par le réseau de la machine si elle n'est pas connectée à l'un des serveurs VPN smile

Elle communique très bien avec l'intranet et seulement avec les serveurs VPN pour lesquels les routes ont été ajoutés devil

Cordialement, David.


C.G.U.                Règles

Hors ligne

#7 2017-03-02 20:17:46

bootstrap
Membre
Inscription : 2012-04-10
Messages : 82

Re : une petite astuce de sécurité

tout à fait d'accord.
espérons que ceci soit utile aux abonnés de FIP
bonne continuation.

Hors ligne

#8 2017-03-23 14:07:19

Murdock
Membre
Inscription : 2015-01-04
Messages : 19

Re : une petite astuce de sécurité

Bonjour messieurs,

j'ai une question à vous soumettre : sachant que les IP des serveurs de FIP changent constamment, comment faites-vous pour rester à jour ?

Je veux dire, lorsque vous faites un

sudo route add -host 99.99.99.99 gw 192.168.1.1

ou un

post-up route add -host 5.135.29.52 gw 192.168.0.1 dev eth0

vous connaissez à l'avance l'IP du serveur, mais comment savez-vous qu'elle correspond encore à un serveur FIP ? Et comment faites-vous avec les éventuelles futurs nouvelles IP ?

Pour tout vous dire, je passe par des règles iptables pour pallier aux coupures du VPN (règles très fortement inspirées par ce post : https://freedom-ip.com/forum/viewtopic.php?id=6440&p=2)

Le problème, c'est bien sûr ce passage :

servers=$'nl.freedom-ip.com'

for FIP in ${servers[@]};do
iptables -A INPUT -i wlan0 -s $FIP -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o wlan0 -d $FIP -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
done

On passe ici par le nom de domaine nl.freedom-ip.com, iptables le résout lors de l'exécution du script : tout va bien. Mais à la première déconnexion/reconnexion du vpn, il y a de forte chance pour que je sois connecté au vpn via une autre IP, et là plus rien ne passe puisque iptables n'est plus "à jour".

En fait, à part réinitialiser régulièrement les règles du part-feu (ce qui ne me semble pas folichon), je ne vois pas bien comment faire.
Et les solutions que vous proposez ici sont séduisantes mais ne répondent pas à ce point précis.

Vous remerciant par avance,

Cordialement

Hors ligne

Pied de page des forums