BOT - Trucs & Conseils
 
   

Cette page vous offre quelques Trucs et Conseils pour l'administration de BOT:

Copie de la configuration de BOT d'un serveur IPCop à un autre

Reduction du nombre d'entrées dans les journaux du pare-feu

Partage de fichiers/Jeux en-ligne

ICMP-Types (Ping / Pong)


Copie de la configuration de BOT d'un serveur IPCop à un autre

Parfois, il est nécessaire de copier la configuration de BOT d'un serveur IPCop à un autre. Par exemple, vous pourriez devoir:

  • Remplacer une vieille installation de IPCop par une nouvelle sur des machines différentes.
  • Copier la configuration de BOT d'une machine "test" vers une machine de production.
  • Préparer une machine de relève avec la configuration de production de BOT.
  • etc.

La routine d'Installation / Désinstallation de BOT sauvegarde et restaure automatiquement la configuration lors de l'installation/désinstallation. Voir Installation (en particulier la section 'Désinstaller BOT').

Copier la configuration de BOT d'un machine IPCop 'A' vers une machine IPCop 'B' se fait facilement. Il y a deux manières de copier les fichiers:

  • Si BOT est déjà installé sur la machine IPCop 'B', désinstallez-le d'abord.
  • Désinstallez (et réinstallez immédiatement) BOT sur la machine IPCop 'A'. La configuration actuelle sera sauvegardée dans /var/tmp/bot_conf/<BOT_VERSION>.
  • Copiez ensuite ce répertoire sur la machine IPCop 'B'.
  • À cause de la réinstallation de BOT, vous devrez activer BOT à nouveau sur la machine IPCop 'A'.
  • Ou créez un répertoire nommé /var/tmp/bot_conf/<BOT_VERSION> sur la machine IPCop 'B'. Assurez-vous que vous remplacez (<BOT_VERSION>) dans le nom du répertoire par le numéro de la version de BOT qui est installée sur la machine IPCop 'A'! La restauration de la configuration sur la machine IPCop 'B' ne fonctionnera correctement que si le nom du répertoire de BOT est valide! Pour la version 2.3 de BOT, le nom complet du répertoire est '/var/tmp/bot_conf/2.3', pour la version 2.2.2, c'était '/var/tmp/bot_conf/2.2.2', etc.
  • Copiez tous les fichiers du répertoire /var/ipcop/fwrules de la machine IPCop 'A' vers /var/tmp/bot_conf/<BOT_VERSION> sur la machine IPCop 'B'.

La configuration est maintenant sur la machine IPCop 'B' mais n'est toujours pas chargée dans BOT. Il y a une manière simple de la charger (voir Installation, section 'Désinstaller BOT' pour une description du méchanisme de sauvegarde / restauration):

  • RAPPEL: Si BOT est déjà installé sur la machine IPCop 'B', vous devez le désinstaller AVANT de copier la configuration de 'A' vers 'B' sinon la configuration copiée sera écrasée quand vous désinstallerez l'ancienne installation de BOT!
  • Maintenant, installez BOT sur la machine IPCop 'B'. La configuration (que vous avez précédemment copiée dans /var/tmp/bot_conf/<BOT_VERSION>) sera restaurée durant l'installation.

La configuration de la machine IPCop 'A' est maintenant copiée sur la machine IPCop 'B'.

Vous devez vérifier la configuration de BOT via le GUI afin de changer l'adresse MAC 'Administrateur' et le numéro de port HTTPS dans la configuration de BOT (au besoin).
La configuration de BOT utilise des variables, c'est à dire que si le "Réseau Vert" était 192.168.0.* sur la machine IPCop 'A' et que maintenant il est 10.0.0.* sur la machine IPCop 'B', BOT vérifiera les valeurs actuelles des variables du "Réseau Vert" et utilisera 10.0.0.* à l'avenir. Vous n'aurez pas besoin de changer la configuration pour l'adapter à la machine IPCop 'B'.
Vers le haut

 

Reduction du nombre d'entrées dans les journaux du pare-feu

Par défaut, une installation standard de IPCop génère une entrée dans les journaux pour chaque paquet de données bloqué par une des régles du pare-feu. L'idée derrière cela est de vous permettre de voir ce qui a été bloqué et de vous fournir des indices sur ce qui ne fonctionne pas (par exemple, une redirection de port ou un accès externe). Ainsi, en voyant les tentatives d'accès bloquées, cela vous aidera à cerner et régler le problème plus facilement.

Cependant, cela pose un problème: Beaucoup trop de paquets de données non-désirés sont bloqués et journalisés. (Hé! C'est bien pour cela qu'on a installé un pare-feu, non?). Toutes ces inscriptions au journal du pare-feu ont alors pour effet de faire grossir celui-ci très rapidement. Par exemple, sur un système IPCop standard, on pourra compter facilement plus de 10000 inscriptions par jour! On a donc maintenant 2 problèmes:

  • Les journaux que vous consultez dans le but d'identifier et de régler un problème sont remplis de nombreux messages non-désirés, ce qui vous empêche de trouvez rapidement l'information désirée.
  • De très nombreuses inscriptions aux journaux signifient des journaux beaucoup plus volumineux et requérant plus d'espace disque. Cela peut s'avérer un problème sur des systèmes ayant un espace disque limité, plus spécialement sur des systèmes utilisant des cartes flash où en plus le nombre d'opération d'écriture sur la carte est limité.

Heureusement, puisque que la majorité des paquets non-désirés sont dirigés vers quelques services uniquement, il est facile de réduire au minimum le nombre d'inscriptions générées dans les journaux du système. Seules quelques règles sont requises pour bloquer ce type de traffic sans toutefois journaliser les entrées. Une fois ces règles appliquées, le nombre d'inscriptions aux journaux sera réduit de plus de 10000 à moins de 100 par jour!

Maintenant pour la partie pratique: Quelles règles sont requises pour réduire les entrées aux journaux?

L'exemple suivant démontre comment éviter la journalisation de messages NetBios et TCP 445 provenant de "scripts-kiddies" qui s'amusent. Pour commencer, nous devons créer deux nouveaux groupes de services:

  • Groupe Deny: Ce groupe contient les services qui ne devraient pas être journalisés sur l'interface ROUGE. Par exemple, le service 'Microsoft-ds' (qui est en fait TCP 445), ne devraient pas être bloqué sur tous les interfaces (incluant les interfaces VERTE et BLEUE) puisque le WebGUI de IPCop utilise ce port et arrêterait de fonctionner si on le bloquait.
  • Deny Everywhere: Ce groupe contient les services qui devraient être bloqués sur chacune des interfaces. Ce groupe contiendra les services NetBios.

Ces deux groupes de services seront utilisés à l'intérieur de certaines règles "DENY" de BOT. Une règle ayant comme Interface source 'ANY' et comme Groupe de Services 'Deny Everywhere' et une autre règle ayant comme Interface source 'ROUGE' et comme Groupe de Services 'Deny Group'. Ces règles devraient être placées dans 'Autre réseau/Extérieur, et aussi dans 'Accès IPCop'. Normalement, on devrait seulement les placer dans 'Accès IPCop' mais j'ai déjà vu des messages pour ses services dans les journaux quand 'Autre réseau/Extérieur' ne contenait pas ses règles. Donc, quand ces services sont bloqués dans 'Autre réseau/Extérieur', vous ne devriez (normalement) plus voir de messages concernant ses services dans les journaux du pare-feu. Quand ces règles sont placées au début de la liste des règles, les paquets seront bloqués le plus tôt possible.

Les nouvelles règles "épurant le journal du pare-feu" apparaissent marquées d'un rectangle rouge dans l'exemple suivant:

Donc, lorsque vous regarderez les journaux de votre pare-feu et remarquerez plusieurs tentatives d'accès à un service en particulier, vous pourrez ajouter ce service à un des deux groupes de services "Deny" que nous venons de créer et ainsi vous journaux ne contiendront plus ces entrées à l'avenir.
Vers le haut

 

Partage de fichiers/Jeux en-ligne

Si vous voulez partager des fichiers avec un programme tel 'Torrent' ou jouer à des jeux en-ligne, vous avez besoin d'une règle spéciale de BOT. Spéciale, parce que chaque serveur 'Torrent' utilise un port (ou une étendue de ports) différents et que plusieurs jeux en-ligne se servent d'une multitude de ports TCP et UDP différents. Donc, avec BOT, vous auriez besoin de créer une règle pour chaque port ou un groupe de services contenant tous ses ports. Évidemment, cela fonctionnerait mais prendrait beaucoup de temps et serait compliqué.

Une manière plus simple (et moins restrictive) est de permettre l'accès à tous les ports "élevés" (high ports) (1024 - 65535). Les ports "connus" (The Well Known Ports) (0 - 1023) continueront d'être sous le contrôle de BOT, mais vous n'aurez pas besoin de groupe de services volumineux ou d'un paquet de règles BOT. Tant que vous jouez en-ligne ou que vous utilisez 'Torrent', vous activez cette règle spéciale et après vous la désactiver and alors BOT reprendra le contrôle de tous l'étendu des ports (0 - 65535) du pare-feu .

Services personnalisés (pour les "high ports"):

Règle de BOT pour le Partage de fichiers/Jeux en-ligne (marqué par un rectangle rouge):


Vers le haut

 

ICMP-Types (Ping / Pong)

Créez un règle BOT pour permettre le Ping est facile mais aussi un peu compliqué. Vous devez définir un service personnalisé avec ICMP (et avec les types ICMP si vous le voulez encore plus restrictif)

Comme exemple, nous avons défini deux services personnalisés avec des types ICMP appelés 'Echo-reply (pong)' et 'Echo-request (ping)' et un groupe de service avec ces deux services personnalisés.

Services personnalisés:

Groupe de Services:

Quand vous voulez permettre à un PC d'utilisez la commande Ping, vous devez créer un règle BOT "Allow" et sélectionner le groupe de service "Groupe Ping". Pour Pinger vers IPCop, vous devez selectionner 'Accès IPCop', pour Pinger vers l'Internet ou Pinger à partir de l'interface VERTE vers l'interface DMZ/BLEUE, vous devez sélectionner 'Autre réseau/Extérieur'. C'est tout, le PC devrait être maintenant en mesure d'utliser la commande Ping.
Vers le haut

 

Trucs & Conseils dernières modifications - 21 Mars 2006

IPCop - The Bad Packets Stop Here

BlockOutTraffic - The Firewall WebGUI Addon for IPCop


 
  Créé par dotzball (2006) | Design par wintermute