Question sur GUFW

mamad91 · Le 06/04/2014, à 20:26

Salut, je suis nouveau sur Ubuntu et je suis mauvais en informatique donc je m’en remets à vous.

J'ai donc installé GUFW comme beaucoups me l'on conseillé mais j'ai un doute sur son efficacité... J'ai télécharger Xubuntu pour un autre PC avec Transmission (Client BitTorrent) qui est directement installé avec Ubuntu et je me suis rendu compte que le partage n'était pas bloqué.

Je ne suis pas contre (au contraire) de partager, mais logiquement GUFW aurait dû le bloquer, non?

J'ai bien activé GUFW, j'ai mis pour "Incoming"=>"Deny", pour "Outgoing"=>"Allow" et je n'ai aucunes règles.

Ai-je mal configuré le truc ou c'est normal? Est-ce qu'il y a un autre moyen sûr et facile de configurer le parefeu? Et est-ce que le parefeu d' Ubuntu est vraiment fiable car comme tout le monde j'utilise ma CB pour acheter sur internet?

Dernière question hors sujet; Je n'ai pas d'antivirus (inutile d'aprés beaucoups) donc est-ce bien ou pas? La plupart disent qu'un antivirus sert juste à ne pas infecter ceux qui tournent sous Windows par e-mail par exemple (mais je m'en biiiiiip, ils n'ont qu'à avoir leur propre protection.....Oui je sais je suis méchant mais j'essayerai de faire un effort:P )

Merci

tiramiseb · Le 06/04/2014, à 20:58

Salut,

Je ne suis pas contre (au contraire) de partager, mais logiquement GUFW aurait dû le bloquer, non?

Non, car le noyau détecte tout seul comme un grand que tu as un client Bittorrent et il autorise les flux liés.

est-ce que le parefeu d' Ubuntu est vraiment fiable

Le pare-feu d'Ubuntu c'est Netfilter, c'est le pare-feu de Linux, c'est l'un des plus fiables au monde.

comme tout le monde j'utilise ma CB pour acheter sur internet?

Quel rapport entre les achats en CB et un pare-feu ?

Je n'ai pas d'antivirus (inutile d'aprés beaucoups) donc est-ce bien ou pas?

Il n'y a actuellement pas de virus qui pose vraiment problème sous Linux. Peut-être que ça viendra un jour, mais à mon avis ce n'est pas demain la veille.

La plupart disent qu'un antivirus sert juste à ne pas infecter ceux qui tournent sous Windows

Voilà.

---

Au fait, es-tu sûr d'avoir besoin d'un pare-feu ?

mamad91 · Le 06/04/2014, à 21:12

Pour commencer merci de m'avoir répondu.

Donc d'aprés toi tout est ok, donc je suis rassuré.

En ce qui concerne les achats en ligne, j'accepte toujours les sauvegardes mes identifiants pour me connecter plus rapidement et dans la plupart des sites (Amazon par exemple) il garde en mémoire les coordonnées de CB pour éviter de toujours les rentrer lors des achats. Donc si un jour un petit malin arrive à m'infecter par je ne sais quel moyen et qu'il est accés à mon pc à distance, je ne voudrais pas qu'il puisse avoir accés à toutes ces données.

Voilà et encore merci

SangokuSS · Le 07/04/2014, à 06:47

mamad91 a écrit :

En ce qui concerne les achats en ligne, j'accepte toujours les sauvegardes mes identifiants pour me connecter plus rapidement et dans la plupart des sites (Amazon par exemple) il garde en mémoire les coordonnées de CB pour éviter de toujours les rentrer lors des achats. Donc si un jour un petit malin arrive à m'infecter par je ne sais quel moyen et qu'il est accés à mon pc à distance, je ne voudrais pas qu'il puisse avoir accés à toutes ces données.

Bonjour,

Dans l'exemple que tu cites, il faudrait donc que l'intru, situé à l'extérieur de ton réseau, passe au travers de ta Box, puis du parefeu de ton ordi pour accéder à ces données... Cela ne me paraît pas si simple ! (car on n'est pas dans un film là ! )
Par contre, le flux inverse est tout à fait possible : par exemple en installant toi-même une saloperie sur ton pc, il est possible que celle-ci envoie des infos vers l'extérieur automatiquement...

Donc je suis dans la même orientation que Tiramiseb, je ne vois pas trop le rapport !

Dernière modification par SangokuSS (Le 07/04/2014, à 06:48)

tiramiseb · Le 07/04/2014, à 08:36

si un jour un petit malin arrive à m'infecter

Tu as énormément plus de chances d'installer une saloperie toi-même, comme l'indique SangokuSS.

Si tu maintiens ta machine à jour dès que c'est demandé, que tu n'installes pas n'importe quoi et que tu te cantonnes aux logiciels fournis par la logithèque, les risques sont infimes.

agensbur · Le 07/04/2014, à 11:33

si un jour un petit malin arrive à m'infecter

Il n'est pas totalement inutile de protéger ses navigateurs (nosript pour FF - notsrcipt pour Chrome/Chromium, par ex)

tiramiseb · Le 07/04/2014, à 11:35

protéger ses navigateurs

Éventuellement. Pour ma part je n'ai jamais eu ce genre de problème...

compte supprimé · Le 07/04/2014, à 21:21

mamad91 a écrit :

Salut, je suis nouveau sur Ubuntu et je suis mauvais en informatique donc je m’en remets à vous.
J'ai donc installé GUFW comme beaucoups me l'on conseillé mais j'ai un doute sur son efficacité... J'ai télécharger Xubuntu pour un autre PC avec Transmission (Client BitTorrent) qui est directement installé avec Ubuntu et je me suis rendu compte que le partage n'était pas bloqué.
Je ne suis pas contre (au contraire) de partager, mais logiquement GUFW aurait dû le bloquer, non?
J'ai bien activé GUFW, j'ai mis pour "Incoming"=>"Deny", pour "Outgoing"=>"Allow" et je n'ai aucunes règles.
Ai-je mal configuré le truc ou c'est normal? Est-ce qu'il y a un autre moyen sûr et facile de configurer le parefeu? Et est-ce que le parefeu d' Ubuntu est vraiment fiable car comme tout le monde j'utilise ma CB pour acheter sur internet?
Dernière question hors sujet; Je n'ai pas d'antivirus (inutile d'aprés beaucoups) donc est-ce bien ou pas? La plupart disent qu'un antivirus sert juste à ne pas infecter ceux qui tournent sous Windows par e-mail par exemple (mais je m'en biiiiiip, ils n'ont qu'à avoir leur propre protection.....Oui je sais je suis méchant mais j'essayerai de faire un effort:P )
Merci

Imagine un système de freinage de secours (des étriers avec pistons de pression et plaquettes de freins protégés par un plastique assez solides, en plus d'un système de freinage qui lui est le système de freinage normal de la voiture (on va l'appeler "le système de frein de secours"), il est donc lui aussi autour de ton disque sur chaque de frein à disque de chaque roue, donc juste à côté du système de secours, (celui-ci on va l'appeler : "le système de frein actif").

Le constructeur le mentionne pour sa vente, tu te dis que c'est cool, si un système lâche, l'autre prendras le relais. Mais le constructeur te dit qu'ils ne l'ont jamais activé, quelque soit le modèle du véhicule le possédant et quel que soit la gamme du véhicule, bref, que le système soit sur une voiture à 7000 euros ou sur une voiture à 85 000 euros, ce système ne sera jamais activé, parce qu'ils mettent un point d'honneur et une confiance totale sur la fiabilité du "système de frein actif" sur chaque voiture.

Jusqu'au jour où........

Pour comprendre où je veux en venir c'est simple, il faut définir ce que veulent dire les deux choses suivantes :

_"le système de frein actif" (ceci englobe le pare-feu de ta box et son système de routeur)
_"le système de frein de secours" (ceci englobe le pare-feu d'Ubuntu(ufw ou gufw ou Shorewall ou IPtables) ou bien sûr tout autre pare-feu de tout autre système d'exploitation, Windows etc... )

Et il y a heureusement, des gens comme moi, et comme plein d'autres personnes utilisant des systèmes d’exploitation derrière des box (box qui ont des fonctions de routeur et de pare-feu), qui n'écoutent pas leur vendeur, et demandent que quand même, le système de freinage de secours soit activé, à ce que le pare-feu d'Ubutnu soit activé, par sécurité.

Ce à quoi le vendeur répond que oui, malgré qu'ils émettent une confiance sans borne en leur système de freinage actif, si le client le demande, le système de freinage de secours sera donc toujours activé et ce, dès le premier jour de sortie du concessionnaire par le client avec son bijou à 85 000 euros, ou à 7000 euros ! Le client est roi, il achète ce qu'il veut.

Dès que quelqu'un te dit de ne pas utiliser un système de sécurité (qui est déjà présent sur ton ordinateur), pour moi c'est biaisé, c'est problématique, et je ne fais pas confiance en cette personne. Et j'ai eu tôt vite fait de comprendre cela et de me lancer dans IPtables que je maîtrise un minimum maintenant, et que je peux partager sans problème....

Bonne soirée :-))

tiramiseb · Le 07/04/2014, à 21:58

Et voilà, encore une fois une mauvaise analogie !

Je ne répondrai pas au message de -pascal34- vu qu'il n'a pas l'air de vouloir comprendre...

compte supprimé · Le 07/04/2014, à 23:58

Aucun soucis. Je dis juste que informatique quand on parle de sécurités apportées par les matériels et les logiciels, avoir, comme tu le dis si bien, un des meilleurs firewal du monde (NETFILTER commandé par IPTABLES ou Shorewall) et se borner à le laisser dormir, pour moi c'est une faute de goût d'une part, mais de jugeote d'autre part. Surtout vue ce que j'ai déjà vu sur les box de nos chers FAI, et ce que les autres ont déjà relevés et subis (tout comme moi) venant de ces "box" tant adulées.... Donc oui IPtables ou Shorewall seraint la moindre des choses à mettre en place pour protéger ses données, quel quelles soient, et sa vie privée par la même occasion va sans dire. Tout cela se combine à une très bonne gestion des mots de passe, de leur confections solides, longues et complexes si l'on peut (ou veut), et comme tu le dis si bien, des mises à jours officielles de sécurités ou de logiciels données par Cannonical. Mais on est plusieurs à utiliser des PPA de qualité, sans jamais avoir eu de soucis avec !

Et tes connaissances sur le sujet sont très intéressantes et tu sais plein de choses sur plein de choses, et on espère que tu nous aidera toujours autant, ça fait toujours plaisir de te lire Tiramiseb.

Dernière modification par -pascal34- (Le 08/04/2014, à 00:11)

tiramiseb · Le 08/04/2014, à 08:28

et se borner à le laisser dormir, pour moi c'est une faute de goût d'une part, mais de jugeote d'autre part

Se borner à vouloir l'utiliser à tout prix, c'est une faute d'incompétence, tout simplement.
Un pare-feu sur un poste de travail, ça peut souvent amener plus de problèmes que de solutions.

Rappelons-nous que Netfilter est un pare-feu de réseau et non un pare-feu applicatif du type ZoneAlarm...

Lorsque l'on vit dans une ville fortifiée (box), il n'y a pas vraiment besoin d'ajouter une muraille (netfilter) autour de sa maison.
D'autant plus quand la maison n'a aucune porte ni aucune fenêtre, que des murs (aucun port ouvert).
Ajoutons à ça que l'on rebouche la moindre fissure qui apparaît dans un mur (mise à jour de sécurité).

On peut le faire, mais ça induit énormément de contraintes, ce qui va à l'encontre de ce que doit être l'informatique personnelle (facile à utiliser, bla bla bla).

De base, un poste de travail sous Linux (en tout cas sous Debian et Ubuntu, distributions que je maîtrise) n'a pas besoin de pare-feu car il n'y a rien en écoute, aucun port ouvert, sauf l'essentiel (client DHCP par exemple).

Ptables ou Shorewall seraint la moindre des choses à mettre en place pour protéger ses données [...] et sa vie privée

Aucun rapport entre le pare-feu et la protection de données, encore moins la vie privée.

Le pare-feu protège une machine d'intrusions, lorsque possibilités d'intrusion il y a, ce qui n'est pas le cas d'un poste de travail de base, comme je l'ai expliqué ci-dessus.

Pour protéger les données, il faut d'une part une solution de sauvegarde, d'autre part ne pas utiliser de service gratuit de stockage de données "cloud" ; éventuellement, si on a des données ultra-sensibles (confidentiel défense, tout ça) on peut chiffrer son disque. Mais j'ai vu des machines soit-disant "confidentiel défense" bien moins sécurisées que n'importe quel poste de travail sous Ubuntu d'un utilisateur de base.

Pour protéger sa vie privée, il faut se tourner vers des solutions telles que Tor. Enfin bon, mon avis là-dessus est assez simple : si on utilise Internet, on est prêt à sacrifier une partie de sa vie privée. Si on veut absolument protéger sa vie privée, on résilie son abonnement à Internet.

SangokuSS · Le 08/04/2014, à 08:51

tiramiseb a écrit :

Pour protéger sa vie privée, il faut se tourner vers des solutions telles que Tor. Enfin bon, mon avis là-dessus est assez simple : si on utilise Internet, on est prêt à sacrifier une partie de sa vie privée. Si on veut absolument protéger sa vie privée, on résilie son abonnement à Internet.

200% d'accord avec toi !

Par contre, je ne suis pas tout à fait d'accord avec toi sur la protection derrière la box dans le sens où pour que tu ais raison, il faut considérer que tous les appareils connectés à la maison sont de confiance. Perso, je suis toujours extrêmement méfiant lorsqu'un Andro-bidule, Win-machin... est sur mon réseau (ce qui arrive quand unpote passe à la mason...etc).

tiramiseb · Le 08/04/2014, à 09:01

il faut considérer que tous les appareils connectés à la maison sont de confiance

Oui mais non. Ce que je dis, c'est que par défaut Ubuntu n'écoute pas. Donc qu'on soit sur son propre réseau ou sur un réseau public, si on n'installe pas n'importe quel serveur à tort et à travers il n'y a pas de risque.

Si je reprends l'analogique de la maison :

Même si tu n'es pas dans une ville fortifiée (pas de box), à partir du moment où tu n'as pas de porte ni de fenêtre à ta maison (aucun port ouvert), tu ne présentes que des murs aux autres (que des ports fermés), donc ils ne peuvent pas rentrer chez toi : il n'y a pas vraiment besoin de construire une muraille (pare-feu).

Bien sûr, si c'est une résidence secondaire du roi de France (machine "confidentiel défense") alors on peut envisager la muraille (le pare-feu) au cas où une petite fissure (faille de sécurité) ne serait pas réparée assez vite (mise à jour de sécurité). Mais il faut savoir faire la part des choses : si on est un habitant lambda, les Trois Brigands ne viendront pas jusqu'à notre petit bicoque pour voler deux ou trois babioles.

Dernière modification par tiramiseb (Le 08/04/2014, à 09:01)

Madame Michu · Le 08/04/2014, à 09:07

Bonjour,

J'admire la patience de tiramiseb, qui, sur plusieurs sujets du forum dit et redit toujours les mêmes choses sur la pertinence d'un pare feu.

tiramiseb · Le 08/04/2014, à 09:08

Je ne te cache pas que parfois je bouillonne derrière mon écran et mon clavier

Brunod · Le 08/04/2014, à 10:16

SangokuSS a écrit :

...Perso, je suis toujours extrêmement méfiant lorsqu'un Andro-bidule, Win-machin... est sur mon réseau (ce qui arrive quand unpote passe à la mason...etc).

Si il est sur ton réseau, c'est que celui-ci est ouvert. Suffit de fermer la porte à double wpa tour

tiramiseb · Le 08/04/2014, à 10:21

Si il est sur ton réseau, c'est que celui-ci est ouvert.

Ou qu'il a donné sa clé WPA à son pote...

compte supprimé · Le 08/04/2014, à 10:29

tiramiseb a écrit :

et se borner à le laisser dormir, pour moi c'est une faute de goût d'une part, mais de jugeote d'autre part
Se borner à vouloir l'utiliser à tout prix, c'est une faute d'incompétence, tout simplement.

Il est gentil mdrr !

tiramiseb a écrit :

Un pare-feu sur un poste de travail, ça peut souvent amener plus de problèmes que de solutions.

Sauf quand on sait parfaitement comment configurer son pare-feu selon ses besoins (et cela on le fait grâce à des gens comme toi qui sont instruit sur le sujet, et d'autres forumeurs qui t'emboîtent le pas ici-même).

tiramiseb a écrit :

Rappelons-nous que Netfilter est un pare-feu de réseau et non un pare-feu applicatif du type ZoneAlarm...

Netfilter m'a permis de bloquer les ports de pas mal de programmes, des programmes qui ouvraient eux-même des ports sur Ubuntu. Pour ça IPtables m'a bien rendu service. Et c'est pour ça que je l'utilise, parce qu'il 'ma permis de gérer mon réseau parfaitement et du coup comme ce sont des programmes qui utilisent mon réseau, de gérer les ports qu’utilisent ces programmes, et donc de gérer mon réseau ! Magique

tiramiseb a écrit :

Lorsque l'on vit dans une ville fortifiée (box), il n'y a pas vraiment besoin d'ajouter une muraille (netfilter) autour de sa maison.

Sauf que ta Box, possède un pare-feu avec des règle sparamétrables mais pas comme le ferait Netfilter combiné à IPTABLES par exemple. il y a tout un tas de paramètres qui ne sont pas accessible sur ma Livebox. Par exemple, j'ai une Livebox-Fibre, dernier modèle et dernier Firmware. Et l'on sait que un pare-feu va être "optimal" si aucun port n'est indiqué comme "Closed" par un Scann effectuée chez GRC par exemple (Shields Up, ici et faites le test :
https://www.grc.com/shieldsup ), hé bien les meilleurs résultats sont donc obtenus quand TOUS LES PORTS sont indiqués comme "SLEATH" donc en français comme "CACHÉS". Hé bien, le port 113 est toujours indiqué comme "Closed" au lieu de "SLEATH" rendant ma box bien plus visible sur le net à cause de cela ! Et il m'est impossbile de mettre ce port en caché (Sleath). Là aussi faite une recherche Google, tout un tas de forum en parlent, et même sur les Freebox, depuis les mises à jours, ce port est Closed et du coup visible pour les pirates. Ca leur facilite grandement là tâche, et sur tout MERCI à la CONFIANCE que je mets dans ma BOX et sur SON PARE-FEU. que je ne gère pas, c'est Orange qui s'en occupe (pour le Firmware). j'ai une "pseudo page de paramétrage", mais bon, c'est minime les options hein.... Rien à vois avec un vrai IPTABLES.

Tu dis aux gens ici de faire confiance à leur Box, mais moi je ne peux pas, je sais qu'elles est gérée par des gens, je l'ai testé elle réagit bizarrement plein de fois, je ne fais pas confiance point barre, c'est pour ça que j'ai mis un routeur derrière ma box, et sur ce routeur entre ma Livebox et mes ordinateurs, j'ai activé le pare-feu et toutes ces petites options de pare-feu

Voir la page de Commentcamarche pour les explications sur les ports fermés et cachés des pare-feu : http://www.commentcamarche.net/faq/6464 … n-pare-feu

Du coup si on comprend bien ce que j'ai fait :

_J'ai une Livebox avec Pare-feu activé et personnalisé, et ça n'a aps été sans mal car en paramétrant le par-feu et en vérifiant les ports avec Nmap, elle s'est mise toute seule (au moment où je lui interdisait un port (en le fermant)), à ouvrir comme une grande le port 631, alors que tous les Nmap que je venais de faire ne l'avait jamais indiqué comme ouvert ! sauf qu'en fermant un port, elle n'a pas aimé, et m'en a ouvert un autre, toute seule ! Ca c'est de la protection pare-feu intelligente (mais intelligente pour qui là, je pige pas?) Bref je mets les mains dans le cambouis, et si vous avez lu jusqu'ici, avez vous fait plusieurs Nmap sur votre box pour vous aider à paramétrer le pare-feu de celle-ci ? Si oui vous savez de quoi je parle, si non, vous devriez peut-être vous renseigner là dessus.
_J'ai donc aussi un routeur qui fait pare-feu derrière cette Livebox
_Et j'ai mes ordis avec leur pare-feu

réseau

d'activé.

tiramiseb a écrit :

D'autant plus quand la maison n'a aucune porte ni aucune fenêtre, que des murs (aucun port ouvert).

Sauf que quand tu lances des logiciles, tu reçois du trafic venant d'internet (Firefox, Thunderbird...etc...) donc ton PC est accessible, et qu'est-ce qu'on fait pour lutter contre l'IP SPOOFING sur Ubutnu ? Ben on active le pare-feu Netfilter, et on lui colle la bonne vielle règle IPTABLES anti-spoofing avec ces commandes :

echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

Et ensuite un petit :

iptables -A PREROUTING -t raw -m rpfilter --invert -j DROP

Et par prévoyance pour l'IPv6, un petit :

ip6tables -A PREROUTING -t raw -m rpfilter --invert -j DROP

Voilà des règles anti-spoofing mises en place très facilement, les paquets sont donc filtrés maintenant par IPTABLES. J'ai trouvé cela très pratique, et fort prévoyant, et surtout, très actuel. Non la règle sur IPV6 ne sert pas à "rien", à cause de cela : http://www.cert.ssi.gouv.fr/site/CERTFR … index.html (voir la partie appelée : 3 - Risques liés à l'autoconfiguration d'IPv6 )

tiramiseb a écrit :

De base, un poste de travail sous Linux (en tout cas sous Debian et Ubuntu, distributions que je maîtrise) n'a pas besoin de pare-feu car il n'y a rien en écoute, aucun port ouvert, sauf l'essentiel (client DHCP par exemple).

Oui, un nmap sur mon Pc Ubuntu (depuis un ordi sous Windows) m'en a trouvé d'autres hein, on va laisser les découvrir par nos lecteurs

tiramiseb a écrit :

Ptables ou Shorewall seraint la moindre des choses à mettre en place pour protéger ses données [...] et sa vie privée
Aucun rapport entre le pare-feu et la protection de données, encore moins la vie privée.

D'accord, donc un type qui aura réussi à avoir un accès à ton PC n'est pas dangereux pour ta vie privée, et tes données, aucun soucis.

tiramiseb a écrit :

Le pare-feu protège une machine d'intrusions, lorsque possibilités d'intrusion il y a, ce qui n'est pas le cas d'un poste de travail de base, comme je l'ai expliqué ci-dessus.

Oui oui, ça c'est valable pour un PC qui n'est jamais branché sur Internet et qui n'a pas de système d'exploitation d'installé, et qui est dans un coffre fort au fond d'un Bunker lol, La règle à savoir est :

PC sur Internet = risques RÉELS DIVERS et VARIÉS, et ce n'est pas moi qui le dit, de simples recherches Google les expliquent.

tiramiseb a écrit :

Pour protéger les données, il faut d'une part une solution de sauvegarde, d'autre part ne pas utiliser de service gratuit de stockage de données "cloud" ; éventuellement, si on a des données ultra-sensibles (confidentiel défense, tout ça) on peut chiffrer son disque. Mais j'ai vu des machines soit-disant "confidentiel défense" bien moins sécurisées que n'importe quel poste de travail sous Ubuntu d'un utilisateur de base.

Aller mettre ses données sur un CLOUD, les rendant ainsi directement accessible au moindre péquin du réseau qui possède le cloud (gratuit ou payant) c'est comme y déposer en clair ce qu'il y a sur ton disque dur à la maison, comme les gens que ça intéressent ne se cassent plus la tête à t'espionner lol. Et encore pire, ce serait d'y déposer ses données chiffrées !! (attention je ne dis pas ici que tu as conseillé de faire cela pour les données chiffrées) Comme ça, les mecs peuvent directement se mettent à attaquer par force brute tes fichiers chiffrés, vu que tu es allé le plus gentiment possible leur déposer dans leur cloud, alors qu'ils était tranquillement sur ton disque dur à la maison et bien protégés ! Et blindé derrière ta politique de sécurité très renforcée, avec bien sûr l'activation de NETFILTER, sinon, à quoi il servirait ce logiciel ? Je me demande d'ailleurs pourquoi Cannonical le met toujours dans les dépôts ???? Je lis de ces trucs quand même....

Donc des données, même non sensible, ne doivent jamais quitter ton PC, elles comportent toujours tout un tas de données qui peuvent être exploitées par les personnes mal intentionnées qui y auraient accès, comme par exemple, les hackers, qui se mettent à attaquer de plus en plus de service de CLOUD, car ils savent ou taper pour ammasser un max de données, pourquoi vouloir attaquer un seul pac, alors que là, on va y trouver tout un tas de données sensibles ou pas (car pas mal de gens ne protègent encore rien de leur vie privée !), mais comme on l'a vu au dessus, les techniciens et possesseurs du dit CLOUD peuvent y avoir un accès sans rien à devoir attaquer ! Bref, ça fait beaucoup de gens potentiellement capables de voir tout ce que je viens de déposer sur le CLOUD, moi ça m'enchante pas.... C'est pour ça que je ne veux pas utiliser de CLOUD du tout !

tiramiseb a écrit :

Pour protéger sa vie privée, il faut se tourner vers des solutions telles que Tor. Enfin bon, mon avis là-dessus est assez simple : si on utilise Internet, on est prêt à sacrifier une partie de sa vie privée. Si on veut absolument protéger sa vie privée, on résilie son abonnement à Internet.

Oui bien sûr, TOR, car il protège ta vie privée tellement bien, qu'il n'est pas possible de faire ce que l'on trouve à cette page et qui s'appelle "Attaque de type TIME PATTERN". Mais alors là si même Wikipedia le dit.... C'est que ça doit être ultra sécurisé, merci de ton conseil.

Ici : https://fr.wikipedia.org/wiki/Tor_%28r%C3%A9seau%29

Bref, pour rester Anonyme sur la toile, et en ce moment, c'est d'une :

_Activer son pare-feu Netfilter sur Ubuntu et que l'on peut gérer avec UFW ou GUFW ou Shorewall ou IPTABLES selon ses connaissances bien sûr, j'ai choisi IPTABLES et le paramétrer aux petits soins selon VOTRE UTILISATION.

_Se rendre anonyme avec un fournisseur de VPN (PROXY.SH par exemple) qui te rend anonyme, jusqu'au moment de payer et qui ne garde AUCUN LOGS de tes connexions et surfs. Environ 90 moyens de paiements possibles. Ici : https://proxy.sh/

Et je ne leur fait pas de pub, il y en a d'autres qui proposent ce genre de services...

Bref la sécurité en 2014 veut dire bien plus de choses que tu ne sembles le penser Tiramiseb. C'est pour ça l'autre jour que je te disais que tu pensais comme un papi ! Sans me moquer hein, c'est vraiment de la camaraderie, bonne aprem, bye.

Madame Michu · Le 08/04/2014, à 11:15

Je ne te cache pas que parfois je bouillonne derrière mon écran et mon clavier smile

je sens que ça doit bouillir

tiramiseb · Le 08/04/2014, à 11:21

Netfilter m'a permis de bloquer les ports de pas mal de programmes, des programmes qui ouvraient eux-même des ports sur Ubuntu.

Quand tu installes un programme qui agit en tant que serveur, c'est que tu veux faire serveur. Si ensuite tu bloque le port en question, autant désinstaller le programme en question (ou alors le configurer correctement pour qu'il n'écoute pas sur le réseau).

on sait que un pare-feu va être "optimal" si aucun port n'est indiqué comme "Closed"

Qui est "on" ? Qu'est-ce que "optimal" ? Tu es assez vague dans tes explications...

Ah oui désolé, j'avais oublié... Comme tu l'as toi-même indiqué, tu es un débutant qui découvre au fur et à mesure la sécurité des réseaux, tout ça tout ça... Et moi ? MMmmhhh ah oui, c'est vrai, la sécurité informatique c'est mon boulot...
(cette attaque personnelle était sponsorisée par ta petite phrase "Il est gentil mdrr !". Na !)

le port 113 est toujours indiqué comme "Closed" au lieu de "SLEATH" rendant ma box bien plus visible sur le net à cause de cela [...] ce port est Closed et du coup visible pour les pirates. Ca leur facilite grandement là tâche,

visible pour les pirates ?
Qu'un port soit "closed" ou "stealth" (et non "sleath"), cela ne change pas grand chose pour un pirate.

Pour que tout le monde comprenne bien :
- un port dans l'état appelé "closed", c'est un port sur lequel la machine (la box dans le cas décrit par -pascal34-) répond "désolé, la porte est fermée, tu peux aller voir ailleurs si j'y suis"
- un port dans l'état appelé "stealth", c'est un port pour lequel la machine (la box dans le cas décrit par -pascal34-) ne répondra rien, la tentative de connexion finira en "timeout"

La seule chose que fait un port dans l'état "closed" c'est qu'avec cette réponse, le pirate peut essayer de deviner sur quel genre de système il tente d'accéder (car chaque système a sa manière de répondre, car les piles réseau des systèmes sont différentes). Ok, le pirate peut avoir un peu d'information qui lui permettent de commencer à essayer de deviner ce qu'il a comme machine en face de lui... Mais franchement... Un pirate qui attaque une machine sur le réseau de Free... Tu ne crois pas qu'il est déjà au courant qu'il attaque une Freebox !?

c'est pour ça que j'ai mis un routeur derrière ma box, et sur ce routeur entre ma Livebox et mes ordinateurs, j'ai activé le pare-feu et toutes ces petites options de pare-feu

Un pare-feu de réseau, c'est bien. Remplacer sa box par une machine qu'on gère soi-même, c'est bien.
Mais ça ne correspond pas au cas classique de la personne qui utilise sa box comme routeur.

Je rappelle qu'à partir du moment où aucune redirection n'est configurée sur la box, la machine interne n'est pas joignable tout simplement car elle a une adresse IP privée, non routable sur Internet.
Ça changera quand tout le monde sera (enfin) en IPv6, mais malheureusement c'est pas demain la veille.

Voir la page de Commentcamarche [...]

Mwahaha. Commentcamarche. Sur le sujet de la sécurité. Vraiment ?
J'ai beaucoup de respect pour CCM, on avait commencé nos sites d'aide aux béotiens ensemble, on avait même un partenariat au début, ça devait être aux alentours de 1998 ou 1999... Mais ce n'est clairement pas sur ce site-là que j'irai chercher des conseils en sécurité informatique. On y lit tellement d'énormités, sur tellement de sujets...

Du coup si on comprend bien ce que j'ai fait : [...]

Je te conseillerais de virer le "mode routeur" de ta box (si c'est faisable avec une Livebox) et de capitaliser toute la sécurité sur ton routeur, qui aura alors l'adresse IP publique : la gestion sera simplifiée car la livebox sera transparente, tu n'auras plus à t'inquiéter qu'il puisse lui arriver telle ou telle chose : elle ne fera plus office que de modem.

Sauf que quand tu lances des logiciles, tu reçois du trafic venant d'internet (Firefox, Thunderbird...etc...) donc ton PC est accessible,

Attention, lancer un logiciel client et recevoir du trafic n'a rien à voir avec une ouverture de port !

qu'est-ce qu'on fait pour lutter contre l'IP SPOOFING sur Ubutnu ?

Le spoofing est un cas très rare, il est très difficile à mettre en œuvre pour un pirate, trop difficile pour qu'un simple PC lambda motive à essayer de faire ça. Après, si on parle d'un PC "confidentiel défense", bien sûr, il faut s'y pencher.

[...] /proc/sys/net/ipv4/conf/all/rp_filter [...]

Le reverse path filtering fonctionne de la manière suivante :
1/ quand la machine reçoit un paquet, elle vérifie par quelle interface ce paquet arrive
2/ la machine vérifie alors que l'adresse IP source du paquet est joignable par l'interface d'où le paquet arrive
3a/ si l'adresse source est bien joignable par l'interface d'où le paquet est arrivé, le paquet est accepté
3b/ si l'adresse source est joignable par une autre interface, le paquet est ignoré

Par conséquent, à partir du moment où on n'a qu'une seule interface active sur une machine (c'est le cas de l'écrasante majorité des postes de travail), le rp filtering est tout bonnement inutile.

C'est utile sur un routeur, et encore... Ça permet juste de valider qu'un paquet provient du bon endroit : si l'IP spoofing a lieu en amont de ton réseau (chez ton FAI, sur le serveur distant, etc), le noyau n'y verra rien, car les paquets viendront bien par la bonne interface. Donc le seul spoofing qui sera détecté c'est quand une machine interne essaiera de se faire passer pour une machine publique ou inversement. L'attaque en question est très limitée car de toute manière le paquet de réponse ne pourra pas arriver vers le serveur qui essaie de spoofer, la réponse suivant le routage classique et sortant par la "bonne" interface.

Donc le conseil que tu donnes est totalement inutile sur un poste de travail et a un intérêt limité sur un routeur personnel.

Non la règle sur IPV6 ne sert pas à "rien", à cause de cela [...]

La règle sur IPv6 sert autant "à rien" que la règle en IPv4, pour les raisons que je viens d'exposer.
Concernant le lien que tu as donné sur l'autoconfiguration IPv6, je t'ai déjà répondu dans une autre discussion.
Il y a un risque, mais encore une fois c'est assez limité ; surtout sur un réseau personnel.

un nmap sur mon Pc Ubuntu (depuis un ordi sous Windows) m'en a trouvé d'autres

Je suis prêt à parier que pour chacun on pourra trouver une explication rationnelle et une solution qui n'implique pas le pare-feu ; par exemple arrêter le logiciel serveur qui écoute sur le port incriminé, si tu ne veux pas qu'il soit joignable autant l'enlever plutôt que de le laisser tourner et bloquer les paquets.

on va laisser les découvrir par nos lecteurs

Dans le genre FUD, tu es fort...

donc un type qui aura réussi à avoir un accès à ton PC n'est pas dangereux pour ta vie privée, et tes données, aucun soucis.

Encore une fois, rien à voir.
Sur un PC de type poste de travail classique, sous Ubuntu, maintenu à niveau, sans pare-feu ou avec pare-feu ça ne changera rien car le pare-feu ne bloquera rien.
Si tu t'amuses à installer plein de serveurs à tort et à travers, c'est autre chose : mais là, il vaut mieux apprendre à gérer un système plutôt que de faire comme sous Windows, installer des milliers de choses et tout bloquer avec un pare-feu.

Il faut arrêter de croire (et surtout de faire croire) qu'un pare-feu est une sécurité ultime. Un pare-feu de poste de travail sert juste à combler les lacunes en terme d'administration de gens qui installent tout et n'importe quoi ou de systèmes mal sécurisés.

Pour qu'un type n'accède pas à un PC, il est bien plus efficace de ne pas installer n'importe quoi et surtout de maintenir son système à jour.
Car même si un port est ouvert avec un logiciel serveur en écoute, à partir du moment où il n'y a pas de faille exploitable ou de configuration hasardeuse on ne craint rien.

ça c'est valable pour un PC qui n'est jamais branché sur Internet bla bla bla

Non, c'est valable pour un PC qui n'a aucun port en écoute et qui est à jour du point de vue de la sécurité de ses logiciels.

PC sur Internet = risques RÉELS DIVERS et VARIÉS

Risques contre lesquels un pare-feu ne peut pas grand chose, voire rien du tout !

Aller mettre ses données sur un CLOUD, les rendant ainsi directement accessible au moindre péquin du réseau qui possède le cloud

Là tu exposes bien ta méconnaissance crasse du sujet. Un espace de stockage en cloud n'est pas nécessairement un espace de stockage public. As-tu déjà utilisé ne serait-ce que Dropbox ?

encore pire, ce serait d'y déposer ses données chiffrées [...] les mecs peuvent directement se mettent à attaquer par force brute tes fichiers chiffrés

Brute force ? Sur un chiffrement solide (algos récents, tout ça), le brute force n'a aujourd'hui aucune efficacité, sauf peut-être à y mettre les moyens (ferme de superordinateurs, etc).

NETFILTER [...] à quoi il servirait ce logiciel ?
Je me demande d'ailleurs pourquoi Cannonical le met toujours dans les dépôts

Netfilter fait partie intégrante du noyau Linux. Pourquoi Canonical (avec deux "n", pas trois) le laisse dans le noyau ? Car parfois on en a besoin.
Sinon, les milliers de drivers présents dans le noyau, tu les charges tous ? Non parce que, pourquoi Canonical les laisse dans le noyau ? Ils pourraient faire un noyau ultra léger qui ne contient que les drivers pour ton propre matériel, ce serait tellement plus simple pour toi !

[...] les hackers [...]

Certains cheveux se hérisseraient en lisant quelqu'un qui essaie de donner des leçons de sécurité (comme toi) utiliser le terme "hacker" comme synonyme de "vilain pirate". Comme quoi, les médias de masse ont une forte influence, hein...
http://fr.wikipedia.org/wiki/Hacker_(s% … ormatique)
http://fr.wikipedia.org/wiki/Hacker_(universit%C3%A9)

TOR, car il protège ta vie privée tellement bien

J'ai parlé de "solutions telles que Tor". C'est le plus populaire. Mais je n'aime pas Tor. Oui il y a des failles, oui il y a des attaques possibles. Comme pour tout système informatique.
De toute manière, mon avis sur la vie privée a déjà été donné. Tu veux une vraie vie privée ? Coupe Internet.

pour rester Anonyme sur la toile [...] Activer son pare-feu [...]

Aucun rapport entre le pare-feu et la vie privée. Un pare-feu ne rend pas anonyme. Tu induis les gens en erreur, c'est très méchant de ta part.

pour rester Anonyme sur la toile [...] fournisseur de VPN [...] qui ne garde AUCUN LOGS

Sauf qu'il n'y a pas que les logs. À partir du moment où tu es connecté, tu es identifiable. Et si tu utilises constamment ton fournisseur de VPN, alors à tout moment tu es pistable, car tu y es connecté.

Bref la sécurité en 2014 veut dire bien plus de choses que tu ne sembles le penser Tiramiseb.

Bref la sécurité en 2014 veut dire bien plus de choses que tu ne sembles le penser -pascal34-.
Plutôt que de remettre en cause ce que les spécialistes du domaine consentent à t'expliquer ici, essaie de réfléchir et de ne pas t'arrêter à des bouts d'informations que tu glânes ci et là.

l'autre jour que je te disais que tu pensais comme un papi !

Moi je te dis que tu penses comme un débutant et que tu as encore pas mal de choses à apprendre en terme de sécurité informatique.
Au début de ma carrière professionnelle, il y a un peu plus de 10 ans, je pensais comme toi, je voulais mettre des pare-feux partout, parce que j'avais lu plein de trucs sur plein de sujets différents, du même acabit que ce que tu cites à longueur de posts. Et ce n'est qu'ensuite que j'ai réellement appris la sécurité informatique, après avoir effleuré de manière très artificielle et avec plein de préjugés, comme toi actuellement...

Pour conclure, je répéterai un principe très simple à retenir : la sécurité d'un système d'informations doit être relative à la sensibilité de ce qu'on veut y protéger.
On ne met pas une "muraille de Chine" autour d'une capsule de bière et on ne met pas des murs en carton sur un bunker anti-nucléaire.

(wow, 50 minutes pour écrire ce message ! il faut vraiment que je sois particulièrement dévoué pour "perdre" ce temps alors qu'à côté j'ai un vrai travail, qui parle de Shorewall, de TLS, de SSH, etc avec une deadline dans 2 jours)

Dernière modification par tiramiseb (Le 08/04/2014, à 13:19)

Brunod · Le 08/04/2014, à 12:24

tiramiseb a écrit :

...
(wow, 50 minutes pour écrire ce message ! il faut vraiment que je sois particulièrement dévoué pour "perdre" ce temps alors qu'à côté j'ai un vrai travail, qui parle de Shorewall, de TLS, de SSH, etc avec une deadline dans 2 jours)

Admirable / pathétique... Dévoué !
Plus je te lis, et plus je me rends compte du temps que je perds aussi en écrivant
Mais bravo pour l'esprit de partage !
BD

moko138 · Le 08/04/2014, à 13:10

Mille mercis de tes explications argumentées et accessibles au profane, tiramiseb !
Vive la soupape de 50 minutes !

pires57 · Le 08/04/2014, à 15:27

Sur l'ensemble tiramiseb a raison, tu debutes en sécurité info9rmatique alors que d'autre on une meilleur expérience que toi parce quecela fait des années qu'il font de l'administration système et reseau et sont donc directement touché par la sécurité ou parce qu'il sont expert en sécurité informatique (technique d'audit /forensic ....)
Ton pare feu n'es pas la pour te protéger des virus et autre malware qui traine sur la toile. Tu parles de tor, est ce que tu sais comment il fonctionne? A priori non, donc pour faire simple tor c'est un système de couche en oignon, plus tu te rapproche du noyau plus tu es protéger ... mais celui qui y mets les moyens pourras toujours te retrouver, le vpn ne te rend pas anonyme non plus, on peut toujours te remonter...

compte supprimé · Le 08/04/2014, à 17:12

Merci Tiramiseb, ça m'a bien renseigné, on voit que tu sais de quoi tu parles. Bon, c'est rare sur les forums. J'ai compris partout où je me trompais, et donc, encore merci pour les 50 minutes passées à me répondre. Si je parle de sécurité en ces thermes, c'est que j'expose mes croyances, mes raisonnements, et ça fait toujours plaisir d'apprendre là où on se trompe, donc, et encore, un gros merci :-)) Si un jour tu peux me donner deux trois références littéraires sur la sécurité des réseaux, livres en français sinon dans d'autres langues ce ne sera pas accessible pour moi, alors je suis preneur aussi. Je te le redis, ça me fait plaisir quand les gens me montrent où je me trompe, sinon, comment avancer dans ce domaine si compliqué, surtout quand comme moi :

_on a pas les bases
_on est pas informé du réel fonctionnement des logiciels (Linux, Windows)
_on est fougueux et bien bien con
_on manque de connaissances sur la sécurité des réseaux, tout simplement
_on est complètement parano (du fait que l'on ne sache pas comment fonctionne exactement les logiciels et le matériel (box))

Mais malgré toutes mes tares, je n'aimerai qu'une seule chose en ce moment, c'est trouver quelqu'un veuille bien m'aider sur ce sujet, c'est tout. Je me positionne en voulant donc apprendre, mais je ne veux pas monopoliser les gens, j'aimerai des livres sur le sujet, des livres qui t'ont aidé seraient très bien.

Merci.

Dernière modification par -pascal34- (Le 08/04/2014, à 17:12)

tiramiseb · Le 08/04/2014, à 17:31

Concernant des références littéraires, malheureusement je n'ai pas grand chose à t'indiquer... Pour ma part j'ai appris au fur et à mesure, avec les documentations des différents logiciels, en expérimentant, avec les collègues qui me donnaient des indices... Je n'ai aucun livre sur la sécurité informatique dans ma bibliothèque... En plus tu indiques ne lire que le français, ça devient difficile vu que j'ai tout appris sur des docs en anglais...

Quelques liens toutefois...
- si les aspects réseau/routage t'intéressent, tu peux lire le LARTC : http://lartc.org/ en anglais, http://guidespratiques.traduc.org/vf/lartc.html en français mais pas à jour
- pour Netfilter, il y a pas mal de documentation officielle : http://www.netfilter.org/documentation/index.html, il y a quelques liens vers des docs en français
- le CERT-FR, tu connais déjà : http://www.cert.ssi.gouv.fr/ ... il faut juste arriver à te dire qu'il ne faut pas s'affoler à chaque annonce : il faut comprendre l'information et la remettre dans son contexte

Par ailleurs, je te conseillerais les livres édités chez O'Reilly, c'est un gage de qualité, mais O'Reilly France a fermé il y a quelques années, du coup ce ne sont plus que des livres en anglais... ou alors en occasion tu peux peut-être trouver des livres en français, même si ça commence à dater ça peut aider.

En terme d'éditeur français, le meilleur est selon moi Eyrolles.
Tu pourras y trouver de bons livres, par exemple le Pujolle (en fait, le livre s'appelle "Les réseaux" et est écrit par Guy Pujolle ; le fait qu'on appelle ce livre "le Pujolle" te laisse imaginer à quel point c'est une référence), que je n'ai même pas acheté, honte sur moi ! Je suis sûr que s'y trouvent énormément de choses que je pourrais encore apprendre.
Il y a aussi "Réseaux" d'Andrew Tanenbaum (certains l'appellent "le Tanenbaum").
"Sécurité informatique" de Bloch devrait être pas mal - je ne connais pas le livre, mais je connais la réputation de Bloch (je ne connais pas le second auteur) ainsi que de Makarévitch et Schauer, des pointures !

Par contre attention, Eyrolles est un éditeur et une librairie, sur son site tu trouves des livres de plein d'éditeurs différents... il y a du bon et du moins bon...

Dernière modification par tiramiseb (Le 08/04/2014, à 17:38)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 06/04/2014, à 20:26

Question sur GUFW

#2 Le 06/04/2014, à 20:58

Re : Question sur GUFW

#3 Le 06/04/2014, à 21:12

Re : Question sur GUFW

#4 Le 07/04/2014, à 06:47

Re : Question sur GUFW

#5 Le 07/04/2014, à 08:36

Re : Question sur GUFW

#6 Le 07/04/2014, à 11:33

Re : Question sur GUFW

#7 Le 07/04/2014, à 11:35

Re : Question sur GUFW

#8 Le 07/04/2014, à 21:21

Re : Question sur GUFW

#9 Le 07/04/2014, à 21:58

Re : Question sur GUFW

#10 Le 07/04/2014, à 23:58

Re : Question sur GUFW

#11 Le 08/04/2014, à 08:28

Re : Question sur GUFW

#12 Le 08/04/2014, à 08:51

Re : Question sur GUFW

#13 Le 08/04/2014, à 09:01

Re : Question sur GUFW

#14 Le 08/04/2014, à 09:07

Re : Question sur GUFW

#15 Le 08/04/2014, à 09:08

Re : Question sur GUFW

#16 Le 08/04/2014, à 10:16

Re : Question sur GUFW

#17 Le 08/04/2014, à 10:21

Re : Question sur GUFW

#18 Le 08/04/2014, à 10:29

Re : Question sur GUFW

#19 Le 08/04/2014, à 11:15

Re : Question sur GUFW

#20 Le 08/04/2014, à 11:21

Re : Question sur GUFW

#21 Le 08/04/2014, à 12:24

Re : Question sur GUFW

#22 Le 08/04/2014, à 13:10

Re : Question sur GUFW

#23 Le 08/04/2014, à 15:27

Re : Question sur GUFW

#24 Le 08/04/2014, à 17:12

Re : Question sur GUFW

#25 Le 08/04/2014, à 17:31

Re : Question sur GUFW

Pied de page des forums