Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#51 Le 07/09/2014, à 14:02

xabilon

Re : Iptables question

Bonjour

La question initiale concerne un script iptables, donc oui c'est hors sujet.
Tu peux ouvrir une nouvelle discussion pour parler du niveau de sécurisation d'Ubuntu par rapport à d'autres distributions.


Pour passer un sujet en résolu : modifiez le premier message et ajoutez [Résolu] au titre.

Hors ligne

#52 Le 07/09/2014, à 14:20

Brunod

Re : Iptables question

fruitsecrases a écrit :
Pator75 a écrit :

Si la question initiale est comment sécuriser le réseau sous Linux

Justement non, relis le titre de la discussion "IPTABLES QUESTION" et le contenu du tout premier message, merci de ne pas allourdir la discussion stp, ainsi que de ne pas répondre à Bruno, restons sur IPTABLES POUR UBUNTU svp, comme le demande l'initiateur de la discussion.

Je ne suis pas d'accord :
- ma question polie est pertinente, ne serait-ce que parce que c'est dangereux de laisser de telles affirmations sans l'once d'une critique ou d'une demande d'analyse un rien développée pour les lecteurs suivants qui vont prendre cela soit au pied de la lettre, soit comme ressort pour troller ultérieurement;
- si j'ai bien lu, il est question d'iptables, qui n'a rien de spécifique à ubuntu ou debian, et qui d'ailleurs ne me semble pas explicitement mentionné dans les données du fil initial.
Donc je pense qu'un minimum d'explication serait le bienvenu.
Merci.

Dernière modification par Brunod (Le 07/09/2014, à 14:20)


Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis

Hors ligne

#53 Le 07/09/2014, à 14:28

tiramiseb

Re : Iptables question

fruitsecrases a écrit :

pour préciser, ma machine n'est pas une machine "brouillon"

Désolé, j'ai mal choisi mon terme smile

Pator75 a écrit :

Toujours dans le vif du sujet, et pas du tout à côté, si on veut vraiment être en sécurité

Le "vif du sujet", c'est iptables. "Être en sécurité", c'est déjà une digression.

Pator75 a écrit :

un vrai spécialiste de la sécurité, rompu aux techniques de hacking, va conseiller Ubuntu?

Ça dépend du contexte. Dans beaucoup de cas, Ubuntu est une bonne solution.

Conseiller inconditionnellement Tails à tout le monde et pour tous les contextes, c'est idiot.

Si la question initiale est comment sécuriser le réseau sous Linux, et si on lui répond par la voix de l'éminent barbu de service que ce n'est pas nécessaire avec Ubuntu

D'une part la question initiale n'est pas comment sécuriser le réseau, d'autre part je n'ai jamais écrit qu'il n'est pas nécessaire de sécuriser.
J'ai uniquement indiqué pourquoi un pare-feu n'est pas nécessaire dans le cas sus-exposé : port pas ouvert = filtrage inutile, port ouvert = filtrage contre-productif.
Je n'ai fait aucune digression sur d'autres sujets liés à la sécurité, contrairement à toi qui ne fais que ça.

Hors ligne

#54 Le 07/09/2014, à 15:03

PPdM

Re : Iptables question

Un pare-feux n'est que l'un des moyens de sécuriser un réseau, pour quoi tout mélanger?
Tiramiseb a été clair sur ces explications, ceux qui ne comprennent pas, et c'est légitime, peuvent poser des questions, mais pourquoi cela tourne au troll de bas étage sans aucun rapport avec le sujet ?
je rappelle le sujet


Levy-san a écrit :

Bonjour,

J'aurais une question quand au script iptables présent : http://doc.ubuntu-fr.org/iptables#script_iptables
que je vais copier coller ici :

Ou est-il question de sécurité, virus et autres questions sécuritaires?
Vous ne pouvez pas en rester a répondre a la question posée ?


La critique est facile, mais l'art est difficile !
L'humanité étant ce qu'elle est, la liberté ne sera jamais un acquit, mais toujours un droit à défendre !
Pour résoudre un problème commence par poser les bonnes questions, la bonne solution en découlera

Hors ligne

#55 Le 07/09/2014, à 16:11

Pator75

Re : Iptables question

"Conseiller inconditionnellement Tails à tout le monde et pour tous les contextes, c'est idiot."

Pas de mon fait, mais si tu l'as compris, pour moi toute distro est attaquable, surtout en de "mauvaises" mains, sauf celle là parait il.

Hors ligne

#56 Le 07/09/2014, à 16:33

Pator75

Re : Iptables question

Moi ce qui me chagrine le plus dans cette histoire de pare feu chez Ubuntu ou ailleurs, ce n'est pas le côté flux entrants, admettons que notre très sympathique barbu ait raison, dans tous les cas, pas de services ouverts apparemment donc pas de ports attaquables, si demain Ubuntu fait un carton comme Apple, il va être la cible de la pègre d'Internet, il va bien y avoir un jour un exploit capable de faire tomber la bête, si ce malware s'attrape en cliquant, que l'internaute donne son root, il va télécharger le dropper de l'infection, celui ci va à son tour appeler le payload, connexion sortante... qui filtre chez Linux les connexions sortantes?

Notre ami qui s'inquiète de son Iptables, en réservant uniquement les sorties pour les ports 80 et 443 (et peut être 53 ça peut servir) comme beaucoup, croit resserrer le trafic, mais en fait c'est une porte de grange !!! il faut filtrer par application (ex ports 80 et 443 pour un navigateur), et vérifier que c'est bien le navigateur qui demande cette connexion (filtrage dit de fuites), donc si Ubuntu n'a jamais besoin de filtrer localement en entrée (dogme tiramisebien), il devra bien un jour filtrer en sortie, nécessité d'un pare feu.

Dernière modification par Pator75 (Le 07/09/2014, à 16:41)

Hors ligne

#57 Le 07/09/2014, à 17:53

tiramiseb

Re : Iptables question

si demain Ubuntu fait un carton comme Apple, il va être la cible de la pègre d'Internet, il va bien y avoir un jour un exploit capable de faire tomber la bête, si ce malware s'attrape en cliquant, que l'internaute donne son root, il va télécharger le dropper de l'infection, celui ci va à son tour appeler le payload, connexion sortante...

Ah ben oui, clairement, s'attraper en cliquant et que l'internaute donne son mot de passe, ça peut arriver. Techniquement rien n'empêche ça. C'est le fonctionnement plus ou moins classique d'un troyen, actuellement.

Notre ami qui s'inquiète de son Iptables, en réservant uniquement les sorties pour les ports 80 et 443 (et peut être 53 ça peut servir) comme beaucoup, croit resserrer le trafic, mais en fait c'est une porte de grange !!!
[...]
il faut filtrer par application

On est parfaitement d'accord. À partir de ce moment-là il faudra un pare-feu applicatif sur les postes de travail, comme ce que fait ZoneAlarm sous Windows... Il y en a eu pendant un moment (je ne me rappelle plus du nom que ça portait), mais ça n'avait pas eu de succès...
Heureusement, les postes de travail sous Linux ne sont pas assez répandus pour le moment pour que cette approche soit intéressante. Mais nul doute que l'utilisateur débutant pourrait se faire avoir, comme avec n'importe quel phishing ou autre technique d'ingénierie sociale.
Encore une fois, on revient sur la chose de base : la première faille, c'est l'humain... tongue

Après, je tiens à le répéter, là je ne parlais que d'un cas précis, celui du serveur que l'on maîtrise et sur lequel on n'installe que les services que l'on veut. Serveur donc pas d'utilisateur local, donc pas de troyen/phishing sur la machine. Uniquement les services que l'on veut, donc pas de filtrage nécessaire.

Hors ligne

#58 Le 08/09/2014, à 19:46

levy-san

Re : Iptables question

Je ne me serais jamais douté qu'une simple question allais déclenché tant de passion tongue j'ai trouver réponse a ma question dans ces réponse, merci donc a vous tous.
Levy

Hors ligne

#59 Le 08/09/2014, à 20:06

tiramiseb

Re : Iptables question

Un forum peut inopinément devenir une source de bastons insoupçonnées... big_smile

Hors ligne

#60 Le 09/09/2014, à 07:35

fruitsecrases

Re : Iptables question

tiramiseb a écrit :

Désolé, j'ai mal choisi mon terme smile


Aucun soucis smile

Après tu fais bien de préciser que l'on a pas besoin de "filtrer" (avec IPtables donc), par exemple un serveur, mais on a pas besoin d'IPtables seulement dans un cas précis (quand je dis "cas précis" je ne fais que reprendre tes termes exacts que tu donnes dans ton message au dessus). Parce que pour beaucoup d'autres gens, il leur faudra évidemment IPtables, et ce, pour les raisons qu'on a vu au dessus aussi.

Dernière modification par fruitsecrases (Le 09/09/2014, à 07:37)

Hors ligne

#61 Le 09/09/2014, à 10:22

_Raum_

Re : Iptables question

Bonjour,

Fouya il y a de quoi lire.... Mais comme semble le dire Tiramiseb, si pas de port ouvert à l'extérieur alors pas d'attaque depuis l'extérieur (surtout si l'on est derrière un routeur même avec port forwarding).

Le problème vient plutôt des flux sortants que l'on ne maîtriserait pas. Et comme cela peut se produire ? Bah sur un système de type Linux avec des gestionnaires de paquets comme celui de Debian / Ubuntu ou autre, toute installation est plutôt bien contrôlée donc risque limité voire maîtrisé. Par contre reste le pishing et ça l'OS n'y peut rien, il y aura toujours des gens pour répondre à des courriels compromettant leurs comptes gmail / netcourrier / yahoo / ...

Par rapport à Windows, là c'est marrant car il n'y a pas, à proprement parler, de gestionnaire de paquets. On télécharge des fichiers exécutables, souvent de sites inconnus voire carrément sur des réseaux type P2P ou newsgroup ou autre, comprenant tous les fichiers nécessaires à son fonctionnement, quitte à réinstaller des fichiers déjà existants... Et là c'est le virus. Encore une fois l'attaque ne vient pas depuis l'extérieur vers l'intérieur via une faille du système.

Enfin perso j'ai mis en oeuvre une passerelle Internet sous Debian surtout pour contrôler les flux sortants de mes machines Windows.

Hors ligne

#62 Le 09/09/2014, à 18:04

tiramiseb

Re : Iptables question

pour beaucoup d'autres gens, il leur faudra évidemment IPtables

Ça dépend de ce que tu appelles "beaucoup" : en quantité, oui, ça peut faire beaucoup de monde. En proportion d'utilisateurs, ce n'est pas tant que ça : la majorité des utilisateurs n'ont pas besoin de pare-feu, tant qu'ils ne bidouillent pas...

Hors ligne

#63 Le 10/09/2014, à 08:56

fruitsecrases

Re : Iptables question

Encore une fois le mot bidouiller est mal approprié, l'utilisation d'un pare-feu (ici IPTABLES)  raisonnée, réfléchie, calculée, comprise, par un architecte réseau de bon niveau ou par un utilisateur Lambda qui en a besoin tout simpleemnt, est tout sauf, je pense, de la "bidouille" smile

Dernière modification par fruitsecrases (Le 11/09/2014, à 09:48)

Hors ligne

#64 Le 11/09/2014, à 07:52

tiramiseb

Re : Iptables question

Encore une fois le mot bidouiller est mal approprié

Non.

Lorsque je parle de la majorité des utilisateurs, je parle des utilisateurs lambda, qui n'ont pas besoin de pare-feu, tant qu'ils ne bidouillent pas. Je pense pas exemple à mon père, qui n'a pas de pare-feu depuis qu'il est sous Ubuntu : il n'installe aucun service, il ne fait qu'utiliser ses logiciels habituels (gestion de photos, traitement de texte, e-mails...) et accepter les mises à jour proposées par le système.

Toi tu évoques un « architecte réseau de bon niveau », pour moi ça ne rentre pas dans la catégorie appelée « la majorité des utilisateurs ».

Et puis un « architecte réseau de bon niveau » utilisera autant que possible des logiciels plus haut niveau (Shorewall par exemple), l'utilisation directe de iptables étant plutôt adaptée à des cas exceptionnels.

Hors ligne

#65 Le 11/09/2014, à 08:19

Brunod

Re : Iptables question

Sans compter que si tu montes de niveau, tu passeras plutôt sur du firewall hardware, soit proprio bien cher, soit avec des distro spécialisées (monowall, pfsense...). C'est alors le réseau que tu protèges; et les stations linux, tu ne t'en occupes pas.


Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis

Hors ligne

#66 Le 11/09/2014, à 08:31

tiramiseb

Re : Iptables question

Sans compter que si tu montes de niveau, tu passeras plutôt sur du firewall hardware

Ça, pas nécessairement. Enfin, ça dépend de l'orientation de la personne concernée. Pour ma part, je fais des pare-feu sous Debian.
Je pense que c'est ce qui me démarque d'un vrai spécialiste sécurité à 100% : je touche un peu à tout mais je ne peux pas tout connaître sur tout, alors je préfère monter de bonnes Debian que je maîtrise plutôt que des distros que je ne connais que peu smile

Hors ligne

#67 Le 11/09/2014, à 08:35

Brunod

Re : Iptables question

Et tu le fais tourner sur un pc "normal" ou sur du matériel spécifique (boitier arm, firewall recyclé...) ?
Ce qui me freine d'utiliser un pc normal est la consommation électrique si il ne sert que de fwall; si il sert aussi de serveur etc. alors  c'est différent.


Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis

Hors ligne

#68 Le 11/09/2014, à 08:43

tiramiseb

Re : Iptables question

Et tu le fais tourner sur un pc "normal" ou sur du matériel spécifique (boitier arm, firewall recyclé...) ?

Généralement sur un serveur "normal", avec support du fabricant, etc.
(mais toujours un modèle d'entrée de gamme, largement suffisant pour ça)
Mais un boîtier style RPi peut également répondre au besoin : cela dit, la fiabilité d'un tel système en entreprise n'est pas avérée.

Dernière modification par tiramiseb (Le 11/09/2014, à 08:44)

Hors ligne

#69 Le 11/09/2014, à 09:17

fruitsecrases

Re : Iptables question

tiramiseb a écrit :

Encore une fois le mot bidouiller est mal approprié

Non.

Lorsque je parle de la majorité des utilisateurs, je parle des utilisateurs lambda, qui n'ont pas besoin de pare-feu, tant qu'ils ne bidouillent pas. Je pense pas exemple à mon père, qui n'a pas de pare-feu depuis qu'il est sous Ubuntu : il n'installe aucun service, il ne fait qu'utiliser ses logiciels habituels (gestion de photos, traitement de texte, e-mails...) et accepter les mises à jour proposées par le système.

Toi tu évoques un « architecte réseau de bon niveau », pour moi ça ne rentre pas dans la catégorie appelée « la majorité des utilisateurs ».

Et puis un « architecte réseau de bon niveau » utilisera autant que possible des logiciels plus haut niveau (Shorewall par exemple), l'utilisation directe de iptables étant plutôt adaptée à des cas exceptionnels.



Si wink   Tu t'égares à nouveau. On va reprendre depuis le début, tu n'as pas compris certains points que j'ai abordé ici, mais je suis là pour les éclaircir avec toi, pour que tu comprennes bien ce que j'ai dit depuis le début sur cette discussion (ce qui est normal, que ce soit pour ta compréhension personnelle ou bien pour toutes celles et ceux qui nous lisent, si c'est plus clair pout toi et moi ce sera déjà super positif, et si ça l'est pour les autres alors là tu seras content autant que moi ça je n'en doute pas, je sais que tu es une personne précise et honnête, quand on te lit, on le comprend tout de suite, tu es calme et posé, et je te propose de poursuivre dans cet état d'esprit avec moi qui suit comme toi, pas plus, pas moins). Néanmoins il va falloir attaquer dans le vif du sujet, alors je me lance !


Disons que je suis quoi comme utilisateur ici ? Je suis un utilisateur Lamba on est d'accord ? Je précise que je ne suis pas sur Ubuntu depuis très longtemps, que je connais à peine la commande dd et surtout Iptables et que j'utilise Ubuntu avec Firefox et Thunderbird, je fais calculer le processeur avec Folding@Home (en ayant simplement téléchargé leur logiciel, et que télécharger un logiciel et le lancer c'est à la portée de tout le monde), je n'imprime même pas avec Ubuntu, ni ne scan, je surf à 99% du temps donc, Firefox et c'est tout (j'ai honte mais c'est comme ça que je fais ici), donc au final je ressemble à quoi comme utilisateur pour toi ? Un utilisateur Lambda on est d'accord ? (surf à 99% attention je n'en fait pas du tout une utilisation poussée, je ne fais que surfer sur Firefox, rends-toi compte, c'est tout, donc que du Firefox sous Ubuntu de mon côté, parce que je susi un garçn très limité intellectuellement, c'est comme ça, jamais eu de bons résultats à l'école etc...toujours enchaîné les travails perdiques etc.. le parcours de beaucoup de gens)

Pour moi il est important que tu répondes déjà à cette première question qui est je le répète :

Je ne fais qu'uitliser Firefox à 99% du temps sur Ubuntu, dans quelle catégorie d'utilisateur suis-je stp ? Lambda, supra-administrateur ou encore architecte réseau ? En sachant que je ne fais que du Firefox hein.

Dernière modification par fruitsecrases (Le 11/09/2014, à 09:23)

Hors ligne

#70 Le 11/09/2014, à 09:28

Brunod

Re : Iptables question

Lambda et pas besoin d'iptables wink


Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis

Hors ligne

#71 Le 11/09/2014, à 09:32

fruitsecrases

Re : Iptables question

Brunod a écrit :

Lambda et pas besoin d'iptables wink


Tu n'as pas bien compris pourquoi moi je suis déjà Lambda avec besoin d'Iptables, j'ai tout expliqué en page deux de cette discussion ici-même, Tiramiseb après mes explications a tout à fait validé que oui, j'étais Lambda mais avec besoin d'Iptables(il le dit sur la page 3, juste au dessus wink ), toujours sur la page trois il change déjà d'avis, je vais lui faire comprendre qu'il faut qu'il relise la page 2 et mes explications et pourquoi je suis utilisateur Lambda qui a besoin d'Iptables, et ensuite, il va de nouveau s'excuser et me dire ça :


tiramiseb a écrit :
fruitsecrases a écrit :

pour préciser, ma machine n'est pas une machine "brouillon"

Désolé, j'ai mal choisi mon terme smile

Dernière modification par fruitsecrases (Le 11/09/2014, à 09:43)

Hors ligne

#72 Le 11/09/2014, à 09:48

fruitsecrases

Re : Iptables question

Pour mettre tout le monde d'accord, comme Tiramiseb commence à jouer avec les mots, j'ai édité mon message au dessus (le message qui porte le numéro #63 sur cette discussion). Et donc j'affirme ceci :

Encore une fois le mot bidouiller est mal approprié, l'utilisation d'un pare-feu (ici IPTABLES)  raisonnée, réfléchie, calculée, comprise, par un architecte réseau de bon niveau ou par un utilisateur Lambda qui en a besoin tout simplement, est tout sauf, je pense, de la "bidouille" smile

Car les utilisateurs Lambda qui cherchent à comprendre les logiciels qu'ils utilisent sont de plus en plus nombreux sur Internet, que ce soit concernant Windows et Ubuntu et Mac, Rassbeery Pi etc... La liste est longue, mais que dans ces gens qui n'y connaissent rien et qui étudient les logiciels qu'ils veulent utiliser, et qui les comprennent, il y a un gros taux de gens qui justement je viens de le dire, finissent pas les comprendre, c'est tout.

Si j'ai compris Iptables, c'est que je peux l'utiliser, un architecte réseau utilisant Iptables et qui veut agir sur la table FILTER sur Iptables, ne va pas indiquer la table FILTER dans ses règles iptables, il sait que la table FILTER est utilisée par défaut ! Ben moi aussi je le sais ça, et je l'ai expliqué ici :

http://forum.ubuntu-fr.org/viewtopic.ph … #p17987531

Ben ouais, et pourtant je ne suis qu'utilisateur Lambda, et j'ai compris tout un tas d'autres truc ssur Iptables, et sur tout un tas d'autres logiciels, et pourtant je le répète, je ne suis qu'utilisateur Lambda de base, je fais que surfer ptdrrr

Dernière modification par fruitsecrases (Le 11/09/2014, à 09:55)

Hors ligne

#73 Le 11/09/2014, à 09:59

tiramiseb

Re : Iptables question

Tiramiseb après mes explications a tout à fait validé que oui, j'étais Lambda mais avec besoin d'Iptables

Non, je n'ai pas validé que tu es lambda. Je n'ai pas répondu lorsque tu as évoqué ton cas. J'y réponds ci-dessous.

au final je ressemble à quoi comme utilisateur pour toi ? Un utilisateur Lambda on est d'accord ?

Non. L'utilisateur Lambda ne connait pas Folding@Home, il ne connaît pas dd et il ne connaît pas iptables.

Lorsque je reprends les points pour lesquels tu as mis en place un pare-feu, que vois-je ?
- un blocage de tout en entrée au cas où tu installerais un service, au moins il ne serait pas accessible par erreur => ce n'est pas ce que fait un utilisateur lambda
- un blocage de paquets sortants de Spotify => un utilisateur lambda qui connaîtrait Spotify veut juste l'utiliser, il ne veut pas réduire ses fonctionnalités en bloquant ses connexions
- un blocage de paquets sortants de Folding@Home => un utilisateur lambda ne connaît aps Folding@Home.

comme Tiramiseb commence à jouer avec les mots

Non, je ne joue pas avec les mots : j'utilise leur vraie définition, c'est tout.
http://fr.wiktionary.org/wiki/lambda#Adjectif : Lambda = ordinaire, commun, typique, type.
Un utilisateur ordinaire de l'outil informatique ne fait pas ce que tu fais.

Tu fais déjà partie des 5% (voire moins?) de gens dans le monde qui s'intéressent à l'informatique (« bidouiller Windows pour jouer à des jeux pirater », ça n'est pas s'intéresser à l'informatique - se dire geek parce qu'on a le dernier iPhone ou le dernier Samsung, ça n'est pas s'intéresser à l'informatique)... L'utilisateur lambda ne s'intéresse pas à l'informatique, il veut juste que ça marche.

Hors ligne

#74 Le 11/09/2014, à 10:02

fruitsecrases

Re : Iptables question

Je comprends pas bien ? J'ai déjà un bon niveau alors ??? sad

Hors ligne

#75 Le 11/09/2014, à 10:10

tiramiseb

Re : Iptables question

Un utilisateur lambda n'est pas nécessairement un utilisateur qui a un mauvais niveau.
Je n'ai évoqué ni le niveau d'un utilisateur lambda, ni le tien.

L'utilisateur lamba est un simple utilisateur, qui ne va rien chercher à faire de poussé et qui ne va pas chercher à comprendre plein de choses.
Toi, de ton côté, quel que soit ton niveau, tu cherches, tu t'intéresses à l'informatique, tu bidouilles, tu essaies, tu installes, tu configures... donc tu n'es pas un utilisateur lambda.

Hors ligne