#51 Le 13/04/2014, à 22:38
- tiramiseb
Re : Question sur GUFW
Maintenant, qu'est ce que mon conseil aux polytraumatisés W$ (que je fus) de :
sudo apt-get install gufw sudo ufw enable
va leur apporter (ou pas) ?
1/ gufw n'est qu'une interface graphique de gestion d'ufw : si l'utilisateur ne fait qu'activer le pare-feu sans le gérer, cette interface ne sert à rien
2/ s'il n'y a aucun serveur qui tourne, alors l'activation du pare-feu est inutile (cas 1 ci-dessus)
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#52 Le 13/04/2014, à 22:40
- tiramiseb
Re : Question sur GUFW
je te suggères de faire de ton post un tuto
naaaaaan, pas un tuto.
déjà j'aime pas les tutos : tu l'as lu plus haut.
et puis c'est un avis, une explication, une documentation... pas un tuto
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#53 Le 13/04/2014, à 23:06
- nam1962
Re : Question sur GUFW
nam1962 a écrit :Maintenant, qu'est ce que mon conseil aux polytraumatisés W$ (que je fus) de :
sudo apt-get install gufw sudo ufw enable
va leur apporter (ou pas) ?
1/ gufw n'est qu'une interface graphique de gestion d'ufw : si l'utilisateur ne fait qu'activer le pare-feu sans le gérer, cette interface ne sert à rien
2/ s'il n'y a aucun serveur qui tourne, alors l'activation du pare-feu est inutile (cas 1 ci-dessus)
Je sais que c'est l'interface graphique.
C'est la 2 e ligne (qui entraine : Entrants : deny - Sortants : allow) sur laquelle je voulais l'avis du harceleur de trait
[ Modéré ]
Hors ligne
#54 Le 13/04/2014, à 23:16
- tiramiseb
Re : Question sur GUFW
Tu demandes un avis sur 2 lignes, je donne un avis sur 2 lignes...
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#55 Le 14/04/2014, à 00:52
- compte supprimé
Re : Question sur GUFW
bonsoir
Pour le 113 il faut rediriger
expl sur une freebox
allez sur l'interface de gestion /redirection des ports
rediriger port 113 ip destination 192.168.0.254 port (choix perso) 65534
refaire un tour chez gibson le port doit être à nouveau caché.
#56 Le 14/04/2014, à 09:37
- Gaara
Re : Question sur GUFW
Bonjour,
Je suis ce fil depuis qq jours et maintenant que c'est plus calme, je me demandais s'il y avait une différence entre un pare-feu et un logiciel du type peergardian.
J'utilise pgld. Par défaut, il bloque tout. J'ai donc débloqué tous les ports que j'utilise (80, 110 etc..)
Est-ce efficace par rapport à gufw?
Kubuntu 18.04 x64
Un terminal tactile Raspberry Pi et Odroid
<code>zenity --question --title "Alert" --text "Microsoft Windows has been found! Would you like to remove it?"</code>
Hors ligne
#57 Le 14/04/2014, à 09:53
- pires57
Re : Question sur GUFW
peergardian est un pare feu applicatif
Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn
Hors ligne
#58 Le 14/04/2014, à 10:05
- tiramiseb
Re : Question sur GUFW
bonsoir
Pour le 113 il faut rediriger
expl sur une freeboxallez sur l'interface de gestion /redirection des ports
rediriger port 113 ip destination 192.168.0.254 port (choix perso) 65534
refaire un tour chez gibson le port doit être à nouveau caché.
Ça c'est une énormité sans nom !!!
Le 113 vu comme « fermé » (et non « filtré ») ce n'est en rien un problème. Dans cet état, la machine répond simplement « désolé il n'y a rien ici » lorsqu'on essaie de s'y connecter plutôt que d'ignorer la requête. Cela devrait être le comportement habituel d'ailleurs : cette histoire de port « filtré » (ou « stealth ») c'est un non-respect des protocoles, juste pour cacher des informations qui pourraient montrer que la machine n'est pas sécurisée : ça a peut-être été généralisé par les chantres de la « sécurité par l'obscurité »...
Avec ton conseil, on redirige cette requête provenant de l'extérieur vers une adresse interne qui pourrait exister, sur un porte qui pourrait être ouvert : on crée une potentielle faille de sécurité !
N'appliquez pas ce « conseil » de c_biloute !
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#59 Le 14/04/2014, à 10:13
- tiramiseb
Re : Question sur GUFW
je me demandais s'il y avait une différence entre un pare-feu et un logiciel du type peergardian.
Peerguardian fait deux choses :
1/ configurer Netfilter pour filtrer certains paquets par défaut
2/ demander à Netfilter de lui transmettre tous les paquets afin qu'il procède à son propre filtrage par blacklists
Donc :
- toute utilisation du réseau est ralentie et/ou utilise beaucoup plus de ressources processeur/mémoire
- si le démon Peerguardian tombe, le réseau ne fonctionne plus
Tant que la machine n'est pas vulnérable (cas 1 ou 3 présentés plus haut), Peerguardian ne sert à rien, comme n'importe quel autre logiciel autour du pare-feu.
Peerguardian sur une machine non vulnérable, c'est un peu comme un videur devant une boîte de nuit fermée : qu'il laisse passer ou non, personne n'entrera !
Est-ce efficace par rapport à gufw?
Non.
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#60 Le 14/04/2014, à 10:27
- Gaara
Re : Question sur GUFW
Ok, merci.
Netfilter (dont j'ignorait l’existence) est-t-il activé par défaut dans tout noyau Linux ?
Si oui, (après je t'embête plus) pourquoi activer gufw ?
Kubuntu 18.04 x64
Un terminal tactile Raspberry Pi et Odroid
<code>zenity --question --title "Alert" --text "Microsoft Windows has been found! Would you like to remove it?"</code>
Hors ligne
#61 Le 14/04/2014, à 10:31
- tiramiseb
Re : Question sur GUFW
Netfilter (dont j'ignorait l’existence) est-t-il activé par défaut dans tout noyau Linux ?
Netfilter est généralement présent et actif mais aucune règle n'est en place : par défaut, tout est autorisé.
pourquoi activer gufw ?
C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile. C'est inutile.
Relis toute cette discussion si tu n'as pas encore compris.
Dernière modification par tiramiseb (Le 14/04/2014, à 10:33)
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#62 Le 14/04/2014, à 12:32
- pires57
Re : Question sur GUFW
c'est un non-respect des protocoles, juste pour cacher des informations qui pourraient montrer que la machine n'est pas sécurisée : ça a peut-être été généralisé par les chantres de la « sécurité par l'obscurité
Absolument d'accord, c'est comme toutes ses conneries qu'on peut lire sur comment modifier le port d'écoute ssh pour protéger ... cela ne sert strictement à rien et on peut très facilement retrouver le port d'écoute utilisé.
Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn
Hors ligne
#63 Le 14/04/2014, à 18:43
- SangokuSS
Re : Question sur GUFW
[...]
Cas 1/ aucun logiciel serveur n'est en place sur cette machine, qui est maintenue à jour
[...]
C'est une explication très claire. Merci !
J'ajouterai juste un 7e cas (auquel je pense depuis ma première intervention) : celui des ordinateurs portables dont la configuration peut approcher les différents cas que tu décris (serveurs divers...) et surtout pouvant être amené à se connecter un peu partout
#64 Le 14/04/2014, à 20:57
- tiramiseb
Re : Question sur GUFW
J'ajouterai juste un 7e cas [...] : celui des ordinateurs portables [...] pouvant être amené à se connecter un peu partout
Dans les cas que je présente, l'endroit où on se connecte importe peu : je considère qu'on est dans un réseau non sûr.
Par conséquent :
- si le portable en question est maintenu à jour et n'a pas de serveur, c'est le cas 1
- si le portable en question est maintenu à jour et a un ou plusieurs serveurs, c'est le cas 3
- si le portable en question est maintenu à jour et a un ou plusieurs serveurs mal configuré(s), c'est le cas 5
- si le portable en question n'est pas maintenu à jour et n'a pas de serveur, c'est le cas 2
- si le portable en question n'est pas maintenu à jour et a un ou plusieurs serveurs, c'est le cas 4
- si le portable en question n'est pas maintenu à jour et a un ou plusieurs serveurs mal configuré(s), c'est le cas 6
Dernière modification par tiramiseb (Le 14/04/2014, à 20:57)
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#65 Le 14/04/2014, à 21:19
- SangokuSS
Re : Question sur GUFW
J'ajouterai juste un 7e cas [...] : celui des ordinateurs portables [...] pouvant être amené à se connecter un peu partout
Dans les cas que je présente, l'endroit où on se connecte importe peu : je considère qu'on est dans un réseau non sûr.
Par conséquent :
- si le portable en question est maintenu à jour et n'a pas de serveur, c'est le cas 1
- si le portable en question est maintenu à jour et a un ou plusieurs serveurs, c'est le cas 3
- si le portable en question est maintenu à jour et a un ou plusieurs serveurs mal configuré(s), c'est le cas 5
- si le portable en question n'est pas maintenu à jour et n'a pas de serveur, c'est le cas 2
- si le portable en question n'est pas maintenu à jour et a un ou plusieurs serveurs, c'est le cas 4
- si le portable en question n'est pas maintenu à jour et a un ou plusieurs serveurs mal configuré(s), c'est le cas 6
Ok, ... mais alors dans quel cas considères-tu un parefeu comme « nécessaire » ? Et selon toi, comment expliquer que l'ANSSI (et d'autres documentations de diverses distributions Linux) continue dans sa documentation à recommander son utilisation ? Là, il y a truc qui doit m'échapper...
(Je te taquine un peu, mais tu avoueras que l'usage du parefeu reste ultra recommandé... ce qui ne facilite pas la compréhension )
Dernière modification par SangokuSS (Le 14/04/2014, à 21:20)
#66 Le 14/04/2014, à 21:24
- tiramiseb
Re : Question sur GUFW
dans quel cas considères-tu un parefeu comme « nécessaire » ?
Je considère un pare-feu nécessaire dans les cas où on ne maîtrise pas ce qui peut être en écoute.
Il y a plusieurs cas de figure, dont notamment les trois suivants :
- on n'est pas maître de ce qui tourne sur le PC que l'on utilise (genre le système d'exploitation est un peu "bloatware"... suivez mon regard)
- on administre un réseau sur lequel il y a des utilisateurs (donc pare-feu de réseau)
- on installe n'importe quoi sans réfléchir (donc on se met volontairement dans une situation où on ne maîtrise pas sa machine)
Dernière modification par tiramiseb (Le 14/04/2014, à 21:26)
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#67 Le 14/04/2014, à 21:29
- SangokuSS
Re : Question sur GUFW
dans quel cas considères-tu un parefeu comme « nécessaire » ?
Je considère un pare-feu nécessaire dans les cas où on ne maîtrise pas ce qui peut être en écoute.
Il y a plusieurs cas de figure, dont notamment les trois suivants :
- on n'est pas maître de ce qui tourne sur le PC que l'on utilise (genre le système d'exploitation est un peu "bloatware"... suivez mon regard)
- on administre un réseau sur lequel il y a des utilisateurs (donc pare-feu de réseau)
- on installe n'importe quoi sans réfléchir (donc on se met volontairement dans une situation où on ne maîtrise pas sa machine)
Parfait, nous sommes donc bien d'accord :-)
Merci !
#68 Le 14/04/2014, à 21:43
- tiramiseb
Re : Question sur GUFW
Deux autres cas me viennent à l'esprit :
1/ on est obligé d'avoir un port ouvert alors qu'on n'en voudrait pas, alors on peut le fermer avec le pare-feu.
C'est par exemple le cas quand on a plusieurs interfaces réseau et un logiciel qui ne peut pas être configuré quant aux interfaces sur lesquelles écouter : si on veut qu'il ne desserve qu'un réseau, on bloque avec le pare-feu sur les autres réseau.
Autre cas de figure assez similaire, quand on veut sécuriser un flux avec stunnel et que le logiciel en question ne peut pas être configuré pour n'écouter que sur 127.0.0.1, on peut filtrer son "vrai" port pour n'autoriser que le port sécurisé.
2/ on veut limiter les accès à certaines adresses IP.
Par exemple, chez un de mes anciens employeurs, on gérait des serveurs de nos clients en télémaintenance. Pour limiter les risques, on configurait leur pare-feu de réseau afin de n'autoriser que nos adresses IP.
Cela dit, cela implique deux risques :
- il y a toujours la possibilité pour l'attaquant de faire du spoofing (bien que ça soit loin d'être hyper simple, hein)
- si on se retrouvait derrière une autre adresse IP, on ne pouvait pas accéder aux machines de nos clients (par exemple un jour on a eu une panne de courant, on est allés travailler chez l'un d'entre nous comme solution de repli, il y a certains clients chez lesquels on n'aurait pas pu se connecter)
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#69 Le 15/04/2014, à 08:04
- SangokuSS
Re : Question sur GUFW
Deux autres cas me viennent à l'esprit :
1/ on est obligé d'avoir un port ouvert alors qu'on n'en voudrait pas, alors on peut le fermer avec le pare-feu.
C'est par exemple le cas quand on a plusieurs interfaces réseau et un logiciel qui ne peut pas être configuré quant aux interfaces sur lesquelles écouter : si on veut qu'il ne desserve qu'un réseau, on bloque avec le pare-feu sur les autres réseau.
Autre cas de figure assez similaire, quand on veut sécuriser un flux avec stunnel et que le logiciel en question ne peut pas être configuré pour n'écouter que sur 127.0.0.1, on peut filtrer son "vrai" port pour n'autoriser que le port sécurisé.
2/ on veut limiter les accès à certaines adresses IP.
Par exemple, chez un de mes anciens employeurs, on gérait des serveurs de nos clients en télémaintenance. Pour limiter les risques, on configurait leur pare-feu de réseau afin de n'autoriser que nos adresses IP.
Cela dit, cela implique deux risques :
- il y a toujours la possibilité pour l'attaquant de faire du spoofing (bien que ça soit loin d'être hyper simple, hein)
- si on se retrouvait derrière une autre adresse IP, on ne pouvait pas accéder aux machines de nos clients (par exemple un jour on a eu une panne de courant, on est allés travailler chez l'un d'entre nous comme solution de repli, il y a certains clients chez lesquels on n'aurait pas pu se connecter)
Il y a également les cas détaillés dans le hors série de « Linux Identity » dédié à la sécurité sous Ubuntu (n°23) qui donnent matière à réflexion
#70 Le 17/04/2014, à 09:32
- compte supprimé
Re : Question sur GUFW
Bonjour !
L'histoire , du pare feu ma toujours intéressé, j'ai moi même posté un sujet dessus
Je reconnais les compétences de tiramiseb
Je serais intéressé par le livre le Pujolle et le lien donné n'a pas l'air de fonctionner chez moi
je vois 2 versions
s'agit t'il bien de cela
je voudrais comprendre le réseau
et aussi
Sécurité informatique
D'avance Merci
Dernière modification par rudix (Le 17/04/2014, à 12:38)
#71 Le 17/04/2014, à 10:59
- tiramiseb
Re : Question sur GUFW
Oui ce sont bien ces livres.
Prends bien sûr la version la plus récente.
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#72 Le 17/04/2014, à 12:39
- compte supprimé
Re : Question sur GUFW
Entendu Merci
#73 Le 17/04/2014, à 18:01
- compte supprimé
Re : Question sur GUFW
Entendu Merci
Je l'ai acheté ici il est dans sa huitième édition (huitième de façon automatique en version PDF) : http://izibook.eyrolles.com/produit/310 … %20reseaux
Très bien écrit et assez accessible, mais pour que justement il soit assez accessible, il faut absolument faire comme l'auteur le dit dans les premières pages, le lire dans l'ordre du livre, comme un roman finalement, on ne prend pas un roman de 375 page en le commençant par la 221 ème Bien qu'une fois assimilé on puisse aller plus facilement au chapitre qui nous intéresse bien sûr, car il est aussi, fait pour cela (le Pujolle pas le roman).
finalement si tu as bien compris ce que j'ai dit, c'est bien évidemment que ce livre, EST FAIT POUR LES DÉBUTANTS pffff ! ET LES PROS (ce que tu deviendras!)
Dernière modification par -pascal34- (Le 17/04/2014, à 19:36)
#74 Le 17/04/2014, à 20:08
- compte supprimé
Re : Question sur GUFW
Merci -pascal34- pour tes commentaires !
la sécurité est un sujet important de nos jours sur internet
je ne suis pas du genre a installer n’importe quoi
mais je pense qu'il faudrait peut être faire un cour , a beaucoup de monde
sur ce qu'est un réseau , moi le premier , a partir de la , les problèmes de sécurité,
et de pare feu apparaîtraient plus clair a beaucoup .enfin je pense
je commande le livre ce soir
Dernière modification par rudix (Le 17/04/2014, à 20:09)
#75 Le 17/04/2014, à 20:29
- compte supprimé
Re : Question sur GUFW
De rien, bonne lecture, je le trouve passionnant, pourtant je n'y connais pas grand chose !