#1 Le 30/01/2015, à 22:13
- xmax
Avec un VPN, me faut il un firewall ? (et antivirus)
Bonsoir, je vous remercie de m'éclairer, je suis en train de tester un vpn mais il me semble avoir lu que si on passait par un vpn, le firewall de la box n'était plus actif.
Je viens de faire un test sur https://grc.com/x/ne.dll?bh0bkyd2 et effectivement le test est mauvais : 3 ports en rouge : ssh, smtp, https (et un port vert : microsoft ds)
Qu'en pensez vous ? Si besoin est ce que Gufw pourrait me permettre de faire des réglages ?
(question en plus, je n'ai jamais eu d'antivirus souvent considéré comme inutile sur linux, le fait d'avoir un vpn change t il mes besoins ?...)
Merci et bonne soirée
Dernière modification par xmax (Le 30/01/2015, à 22:13)
Hors ligne
#2 Le 30/01/2015, à 23:25
- J5012
Re : Avec un VPN, me faut il un firewall ? (et antivirus)
la configuration origine de tous les firewalls de box est desormais reglee au minimum (pas d'entrees et sorties autre que le port 80 sur le protocole http)
le service qui met en oeuvre un reseau prive virtuel (vpn) utilise plusieurs protocoles et ports, donc logiquement tu dois demander à la box d'ouvrir les bons ports et protocoles : la fonction de vpn intégrée à certaines box le fait automatiquement, mais la protection sur les autres ports et protocoles est toujours active ... (il n'y a pas de moyen simple d'arreter ou de desactiver un firewall de box)
si tu crains les attaques, ce qui arrive des que tu ouvres un service sur l'exterieur (l'internet c'est public, c'est l'exterieur), ce n'est pas un antivirus mais un analyseur/detecteur d'intrusion à placer sur le routeur mais la box ne permet aucune installation supplementaire : de plus en plus de box de grandes marques incluent un ids (intrusion detection systems) ... c'est peut etre ton cas ?
Dernière modification par J5012 (Le 30/01/2015, à 23:25)
Hors ligne
#3 Le 31/01/2015, à 09:43
- Quaza
Re : Avec un VPN, me faut il un firewall ? (et antivirus)
Camarade,
Pour ma part mon fournisseur d'accès pour du VPN ou de l'OpenVPN intégre un FireWall, sur trois réglages, faible, moyen, et strict. Donc le pare-feu logiciel est-il utile ? Idem si tu as un router, tu as souvent un pare-feu intégré. Bref tu es pas totalement à poil ;-)
Hors ligne
#4 Le 31/01/2015, à 17:35
- xmax
Re : Avec un VPN, me faut il un firewall ? (et antivirus)
Salut et merci pour vos réponses.
Je suis assez débutant j'ai donc pris le temps de regarder les points suivants :
- dans les paramètres de ma box, je peux effectuer les réglages suivants : "parefeu desactivé", "protection standard" ou "règles personnalisées"
J'ai choisi protection standard
- j'ai installé le paquet gufw et j'ai configuré le parefeu de ubuntu : statut "I" (allumé)," incoming : refuser" et "outgoing : autorisé"
- en me connectant sur le site de mon VPN, j'ai une option "gérér vos ports", il n'y a pas de liste de ceux qui sont ouverts, je peux juste en rajouter si je veux, ce que je n'ai pas fait
Je refais le test ici
http://www.zebulon.fr/outils/scanports/ … curite.php
J'obtiens ça :
Ports TCP ouverts
22 ssh Le shell SSH permet de se connecter à un serveur de façon sécurisée
25 smtp Utilisé pour le transfert de courrier électronique entre deux hôtes. Si vous n'utilisez pas de serveur de messagerie, il est conseillé de fermer ce port.
443 https Utilisé pour sécuriser les communications HTTP. Si vous n'utilisez pas de serveur web, il est conseillé de fermer ce port. Ce port est également utilisé par AOL Instant Messenger
Ports TCP fermés
21 ftp Utilisé pour le transfert de fichier entre ordinateurs
23 telnet Utilisé pour obtenir un shell distant
79 finger Permet de connaître diverses informations relatives à votre profil
80 http Utilisé pour les services Web. Si vous n'utilisez pas de serveur web, il est conseillé de fermer ce port
et la liste est encore plus longue...je n'ai pas tout mis.
Si je vais sur ce site : http://www.inoculer.com/scannerdeports.php
J'obtiens :
Ports ouverts ports ouverts
port service commentaire
25 smtp Port des serveurs mails SMTP utilisé pour le transfert de courrier électronique. Le problème avec un serveur SMTP est qu'il peut servir de relais de mailing anonyme. Un pirate peut très bien s'en servir pour envoyer des mails scabreux à travers Internet.
443 https Ce port est employé pour la communication sécurisée vers internet. Les données transférées à travers de tels ports sont fortement protégées contre les écoutes clandestines et contre l'interception. Il utilise l'application SSL (Secure Sockets Layer) pour authentifier les communications, par exemple pour les sécurisations des paiements sur internet.
Ports fermés ports fermés
port service commentaire
21 ftp Utilisé pour le transfert de fichier entre ordinateurs. Les serveurs FTP ouvrent leur port 21 et attendent l'arrivée d'un client extérieur. Les hackers adorent les ports ftp anonymes.
80 http Le protocole HTTP est sûrement le plus utilisé sur le web pour les pages html. Ce protocole ne comporte pas de failles intrinsèques majeures. Par contre, les applications assurant son traitement sont souvent bourrées de failles.
110 pop3 Le protocole POP permet comme son nom l'indique d'aller récupérer son courrier sur un serveur distant (le serveur POP). Le protocole POP3 (Post Office Protocol - Version 3) gére l'authentification à l'aide d'un nom d'utilisateur et d'un mot de passe ; il n'est par contre pas sécurisé car les mots de passe, au même titre que les mails, circulent en clair (de manière non chiffrée) sur le réseau.
143 imap Le protocole imap est utilisé par les logiciels de messagerie électronique pour récupérer les mails sur les serveurs de messagerie. Ils doivent alors s'identifier et s'authentifier pour entrer sur le serveur distant en utilisant leur compte mail.
Ports masqués ports masqués
port service commentaire
22 ssh Le shell SSH permet de se connecter à un serveur de façon sécurisée. SSH vous permet de créer un tunnel chiffré pour vos connexions, il encrypte toutes les échanges. SSH est donc un outil conseillé (pour ne pas dire indispensable) pour les transactions réseau.
23 telnet Le service telnet (en écoute sur le port 23) permet à deux machines distantes de communiquer. Telnet établit deux terminaux virtuels pour les deux machines. Ce type de terminal est semblable à une connexion série. L'utilisateur a l'impression d'être assis devant un terminal de la machine.
79 finger finger n'est pas dangereux mais le laisser en écoute, sans en avoir réellement besoin, est une grossière erreur. finger donne trop d'informations sur les utilisateurs systèmes.
81 hosts2-ns Ce port n'a pas une utilité spéciale. Son importance aujourd'hui est due à sa contiguîté au port 80 de World Wide Web ; le port 81 est remarquable parce qu'il sert comme alternative au port 80
113 ident Le service ident (anciennement appelé auth, en écoute sur le port 113) est du même genre que le service finger. Il fournit des informations sur les détenteurs de connexions sur le système.
119 nntp NNTP (Network News Transfer Protocol) est utilisé en particulier par les forums de discussion Usenet. Une vulnérabilité a été identifiée dans plusieurs versions de Windows ; elle pourrait être exploitée par un attaquant distant afin de compromettre un système vulnérable. Le problème résulte d'une erreur présente au niveau du Network News Transfer Protocol (NNTP) qui ne manipule pas correctement certaines requêtes malicieuses.
135 epmap epmap est le Microsoft RPC Locator Service. Ce port est connu pour avoir été utilisé par le vers Blaster
(je ne mets pas toute la liste des ports masqués, là encore elle est assez longue)
Finlament, je n'obtiens pas tout a fait le même résultat dans les 2 tests...
Je repose ma question plus simplement, est ce que je suis protégé correctement avec ces réglages ?
Dois je carrement configurer mieux ma box ? ou configurer mes ports sur le site de mon VPN ?
Si vous faites vous meme un scan obtenez vous le meme type de résultat (des ports ouverts, masqué etc etc ...??)
Merci +++ pour vos précieux conseils
Dernière modification par xmax (Le 31/01/2015, à 17:36)
Hors ligne
#5 Le 31/01/2015, à 21:47
- J5012
Re : Avec un VPN, me faut il un firewall ? (et antivirus)
avec inoculer, je n'ai aucuns ports d'ouverts (avec un symbole d'exclamation) et aucuns ports de fermés (avec un symbole d'interrogation), il me trouve plein de ports masques dont plusieurs services ne sont pas actifs, les seuls services qui sont exactes sont le client emule et le client kad, il dit entre autres que http+port et https+port sont masqués, mais c'est peut-etre le resultat de l'option activee "ne pas repondre au ping" ...
le scan de zebulon me trouve aussi aucuns ports d'entrees sorties ouverts ni fermes ... il trouve aussi plusieurs services masqués dont aucun n'est actif ... il n'arrive pas à trouver le client emule ni le client kad ...
Hors ligne
#6 Le 31/01/2015, à 23:06
- xmax
Re : Avec un VPN, me faut il un firewall ? (et antivirus)
Ben merci du retour mais tout ça n'est pas très rassurant pour moi.
De mémoire quand je faisais ces tests avec Windows tout était OK.... faudrait pas que mon petit Linux soit une passoire.... Si d'autres personnes ont fait le test.... a+
Hors ligne
#7 Le 31/01/2015, à 23:11
- J5012
Re : Avec un VPN, me faut il un firewall ? (et antivirus)
ben non, si tu as des services ouverts comme le vpn qui utilise ssh c'est normal que c'est detecté comme ouvert ... des que tu ouvres un service vers l'exterieur tu es vulnerable, w mac ou linux ca change rien ...
Hors ligne
#8 Le 01/02/2015, à 01:32
- Compte anonymisé
Re : Avec un VPN, me faut il un firewall ? (et antivirus)
Ben merci du retour mais tout ça n'est pas très rassurant pour moi.
De mémoire quand je faisais ces tests avec Windows tout était OK.... faudrait pas que mon petit Linux soit une passoire.... Si d'autres personnes ont fait le test.... a+
salut, c'est l'égarement total ici, si tu lances ton vpn, c'est pas toi que le site scan mais ton fournisseur vpn....
les ports 22, 25, 443 qui sont ouverts ne sont pas sur ton système...
la seule chose que tu as à surveillé, c'est les programmes que tu as installé, par exemple si tu as installé samba,tu peux alors interdire les ports 139 et 145 en entrée sur ton interface vpn.
(j'ai souvenir avoir eu accès chez un fournisseur vpn dont je ne citerais pas aux partages Windows de plusieurs de ses clients)
tu n'as qu'à faire sudo netstat -taupen pour voir les services en écoute sur ton système, et tu sera rassuré.
#9 Le 01/02/2015, à 07:16
- J5012
Re : Avec un VPN, me faut il un firewall ? (et antivirus)
et moi qui croyait qu'il auditait la fonction vpn de son routeur ...
Hors ligne
#10 Le 01/02/2015, à 12:12
- xmax
Re : Avec un VPN, me faut il un firewall ? (et antivirus)
merci à tous les 2, en résumé pas de soucis alors !
Hors ligne