Peerguardian 2 pour Linux

[dokuro]

Lorsque que l’on a un serveur ouvert sur internet , on s’expose à toutes sortes de menaces. Alors on peut avoir un anti-virus, un système anti DDOS comme celui fourni par ovh, rkhunter pour scanner votre machine, mais toutes ces solutions sont bien souvent des remèdes. Comment se protéger en amont de ses menaces? Comment se prémunir des scans ou de parc de zombies?

La seule et unique réponse que j ai trouvé est votre firewall. Jusque la vous allez me dire : sans rire voila un grand comique, comme si on était pas au courant !!!

Mais comme toute solution le firewall a aussi plusieurs faiblesses.

Dans le principe vous allez bloquer des ports, ou des ips. Mais comment connaître les ips?

Soit lors d’une attaque en analysant les logs vous relevez l’IP de l’attaquant et la blacklistez, soit un logiciel comme fail2ban le fait. Mais on reste la encore dans le remède et l’attaque a déjà eu lieu et a pu avoir de nombreuses conséquences.

Dans cet article, je vais vous présenter un système normalement utilisé par les ‘pirates du p2p’ pour se protéger de Hadopi ou de la RIAA que nous allons retourner à notre avantage.

 

Peerguardian 2

Peerguardian dans sa version 2 pour linux, est une surcouche à votre firewall. Il va se nourrir d’une ou plusieurs listes d’ip considérées comme dangereuses pour faire votre blacklist. Traduction : un attaquant ne pourra même pas arriver jusque vous et débuter un scan ou une attaque, grâce à peerguardian.

Comme je le disais plus haut à la base peerguardian comme son nom l’indique est un logiciel pour particulier qui s’adonne au téléchargement disons pas très légal. Et pour éviter de se faire sniffer et repérer par les ayants droits, ils utilisent ce petit logiciel. Mais il existe plein d’autres listes contenant les ips de spammeur, les ZBOTS , spyware et compagnie.

Vous trouverez toutes les listes ici : https://www.iblocklist.com/lists.php

 

Installation

On edite le fichier source.list

 

 

vim /etc/apt/sources.list

et on rajoute :

 

deb http://moblock-deb.sourceforge.net/debian wheezy main

deb-src http://moblock-deb.sourceforge.net/debian wheezy main

on installe les clés.

 

gpg --keyserver keyserver.ubuntu.com --recv-keys C0145138

gpg --export --armor C0145138 | apt-key add -

gpg --export --armor C0145138 | apt-key add -

et l’on met à jour les dépôts :

 

 

apt-get update

on peut maintenant installer peerguardian :

 

 

apt-get install pgld pglcmd iftop

je rajoute le paquet iftop afin de pouvoir regarder le trafic en temps réel.

Configuration

la configuration ce fait sur 3 fichiers :

/etc/pgl/pglcmd.conf : fichier de configuration principal

/etc/pgl/allow.p2p : fichier de whitelist

/etc/pgl/blocklists.list : fichier contenant les urls des listes à aspirer lors de la mise à jour

Le fichier pglcmd.conf est vide, personnellement j ai rajouté deux choses :

Mes serveurs sont en lan derrière un firewall et je veux pas bloquer la communication entre eux donc j ai mis :

WHITE_LOCAL= »1″

et pour etre sur que ca marche :

 

WHITE_IP_IN="192.168.11.0/24"

WHITE_IP_OUT="192.168.11.0/24"

ensuite j’automatise les mises à jour

 

 

CRON="1"

il faut bien sur adapter la plage ip à vos besoins.

Ensuite pour whitelister un client ou votre propre ip éditez le fichier allow.p2p

Le fichier fonctionne de cette manière pour whitelister le bureau par exemple qui a l ip 1.1.1.1 vous rajoutez la ligne

bureau:1.1.1.1

et le tour est joué, vous pouvez aussi mettre des plages d ip.

Pour la gestion des listes éditons les fichiers blocklists.list

il suffit alors tout simplement de dé-commenter et commenter les urls de listes dont le nom est bien souvent suffisamment parlant pour savoir de quoi il en retourne.

exemple :

 

http://list.iblocklist.com/lists/bluetack/web-exploit

 

ATTENTION : Avant de lancer pglcmd pensez à whitelisté votre ip !!! sinon vous pouvez vous retrouver blacklisté !

Utilisation de Peerguadian

Voici les lignes de commandes

pglcmd start demarre pgl et inject les régles dans iptables pglcmd stop stop pgl et purge iptables pglcmd restart restarts pgl. pglcmd reload reconstruit la liste local et la charge dans pgl pglcmd update Met a jour et reconstruie la liste local et reload dans pgl pglcmd status montre iptables pglcmd test pour faire un test pglcmd search PATTERN permet de rechercher une liste par rapport au mot clé PATTERN pglcmd stats voir les stats de pgl pglcmd reset_stats reset les stats de pgl pglcmd show_config Permet de voir la configuration actuel

Et après :

Si ca vous intéresse et pour vous rendre compte que le net est un monde dangereux regardez les logs des ips bloqués :

 

 

tail -f /var/log/pgl/pgld.log

j’ai trouvé aussi le pglcmd stats très intéressant .

En conclusion

Peerguadian est une surcouche pour votre firewall qui ne manque pas d’intérêt. On a vu que sa grande force est justement de se nourrir de listes et donc de bloquer des attaques relevées par d’autres que vous.

Malheureusement il y a un revers à la médaille. En effet, les listes bloquent de larges plages d’ip, chez free par exemple et ovh.

On peut donc blacklister des internautes sans le savoir et rendre son site ou webservices inaccessible.

Il existe toute fois une page permettant de vérifier une ip

https://www.iblocklist.com/search.php

mais je n’ai pas trouvé comment se faire déblacklister à part bien sur peut être par le formulaire de contact.

A utiliser donc mais avec des pincettes surtout pour de la prod