Contenu | Rechercher | Menus

Annonce

Si vous rencontrez des soucis à rester connecté sur le forum (ou si vous avez perdu votre mot de passe) déconnectez-vous et reconnectez-vous depuis cette page, en cochant la case "Me connecter automatiquement lors de mes prochaines visites". Attention, le forum rencontre actuellement quelques difficultés. En cas d'erreur 502, il ne faut pas re-valider l'envoi d'un message ou l'ouverture d'une discussion, au risque de créer un doublon.

La section divers se réorganise ! De nouvelles sous-sections à venir. (plus d'infos + donner son avis)

#101 Le 20/03/2013, à 21:39

Jewome_62

Re : Filtrage réseau sous Linux et son avenir

Merci à tiramiseb pour ses explications.
Même si l'auteur n'a apparemment rien compris. Moi ça m'a appris pas mal de chose. je t'en remercie !

par contre je comprends pas pourquoi il fait référence 5 fois à un pour-cent dans le monde du poste de travail ...
Je veux dire par là si on considère 40-50% des serveurs, c'est un gros gibier pour les crackers .

Une machine Bien plus puissante en moyenne qu'un poste de travail, avec une bande passante dédié,
je veux dire avec ça, je peux envoyer des spams et autres astuce de piratage, c'est un peu une Rolls-Royce ?


Ubuntu Server at home & VPS

Hors ligne

#102 Le 20/03/2013, à 22:23

cep

Re : Filtrage réseau sous Linux et son avenir

tiramiseb a écrit :

[Schizophrénie ?]

est-ce bien nécessaire ce genre de commentaire ?

Hors ligne

#103 Le 20/03/2013, à 22:34

Haleth

Re : Filtrage réseau sous Linux et son avenir

Ben dans beaucoup de topic, ce genre de commentaire serait mal placé.
M'enfin, j'avoue qu'ici, la question se pose vraiment ..


Ubuntu is an ancien African word which means "I can't configure Debian"

Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.

Hors ligne

#104 Le 21/03/2013, à 00:35

vince2corte

Re : Filtrage réseau sous Linux et son avenir

Fil très instructif, à plusieurs titres. Par moments, j'ai eu l'impression de lire les dialogues surréalistes que l'on pouvait avoir avec Lisa : un programme d'intelligence artificielle des années 80. Et c'est le mot "artificielle" qui est important wink
Mais là, la technique employée est très simple : on ne dit rien de précis, avec des allusions accusatoires d'incompétence, on relance quand ça retombe et on a un magnifique auditoire qui cherche à justifier des évidences. Un vrai régal ! Certaines personnes adorent se donner le rôle du marionnettiste. Pour compenser quelques chose, peut être ? Bon, j'en ai fini avec ma psycho de comptoir.

Par contre, j'ai une question sur IPV6 : j'avais lu qu'avec cette identification, les box Internet n'auront plus besoin de faire de la translation d'adresse. Toutes les machines IPV6 seront donc accessibles directement depuis Internet. Malgré l'absence de services lancés (j'ai un peu lu les pages qui précèdent), est-ce que cela ne présente pas un danger pour les novices de la sécurité ? Je parle bien entendu de tous les postes desktop, pas des serveur. Parce-que comme nous le savons bien, le plus gros problème d'un système desktop est situé entre la chaise et le clavier !


La liberté commence où l'ignorance finit  - Victor Hugo
i7 2600k - P8Z77-V - NVidia GTX 680 2Go - EXSYS EX-16415 - RAM 16Go - SSD 120Go - HD 1To - Moniteur 27'' S27A850D en 2560x1440 - Ubuntu 12.04 LTS 64 bits - NAS Synology DS211+ 2x2To RAID 1

Hors ligne

#105 Le 21/03/2013, à 05:00

jacobus77

Re : Filtrage réseau sous Linux et son avenir

vince2corte a écrit :

Par contre, j'ai une question sur IPV6 : j'avais lu qu'avec cette identification, les box Internet n'auront plus besoin de faire de la translation d'adresse. Toutes les machines IPV6 seront donc accessibles directement depuis Internet.

La possibilité de faire du nat a été réintroduite pour l'ipv6, en partie suite à des préoccupations des FAI si je me souviens bien, donc faudra voir comment ils l'implementeront  quand ils se pencheront dessus sérieusement.

Hors ligne

#106 Le 21/03/2013, à 07:47

Pierre Lhabitant

Re : Filtrage réseau sous Linux et son avenir

http://www.dsfc.net/logiciel-libre/linu … ntestable/



Pas tout seul sur ce coup, et ce monsieur n'est pas un simple internaute ou un techo.


"Je pose un problème qui est réel. On peut choisir d’être dans le déni de réalité"

Marrant! je fais le même constat.

Dernière modification par Pierre Lhabitant (Le 21/03/2013, à 07:56)

Hors ligne

#107 Le 21/03/2013, à 08:26

tiramiseb

Re : Filtrage réseau sous Linux et son avenir

cep a écrit :
tiramiseb a écrit :

[Schizophrénie ?]

est-ce bien nécessaire ce genre de commentaire ?

Étant donnés les messages du monsieur, tantôt proches de l'insute, tantôt sollicitant un avis, tantôt remerciant des réponses qu'il semble ne pas lire...

Haleth a écrit :

ici, la question se pose vraiment ..


... voilà.


Sébastien Maccagnoni-Munch - administrateur Linux depuis le XXe siècle
Consultant informatique indépendant - http://www.smm-informatique.fr
Geek et tout plein d'autres choses - http://www.tiramiseb.fr

Hors ligne

#108 Le 21/03/2013, à 08:29

tiramiseb

Re : Filtrage réseau sous Linux et son avenir

vince2corte a écrit :

j'ai une question sur IPV6 : j'avais lu qu'avec cette identification, les box Internet n'auront plus besoin de faire de la translation d'adresse.

La translation d'adresse que l'on applique aujourd'hui est une technique qui a été mise au point lorsque l'on s'est rendu compte qu'il n'y avait pas assez d'adresses IPv4 pour tous les ordinateurs qui allaient être connectés. Car aux débuts d'Internet, chaque ordinateur avait bel et bien son adresse unique.

Étant donné que IPv6 résout le problème du nombre d'adresses IP (plus de 340 000 000 000 000 000 000 000 000 000 000 000 000 adresses, contre 4 294 967 296 en IPv4), le NAT n'a plus lieu d'être.
La protection offerte par les box et autres routeurs ne repose pas sur le NAT mais sur le filtrage au niveau du réseau (là où un firewall est tout à fait justifié). Avoir une adresse IP publique sur un PC "interne" n'empêche pas ce filtrage...

Dernière modification par tiramiseb (Le 21/03/2013, à 08:30)


Sébastien Maccagnoni-Munch - administrateur Linux depuis le XXe siècle
Consultant informatique indépendant - http://www.smm-informatique.fr
Geek et tout plein d'autres choses - http://www.tiramiseb.fr

Hors ligne

#109 Le 21/03/2013, à 08:50

tiramiseb

Re : Filtrage réseau sous Linux et son avenir

Salut Pierre,

Pierre Lhabitant a écrit :

http://www.dsfc.net/logiciel-libre/linu … ntestable/
Pas tout seul sur ce coup, et ce monsieur n'est pas un simple internaute ou un techo.
"Je pose un problème qui est réel. On peut choisir d’être dans le déni de réalité"
Marrant! je fais le même constat.

Je pense qu'avec les milliards d'individus présents sur cette Terre, vous êtes probablement plus de deux à faire ce "constat". Mais force est de constater également que la majorité (silencieuse, comme d'habitude) ne semble pas opposée à cela. C'est comme pour les manifs diverses et variés : c'est toujours une minorité qui s'exprime. Sauf que dans le développement du noyau, on s'exprime beaucoup plus facilement, et la majorité "silencieuse" n'a pas besoin de sortir dans la rue pour se faire entendre : un e-mail est suffisant. Par conséquent, si de telles inquiétudes étaient généralisées on en entendrait bien plus parler.


Je reviens donc sur l'article que tu donnes en lien ; je rejoins certains des commentaires qui y ont déjà été postés.


Il évoque tout d'abord le passage d'un poste de travail sous Windows 7, "faute de disposer d'un outil de filtrage par process". Mais, encore une fois, selon moi un pare-feu sur un poste de travail est inutile, à partir du moment où on se limite aux logiciels proposés par la distribution utilisée.
Dans le cadre d'une distribution Linux, l'éditeur de la distribution est garant de la fiabilité de l'ensemble des logiciels proposés. En passant par les dépôts officiels, on ne peut donc pas installer de logiciel malicieux.
Dans le cadre de Microsoft Windows, il faut chercher des logiciels sur différents sites, en lesquels on ne fait pas toujours confiance. Et les logiciels installent parfois plein de trucs bizarres (je pense par exemple aux barres d'outils pour les navigateurs web, la barre Google, la barre Yahoo, tout ça).
L'approche est donc totalement différence, ce qui rend, selon moi, le filtrage inutile sur un poste de travail.

L'approche est d'ailleurs la même sur un serveur : on n'installe que des logiciels dans lesquels on a pleinement confiance, car on paye du support auprès d'une société qui assure que l'ensemble des logiciels sont OK.


Le filtrage par process ? Difficile, voire impossible à mettre en œuvre et à gérer, en réalité.

Posons d'abord une brique de bas : le filtrage par process ne peut fonctionner qu'en sortie, pas en entrée : un paquet entrant n'est associé avec aucun processus tant qu'il n'est pas accepté. Par conséquent, il s'agit juste de contrôler "qui communique vers l'extérieur".

Secundo, oublions le filtrage par PID : les ordinateurs lancent et relancent des process, qui changent constamment de PID : on ne peut pas s'appuyer sur un PID pour ce genre de choses, la raison est évidente...

Il resterait donc le filtrage par nom de processus, voire par chemin vers la commande... Mais est-ce vraiment une sécurité ?
Prenons un exemple simple.
Si Apache est installé, n'importe qui peut en lancer une instance, en écoute sur n'importe quel port TCP.

Imaginons qu'un utilisateur malicieux ait réussi à faire tourner une instance d'Apache sur le port 31337, avec le module webdav activé. C'est très très facile, à partir du moment où on a eu un accès, ne serait-ce que quelque secondes, sur un serveur web. Imaginons aussi que ce port 31337 n'est pas bloqué, ni par un pare-feu local (qui n'a dans ce cas pas besoin du filtrage par process, vu qu'on filtre par port) ni par un pare-feu de réseau (alors là déjà on est dans le cadre de l'incompétence crasse de l'administrateur système/réseau).
Cet utilisateur malicieux peut alors téléverser un programme malicieux, en PHP par exemple, sur cette instance d'Apache et lui faire exécuter tout ce qu'il veut. Et ce que le pare-feu verrait, ce n'est qu'un paquet provenant d'Apache.
La sécurité est alors plus que nulle !

Non, comme cela a été proposé dans les commentaires du billet que tu as cité (as-tu lu les commentaires ?), il est plus judicieux de filtrer par UID : n'autoriser que les utilisateurs "www-data" et "root" sur un serveur, pourquoi pas... Et on bloque beaucoup plus de choses.

Mais bon, à partir du moment où un utilisateur malicieux arrive à faire tourner quelque chose sur un serveur, le serveur est corrompu et c'est trop tard.


Il faut que la chose suivante soit bien claire dans les esprits de tous : sur un serveur bien géré, aucun programme malicieux ne peut tourner sans qu'un utilisateur malicieux ait réussi à pénétrer le serveur. Et à partir du moment où il y a eu pénétration, il faut réinstaller. Un firewall sur les paquets sortants est donc inutile. Par contre, un outil de détection d'intrusion (chkrootkit, snort, etc), exécuté régulièrement, est tout à fait adapté.

Dernière modification par tiramiseb (Le 21/03/2013, à 08:51)


Sébastien Maccagnoni-Munch - administrateur Linux depuis le XXe siècle
Consultant informatique indépendant - http://www.smm-informatique.fr
Geek et tout plein d'autres choses - http://www.tiramiseb.fr

Hors ligne

#110 Le 21/03/2013, à 08:52

Pierre Lhabitant

Re : Filtrage réseau sous Linux et son avenir

Hors ligne

#111 Le 21/03/2013, à 08:58

Pierre Lhabitant

Re : Filtrage réseau sous Linux et son avenir

http://www.dsfc.net/logiciel-libre/linu … ntestable/

Je conseille aux partisans de linux, qui ont tout à fait raison dans leur démarche, de faire abstraction du côté "philosophico politique" du libre, afin de se décharger affectivement, il y a des problèmes de sécurité réseau évidents chez cet OS, moi je ne suis qu'un nouveau chez ubuntu, mais voyez donc mon lien plus haut et le discours de quelqu'un qui connait bien linux et windows, ainsi vous aurez un avis plus objectif qu'un éventuel fana du libre tous azimuths.

Dernière modification par Pierre Lhabitant (Le 21/03/2013, à 09:02)

Hors ligne

#112 Le 21/03/2013, à 09:04

tiramiseb

Re : Filtrage réseau sous Linux et son avenir

Tu n'as pas besoin de poster une seconde fois un lien pour le faire devenir vérité suprême.
J'ai répondu à cela dans mon message #109, si tu veux parler de ça réponds alors à mon message.


Sébastien Maccagnoni-Munch - administrateur Linux depuis le XXe siècle
Consultant informatique indépendant - http://www.smm-informatique.fr
Geek et tout plein d'autres choses - http://www.tiramiseb.fr

Hors ligne

#113 Le 21/03/2013, à 09:14

Pierre Lhabitant

Re : Filtrage réseau sous Linux et son avenir

Contrôler l’accès du réseau local sous Linux
vendredi 18 février 2011
par: Houssen Moshinaly


La plupart des LAN ne sont pas pensés comme un problème de la sécurité, mais ils ont tendance à être une des méthodes les plus faciles pour entrer dans un système. Si une des machines sur le réseau a un point d’accès faible, toutes les machines sur le réseau peuvent être accédées à travers les services du réseau de cette machine. Les PCs et Macintoshs ont habituellement une petite sécurité, surtout sur les connexions des modems, donc ils peuvent être utilisés dans une manière semblable pour accéder aux services du réseau. Une règle de base au sujet du réseau Linux, c’est que c’est impossible d’avoir une machine sûre sur le même réseau que des machines non-sûres. Par conséquent, toute solution pour une machine doit être rendue effective pour toutes les machines sur le réseau.

Le sécurité idéale d’un réseau Linux force la certification adéquate de tout connection, y compris le nom de la machine et l’username. Quelques problèmes de logiciel peuvent contribuer aux difficultés de la certification. Le concept d’un hôte de confiance qui est rendu effectif dans Linux permet à une machine de relier sans souci qui suppose que son nom est dans un fichier sur l’hôte (Linux) machine. Un mot de passe n’est même pas exigé dans la plupart des cas ! Tous ce que l’intrus doit faire ,c’est de déterminer le nom d’un hôte de confiance et alors connecter avec ce nom. Vérifiez avec soin le /etc/hosts.equiv/, etc/hosts, et le .rhosts pour demander des entrées qui peuvent causer des problèmes.

Une solution de certification du réseau qui est maintenant utilisée largement est Kerberos, une méthode qui a été développé originairement au MIT. Kerberos utilise un hôte très sécurisé qui agit comme un serveur de certification. Il utilise le cryptage dans les messages entre machines pour empêcher des intrus d’examiner les en-tête, Kerberos certifie tous les messages sur le réseau.

À cause de la nature de la plupart des réseaux, la plupart des systèmes Linux sont vulnérables à un intrus bien informé. Il y a littéralement des centaines de problèmes connus avec les utilitaires dans la famille TCP/IP. Un bon premier pas est de désactiver les services TCP/IP dont vous n’avez plus besoin parce qu’on peut les utiliser pour accéder à votre système.

Dernière modification par Pierre Lhabitant (Le 21/03/2013, à 09:15)

Hors ligne

#114 Le 21/03/2013, à 09:16

Pierre Lhabitant

Re : Filtrage réseau sous Linux et son avenir

Sécurité Linux, se préparer au pire
vendredi 18 février 2011
par: Houssen Moshinaly


Si quelqu’un entre dans votre système, qu’est-ce que vous pouvez faire ? Évidemment, les supports du système peuvent aider si des dossiers sont effacés ou endommagés. Mais au-delà, qu’est-ce que vous devriez faire ?

En premier, trouvez comment l’intrus est entré et bouchez cette méthode d’accès pour qu’il ne peut plus l’utiliser. Si vous n’êtes pas sûr de la méthode de l’accès, fermez tous les modems et terminaux et vérifiez avec soin toute la configuration et les fichiers setup. Controler aussi les mots de passe et les utilisateur inscrits pour des points faible.

Si vous êtes la victime d’attaques répétées, considérez un audit du système pour garder la trace des intrus,et comment ils entrent et ce qu’ils font. Si vous avez peur des dégât, forcer tous les intrus à se déconnecter dès que vous les voyez se connecter.

Pour finir, si les effractions continuent, appelez les autorités locales. Craquer les systèmes informatique (si une grande corporation ou votre propre système de maison) est illégal dans la plupart des pays, et les autorités sauront comment tracer les intrus jusqu’à leurs points de l’appel. Ils craquent votre système et ne devraient pas s’en sortir sans problèmes !

Pour la plupart des systèmes Linux, la sécurité n’est pas une question importante parce que vous êtes le seul qui utilise la machine. Cependant, si vous partagez votre machine avec d’autres ou vous le rendez disponible à n’importe qui sur réseau (ou Internet), il y a des chances que quelqu’un essayer d’entrer. Sécurisez au maximum votre système. La logique peut aider, mais n’oubliez pas que les pirates sont rusés, obstinés et tenaces

Dernière modification par Pierre Lhabitant (Le 21/03/2013, à 09:17)

Hors ligne

#115 Le 21/03/2013, à 09:21

tiramiseb

Re : Filtrage réseau sous Linux et son avenir

Réponse à « Contrôler l’accès du réseau local sous Linux » :

Tout d'abord : es-tu sûr que ce blogueur professionnel serait d'accord que tu violes le droit d'auteur en publiant ce texte ici sans son autorisation ?

Ensuite : n'es-tu vraiment pas capable d'émettre une opinion sans t'appuyer sur le blog d'un gars qui n'est pas spécialiste de la sécurité ? n'est-tu vraiment pas capable de répondre avec ton propre avis à un argumentaire construit qui t'es présenté ?



Dans son premier paragraphe, ce n'est que du bla bla, il parle de la sécurité d'un réseau par rapport à la sécurité de l'ensemble des machines le composant, sans aucun argumentaire technique. De plus, il évoque des connexions par modem : sache que, dans nos contrées, ça devient bien rare - probablement moins chez lui à Madagascar. Et, en effet, lorsque l'on se connecte à travers un modem on a une IP publique, il faut donc être plus vigilant... Mais je te demanderai simplement de lire le dernier paragraphe de mon commentaire.

Dans son second paragraphe, il sous-entend l'utilisation de techniques qui n'ont plus cours depuis plusieurs années : l'authentification sans mot de passe par le mécanisme qu'il appelle "hôtes de confiance"... là il parle de rlogin, qui a été abandonné au XXme siècle.

Dans son troisième paragraphe, il parle de Kerberos... oui Kerberos c'est bien, mais très lourd à mettre en œuvre. Inabordable pour un "petit" réseau.

Enfin, dans son dernier paragraphe, eh bien ce gars dit exactement la même chose que moi : « Un bon premier pas est de désactiver les services TCP/IP dont vous n’avez plus besoin parce qu’on peut les utiliser pour accéder à votre système ». Merci, tu appuies bel et bien mon argumentation que tu ne sembles pas vouloir accepter par ailleurs...

Dernière modification par tiramiseb (Le 21/03/2013, à 09:21)


Sébastien Maccagnoni-Munch - administrateur Linux depuis le XXe siècle
Consultant informatique indépendant - http://www.smm-informatique.fr
Geek et tout plein d'autres choses - http://www.tiramiseb.fr

Hors ligne

#116 Le 21/03/2013, à 09:24

tiramiseb

Re : Filtrage réseau sous Linux et son avenir

P....n mais Pierre, lis les articles que tu cites ! Ce sont des trucs stratosphériques, qui ne font que dire des vérités connues de tous sans donner aucune solution technique. Ah si, le seul début de solution technique est ce que je te dis depuis plusieurs jours !

À quoi ça te sert d'asséner des trucs du genre "sécurisez votre ordinateur" ? "sécuriser" ça ne veut pas dire "installer un firewall" : le texte que tu cites lui-même le dit, sécuriser ça commence par désactiver les services inutiles. Et ça tombe bien, sur une distribution bien faite ces services ne sont même pas installés.


Sébastien Maccagnoni-Munch - administrateur Linux depuis le XXe siècle
Consultant informatique indépendant - http://www.smm-informatique.fr
Geek et tout plein d'autres choses - http://www.tiramiseb.fr

Hors ligne

#117 Le 21/03/2013, à 09:27

Pierre Lhabitant

Re : Filtrage réseau sous Linux et son avenir

Cours Sécurité Linux     Page suivante Page précédente Table des matières
4.13 Les modules : avantages pour les pirates

    Prendre le contrôle total de la machine en détournant des appels systèmes :

        modifier la configuration apparente de la machine : mode promiscuous

        cacher des fichiers :
        rendre invisible les fichiers commençant par un mot clé

        filtrer le contenu d'un fichier :
        ôter des journaux, les lignes contenant l'adresse IP du pirate

        détourner les demandes de changement d'identité :
        un compte utilisateur donné peut devenir administrateur

        sortir d'un environnement restreint (chroot)

        cacher un processus :
        rendre invisible les processus commençant par un mot clé

        rediriger l'exécution de programmes :
        installer des portes dérobées sans modifier les programmes originaux

Cours Sécurité Linux     Page suivante Page précédente Table des matières
HSC ® © Hervé Schauer Consultants 1999 - 142, rue de Rivoli - 75001 Paris
Téléphone : +33 141 409 700 - Télécopie : +33 141 409 709 - Courriel : <secretariat@hsc.fr>

Hors ligne

#118 Le 21/03/2013, à 09:32

tiramiseb

Re : Filtrage réseau sous Linux et son avenir

Quelle est l'utilité de ces copiés-collés ?


Sébastien Maccagnoni-Munch - administrateur Linux depuis le XXe siècle
Consultant informatique indépendant - http://www.smm-informatique.fr
Geek et tout plein d'autres choses - http://www.tiramiseb.fr

Hors ligne

#119 Le 21/03/2013, à 09:47

Pierre Lhabitant

Re : Filtrage réseau sous Linux et son avenir

Vous avez eu mon avis,

Vous allez eu l'avis de personnalités extérieures,


Donc linux est vulnérable, dès que celui ci sera viable économiquement pour eux, les pirates ne vont plus le lâcher, autant par intérêt que par curiosité, et ils vont trouver les failles...

Ne comptez pas sur l'antivirus clam av, du temps où il était en concurrence chez windows, il ne valait pas un clou, ce qui peut vous sauver, avoir vos logiciels toujours à jour, et bétonner votre réseau local, mais là … là... ça ne va pas être facile.

Hors ligne

#120 Le 21/03/2013, à 10:01

tiramiseb

Re : Filtrage réseau sous Linux et son avenir

Personne n'a jamais dit que Linux n'est pas vulnérable. Personne n'a jamais dit que Linux ne doit pas être sécurisé et mis à jour.
Tu t'évertues à dire qu'un firewall est nécessaire et suffisant, on te démontre le contraire.
On t'a expliqué que les pirates s'intéressent déjà largement à Linux, tu ne veux pas l'entendre.
Personne n'a jamais évoqué ClamAV, et je ne vois d'ailleurs pas en quoi un anti-virus de fichiers aiderait à sécuriser un serveur.


avoir vos logiciels toujours à jour, et bétonner votre réseau local
[...]
ça ne va pas être facile.

logiciels toujours à jour : cliquer sur "OK" quand le système le demande, c'est vachement facile.
bétonner le réseau local : c'est le rôle du routeur (une box dans la plupart des foyers), ça ne se fait donc pas au niveau de Linux et c'est automatique dans la plupart des cas (box).


Que veux-tu qu'on te dise de plus ?


Sébastien Maccagnoni-Munch - administrateur Linux depuis le XXe siècle
Consultant informatique indépendant - http://www.smm-informatique.fr
Geek et tout plein d'autres choses - http://www.tiramiseb.fr

Hors ligne

#121 Le 21/03/2013, à 11:41

Kanor

Re : Filtrage réseau sous Linux et son avenir

ok pour tout tiramiseb sauf pour ça

tiramiseb a écrit :

bétonner le réseau local : c'est le rôle du routeur (une box dans la plupart des foyers), ça ne se fait donc pas au niveau de Linux et c'est automatique dans la plupart des cas (box).

un routeur ne doit pas être penser comme un moyen de sécurisation (ça peux freiner les attaques simple)
http://www.bortzmeyer.org/nat-et-securite.html



Donc linux est vulnérable, dès que celui ci sera viable économiquement pour eux, les pirates ne vont plus le lâcher, autant par intérêt que par curiosité, et ils vont trouver les failles...

il y a plus d'appareil (probablement) sous linux que sous n'importe quel autre système d’exploitation si c'est pas ça "viable économiquement"
(en prenant en compte les pc, les smartphone, les périphérie réseau, les serveur …)

Dernière modification par Kanor (Le 21/03/2013, à 11:53)

Hors ligne

#122 Le 21/03/2013, à 12:01

tiramiseb

Re : Filtrage réseau sous Linux et son avenir

Kanor a écrit :

ok pour tout tiramiseb sauf pour ça

tiramiseb a écrit :

bétonner le réseau local : c'est le rôle du routeur (une box dans la plupart des foyers), ça ne se fait donc pas au niveau de Linux et c'est automatique dans la plupart des cas (box).

un routeur ne doit pas être penser comme un moyen de sécurisation (ça peux freiner les attaques simple)
http://www.bortzmeyer.org/nat-et-securite.html

L'article que tu cites indique que le NAT n'apporte pas nécessairement de sécurité ; comme je l'ai indiqué dans le message #108, ce n'est pas le NAT qui apporte de la sécurité mais bien le filtrage que la box effectue par défaut. Assez simple sur une box en effet, les paquets sortants ne sont pas filtrés, mais les paquets entrants sont bel et bien bloqués.

Ce n'est pas le *routeur* qui ne doit pas être pensé comme un moyen de sécurisation, c'est le NAT.
Le routeur lui-même, s'il sait également faire office de pare-feu (situation rencontrée le plus souvent), est alors bien un élément de sécurisation.


Sébastien Maccagnoni-Munch - administrateur Linux depuis le XXe siècle
Consultant informatique indépendant - http://www.smm-informatique.fr
Geek et tout plein d'autres choses - http://www.tiramiseb.fr

Hors ligne

#123 Le 21/03/2013, à 12:50

Bigcake

Re : Filtrage réseau sous Linux et son avenir

Les firewalls étant le saint-grall de la sécurité, on a la sécurité maximal sur ubuntu et dérivé

Ben oui, Openoffice est installé par défaut ! c'est un firewall opensource. (source: Un ancien membre du gouvernement, c'est donc une preuve que c'est vrai)

Les linux n'ont donc pas besoin d'autre choses que openoffice pour être sécurisé CQFD

(Oui j'ai eu envie de participer de manière constructif au tro.....heu... débat)

Dernière modification par Bigcake (Le 21/03/2013, à 12:51)


"Les gens" ne sont pas con, ils ont été habitués à la facilité et à la désinformation. Le meilleur moyen de ne pas les aider, c'est de se moquer. Le meilleur moyen de les aider, c'est de les informer, encore et encore. La réflexion viendra. N'oubliez pas que vous aussi, vous êtes le con d'un autre.
HADOPI/LOPPSI/ACTA/CETA ou comment détruire le net
Radio+musique libre= www.oxyradio.net

Hors ligne

#124 Le 21/03/2013, à 12:53

kholo

Re : Filtrage réseau sous Linux et son avenir

bonjour à tous,
whoua... bravo à tous pour votre stoïcisme

désolé j'ai pas tout lu car trop long mais, pour résumer, vous êtes sur le thème de la sécurité en général.
on peut dire, pour simplifier, que tant qu'il existe une porte et une clé "n'importe qui" peut entrer.
La sécurité de linux réside dans ce "n'importe qui"
moi ce qui me gène dans Ubuntu c'est l'ajout de ces ppa car ça "revient" dans Doz à installer un programme à l'aveugle
MAIS :
tant que
l'on fait attention à ces sources,
l'on n'ouvre pas les ports dans tous les sens et ce surtout sur le routeur qui donne sur l'extérieur (comme l'UPnP)
l'on contrôle un minimum son réseau local et les machines qui y sont connectées

un système linux sera au moins aussi sécure qu'un système Windows

j'ai cru comprendre que le côté pratique et automatique était une chose importante
mais c'est justement en cela que Linux est meilleur
que ce soit MS, Apple, Google... chacun veut imposer une normalité qui doit limiter les failles dues à cette multiplicité mais qui généralise les failles ponctuelles au fur et à mesure où elles sont découvertes et que les pirates se refilent pour mieux exploiter les systèmes.

un copain avait un bouton sous son siège qui coupait son circuit électrique d'allumage
c'était parfait tant que personne ne connaissait le truc... depuis le système a évolué.
On trouve des puces dans les clés, des verrous à digicode...

dans le même ordre d'idée je lisais hier un truc sur le Port Knocking qui revient un peu au même que le coupe circuit de mon pote.

ce n'est qu'en multipliant les sécurités que l'on arrive à rendre les accès DIFFICILES
mais tant qu'il y a une porte il existera quelqu'un pour l'ouvrir d'une façon détournée

vous vous évertuez à enfoncer des portes ouvertes et c'est pour ça que cette conversation n'en fini plus
Y a des pro de la sécurité qui bossent en exclusivité sur ces problèmes, même les majors comme AVG kapersky et consors
ont des bureaux de suivis d'attaque...
et cette fameuse distinction entre black hat et les white hat, ces mecs se creusent la tête et ils sont très productifs !!!

et les problèmes matériels
trendnet sur clubic le 13/01/2013
et ces portes d’hôtel à code soit disant inviolable qu'on pouvait ouvrir avec un simple maillet en caoutchouc

DONC : ce n'est pas en trifouillant un parefeu que l'on confectionne une sécurité réseau
mais en blindant TOUS les TYPES d'accès au réseau

...enfin, moi je dis ça, je dis rien, hein !


LDLC i5 8Go 12.04 32b - Gnome
Medion - dual core 1.6 Ghz - 1.5 Go et SSD 60 Go - 12.4 32b Lxde
Asus S551LB i5 - 4Go ssd 24 Go et hdd sata ;0) 12.04 + Gnome / W8 / 64b
cairo dock et Docky... Gnome, Lxde, Unity des fois ! /// ssh et sshfs pour réseau partage et déport d'application

Hors ligne

#125 Le 21/03/2013, à 13:47

Haleth

Re : Filtrage réseau sous Linux et son avenir

Sur ton site:

Le problème vaut également pour les serveurs, au niveau desquels l’absence de filtrage par process ne répond pas aux exigences minimales en termes de sécurité de ce qu’on peut attendre d’un système d’exploitation

Assertion fausse.. conclusion donc fausse ..
Mauvais besoin

c’est que c’est impossible d’avoir une machine sûre sur le même réseau que des machines non-sûres

J'suis sur un réseau publique, le fait de me connecter rend-t-il mon PC "fragile" ?!

Les firewalls étant le saint-grall de la sécurité, on a la sécurité maximal sur ubuntu et dérivé

Ben oui, Openoffice est installé par défaut ! c'est un firewall opensource. (source: Un ancien membre du gouvernement, c'est donc une preuve que c'est vrai)

Les linux n'ont donc pas besoin d'autre choses que openoffice pour être sécurisé CQFD

(Oui j'ai eu envie de participer de manière constructif au tro.....heu... débat)

HAHAHA ! Exact.


Pour faire le débat:

Gervaise, la fille d'Antoine Macquart, a, à vingt-deux ans, fui Plassans avec son amant, Auguste Lantier, un ouvrier chapelier, et leurs deux enfants, Claude, le futur peintre de “L’oeuvre”, et Étienne le futur héros de “Germinal”. À Paris, ils habitent un hôtel meublé misérable dans le quartier populaire de la Goutte-d’Or. Lantier abandonne vite la jeune femme, emportant tout ce qui reste de leurs maigres économies.
    Jolie, courageuse, dure à la peine, elle travaille comme blanchisseuse. Elle rencontre puis épouse l’ouvrier zingueur Coupeau. À force de travail, le couple atteint une certaine aisance et se dispose à louer une petite boutique. Leur bonheur et leur prospérité sont concrétisés par la naissance de leur fille, Anna, dite Nana. Elle célèbre son succès en organisant une grande fête (évoquée dans le chapitre central) à laquelle participe tout le quartier.
    Mais le bonheur est de courte durée. Coupeau, en voulant regarder son enfant du toit sur lequel il travaille, fait une chute et se casse la jambe. Pour lui éviter l'hôpital, Gervaise le soigne chez elle, dépense les économies du ménage. Il prend son métier en aversion et, pour tromper l’ennui de sa convalescence, il se met à fréquenter “L’assommoir”, cabaret où trône l’alambic. Gervaise, cependant, grâce à son voisin, le forgeron Goujet qui l’aime d'un amour chaste, peut réaliser son rêve : acheter une blanchisserie, qui est très vite prospère grâce à son activité et à son esprit avisé. Mais Coupeau a peur désormais de monter sur les toits et ne travaille plus régulièrement. Il  consomme au cabaret tout ce qu’il gagne, boit de plus en plus et sombre inéluctablement dans l’ivrognerie et la brutalité.
    Lantier revient et finit s'installer chez le couple. Les deux hommes vivent du travail de la jeune femme qui se laisse aller à la gourmandise et à la paresse. Sa déchéance morale s'accompagne d'une terrible déchéance physique. Un jour, Gervaise, qui a attendu Coupeau en vain, va le chercher à “L’assommoir” où il boit sa paie avec d’autres ivrognes. Elle-même prend une anisette puis un verre du «vitriol» que secrète l’alambic. Gervaise commence alors à se porter vers l'alcool, adopte des habitudes de paresse et d’inconduite, néglige son travail.
    Le couple est lentement entraîné vers la chute, sans la moindre compassion du voisinage. Ils sont obligés de céder leur boutique et d’emménager dans un taudis. Coupeau, qui perd progressivement la raison, est enfermé à Sainte-Anne dans une cellule capitonnée. Gervaise doit abandonner sa belle boutique pour aller habiter parmi les pauvres d'une grande maison ouvrière. Devant elle, Coupeau est pris d’une terrible crise de delirium tremens, et meurt dans d’atroces souffrances. Réduite à la mendicité, Gervaise succède au père Bru, qui vivait dans une niche sous l’escalier. Elle connaît la déchéance finale en se prostituant dans la rue, où elle est trouvée morte de faim et de misère.


Ubuntu is an ancien African word which means "I can't configure Debian"

Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.

Hors ligne

Haut de page ↑