Pare feu ou pas ?

Sur un poste de travail derrière une box, peu d'intérêt à avoir un pare-feu.
D'ailleurs, même sur une machine qui a directement accès à Internet sans être derrière un routeur ou une box, ce n'est pas nécessairement indispensable.

Le rôle d'un pare-feu, c'est d'empêcher d'accéder à des ports ouverts qu'on ne veut pas laisser accessibles.
Ubuntu, par défaut, n'ouvre aucun port qui n'est pas indispensable à son bon fonctionnement. Donc par défaut, pas besoin de pare-feu.

Après, si tu installes n'importe quel logiciel serveur et que tu ne les sécurise pas, là on peut se poser des questions oui... Mais ce n'est pas un pare-feu qui est nécessaire, c'est plutôt une formation...

Il y a de nombreuses discussions à ce sujet dans le forum, dont une récente où j'ai détaillé tout ça. Je te laisse chercher.

rifix a écrit :

Les virus sont aussi sur vos routeurs et BOX ADSL :
http://www.generation-nt.com/psyb0t-bot … 52981.html
http://www.pcworld.com/article/189868/article.html

J'ai lu ces deux articles et je me marre.
Ils parlent de routeurs (sous Linux, soit, et alors ? - d'ailleurs ils ne parlent pas de nos box de chez Free, Orange, SFR et autres) qui ont un username/password faible.
Dans n'importe quel cas, avoir un username "admin" avec un mot de passe "admin" sur une interface disponible sur le net c'est n'importe quoi en terme de sécurité, pas besoin d'un virus pour savoir ça...

Haleth · Le 22/05/2013, à 11:27

Pour quote la doc:

doc a écrit :

Un pare-feu ne sécurise pas votre installation. Il n'est utile que pour parer à vos éventuelles erreurs futures. De plus, configurer un pare-feu entrainera probablement des problèmes plus tard. Ne manipulez pas un pare-feu à moins d'être un expert avec des besoins spécifiques

Ca me semble clair

rifix · Le 22/05/2013, à 11:49

Entendu merci pour les conseils !

rifix · Le 22/05/2013, à 13:44

@tiramiseb

j'ai fait un petit oublie !

j'abandonne l'idée du pare feu , je n'ai pas la formation pour gérer cela !
mais seulement pour savoir !

étant donné que le pare feu n'est pas activé par défaut ?
(sudo ufw enable ) pour l'activer ,sans maître aucune
règle peut il améliorer les choses ?

merci pour l'aide

compte supprimé · Le 22/05/2013, à 13:49

Si tu n'as aucun service tournant sur ta machine, c'est mettre un cadena sur une porte murée ...

rifix · Le 22/05/2013, à 13:53

sogyam a écrit :

Si tu n'as aucun service tournant sur ta machine, c'est mettre un cadena sur une porte murée ...

tu as sans doute raison me je ne suis qu’un néophyte qui essaye d'apprendre !

tiramiseb · Le 22/05/2013, à 13:55

(sudo ufw enable ) pour l'activer ,sans maître aucune
règle peut il améliorer les choses ?

Ça bloquera tous les paquets entrants s'ils ne correspondent pas à une communication que l'ordinateur a lui-même initiée.
Mais de toute façon tu n'as quasiment rien en écoute.
Donc ça ne changera rien.

La seule chose en écoute c'est avahi, le support du protocole zeroconf (utilisé par exemple par Apple Bonjour). Donc le firewall bloquera les communications avec ce protocole.
Et si tu as partagé des fichiers sur le réseau, le firewall bloquera le partage.
Ainsi de suite...

Korak · Le 22/05/2013, à 14:02

Bonjour,

rifix a écrit :

étant donné que le pare feu n'est pas activé par défaut ?
(sudo ufw enable ) pour l'activer ,sans maître aucune
règle peut il améliorer les choses ?

J'ai déjà fait l'essai sur un PC de test mais pas en ligne de commande, je l'ai fait avec l'interface graphique du pare-feu.

Et tout les accès à Internet (navigateur, messagerie instantanée entre autres) ont été bloqués. Je désactive le pare-feu et tous les accès à Internet refonctionnent correctement.

rifix · Le 22/05/2013, à 14:07

Bon cela ne changera rien !

Je ne touche donc pas a mon pare feu !

Merci pour l'aide

Korak · Le 22/05/2013, à 14:16

rifix a écrit :

Je ne touche donc pas a mon pare feu !

Si tu n'as pas les connaissances nécessaires, n'y touche pas sous peine de bloquer les accès à Internet.

De toute façon le pare-feu de la box est suffisant pour le commun des mortels.

rifix · Le 22/05/2013, à 14:30

Non je n'ai pas les connaissances nécéssaires

ViKToR69 · Le 22/05/2013, à 16:47

Salut à tous,

Tout comme rifix, j'ai lu différentes documentations sur les firewall et antivirus sur Linux. Certains sont pour et d'autres trouvent cela inutile !

Certains disent que par défaut tout est fermé et d'autres disent que tout est ouvert ! va comprendre !

tiramiseb a écrit :

Ubuntu, par défaut, n'ouvre aucun port qui n'est pas indispensable à son bon fonctionnement.

Ubuntu ... mais est-ce vrai pour toutes les distributions ?

Korak a écrit :

Si tu n'as pas les connaissances nécessaires, n'y touche pas sous peine de bloquer les accès à Internet.

Avant d'utiliser un firewall, il faut justement savoir qui fait quoi ... qui utilise tel ou tel port et donc d'ouvrir le(s) port(s) en question et de fermer le reste ...

Je trouve très simple l'utilisation de l'interface graphique GUFW de UFW, il y a un exemple de configuration minimale pour l'utilisation de Firefox, Thunderbird ...

Ce que je veux dire, c'est à partir du moment que l'on sait que les applications que l'on utilise ont besoin de tel ou tel port pour fonctionner alors les laisser ouverts et fermer le reste ... et si on rajoute une nouvelle application alors ouvrir le port pour cette application et laisser fermer le reste et ainsi de suite ... on peut réaliser cela facilement avec GUFW en bloquant tout par défaut et ensuite créer des exceptions ...

De plus, il est possible d'obtenir la liste des ports utilisés avec GUFW, c'est-à-dire les connexions actives ... ce qui peut être très utile pour voir quels ports sont utilisés par telle ou telle application avant de configurer le firewall (firewall activé mais tout allow)

On peut toujours lancer un audit en utilisant "nmap", "netstat" et ses petits copains pour déterminer quels sont les serveurs qui tournent sur sa machine ... et d'agir en conséquence !

Korak a écrit :

De toute façon le pare-feu de la box est suffisant pour le commun des mortels

ce pare feu est configuré par qui ? par le FAI ? si c'est le cas, alors c'est le FAI qui décide tel port est ouvert ! pas top ça !

Et donc, on peut toujours se tranquilliser en utilisant un petit pare feu ... ça ne mange pas de pain !

Haleth · Le 22/05/2013, à 16:59

Et donc, on peut toujours se tranquilliser en utilisant un petit pare feu ... ça ne mange pas de pain !

Ca ne mange pas de pain, et surtout ca ne sert à rien
Bah, ca rajoute juste une petite couche, pour le plaisir de config des trucs inutiles.
L'art de se bouffer de la conf.

Chez d'autres, c'est l'art de cliquer partout ..

Drôle de philosophie, non ? :troll:

tiramiseb · Le 22/05/2013, à 18:17

ViKToR69 a écrit :

Certains disent que par défaut tout est fermé et d'autres disent que tout est ouvert ! va comprendre !

C'est un abus de langage de la part des seconds : eux parlent du filtrage, alors que moi (faisant partie du premier groupe) je parle bel et bien des ports.

Un port ouvert, c'est un port sur lequel un logiciel est en écoute.
Un port fermé, c'est un port sur lequel aucun logiciel n'est en écoute.
Un port flitré/bloqué, c'est un port sur lequel le firewall bloque les connexions.

Par défaut (quand il n'y a pas de logiciel en écoute), un port est fermé.
Par contre, par défaut (sans firewall) aucun port n'est filtré.

Quelqu'un qui dit "par défaut, tous les ports sont ouverts" est quelqu'un qui se trompe de vocabulaire et qui veut dire "par défaut, aucun port n'est filtré".

Qu'une requête arrive sur un port fermé, cela ne pose aucun problème : il n'y a pas besoin de filtrer les ports fermés, vu qu'ils sont... fermés.
C'est en cela qu'un firewall n'est pas utile si on n'a pas de logiciel en écoute que l'on veut filtrer.

ViKToR69 a écrit :

tiramiseb a écrit :
Ubuntu, par défaut, n'ouvre aucun port qui n'est pas indispensable à son bon fonctionnement.
Ubuntu ... mais est-ce vrai pour toutes les distributions ?

Ici on est sur Ubuntu-fr, non ? Alors on parle d'Ubuntu.

Il y a certainement des distributions qui ont plein de logiciels qui tournent, mais c'est le genre de distributions que je préfère ne pas toucher.
Car une bonne distribution a une empreinte mémoire et processeur minimale, ce qui implique qu'un minimum de logiciels sont lancés... et donc qu'un minimum de ports sont ouverts.

Debian, par exemple n'a pas Avahi par défaut. Ubuntu Server non plus.
Avec ces deux distributions orientées serveur, aucun port n'est en écoute.

La logique est la même pour beaucoup d'autres (Red Hat, Fedora, etc). Certains ont le serveur SSH préinstallé, pourquoi pas... Mais en général on ne veut pas filtrer le port SSH :-)

ViKToR69 a écrit :

Korak a écrit :
De toute façon le pare-feu de la box est suffisant pour le commun des mortels
ce pare feu est configuré par qui ? par le FAI ? si c'est le cas, alors c'est le FAI qui décide tel port est ouvert ! pas top ça !

La box n'est pas un pare-feu local (filtrage de ports entrants), c'est un pare-feu de réseau (routage et redirection de ports).
Derrière une box, les ordinateurs ont des adresses IP privées.
Tant que tu ne mets pas de redirection de port sur ta box, il n'y a absolument aucun moyen de joindre ton PC pour quelqu'un de l'extérieur.

Après, avec l'IPv6 je ne sais pas comment ça marche sur les box : avec l'IPv6, chaque ordinateur peut avoir une adresse publique et peut être joignable de l'extérieur. Dans ce cas, soit la box filtre tout ce qui entre (et il n'y a pas besoin de pare-feu local) soit elle laisse tout passer (et il faut faire gaffe à ce qu'on a en écoute et, éventuellement, mettre un pare-feu local).

c'est le FAI qui décide tel port est ouvert

Non, c'est toi, grâce à l'interface que te propose ton FAI.
Si ton FAI ne te permet pas de configurer les redirections de port sur ta box, sérieux, change de FAI.

Haleth · Le 22/05/2013, à 18:26

Après, avec l'IPv6 je ne sais pas comment ça marche sur les box : avec l'IPv6, chaque ordinateur peut avoir une adresse publique et peut être joignable de l'extérieur. Dans ce cas, soit la box filtre tout ce qui entre (et il n'y a pas besoin de pare-feu local) soit elle laisse tout passer (et il faut faire gaffe à ce qu'on a en écoute et, éventuellement, mettre un pare-feu local).

Chez nous, la box est la gateway pour le subnet du client
Les routes sont annoncées en BGP :
- subnet client via box client

Du coup, les machines clientes sont accessibles depuis partout, ce qui est bien

tiramiseb · Le 22/05/2013, à 20:56

Du coup, les machines clientes sont accessibles depuis partout, ce qui est bien

Aucun filtrage au niveau de la gateway ?

Haleth · Le 22/05/2013, à 20:57

Ben la gateway n'est qu'un switch, elle prend son traffic, et forward le reste

tiramiseb · Le 22/05/2013, à 21:01

Donc chaque utilisateur peut avoir des trucs en écoute sur son PC, cela ne pose pas de problème ?

Je pense notamment au partage CIFS sous Windows, qui est rarement désactivé : si un utilisateur partage un répertoire sans le protéger, même temporairement, il sera alors accessible à la terre entière...

svi_binette · Le 22/05/2013, à 21:26

Bonsoir,

Votre discussion m'intéresse beaucoup bien que je sois vraiment débutante, je m'interroge moi aussi sur l'utilité d'un pare-feu sur mon pc, je veux dire derrière une box.
Il se peut que je rentre dans la catégorie des besoins dits "spécifiques", je voudrais ouvrir à quelques personnes l'accès à un site en cours de développement sans prendre de trop gros risques non plus.

J'ai bien compris que si on demande à des logiciels (Apache par exemple) d'être en écoute, c'est qu'on attend des "visiteurs" et qu'il ne s'agit donc pas d'interdire l'accès. J'ai cru comprendre aussi, qu'il était difficile ou plutôt impossible de distinguer un visiteur bienveillant d'un visiteur malveillant.

Cependant, je me demande si un pare-feu comme iptables (je ne sais plus comment s'appelle la catégorie de pare-feu) sur ma machine n'aurait pas une utilité tout de même :
celle de pouvoir réguler le trafic en terme de quantité (et non qualité malveillant/bienveillant) pour tenter de contrer tant bien que mal certaines attaques, comme deni de services (je ne suis pas sure du terme).

Il s'agirait de limiter le nombre de requêtes par unité de temps, cette unité de temps étant pas trop gênante pour un être humain, mais ralentirait assez un robot pour donner le temps de réagir...
Je ne sais pas si cette limite serait possible à donner pour une ip donnée et non pas pour l'ensemble des requêtes tous clients confondus.
Dans un cas, je trouve intéressant a priori pour les débuts (petit trafic), dans le deuxième cas, je trouverais intéressant cette possibilité pour tout le temps !

Je ne crois pas avoir une fonctionnalité de régulation comme celle-ci sur ma box. (peut-être que je n'ai pas encore trouvé ceci dit). Il y a peut-être bien d'autres moyens plus simples faire l'équivalent ? (dans Apache ?) et de ne pas s'ennuyer avec un pare-feu supplémentaire que je trouve assez rebutant pour un débutant.

tiramiseb · Le 22/05/2013, à 21:49

svi_binette : tu peux faire ce genre de choses en effet, avec le module "limit" d'iptables.
Voir là par exemple : http://blog.bodhizazen.net/linux/preven … -iptables/

Cela étant dit, il y a peu de risques que tu subisses un DoS, tu n'es probablement pas une cible intéressante...

Si les personnes avec qui tu veux partager le site ont des adresses IP fixes, alors tu peux simplement n'autoriser l'accès qu'à ces adresses-là.
C'est clairement un cas où la mise en place d'un pare-feu devient utile.

svi_binette · Le 22/05/2013, à 21:54

Bonsoir et merci beaucoup pour le lien que je vais creuser et tenter de comprendre bien.
Pour la probabilité d'être victime de ce genre d'attaque, c'est vrai que ça peut paraître bizarre (probaboibilit quasi nulle si petit trafic attendu), mais la situation est très particulière. Ce serait trop long à expliquer et cela "pourrirait" le post avec des explications qui n'intéressent que moi mais il y a des situations où il est positif et tout à fait justifié d'être parano.
Merci en tout cas pour le lien.

rifix · Le 22/05/2013, à 23:03

le sujet est devenu très intéressant ,il y a quand même pas mal de personnes
qui se préoccupent de la sécurité !

Dernière modification par rifix (Le 22/05/2013, à 23:04)

svi_binette · Le 22/05/2013, à 23:08

Bonsoir,
Tout à fait d'accord. Beaucoup de gens s'intéressent à la sécurité.
Pas forcément des pros. Je pense que ça serait pas inutile de faire une sorte de doc là-dessus adaptée à des débutants (comme moi quoi) car si non ça fait vraiment beaucoup de directions dans lesquelles chercher, parfois des voies de garage, et parfois trop difficile à comprendre.
Le lien donné est lui aussi très intéressant ! (même avec un anglais pas terrible) -Merci !!! Exactement mes préoccupations.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 21/05/2013, à 20:34

Pare feu ou pas ?

#2 Le 21/05/2013, à 20:37

Re : Pare feu ou pas ?

#3 Le 22/05/2013, à 09:19

Re : Pare feu ou pas ?

#4 Le 22/05/2013, à 11:27

Re : Pare feu ou pas ?

#5 Le 22/05/2013, à 11:49

Re : Pare feu ou pas ?

#6 Le 22/05/2013, à 13:44

Re : Pare feu ou pas ?

#7 Le 22/05/2013, à 13:49

Re : Pare feu ou pas ?

#8 Le 22/05/2013, à 13:53

Re : Pare feu ou pas ?

#9 Le 22/05/2013, à 13:55

Re : Pare feu ou pas ?

#10 Le 22/05/2013, à 14:02

Re : Pare feu ou pas ?

#11 Le 22/05/2013, à 14:07

Re : Pare feu ou pas ?

#12 Le 22/05/2013, à 14:16

Re : Pare feu ou pas ?

#13 Le 22/05/2013, à 14:30

Re : Pare feu ou pas ?

#14 Le 22/05/2013, à 16:47

Re : Pare feu ou pas ?

#15 Le 22/05/2013, à 16:59

Re : Pare feu ou pas ?

#16 Le 22/05/2013, à 18:17

Re : Pare feu ou pas ?

#17 Le 22/05/2013, à 18:26

Re : Pare feu ou pas ?

#18 Le 22/05/2013, à 20:56

Re : Pare feu ou pas ?

#19 Le 22/05/2013, à 20:57

Re : Pare feu ou pas ?

#20 Le 22/05/2013, à 21:01

Re : Pare feu ou pas ?

#21 Le 22/05/2013, à 21:26

Re : Pare feu ou pas ?

#22 Le 22/05/2013, à 21:49

Re : Pare feu ou pas ?

#23 Le 22/05/2013, à 21:54

Re : Pare feu ou pas ?

#24 Le 22/05/2013, à 23:03

Re : Pare feu ou pas ?

#25 Le 22/05/2013, à 23:08

Re : Pare feu ou pas ?

Pied de page des forums