Table des matières
La mise en quarantaine
Elle se fait à 2 niveaux. Le premier est sur le serveur de log (qui détecte et prend la décision), le second est sur le firewall.
Sur le serveur de log
Il est capable de déposer les fichiers sur le firewall et de demander à celui-ci de relancer le firewall. Le nom de la routine est propagation.sh
#!/bin/sh ##################################################################### # # Script de redistribution des machines infectées et mise en place # des protections associées # # cd /usr/local/etc/quarantaine # # Sortie du processus de quarantaine des postes "protégés" # echo "Propagation de la quarantaine" egrep -v -f exceptions_renater.lst quarantaine.lst > propagation_renater.lst # # Heimdall # echo "Heimdall" scp propagation_renater.lst heimdall:/htdocs/quarantaine_univ-tlse1.lst ssh heimdall.univ-tlse1.fr /usr/local/scripts/quarantaine.sh # # Firewall # echo "Firewall" scp propagation.lst firewall:/usr/local/etc/firewall/quarantaine.lst ssh firewall.univ-tlse1.fr /usr/local/etc/firewall/quarantaine.sh
Quelques précisiond
- Heimdall est notre serveur WWW http://cri.univ-tlse1.fr
- exceptions_renater.lst contient notre réseau interne, la RFC 3330, des machines "amies" et les machines googlebot.
^193\.49\.48\. ^193\.49\.50\. ^193\.49\.51\. ^193\.49\.52\. ^193\.49\.53\. ^193\.49\.54\. ^193\.49\.55\. ^193\.49\.58\. ^192\.93\.172\. ^194\.254\.254\. ^194\.254\.255\. ^10\. ^192\.168\. ^66\.249\.65\.[0-9]+$
Le firewall
Dans la chaine iptables, se trouve une ligne, à positionner très tôt (pour bloquer très vite) qui contient ceci :
iptables -A FORWARD -j TEST_QUARANTAINE
Elle est précédée d'une définition de la chaine de rejet QUARANTAINE.
iptables -N QUARANTAINE iptables -A QUARANTAINE -j LOG --log-prefix "QUARANTAINE " iptables -A QUARANTAINE -j DROP
Dans le répertoire /usr/local/etc/firewall se trouve le fichier quarantaine.sh qui modifie la chaine TEST_QUARANTAINE
#!/bin/sh cd /usr/local/etc/firewall iptables -F TEST_QUARANTAINE LISTE_MACHINE=`cat quarantaine.lst` for i in $LISTE_MACHINE do iptables -A TEST_QUARANTAINE -s $i -j QUARANTAINE done