Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 08/03/2013, à 07:28

Pierre Lhabitant

Filtrage réseau sous Linux et son avenir

Salut,


J'ai récemment installé Ubuntu 12.10 par curiosité et je dois dire que je suis surpris du résultat, tout s'est bien passé, et ce que je découvre est très intéressant.

Je n'ai pas trop de mal à m'adapter vu la qualité de ce site et la quantité de bonnes informations, j'ai néanmoins quelques observations générales à faire sur Linux et son avenir, inutile de crier au troll ou de me renvoyer au mode d'emploi (RTFM...) je m'en tape, un OS est fait pour s'adapter à l'utilisateur autant que possible.
Je passe sur les défauts bien connus à propos des jeux ou des pilotes, vu que Linux n'est pas un produit commercial, il ne peut pas toujours suivre l'évolution et c'est compréhensible du point de vue économique.

Ma remarque principale concerne le filtrage réseau, je bricole un peu dans ce domaine sans être professionnel sous Windows, j'ai lu la prose de beaucoup d'intervenants, pour une majorité Linux est sûr donc pas ou peu besoin de pare feu, d'autres sont plus éclairés et renvoient vers gufw ufw iptables netfilter.


Je trouve la protection réseau sous Linux un peu faible à mon goût, il est vrai qu'avec gufw le principal est fait, flux sortant autorisé, et flux entrant non désiré bloqué, mais se protéger d'un PC Windows sur le même réseau local est déjà plus compliqué, de même comment  faire facilement du filtrage applicatif? du filtrage de drapeaux? croyez vous vraiment que si Linux/UBuntu se développe comme il le mérite, sa protection réseau actuelle lui permettra de survivre à l'intérêt croissant des hackers?
Et l'IPv6?... ça va arriver, peut être dans très peu de temps, ce que l'on ne dit pas toujours c'est que des problèmes de sécurité réseau inconnus jusque là vont arriver (voir les conférences Black hat), les sites ne sont pas toujours près, et les administrateurs réseau professionnels non plus, Windows a une bonne avance et saura s'adapter pour maintenir sa relation client/fournisseur, mais Linux?
Si le côté proactivité, du genre injection de DLLs, peut être pris en charge par un antivirus de bonne facture, reste qu'il faudra filtrer en entrée, en SORTIE surtout en cas d'infection, et en local (netbios etc...) de façon aisée si ce n'est automatique comme peuvent le faire des suites antivirus pour Windows.

Je sais, je n'ai qu'à le faire cet outil, mais passé l'effet de manches, il reste que si Linux veut dépasser le 1% de parts de marché qui lui est scotché depuis pas mal de temps sur le dos, ou le conserver, il faudra bien qu'il évolue sur ce point.

Dernière modification par Pierre Lhabitant (Le 08/03/2013, à 07:29)

Hors ligne

#2 Le 08/03/2013, à 08:37

ssdg

Re : Filtrage réseau sous Linux et son avenir

1% De parts de marchés, regarde les super calculteurs et les serveurs webs (tu sais, ces trucs qui sont toujours connectés à internet, le tout sur des liens rapides (donc d'accès plus rapide pour une attaque)

Bah on voit bien que ce n'est pas des OS "grand public" qui sont là. (des unix proprios, des BSD et des linux, très peu de windows et dont les admins sont sans doute capables d'éditer directement la base de registre et de supprimer un paquet de services et/ou les remplacer par des versions à eux, mais en tout cas, des gens qui ne sont pas le "grand public" et qui font des choses que le "grand public" ne peut même pas envisager. (moi même, je crois que ce sont les seuls windowsiens qui savent ce qu'ils font)

Du coup, ce point sur lequel linux doit progresser me semble limité.

Par contre, la philosophie windows étant l'utilisateur à installé nimporte quoi, mintenant, il faut protéger l'utilisateur de sa propre connerie. (en filtrant au niveau des logiciels et non de ce que l'utilisateur veut faire de sa machine)

Pour Unix, on part du principe que l'utilisateur s'est renseigné sur ce qu'il installe et que donc un port ouvert par un logiciel installé l'est parce que l'utilisateur l'a choisit et l'utilisateur peut toujours venir affiner cet accès (exemple n'autoriser les connections au serveur de fichier que d'une certaine plage d'adresses sur le réseau.

Après, c'est le matin, j'ai mal dormi, je suis ronchon et donc moins pédagogue/sympathique que je ne le devrait wink


s'il n'y a pas de solution, c'est qu'il n'y a pas de problème... ou pas.

Hors ligne

#3 Le 08/03/2013, à 08:43

mydjey

Re : Filtrage réseau sous Linux et son avenir

Bonjour,

(je ne suis pas un spécialiste de la sécurité réseau mais ...)

Je passe sur les défauts bien connus à propos des jeux ou des pilotes, vu que Linux n'est pas un produit commercial

C'est pas exact de dire que Linux n'est pas un produit commercial, Linux c'est un noyau il peut très bien être utilisé commercialement, d'ailleurs il l'est : serveur, RedHat, BoxAdsL, embarqué, etc. etc.

pour une majorité Linux est sûr donc pas ou peu besoin de pare feu, d'autres sont plus éclairés et renvoient vers gufw ufw iptables netfilter.

Dire qu'il n'ya pas besoin de parefeu sur Linux ça reviendrait à dire : j'ai acheté, pour ma maison,  une porte blindée ultra sécurisée, du coup je ne la ferme pas à clef vu qu'elle est sécurisé. Idiot n'est-ce pas ? C'est pareil pour les parefeu et Linux.

croyez vous vraiment que si Linux/UBuntu se développe comme il le mérite, sa protection réseau actuelle lui permettra de survivre à l'intérêt croissant des hackers?

Linux se trouve sur plus de 70% des serveurs web dans le monde, si il n'était pas sécurisé tu crois vraiment que les hackers crackers n'auraient pas mis à bas tous ces serveurs depuis le temps ?

Et l'IPv6?... ça va arriver, peut être dans très peu de temps, ce que l'on ne dit pas toujours c'est que des problèmes de sécurité réseau inconnus jusque là vont arriver (voir les conférences Black hat), les sites ne sont pas toujours près, et les administrateurs réseau professionnels non plus, Windows a une bonne avance et saura s'adapter pour maintenir sa relation client/fournisseur, mais Linux?

Euh !? Je te laisse chercher mais à mon avis le support de l'IPv6 est présent dans le noyau depuis beaucoup plus longtemps que sous Windows, si problème de sécu il y avait, il serait réglé rapidement.

Tes questions me laissent croire que tu ne connais pas comment est développé le noyau Linux et que tu ne connais pas tous les domaines dans lequels il est utilisé, je te laisse te documenter sur la question, ça devrait répondre à pas mal de tes interrogations.

Dernière modification par mydjey (Le 08/03/2013, à 08:43)

Hors ligne

#4 Le 08/03/2013, à 08:48

tiramiseb

Re : Filtrage réseau sous Linux et son avenir

Salut,

Je réagis tout d'abord sur la phrase suivante :

pour une majorité Linux est sûr donc pas ou peu besoin de pare feu, d'autres sont plus éclairés et renvoient vers gufw ufw iptables netfilter.

Je me considère comme éclairé (étant donné que ça fait 15 ans que j'utilise Linux dont 10 ans à titre professionnel, consultant en système/réseau/sécurité) et je ne suis pas d'accord avec cette phrase.
Je me considère comme éclairé et je te confirme qu'il n'y a pas (ou peu, en effet) besoin de pare-feu, aujourd'hui, sous Linux.



Plus de détails, et réaction sur les points que tu soulèves...

Avant de parler de firewall et de protection en réseau, il faut se poser une question : que veut-on protéger ?

En ce qui concerne les flux entrants, un bon système Linux de bureau (comme Ubuntu et ses dérivés) n'est tout simplement pas concerné par ce genre de chose, par défaut.
Pourquoi ? Tout simplement parce qu'il n'y a pas de processus risqué en écoute sur le réseau.
Seuls les processus qui ont réellement besoin de communiquer sur le réseau (pour DHCP ou Avahi par exemple) y écoutent. Dans leur cas, et bien il ne faut pas les filtrer sinon le système ne marchera pas bien.
De manière plus générale, pour les flux entrants, il vaut mieux désactiver ou alors bien configurer les démons que l'on ne veut pas voir utilisés par le réseau.
Si on a toutefois le besoin d'un filtrage (si on veut par exemple interdire un poste précis et autoriser les autres...), on a en effet toujours UFW à disposition, avec son interface graphique gufw si nécessaire.

En ce qui concerne les flux sortants, on est censé savoir ce qui tourne sur son ordinateur.
Une distribution Linux ne fonctionne pas comme un PC Windows, notamment en terme d'installation de logiciels : tous les logiciels dont on aura raisonnablement besoin sont distribués au sein de la distribution Linux, supportés et mis à jour par l'éditeur de la distribution. Par conséquent, il y a infiniment moins de risque d'installer un logiciel malveillant sur un tel système. C'est, à mon avis, une des raisons qui font que ces logiciels malveillants sont, pour ainsi dire, inexistants sous Linux.
De plus, pour toute installation d'un logiciel le système demande le mot de passe administrateur (là où, sous Windows, un simple "oui" est demandé, et les gens ne lisent jamais ce qu'il y a à l'écran avant de cliquer sur "Oui" ou "OK" c'est bien connu.

croyez vous vraiment que si Linux/UBuntu se développe comme il le mérite, sa protection réseau actuelle lui permettra de survivre à l'intérêt croissant des hackers?

Il est clair que l'organisation et le fonctionnement actuels des distributions Linux rendent (et rendront) la tâche bien plus ardue aux pirates.
La faille, comme toujours, est entre la chaise et le clavier. Je vois bien trop souvent, sur ce même forum, des gens qui vont télécharger des .tar.gz et/ou dérouler des tutoriels obscurs alors qu'il leur suffirait d'installer un logiciel à partir de la Logithèque d'Ubuntu.

Je pense que, si d'ici quelques années ce système commence vraiment à prendre de l'ampleur sur le bureau, des logiciels seront développés pour lutter contre les résultats de ces mauvaises utilisations du système, le firewall applicatif personnel étant une potentielle solution.

Mais aujourd'hui, cela n'est pas nécessaire.


Et l'IPv6? [...] Windows a une bonne avance et saura s'adapter pour maintenir sa relation client/fournisseur, mais Linux?

Tu m'as l'air très mal renseigné. Linux supporte l'IPv6 depuis bien longtemps. Du code lié à l'IPv6 a été intégré au noyau Linux à partir de 1996, ce protocole étant pleinement supporté de manière stable depuis le noyau 2.6.0, sorti en 2003.

Linux est donc pleinement capable de fonctionner sur des réseaux IPv6 depuis au moins 10 ans.


Si le côté proactivité, du genre injection de DLLs, peut être pris en charge par un antivirus de bonne facture

Pour une telle injection, il faut vraiment que l'utilisateur fasse n'importe quoi.

J'aimerais préciser également le système de mises à jour.

Microsoft sort des mises à jour occasionnellement pour Windows, pour corriger les failles découvertes (récemment ou plus anciennement). De plus, les mises à jour de Windows sont pénibles à installer (redémarrage, etc).
C'est pourquoi un système Windows est souvent "troué", pas à jour. De plus, chaque logiciel soit gérer ses mises à jour lui-même.

De leur côté, les distributions Linux ont simplifié ce principe de mise à jour au maximum : un clic sur un bouton suffit pour mettre le système à jour, la plupart du temps sans besoin de redémarrer, et toujours en ayant la possibilité de travailler en même temps. Cela s'applique aussi bien au "coeur" du système d'exploitation qu'à toutes les applications installés par une méthode "officielle" (j'entend par là, pour Ubuntu, par la Logithèque et à partir des sources officielles d'Ubuntu).

reste qu'il faudra filtrer en entrée, en SORTIE surtout en cas d'infection

Je préfère l'approche actuelle des distributions Linux : mettre tous les efforts pour empêcher une infection plutôt que pour protégé après un infection.
« Mieux vaut prévenir que guérir »

et en local (netbios etc...) de façon aisée

Tu prends un mauvais exemple, étant donné que le protocole NetBIOS n'est pas utilisé sous Linux.
De manière générale, encore une fois, « mieux vaut prévenir que guérir ».

Si on met consciemment en place un logiciel qui nous place dans une situation à risque, alors on doit pondérer soi-même les risques.



PS : évite d'écrire "hacker", utilise plutôt les termes "cracker" ou "black hat"... je t'invite à lire http://fr.wikipedia.org/wiki/Hacker_(s% … ormatique)

Dernière modification par tiramiseb (Le 08/03/2013, à 08:52)

Hors ligne

#5 Le 08/03/2013, à 08:51

tiramiseb

Re : Filtrage réseau sous Linux et son avenir

mydjey a écrit :

Dire qu'il n'ya pas besoin de parefeu sur Linux ça reviendrait à dire : j'ai acheté, pour ma maison,  une porte blindée ultra sécurisée, du coup je ne la ferme pas à clef vu qu'elle est sécurisé. Idiot n'est-ce pas ? C'est pareil pour les parefeu et Linux.


Je ne suis pas d'accord.

Dans ta comparaison, le pare-feu ce n'est pas la clé qui ferme la porte, c'est le molosse que tu mets devant la porte pour compenser le fait que tu la laisses ouverte.

Car, sur un système Linux de bureau de base (comme Ubuntu), il n'y a aucune "porte" sur le réseau. donc aucune possibilité de la laisser ouverte, et aucune nécessité d'avoir un molosse.

Hors ligne

#6 Le 08/03/2013, à 11:47

Pierre Lhabitant

Re : Filtrage réseau sous Linux et son avenir

Merci pour les réponses, pour ceux qui tentent de m'expliquer que je n'ai pas tout compris, c'est vrai, mais mon avis sur le sujet "réseau" de Linux est déjà bien arrêté, et ne bougera plus beaucoup, c'est son talon d'achille.

J'ai besoin de ceci, comme je sais qu'il y a chez les gens de Linux des gens compétents, développeurs voire hackers, gufw peut il être amélioré de manière à protéger un peu mieux, au moins en local, et au mieux en local et dans le sens flux sortants?

Hors ligne

#7 Le 08/03/2013, à 11:56

tiramiseb

Re : Filtrage réseau sous Linux et son avenir

mon avis sur le sujet "réseau" de Linux est déjà bien arrêté, et ne bougera plus beaucoup, c'est son talon d'achille.

Ça c'est la meilleure. L'aspect "réseau" de Linux qui serait son talon d'Achille ?
On parle bien du même Linux ? Celui qui fait tourner la grande majorité des sites web (en réseau, donc) ? Celui dont la robustesse et la stabilité n'est plus à démontrer ?

Il me semble fort que, plutôt que d'essayer d'appréhender l'approche (différente) des distributions Linux, tu essaies de transposer des habitudes "windowsiennes", qui n'ont pas lieu d'être sous Linux...

Hors ligne

#8 Le 08/03/2013, à 12:16

ssdg

Re : Filtrage réseau sous Linux et son avenir

Les standards réseau ne bougeant plus, linux (et les unix) ne bougent plus non plus, normal.
Windows rattrape son retard (c'est bien), il est normal que ça bouge.

Mais vraiment, je ne comprends pas bien la notion de "protection entrante" (puisque, pour reprendre la métaphore de la porte:
Unix/linux, le nombre minimum de portes, si une porte existe, c'est qu'elle est nécéssaire et qu'elle donne sur quelque chose. à la limite, si le programme derrière ne le gère pas, tu peux jouer avec le pare feu intégré au noyau (zone alarm ? Mwarf) pour forcer tes règles spécifiques
Windows, on ne sait pas ce qui tourne à quel niveau (c'est la philosophie) tout le monde à un compte root et parcequ'il n'y a pas de gestionnaire de paquets, tout le monde installe ce qu'il veut ou il veut. (et le lance comme il peut (encore que, avec les différents niveaux de .profile, on peut se demander) et peut écouter sur n'importe quoi. Du coup, il a fallu trouver des paliatifs.

Maintenant, dit moi ce que peut apporter un pare feu accessible depuis n'importe quel utilisateur (y compris par un compte vérolé au Trojan, puisque tu me dit que les programmes à interdire sont déjà sur la machine). Mais pour être honnête, j'ai du mal à voir l'intérêt d'avoir sur sa machine une application qui essaie de faire des choses dans ton dos en envoyant je ne sais quoi, je ne sais où.


s'il n'y a pas de solution, c'est qu'il n'y a pas de problème... ou pas.

Hors ligne

#9 Le 08/03/2013, à 12:53

mydjey

Re : Filtrage réseau sous Linux et son avenir

tiramiseb a écrit :
mydjey a écrit :

Dire qu'il n'ya pas besoin de parefeu sur Linux ça reviendrait à dire : j'ai acheté, pour ma maison,  une porte blindée ultra sécurisée, du coup je ne la ferme pas à clef vu qu'elle est sécurisé. Idiot n'est-ce pas ? C'est pareil pour les parefeu et Linux.


Je ne suis pas d'accord.

Dans ta comparaison, le pare-feu ce n'est pas la clé qui ferme la porte, c'est le molosse que tu mets devant la porte pour compenser le fait que tu la laisses ouverte.

Car, sur un système Linux de bureau de base (comme Ubuntu), il n'y a aucune "porte" sur le réseau. donc aucune possibilité de la laisser ouverte, et aucune nécessité d'avoir un molosse.

Ce que tu expliques c'est que sous Linux (et Ubuntu), par défaut sans paramétrer aucunement de parefeu tous les ports sont fermés ?
Donc aucune machine du réseau local ne peux accéder à la machine Linux ?
J'ai bien compris ?

Hors ligne

#10 Le 08/03/2013, à 13:15

ssdg

Re : Filtrage réseau sous Linux et son avenir

Oui.

Edit : A la limite elle doit pouvoir être pingué (ping ipdelamachine linux renvoie une réponse) et il doit y avoir les services DHCP qui écoutent (encore que si tu force l'IP, ça doit se couper tout seul). Mais rien de ça ne permet d'acceder aux fichiers ou à autre chose de la machine.

Dernière modification par ssdg (Le 08/03/2013, à 13:17)


s'il n'y a pas de solution, c'est qu'il n'y a pas de problème... ou pas.

Hors ligne

#11 Le 08/03/2013, à 13:52

tiramiseb

Re : Filtrage réseau sous Linux et son avenir

mydjey: oui, en tout cas c'est ce qu'il se passe avec Ubuntu. Sauf pour certains trucs spécifique, comme le client DHCP comme l'explique ssdg, ou encore le protocole Zeroconf avec le logiciel Avahi qui, par nature, implique une écoute sur le réseau.

Tu peux le vérifier en exécutant la commande suivante sur une Ubuntu fraîchement installée:

sudo netstat -tlnpu

Après, il est tout à fait possible de faire une distribution Linux avec plein de logiciels en fonctionnement et plein de ports en écoute, mais c'est une démarche volontaire de la part de l'éditeur de la potentielle distribution en question.

Hors ligne

#12 Le 08/03/2013, à 14:18

Pierre Lhabitant

Re : Filtrage réseau sous Linux et son avenir

Merci de répondre à ceci, en fonction de vos disponibilités évidemment,

"gufw peut il être amélioré de manière à protéger un peu mieux, au moins en local, et au mieux en local et dans le sens flux sortants?"

Hors ligne

#13 Le 08/03/2013, à 14:29

tiramiseb

Re : Filtrage réseau sous Linux et son avenir

Pierre Lhabitant :

Avant de pouvoir répondre à ta question, on a besoin de savoir ce que tu appelles "améliorer" et ce que tu appelles "protéger un peu mieux".
Donc : que souhaiterais-tu voir amélioré dans ce logiciel ?




Quelques détails toutefois :

Gufw est une interface graphique qui permet de manipuler graphiquement l'outil en ligne de commande ufw (gufw = "graphical ufw" ou "gtk ufw").

Ufw est un logiciel en ligne de commande qui permet de manipuler le pare-feu du noyau Linux (Netfilter).
Ufw est en constante amélioration, pour lui adjoindre au fur et à mesure des fonctionnalités complémentaires, mais en terme de filtrage de base, en terme de besoins pour une machine de bureau, ufw implémentt déjà toutes les fonctionnalités qu'on attend d'un firewall.

L'interface gufw permet d'ores-et-déjà de configurer la règle de filtrage globale (policy), autant en entrée qu'en sortie ainsi que des règles spécifiques, selon les ports TCP ou UDP notamment.

Par ailleurs, je le rappelle une énième fois : un système de bureau Ubuntu n'a pas besoin d'un pare-feu pour être protégé.

Hors ligne

#14 Le 08/03/2013, à 16:00

Pierre Lhabitant

Re : Filtrage réseau sous Linux et son avenir

Tu n'es pas concerné par ma question par manque de disponibilité.

Pour les autres, un OS devant s'adapter aux besoins des utilisateurs, et pas le contraire, gufw peut il être amélioré en vue d'une prochaine augmentation du risque sécuritaire chez Ubuntu, du fait d'une augmentation de son utilisation, comme c'est arrivé à Apple?

Hors ligne

#15 Le 08/03/2013, à 16:13

tiramiseb

Re : Filtrage réseau sous Linux et son avenir

gufw peut il être amélioré en vue d'une prochaine augmentation du risque sécuritaire chez Ubuntu

Les autres te demanderaient la même chose : qu'appelles-tu "amélioré", que verrais-tu comme axes d'amélioration ?

J'ajouterais, en réponse cette dernière phrase que tu as écrite, deux questions :
- quel serait, selon toi, le risque sécuritaire à venir chez Ubuntu ?
- en quoi penses-tu qu'un pare-feu puisse, à lui seul, contrer ce genre de risques ?



Cela étant dit, si j'ajoute à ta question « gufw peut il être amélioré en vue d'une prochaine augmentation du risque sécuritaire chez Ubuntu » la précision que je t'ai donnée plus haut, indiquant que le risque viendrait plus des installations faites n'importe comment, l'amélioration en terme de "sécurité" viendrait d'un renforcement global des méthodes d'installation plutôt que d'une évolution d'un seul logiciel de pare-feu. D'ailleurs, un tel renforcement des méthodes d'installation a déjà eu lieu, par le biais de l'obligation d'utiliser des paquets et dépôts authentifiés avec une clé GPG. C'est déjà un premier pas dans ce sens.

Il faut bien que tu comprennes que sous Linux, on préfère traiter les problèmes à la source plutôt que trouver des palliatifs aux problèmes ultérieurs (« Mieux vaut prévenir que guérir »)

Tu n'es pas concerné par ma question par manque de disponibilité.

Mais qu'est-ce que tu racontes ? Sur cette discussion je suis l'auteur de la moitié des réponses, je suis tout à fait disponible pour te répondre, d'ailleurs je t'ai répondu ! Et si on regarde en quantité de détails donnés, tu vois bien que je m'implique à fond dans les réponses à tes questions, pour essayer de satisfaire tes besoins.

De plus, je pense que ssdg et mydjey seront d'accord, des trois personnes qui t'ont répondu je suis le plus compétent sur ce genre de question, étant donné que les serveurs, systèmes, sécurité et réseaux sous Linux c'est mon cœur de métier depuis plus de 10 ans...


Je précise que je ne réponds pas de cette manière pour t'embêter, j'essaie sincèrement de répondre à tes attentes mais, il faut se rendre à l'évidence, en leur forme actuelle tes questions n'ont aucune raison d'être par rapport à la manière dont Ubuntu et Linux fonctionnent. Je suis désolé, mais en leur forme actuelle, tes questions ne peuvent trouver de réponse car elles sont trop vagues ou mal ciblées.

Hors ligne

#16 Le 08/03/2013, à 16:23

tiramiseb

Re : Filtrage réseau sous Linux et son avenir

Sinon, on peut prendre ta question par l'autre bout :

gufw peut il être amélioré [...] ?

Gufw a pour objectif de gérer les règles de filtrage du pare-feu Linux de manière simple pour l'utilisateur lambda.
Aujourd'hui, cet objectif est atteint : on peut gérer les règles globales (policies) et les règles particulières.
Par conséquent, non Gufw ne va probablement plus évoluer des masses...

S'il y a un autre besoin, il pourra y avoir un autre logiciel éventuellement, mais probablement pas Gufw.

C'est ça aussi la logique sous Linux : un logiciel fait UNE chose, et il la fait bien.

Hors ligne

#17 Le 08/03/2013, à 17:31

Pierre Lhabitant

Re : Filtrage réseau sous Linux et son avenir

Tu n'es pas concerné par ma question.

Hors ligne

#18 Le 08/03/2013, à 18:04

Pierre Lhabitant

Re : Filtrage réseau sous Linux et son avenir

Je vois que je n'ai guère de chances d'avoir une réponse à ma question,
« gufw peut il être amélioré de manière à protéger un peu mieux, au moins en local, et au mieux en local et dans le sens flux sortants? »
C'est dommage, le discours souvent entendu du genre « le super noyau de Linux nous protège » ne tiendra pas dans le temps, avec une interface graphique claire, comme celle de gufw, il aurait été très utile de se protéger dans le réseau local, sachant qu'une attaque commence toujours par une intrusion avant de procéder à l'exploit (d'une faiblesse), avec Windows les hackers cherchent une porte d'entrée, chez Linux ils trouveront, le moment venu de leur intérêt pour cet OS, un hall d'entrée .

J'aurais souhaité pouvoir aisément contrôler si nécessaire chaque processus, chaque application (IP origine, IP destination, port départ, port destinataire, sens de la connexion), avoir la main sur ICMP, un journal détaillé et facilement accessible, en gros ce que fait depuis longtemps avec succès le pare feu de Windows, réponse ? On fait dans le dogme, pas besoin !...


Etant linuxien depuis peu, je dois reconnaître que certaines réactions, ne représentant pas nécessairement la majorité, se rapprochent de près de l'image que l'on peut avoir en surfant des linuxiens en général, surtout tournés vers leur nombril, euh pardon leur noyau, peu enclins à l'écoute, prompts à l'invective, parfois un peu mystiques dans leur argumentation .


Ce n'est pas grave, je vais m'intéresser à la syntaxe réseau d'Ubuntu, ça me passera le temps, et je modifierai ce qui doit l'être dans la mesure du possible, il n'y a pas urgence, Linux c'est un 1 % des OS, je connais un geek qui s'est fait plomber il y a peu avec ce système, pourtant il était très bien informé au niveau sécurité, Windows compris, mais les hackers ont d'autres chats à fouetter pour l'instant, j'ai du temps devant moi, et s'il y a vraiment danger, bah ! Windows 8 à jour avec une suite antivirus Bidefender ou Kaspersky c'est du billard, je sais, ça marche tout seul, pas marrant .



Merci quand même à ceux qui m'ont écouté un peu, bye.

Hors ligne

#19 Le 08/03/2013, à 18:12

Brunod

Re : Filtrage réseau sous Linux et son avenir

Par curiosité pour cerner le problème :
T'as quel âge ?


Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis

Hors ligne

#20 Le 08/03/2013, à 18:50

tiramiseb

Re : Filtrage réseau sous Linux et son avenir

Tu n'es pas concerné par ma question.

POURQUOI ?

Hors ligne

#21 Le 08/03/2013, à 19:07

tiramiseb

Re : Filtrage réseau sous Linux et son avenir

J'aurais souhaité pouvoir aisément contrôler si nécessaire chaque processus, chaque application (IP origine, IP destination, port départ, port destinataire, sens de la connexion), avoir la main sur ICMP, un journal détaillé et facilement accessible, en gros ce que fait depuis longtemps avec succès le pare feu de Windows, réponse ? On fait dans le dogme, pas besoin !...

Oh, maintenant tu dis enfin ce que tu aurais souhaité faire !!! On peut donc avancer.

(et même si je ne suis pas concerné par la question (huh!?) j'y réponds, eh ouais je suis tenace big_smile)

Le pare-feu de Linux, Netfilter, permet de faire du filtrage selon les processus.
Cela se fait grâce au module "owner", qui existe depuis de nombreuses années (je ne sais plus exactement depuis quand).

En cherchant un peu j'ai trouvé un logiciel qui s'appelle "Leopard Flower" qui semble faire ça, mais je ne l'ai jamais utilisé, je ne sais pas si ça répond exactement à ton besoin.

Je suis également tombé sur la page suivante, qui parle exactement de ce sujet :
http://stackoverflow.com/questions/5451 … unterparts

Concernant ta demande "avoir la main sur ICMP" j'ai du mal à comprendre ce que tu veux faire...

Le journal détaillé c'est faisable, par contre "facilement accessible", encore une fois je ne sais pas ce qu'il peut exister à ce niveau.

Il faut dire que pour ma part je m'intéresse surtout aux serveurs, les interfaces graphiques pour ça ne me passionnent pas des masses big_smile

En tout cas, les briques logicielles existent, il faudrait peut-être que quelqu'un programme un logiciel pour faire, finalement, un équivalent à ZoneAlarm.


avec Windows les hackers cherchent une porte d'entrée, chez Linux ils trouveront, le moment venu de leur intérêt pour cet OS, un hall d'entrée

Il est tout à fait possible que, pour une machine que quelqu'un fait exprès de ne pas tenir à jour, des failles soient exploitables. Mais ces failles sont très rapidement corrigées et les mises à jour rapidement fournies. Sur une machine maintenue à jour (ce qui est facile), alors la faille sera rapidement corrigée et la machine n'est plus "piratable".

Les pirates (crackers, pas hackers) recherchent les failles sur Linux de la même manière que sur Windows, c'est clair. Et ils en trouvent, c'est clair aussi. La différence c'est que les mises à jour, sur Ubuntu en tout cas, sont immédiatement disponibles, quelques heures après découverte de la faille en général. Il devient donc plus difficile de les exploiter.
Et ce n'est pas un firewall applicatif qui va les empêcher de continuer à trouver des failles...


Merci quand même à ceux qui m'ont écouté un peu, bye.

Je suis quasiment le seul à t'avoir écouté tout le long, donc "y'a pas de quoi" et bye...

Dernière modification par tiramiseb (Le 08/03/2013, à 19:08)

Hors ligne

#22 Le 08/03/2013, à 19:26

navtex

Re : Filtrage réseau sous Linux et son avenir

bonjour
une question en passant :Et pgld , c'est quoi ? ce ne n'est pas un pare-feu ?


Xubuntu sur CLEVO PA7 i5 32ram Jammy Jellyfish
ABientot sur le Libre

Hors ligne

#23 Le 08/03/2013, à 19:36

Pierre Lhabitant

Re : Filtrage réseau sous Linux et son avenir

http://linux.developpez.com/guide/


Voir surtout les paragraphes 9.4 à 9.7, la problématique réseau ne diffère pas de celle de Windows, mise à part une histoire de "démons" sans importance, qu'on se le dise, sur le risque potentiel l'auteur est sans ambiguïté, ça date de 2004 mais ça ne change rien, comme pour Windows, un port c'est port, il est ouvert ou fermé, par qui? pourquoi?

Sortir de son cadre de référence...

Hors ligne

#24 Le 08/03/2013, à 19:36

skons

Re : Filtrage réseau sous Linux et son avenir

bonjour a tous
les gens les plus fermés sont souvent ceux qui pensent détenir la vérité... sans  être méchant il est difficile
d'avoir une solution a une question si on écoute que ses propres réponses..
y a des gens que je trouve très patient sur ce site.. force est de le reconnaître
a+


cm: asusM4A77T/USB3; pross AMD PHENOM2 x4; 4 Go Ram; Ubuntu 64 (18.04 LTS); Video nvidia 512Mo...  et pas une trace de windows ..

Hors ligne

#25 Le 08/03/2013, à 21:26

tiramiseb

Re : Filtrage réseau sous Linux et son avenir

navtex a écrit :

bonjour
une question en passant :Et pgld , c'est quoi ? ce ne n'est pas un pare-feu ?

PeerGuardian est un logiciel qui met en place des règles de blocage basées sur une "blacklist" d'adresses IP. Il ne s'agit pas de filtrage applicatif.


Pour être précis : sous Linux il n'y a qu'un seul pare-feu, c'est Netfilter, qui se configure à travers la commande iptables. Tous les logiciels de type "firewall" sont en fait des interfaces de manipulation de Netfilter par l'intermédiaire d'iptables.

Hors ligne