Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#26 Le 08/04/2014, à 17:19

compte supprimé

Re : Question sur GUFW

Merci beaucoup tiramiseb, le Pujolle je le récupère dans quelques minutes, ce sera déjà un très bon début je pense, merci merci

#27 Le 08/04/2014, à 18:01

SangokuSS

Re : Question sur GUFW

tiramiseb a écrit :

Même si tu n'es pas dans une ville fortifiée (pas de box), à partir du moment où tu n'as pas de porte ni de fenêtre à ta maison (aucun port ouvert), tu ne présentes que des murs aux autres (que des ports fermés), donc ils ne peuvent pas rentrer chez toi : il n'y a pas vraiment besoin de construire une muraille (pare-feu).

Une nouvelle fois 200% d'accord avec tout ce que tu dis wink
Et bien entendu que seules les machines autorisées par mes soins... entrent sur mon réseau ! (en fait je ne parlais pas pour "moi" mais plutôt pour l'utilisateur lambda qui n'est pas toujours aussi rigoureux que nous, par ex en laissant les clés/mdp par défaut des box... etc)
Mais :
- si je te rejoins quand tu précises que derrière une box, le parefeu finit par poser plus de problèmes qu'autre chose pour nous,
- je précise que ton propos fait echo aux possibilités de configuration du réseau : serveur multimédia, ... etc ce qui sous-entend justement des ouvertures de ports... et qui, dans des mains "non expertes" aboutissent souvent au grand n'importe quoi ( tu me l'accorderas wink ) et j'ai dans l'idée que la configuration manuelle du parefeu peut (doit ? devrait ?) apporter un poil de compétence et de prudence à l'utilisateur...

En tout cas, j'admire ta patience... car cela fait bien 10 fois que ce sujet est aborder... et que nous sommes globalement d'accord sur l'ensemble...

Et si on prenait un peu de temps pour détailler tout ça ici ? http://doc.ubuntu-fr.org/pare-feu

wink

#28 Le 08/04/2014, à 20:12

pires57

Re : Question sur GUFW

a titre perso j'aurais ajouté Metasploit: sécurité & hacking (apprentissage de la sécurité par l'offensive) et Sécurité informatique - Ethical Hacking qui amenes aussi de bonne bases et qui sera plus simple a lire que le Tanenbaum, sinon niveau magazine tu as aussi MISC qui t'apportera pas mal de connaissances général.


Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

Hors ligne

#29 Le 08/04/2014, à 21:13

compte supprimé

Re : Question sur GUFW

Merci pires57 pour les références, je les mets sous le coude. J'ai donc récupéré depuis quelques heures le Pujolle, c'est pil ce que je recherchais sur les réseaux, leur fonctionnement, le détail sur les routeurs et leurs fonctionnement (on apprend aussi ce qu'est un commutateur et ce qu'est un routeur-commutateur, et bien d'autres choses encore avec à chaque fois leur fonctionnement très détaillé), parfois je n'ai pas compris un schéma d'ailleurs, il faudra que j'y revienne. Mais dans l'ensemble j'ai compris ce que disait tiramiseb au sujet de nos Box (Freebox, Livebox, box de Numericable etc...) et de leur fonction de routage, et le fait que notre ordinateur (son adresse IP sur la Box) ne soit pas visible depuis internet, et du coup, pas attaquable. Et aussi la distinction entre pare-feu personnel de réseau et pare-feu personnel applicatif (qui gère les applications et non les ports). Mais Guy Pujolle  dit aussi que un port = une application (ce que j'ai remarqué avec les ports qu'avaient ouvert deux de mes logiciels, et que j'ai pu fermer en écoute avec IPTABLES(4 ports fermés au total pour un total de 2 applications, ces applications fonctionnent sans ces ports fermés, sauf pour une des deux qui me fait perdre une interface graphique de contrôle de celle-ci, mais dont je me susi passé depuis).

Pour changer de sujet il parle aussi du danger des attaques de pirates en se faisant passer pour des applications autorisées, ils font cela au cas où le port soit bloqué mais que le pare-feu ait branché l'application autorisée sur un autre port (ou bien ils font ça parce que c'est plus difficile à surveiller aussi sûrement). Dans ce cas, le pirate se moque du port bloqué, il se fait passer pour Firefox et passe tranquillement. A cette dernière attaque vient se coller l'identification des paquets (leur IP sources) et tout un tas de trucs pour éviter les attaques par spoofing d'applications (si je puis dire), bref, Guy Pujolle le dit, les systèmes de sécurité sont extrêmement complexes à mettre en place et Tiramiseb le sait, d'ailleurs Tiramiseb le dit, une seul solution pour les données informatiques vraiment trop sensibles, ne pas les connecter à Internet.

Le livre est très riche, il n'est pas si compliqué que cela, mais tout de même, beaucoup de notions sont nouvelles pour moi et demandent que des recherches soient faîtes pour les clarifier, les définir. Mais sinon il est très étoffé, et bien segmenté, il permet deux types de lectures, soit on va directement au chapitre concerné (si on a déjà les bases c'est bien), soit on lit le livre depuis le début, pour avoir justement les bases... Très bon ouvrage, pédagogique, éducatif, vraiment riche (806 pages en PDF).

Dernière modification par -pascal34- (Le 08/04/2014, à 21:29)

#30 Le 08/04/2014, à 23:13

compte supprimé

Re : Question sur GUFW

Brunod a écrit :
SangokuSS a écrit :

...Perso, je suis toujours extrêmement méfiant lorsqu'un Andro-bidule, Win-machin... est sur mon réseau (ce qui arrive quand unpote passe à la mason...etc).

Si il est sur ton réseau, c'est que celui-ci est ouvert. Suffit de fermer la porte à double wpa tour wink

tout dépend du contexte Brunod, si tu as un invité dans la maison, il doit rester avec politesse dans le salon et non pas déambuler dans toutes les pièces sans y être autorisé prenons l' exemple d'un serveur VPN, le connecté peut avoir droit à accéder à un seul service et non pas tous ceux présents, iptables est dans ce cas indispensable.   
@pascal34
as tu des serveurs à gérer et une circulation à réglementer ? iptables n' a en effet son utilité que pour quelques cas particuliers, exemple du client vpn qui tombe, alors tout le traffic doit être stoppé net, (ne pas voir une apologie anti-hadopi ou machin, mais simplement le coté technique d'un système bien élaboré) et tu as eu raison d'avoir suivi mon conseil de remplacer la box par un routeur 'neutre' comme je te l'avais proposé, la box serait effectivement une forteresse si l'ennemi potentiel était toujours à l'extérieur, d'expérience ce n'est pas toujours le cas, toutefois tu peux en effet lui désactiver son mode routeur, c'est plus simple  (ton routeur est suffisant),   tu ne définis qu'une seule redirection de port si besoin, inutile de compliquer. Mine de rien, le NAT bien qu'il paraisse 'transparent' est une usine à gaz dans son fonctionnement interne et ne doit servir normalement qu'en dernier recours.

#31 Le 08/04/2014, à 23:31

compte supprimé

Re : Question sur GUFW

Salut Wholes, merci pour le passage wink

J'ai tout lu, je pense à un truc, pour l'instant je ne suis pas dans la possibilité de faire confiance à mon routeur, il y a une faille de sécurité évidente et que j'ai découvert il y a peu, et le mettre directement derrière la box en mode modem ne va pas être possible, mais si j'ai bien tout compris, cela n'est pas très grave, et je me sers donc de cette box de premier "écran", via son mode routeur. Mais je n'ai pas saisi la partie où tu parles de pare-feu actif sous Ubuntu qui servirait en cas de vpn qui tombe ? Comprends pas ? (pas de serveurs à gérer non)

Sinon la lecture plus approfondie du Pujolle (je vais l'appeler comme ça ce sera plus simple) m'a permis de revoir la partie chiffrement des données, et du coup cela m'a fait aller sur mon fournisseur de VPN, dans la FAQ et j'ai pu voir que je me connectai en VPN-TCP (depuis tout ce temps !), alors qu'avec le mode VPN-UDP j'ai des débits de download 8 X plus rapides et d'upload de l'ordre de +33 %, ce qui n'est pas négligeable, merci l'ami Seb...

Dernière modification par -pascal34- (Le 08/04/2014, à 23:43)

#32 Le 08/04/2014, à 23:53

pires57

Re : Question sur GUFW

Normal, udp ne demande pas d ACK


Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

Hors ligne

#33 Le 09/04/2014, à 00:01

compte supprimé

Re : Question sur GUFW

Pas de ACK, en gros ce serait une sorte de vérification en moins ou un truc à l'opposé de ce que je pense svp ??

#34 Le 09/04/2014, à 00:06

pires57

Re : Question sur GUFW

C'est un protocole qu'on appelle hors connexion,  on envois des paquets sans attendre de réponse,  on sais juste qu'on l'a envoyé


Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

Hors ligne

#35 Le 09/04/2014, à 09:33

compte supprimé

Re : Question sur GUFW

Merci, me suis endormi comme une masse, bonne aprem

#36 Le 13/04/2014, à 10:42

ljere

Re : Question sur GUFW

Bonjour,
tout HS sera supprimé, suivi de sanction,
je vous rappelle qu'au lieu de répondre au troll il est préférable de nous le signaler.

ljere, pour l'équipe de modération


ancien PC Toshiba satellite_c670d-11 / Linux Mint 21 Vanessa
Nouveau PC ASUS TUF GAMING A17 GPU RTX 4070 CPU AMD Ryzen 9 7940HS w/ Radeon 780M Graphics / Linux Mint 21.2 Victoria / Kernel: 6.4.8-1-liquorix / Desktop: Cinnamon

Hors ligne

#37 Le 13/04/2014, à 11:23

Patrick241

Re : Question sur GUFW

Vous avez devant vous un exemple manifeste de censure pour des motifs inexplicables, vous noterez que le modérateur en question nous étale tout son niveau de culture en orthographiant « suivi » à la place de « suivit », et en utilisant le terme « troll », qui décide de ce qui est doit être dit sur un forum ? Un petit modérateur quasiment inculte ? C'est lui le véritable troll.

Mon propos a consisté à démontrer que la totalité des distributions Linux, et Windows évidemment, conseillaient d'utiliser un pare feu, et j'y suis parvenu.

Monsieur le modérateur indélicat, vous faites comme vous voulez, je reviendrai quand je voudrais.


Bravo Ubuntu!...

Dernière modification par Patrick241 (Le 13/04/2014, à 11:24)

Hors ligne

#38 Le 13/04/2014, à 11:43

tiramiseb

Re : Question sur GUFW

Tu n'es parvenu qu'à te ridiculiser.

Hors ligne

#39 Le 13/04/2014, à 15:00

moko138

Re : Question sur GUFW

Zen, tiramiseb ! C'est le printemps, smile et nous devrions être dehors, où s'épanouissent toutes sortes de belles fleurs, ici, renonculacées jaunes, fréquentes dans les cols de montagne.


%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel :  À la découverte de dcraw

Hors ligne

#40 Le 13/04/2014, à 16:58

pires57

Re : Question sur GUFW

tes propos ont simplement montrés :
--> ta méconnaissance du noyaux Linux en général.
--> ton incompétence en terme de sécurité informatique, en effet, tu n'as jamais répondu ni a tiramiseb ni a moi même lorsque l'on t'a posé des questions, puis on est passé de firewall a faille résolu depuis des années.

@moko, si tu as suivi tout les posts qui été sur ce topic, tu comprendras qu'il est difficile de rester zen avec quelqu'un comme lui ... ceci dis, on ne fera jamais d'un âne un cheval de course ...

Dernière modification par pires57 (Le 13/04/2014, à 16:59)


Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

Hors ligne

#41 Le 13/04/2014, à 17:38

nam1962

Re : Question sur GUFW

Pas de course, de trait, on t'a dit.
c'est vrai qu'il s'est ridiculisé, mais au moins la modération l'a conduit à un post qui n'est pas un copié/collé, c'est déjà çà tongue

Bon, maintenant, bête question qu'est ce qui peut arriver sur une buntu qui serait visible depuis l’extérieur ?
(ce qui ne semblepas le cas chez moi quand je me teste avec https://www.grc.com/x/ne.dll?bh0bkyd2 , déjà..)


[ Modéré ]

Hors ligne

#42 Le 13/04/2014, à 18:08

Brunod

Re : Question sur GUFW

Rien : tu la mets en dmz et tu re-scannes wink


Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis

Hors ligne

#43 Le 13/04/2014, à 18:08

pires57

Re : Question sur GUFW

ce que j'ai déjà vu sur un serveur qu'un admin avait foutu dans un coin c'est une machine vérolé suite au faille découverte et non mise a jours, on voyais que la machine envoyé des requêtes sur le réseau a certaine heure et que le nombre de requête étaient anormal, le pirate c'est amusé a modifié le script de certaine commande pour protéger son exploit (notement la commande netstat  ) mais la encore on parle d'une machine qui a été vérolé suite au non mise a jours de son système !!


Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

Hors ligne

#44 Le 13/04/2014, à 18:41

tiramiseb

Re : Question sur GUFW

Salut,

C'est bon « Pierre », on t'a reconnu, arrête de créer des comptes pour faire croire que des gens sont de ton côté... tongue

Jlumbla a écrit :

à défaut de pouvoir se payer du marketing, il faudrait faire un effort du côté de la communication, il n'est pas normal que quelqu'un qui a un point de vue différent d'un habituel petit groupe de harceleurs, se fasse insulter en toute impunité

C'est bel et bien ton autre alias « Patrick241 » qui m'a insulté, de notre côté on n'a commencé à ne plus être tout à fait poli quand il (tu) a(s) commencé à être vraiment exaspérant.

Ton alias « Patrick241 » comme ton premier compte « Pierre Lhabitant » n'étayent absolument pas ce point de vue, ils ne font qu'asséner des affirmations non fondées, sans explication technique autre que des croyances vagues...


(ah ben mince, le message de « Jlumbla » a été supprimé - ou lui-même a-t-il été supprimé ? ...)

Dernière modification par tiramiseb (Le 13/04/2014, à 18:42)

Hors ligne

#45 Le 13/04/2014, à 18:48

pires57

Re : Question sur GUFW

moi ce que je retiens du message c'est qu'on es un groupe de petit harceleur lol
Il a peut-être été supprimé, je ne sais pas mais j'ai signalé son post vu que moi aussi j'ai eu l'impression qu'on avait a faire a lui de nouveau qui utilise un autre compte pour appuyé ses propos non argumentés.

Brunod, il te parle de la machine en elle même, pas des autres machines du réseau mais tant que cette machine est à jours et bien configuré il n'y a pas que très peu de risque


Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

Hors ligne

#46 Le 13/04/2014, à 18:51

Brunod

Re : Question sur GUFW

pires57 a écrit :

...

Brunod, il te parle de la machine en elle même, pas des autres machines du réseau mais tant que cette machine est à jours et bien configuré il n'y a pas que très peu de risque

Moi aussi, mais je n'ai pas été suffisamment clair : je voulais dire  rescanner de l'extérieur avec grc ou autre après l'avoir mise en dmz pour qu'elle soit accessible de l'extérieur, notamment au scan.

Dernière modification par Brunod (Le 13/04/2014, à 18:52)


Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis

Hors ligne

#47 Le 13/04/2014, à 18:51

nam1962

Re : Question sur GUFW

11_30_27_0_0_0_2_0_0.gif Ah celui là alors !

Bon, donc une bécane toute nue sous buntu peut se faire hacker, ok, qu'aurait changé un firewall ?


[ Modéré ]

Hors ligne

#48 Le 13/04/2014, à 19:11

tiramiseb

Re : Question sur GUFW

Bon, maintenant, bête question qu'est ce qui peut arriver sur une buntu qui serait visible depuis l’extérieur ?

Question très simple, dont un cas a été survolé ici dans le cadre exclusif de la nécessite ou non d'un pare-feu sur un poste de travail "de base". Maintenant, pour répondre clairement à cette question voici des détails, en plusieurs cas... Étant donné qu'on est sur un fil qui parle de pare-feu, je termine à chaque fois sur ce qu'apporterait (ou non) un pare-feu (cela dit, il y a des usages plus complexes du pare-feu, je reste sur des cas globaux et des explications simples).

Avant de commencer, je précise bien dans tous les cas qu'il s'agit d'éventualités d'attaque, que je ne lie pas du tout à l'importance de la machine : un attaque complexe ne sera certainement pas mise en œuvre pour pénétrer le PC de madame Michu... Et mine de rien, sur ce forum on parle surtout de la machine de madame Michu smile

Cas 1/ aucun logiciel serveur n'est en place sur cette machine, qui est maintenue à jour

Aucun port n'est en écoute, un pirate n'aura alors pas moyen de pénétrer sur la machine, sauf éventuellement entre la publication d'une mise à jour de sécurité du noyau et son application par l'utilisateur/administrateur ou alors s'il s'agit d'une faille zero-day (faille ayant été exploitée avant d'être rendue publique). Il faut savoir que les failles réseau du noyau rendant possible une pénétration sur la machine sont rares et très difficiles à exploiter, surtout quand on met régulièrement sa machine à jour, ne laissant ainsi pas le temps à un éventuel pirate de pénétrer la machine.

Ici, le pare-feu est inutile.

Cas 2/ aucun logiciel serveur n'est en place sur cette machine, qui n'est pas maintenue à jour

Aucun port n'est en écoute, un pirate n'aura alors pas moyen de pénétrer sur la machine en "attaquant un port". Par contre, il pourra tenter de pénétrer la machine en utilisant une faille du noyau qui n'aurait pas été corrigée sur cette machine non mise à jour : il a alors tout le temps qu'il veut pour tenter d'exploiter cette faille qui, bien que rare et difficile à exploiter, suffit à pouvoir affirmer que la machine n'est plus inviolable.

Ici, le pare-feu complexifierait le travail du pirate mais n'enlèverait pas la faille.

Cas 3/ Un ou plusieurs logiciel(s) serveur(s) est/sont en place sur cette machine, qui est maintenue à jour - ce(s) logiciel(s) est/sont correctement configuré(s)

Un ou plusieurs port(s) est/sont en écoute. Cela ne veut pas dire que la machine est corrompue ou corruptible : tant que le(s) logiciel(s) serveur(s) est/sont correctement configuré(s), il n'y a grosso modo pas de risque. La machine étant régulièrement mise à jour, une éventuelle faille sur l'un ou l'autre de ces logiciels serait rapidement corrigée. Il y a toujours le risque de la faille zero-day, ou d'un délai entre disponibilité et application de la mise à jour ; parfois, certaines failles sont exploitables sans trop de difficulté, il y a là un risque, mais plutôt minime.

Ici, le pare-feu peut éventuellement permettre de ne rendre accessible le port qu'à partir de certaines adresses IP, réduisant ainsi le risque qui est lui-même déjà minime. Cela peut toutefois être contourné par des attaques de type "spoofing".

Cas 4/ Un ou plusieurs logiciel(s) serveur(s) est/sont en place sur cette machine, qui n'est pas maintenue à jour - ce(s) logiciel(s) est/sont correctement configuré(s)

On est dans un cas assez proche du précédent, sauf que là si une faille est présente sur l'un des logiciels serveurs (ou dans le noyau), elle ne sera pas corrigée : le pirate a alors tout le loisir d'exploiter cette faille, en prenant le temps qu'il faut.

Le pare-feu a ici le même usage que dans le cas précédent, il réduit le risque mais ne le supprime pas.

Cas 5/ Un ou plusieurs logiciel(s) serveur(s) est/sont en place sur cette machine, qui est maintenue à jour - ce(s) logiciel(s) est/sont mal configuré(s)

On est dans un cas assez similaire au cas 3. On ajoute cependant un risque lié aux erreurs de configuration : une mauvaise configuration peut parfois permettre à un pirate de pénétrer la machine sans même utiliser une faille. On est ici dans un cas assez courant sur ce forum : celui du gars qui veut faire son serveur lui-même, qui suit des tutoriels sans vraiment les comprendre puis qui laisse sa machine "vivoter".

Le pare-feu n'apporte pas plus de sécurité qu'avec les cas 3 et 4.

Cas 6/ Un ou plusieurs logiciel(s) serveur(s) est/sont en place sur cette machine, qui n'est pas maintenue à jour - ce(s) logiciel(s) est/sont mal configuré(s)

Là, on est dans le pire des cas : on cumule les risques d'exploitation de failles aux risques liés à la mauvaise configuration du système et à sa non-maîtrise.

Le pare-feu n'apporte pas plus de sécurité qu'avec les cas 3, 4 et 5.

-----

Quand j'évoque ici une mauvaise configuration, je ne peux pas être beaucoup plus précis : il y a autant de cas qu'il y a de directives pour chacun des logiciels que l'on peut placer comme serveur. On peut évoquer :
- l'utilisation de mots de passe trop simples
- l'activation de fonctionnalités d'administration simplifiées, par le réseau (webmin et cie)
- l'activation ou la non-désactivation d'un accès un peu trop "large" (par exemple si avec un serveur FTP on laisse l'utilisateur "anonymous" accéder à l'intégralité de l'arborescence des disques)
- etc

C'est pour cela que je conseille toujours de s'adresser à un professionnel quand on veut mettre en place un "vrai" serveur d'entreprise : le  (bon) professionnel ne fait pas que suivre des tutoriels : il a de l'expérience, il sait ce qu'il faut sécuriser, il sait comment sécurisé et il maîtrise le système qu'il met en place. Et surtout, il comprend ce qu'il faut.

-----

Enfin, notons qu'une manière "facile" de pénétrer une machine est simplement de récupérer les identifiants permettant de s'y connecter... Si vous laissez traîner les clés de votre maison dans la poche de votre veste sur une chaise dans l'entrée chez un ami qui fait une soirée, beaucoup de gens auront l'opportunité de la copier...

À partir de là, soit cette personne peut avoir accès physique à la machine concernée (et se connecter comme vous le feriez vous-même), soit un accès distant (comme un serveur SSH) est disponible et il n'a plus qu'à se connecter...

Dernière modification par tiramiseb (Le 13/04/2014, à 19:12)

Hors ligne

#49 Le 13/04/2014, à 20:52

compte supprimé

Re : Question sur GUFW

Hey ! Voilà une belle démo, merci Ti'Rami

Dernière modification par -pascal34- (Le 13/04/2014, à 20:54)

#50 Le 13/04/2014, à 21:32

nam1962

Re : Question sur GUFW

oki tiramiseb, vilain harceleur que tu es wink
(au passage, merci, je te suggères de faire de ton post un tuto "mon analyse du risque sous buntu".)
Maintenant, qu'est ce que mon conseil aux polytraumatisés W$ (que je fus) de :

sudo apt-get install  gufw
sudo ufw enable

va leur apporter (ou pas) ?


[ Modéré ]

Hors ligne