The DALnet Open Proxy Team (wg@dal.net)

Version Française (non finalisée)

 

*ATTENTION*- Notice importante ..   S'IL VOUS PLAIT LISEZ
Dû a la quantité importante d' abus d'ouverture d'open proxy par certains utilisateurs nous avons dû implanter un scanner sur le  port 23 et 1080 couvrant la connection à DALnet. Si vous rencontrez un scanner après vous êtes loggé sur le serveur après 5 premières minutes vous pourrez voir et   saurez si vous N'ETES PAS le bienvenue sur DALnet ou plutôt   de raccourcir les tentatives d'abus que l'on reçoit chaque jour des open proxies.  Ces scanners peuvent et doivent venir de différents hosts cela dépend du serveur où vous vous êtes connecté.  Mais soyez assuré que CHAQUE serveur DALnet aura scanné les proxies insécurisés et  rejettera les utilisateurs qui accède au réseau par cette méthode. En-dessous
vous trouverez les informations dont vous avez besoin pour sécurisez votre proxy qui est la seule méthode pour se connecter à DALnet et utiliser de tels programmes.  NOTA: Ces connections sont totalement légales juste que les pings et trace routes ne feront et ne causeront aucuns dommages a l'ordinateur et qu'ils ne sont pas non plus du "hack" où des " attaques DoS ".


Note spéciale pour les utilisateurs BANNED (Banni):
Dû aux excessives attaques de clones, spam, publicité en masses, et proxies non sécurisés, les utilisateurs avec le " ~ " précédant leur username (qui, non pas activés l'identité serveur sur leur machine) ont été bannis de tout les serveurs DALnet , sont inclus " gate.dal.net".  Une seule fois vous aurez à installer l'ident daemon sur ton ordinateur ou la réinstaller une nouvelle fois pour être capable d'établir une connection à DALnet.  Il y a différentes possibilités pour configurer une identité serveur sur votre machine, Tout dépend de votre  système d'exploitation et de la configuration.  Pour exemple, mIRC se connecte en créant une  identité serveur ( identd server ).  Si vous avez besoin de plus d'assistance pour ça, nous ferons de notre mieux pour vous aider ou vous diriger vers un site web pour obtenir les instructions nécessaires.  Nous nous excusons pour tout les inconvénients que cela peut vous causer, mais nous pensons que cette solution est nécessaire pour freiner tout ces abus.

Pour activer  l'identité serveur sous mIRC cliquer sur "general options" (C'est le même endroit que pour avoir la liste des serveurs )donc cliquer sur " identd ".  Mettez une croix dans la  boîte en haut pour rendre active l'identité serveur (enable identd server).  Aussi placez un nom de votre choix dans le champ "User ID ", laissez le reste par défaut.

                   (identd dans mIRC)

Pour les utilisateurs de Pirch vous pouvez activer votre identd en cliquant sur "tools" et aller à "identd".  Mettez une croix dans la boîte pour l'activer et mettez un User ID de votre choix.  Laissez le reste par défaut.

Linux IP-masquerading
Pour certains de vous qui avez des problèmes quand un réseau local d'ordinateurs fonctionne sous Linux IP-masqing server ,essayez de télécharger oidentd-1.6.2.tar.gz.   Lisez et suivez les Instructions d'installation. N'Oubliez pas d'ajouter -m derrière le flag et  oident -i dans le fichier inetd.conf   et de créer le fichier oidentd.users  pour permettre l' IP-Masq. de fonctionner avec l'ajout de ce fichier!


Serveurs Proxy
Les Proxy serveurs permettent un accès sans restriction  à n'importe quels ordinateur. Cela veut dire que n'importe qui dans le monde peut utiliser votre machine, et ainsi que votre connection IP adresse, pour toutes utilisations qu'il souhaite. C'est le règlement de "The DALnet IRC Network" qui ne permet pas ces connections. De tels connections aboutissent au Spam, Rumeurs d'attaques des services et dans quelques cas des dommages sur l'ordinateurs d' utilisateurs.  L' information suivante provient du site: http://www.wingate.net/secure-wingate.htm et peut être très utile pour sécuriser votre serveur proxy

Sécurités Internet et wingate
Suite à l'augmentation par la quantité d'articles de presse et de publicités concernant la non autorisation d'utiliser les  proxy/firewalls pour remplir d'illicites activités qui pouvaient être attribuer a un firewall utilisateur. Le nombre de ces articles a fait augmenter les  utilisateurs de WinGate. Cette page est une source d'information pour dire aux utilisateurs comment palier, Et comment ils peuvent défendre eux-mêmes les abus répéter sur leur système.

Pourquoi ferais-je  quelque chose?
Il y a de fâcheuses personnes en dehors d'ici qui passent pas mal de temps à regarder pour outre-passer  les mesures de sécurités utilisés de plus en plus  par les ISPs pour contrecarrer les spammeurs - Ce sont des gens qui envoient de gros volumes d'email non solliciter a des listes d'adresses émail . Cette façon d'outre-passer la sécurité des ISP , fait apparaître que ce sont des client valide d'ISP (Internet Service Provider). Cela peut être fait à travers un programme proxy tel un WinGate, si il n'a pas été configuré correctement au niveau sécurité.

Donc. En  règle générale,  en premier lieu pour stopper   les pratiques de ces gens, ce qui peut vous être incombé; est en faite le résultat lorsque votre connexion se termine, vous devrez vous assurer que votre installation du serveur proxy est sécurisé contre des utilisateurs non autorisés.

Comment dois-je faire?
Il y a plusieurs  méthodes pour sécuriser un WinGate, ceci ne vous prendra que peu de temps  pour l'implanter.

Il y a  2 méthodes pour  sécuriser l'accés.

1. Logiquement, par les règles. Cela concerne la configuration des règles comme à qui peut ou ne peut pas faire certaines choses dans le WinGate.
2. Physiquement. En reliant le service a une interface spécifique  (voir ci-dessous ), que le service est simplement non accessible depuis une autre interface, soit en reliant le service à votre adapteur réseau LAN , vous pouvez facilement bloquer tout accès provenant d' Internet.

Vous pouvez aussi choisir un compromis de ces deux méthodes, cela dépend de ce que votre accès exige. Ici il y a différentes façons, et d'exemples typiques de sécurisés votre accès.

Exemple: Un petit réseau LAN utilisant WinGate Lite ou une version gratuite pour un accès au net. Ne fonctionnant pas avec plusieurs serveurs, dont tu as besoin pour accéder de l'internet.

Scénario le plus courant.

Option 1

Si tout les services utilisent  la sécurité lors de l'installation par default, tu devras simplement suivre les étapes suivantes.

1. Ouvre GateKeeper et prend le login Administrateur dans WinGate .
2. Double cliques sur "Policies", et double cliques sur "Default Policies"
3. Sélectionne juste "Users can access services"
4. il y aura  seulement une possibilité ici - "Everyone". Double cliques sur cette possibilité.
5. Sélectionne the Location tab.
6. Sélectionne  "Specify locations from where this recipient has rights"
7. Ajoute l'IP adresses suivantes  en sous Incluant comme locations: 127.0.0.1, et le premier des trois nombres de  ta machine WinGate pour la carte réseau  suivi par un " .* "- Pour exemple si ta carte réseau a l'adresse IP 192.168.0.1, alors tu  mettras 192.168.0.*. Si tu n'as plus d'une carte réseau   sur ta machine WinGate  alors tu devras entrer pour chacune d'elles les informations  requises pour avoir accès au WinGate.
8. Tout est OK, et n'oublie pas de sauvegarder les changements.

Maintenant seulement ton réseau d'utilisateurs LAN peut accéder au service de WinGate. Si chacun de tes services utilisent leurs propres réglages plutôt que  les réglages globaux, tu peux affiné cette action pour chaque configuration bénéficiaire en leur allouant des règles spécifiques pour chaque service.

Méthode Alternative utilisant l' option 2.

Parce que la version Lite  de WinGate ne peut pas être relier a plus d'un service pour une interface (WinGate 2.1 Pro peut le faire), en premier utilise l'option 2, pour relier les services, tu as besoin de  créer un service séparé pour chaque interface, tu as besoin  de les relier entre eux.Le minimum est de 2- l'interface locale, qui est utilisé pour ta seconde licence d'utilisateur gratuite, et l'interface de ta  machine WinGate utilisant la carte réseau. Pour chaque carte réseau LAN dans ta machine tu as besoin de créer un autre service et le relier à la carte réseau LAN de son adresse IP.

Pour relier un service à l'interface fait ce qui suit:

1. Ouvre GateKeeper et prend le login Administrateur de WinGate.
2. Double cliques sur "Services" sur le carré droit disponible.
3. Double-clique sur le service que tu veux modifier.
4. Le "General"  que tu vois devant tu a une option dessus - "Bind to specific interface" - active cette option, et tape  l'adresse de  l'interface que tu veux relier. l'adresse de l'interface est l'adresse IP  de la carte réseau LAN dans ta machine WinGate , ou 127.0.0.1 pour une utilisation de la version gratuite (localhost ou réseau local ).

Nota - tu ne peux pas changer les liaisons dans le "Remote Control Service" de la version WinGate Lite.

Que faire si  mon serveur fonctionne derrière un WinGate qui requiert un accès public ?

Nous recommandons de ne pas utiliser un accès public au server via Telnet ou SOCKS. Si vous devez le faire, veuillez surveiller quelles requêtes le serveur fera. vous devrez requérir des utilisateurs de ces services d'etre authentifier ( de certifier ) si ils se connectent de l'internet. Cela sera une garantie contre les utilisateurs non autorisés. Autrement vous pouvez spécifier ou un utilisateur peut se connecter à, ou a quels moments.

Pour le service WWW (world wide web) , si vous tournez avec un serveur WWW avec un WinGate, vous pouvez stipuler que les internautes puissent seulement se connecter à votre serveur interne WWW ,et les utilisateurs internes puisse se connecter en dehors.

Techniques générales et conseils.

Cette premiere question est "Ai-je réellement besoin de permettre un accès a ce service de l' Internet, et Pourquoi?". Simplement les raisons qui requièrent un accès de l'internet sont relativement rares.

1. vous voulez peut-être lancer le serveur mail, WWW , ou d'autres serveurs sur votre réseau LAN qui requièrent un accès de l'internet.
2. Avoir la possibilité de requérir a un domaine particulier via telnet sur votre serveur Unix.
3. Avoir la possibilité d'exiger pour de quelconques liaisons sécurisées inter-entreprise.

Si non de ces applications, vous avez besoin de vous poser la question sérieusement pourquoi vous permettriez l'acces de l'internet a un service.

Il y a plusieurs façons et moyens de spécifier différents accès correctes cela dépend de l'endroit ou l'utilisateur accède a WinGate. soit vous pouvez créer des duplications  des services liés à différentes interfaces avec différentes règles par service, soit vous pouvez le faire avec un seul service, avec un emplacement et les règles de bases.

E.g. le service POP3  utilise un service avec des règles spécifiques. Crée deux comptes appelé chaqu' un -le premier est restreint par localisation, et devra être connecter a votre réseau  LAN. le second peut être connecter a tout le monde, mais être restreint par une requête - Permettez seulement  les connections à certains serveurs ou ports.

Plus d'aide à votre portée.

La documentation qui est jointe avec WinGate donne plus d'information sur la  sécurités, et vous pouvez toujours trouver l'aide chez les utilisateurs du forum et sur la liste du support technique. Aller voir les pages du support technique pour savoir comment utiliser ces services libres.

Essayer toutes les étapes ci-dessus après contactez nous via émail. d'autres questions peuvent être directement poser à  wg@dal.net

 

Dernière Modification par: kline-www@dal.net
Copyright © 2000 The DALnet IRC Network.  Tout droits réservés.
Révision: 12 Mar 2002.
Many Thanks goes to Geo__ for making this page possible.