Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 30/01/2015, à 21:13

xmax

Avec un VPN, me faut il un firewall ? (et antivirus)

Bonsoir, je vous remercie de m'éclairer, je suis en train de tester un vpn mais il me semble avoir lu que si on passait par un vpn, le firewall de la box n'était plus actif.
Je viens de faire un test sur https://grc.com/x/ne.dll?bh0bkyd2 et effectivement le test est mauvais : 3 ports en rouge : ssh, smtp, https (et un port vert : microsoft ds)

Qu'en pensez vous ? Si besoin est ce que Gufw pourrait me permettre de faire des réglages ?
(question en plus, je n'ai jamais eu d'antivirus souvent considéré comme inutile sur linux, le fait d'avoir un vpn change t il mes besoins ?...)
Merci et bonne soirée

Dernière modification par xmax (Le 30/01/2015, à 21:13)

Hors ligne

#2 Le 30/01/2015, à 22:25

J5012

Re : Avec un VPN, me faut il un firewall ? (et antivirus)

la configuration origine de tous les firewalls de box est desormais reglee au minimum (pas d'entrees et sorties autre que le port 80 sur le protocole http)

le service qui met en oeuvre un reseau prive virtuel (vpn) utilise plusieurs protocoles et ports, donc logiquement tu dois demander à la box d'ouvrir les bons ports et protocoles : la fonction de vpn intégrée à certaines box le fait automatiquement, mais la protection sur les autres ports et protocoles est toujours active ... (il n'y a pas de moyen simple d'arreter ou de desactiver un firewall de box)

si tu crains les attaques, ce qui arrive des que tu ouvres un service sur l'exterieur (l'internet c'est public, c'est l'exterieur), ce n'est pas un antivirus mais un analyseur/detecteur d'intrusion à placer sur le routeur mais la box ne permet aucune installation supplementaire : de plus en plus de box de grandes marques incluent un ids (intrusion detection systems) ... c'est peut etre ton cas ?

Dernière modification par J5012 (Le 30/01/2015, à 22:25)

Hors ligne

#3 Le 31/01/2015, à 08:43

Quaza

Re : Avec un VPN, me faut il un firewall ? (et antivirus)

Camarade,

Pour ma part mon fournisseur d'accès pour du VPN ou de l'OpenVPN intégre un FireWall, sur trois réglages, faible, moyen, et strict. Donc le pare-feu logiciel est-il utile ? Idem si tu as un router, tu as souvent un pare-feu intégré. Bref tu es pas totalement à poil ;-)

Hors ligne

#4 Le 31/01/2015, à 16:35

xmax

Re : Avec un VPN, me faut il un firewall ? (et antivirus)

Salut et merci pour vos réponses.

Je suis assez débutant j'ai donc pris le temps de regarder les points suivants :
- dans les paramètres de ma box, je peux effectuer les réglages suivants : "parefeu desactivé", "protection standard" ou "règles personnalisées"
J'ai choisi protection standard

- j'ai installé le paquet gufw et j'ai configuré le parefeu de ubuntu : statut "I" (allumé)," incoming : refuser" et "outgoing : autorisé"

- en me connectant sur le site de mon VPN, j'ai une option "gérér vos ports", il n'y a pas de liste de ceux qui sont ouverts, je peux juste en rajouter si je veux, ce que je n'ai pas fait

Je refais le test ici
http://www.zebulon.fr/outils/scanports/ … curite.php
J'obtiens ça :
Ports TCP ouverts
22     ssh     Le shell SSH permet de se connecter à un serveur de façon sécurisée    
25     smtp     Utilisé pour le transfert de courrier électronique entre deux hôtes. Si vous n'utilisez pas de serveur de messagerie, il est conseillé de fermer ce port.    
443     https     Utilisé pour sécuriser les communications HTTP. Si vous n'utilisez pas de serveur web, il est conseillé de fermer ce port. Ce port est également utilisé par AOL Instant Messenger    
Ports TCP fermés
21     ftp     Utilisé pour le transfert de fichier entre ordinateurs    
23     telnet     Utilisé pour obtenir un shell distant    
79     finger     Permet de connaître diverses informations relatives à votre profil    
80     http     Utilisé pour les services Web. Si vous n'utilisez pas de serveur web, il est conseillé de fermer ce port    
et la liste est encore plus longue...je n'ai pas tout mis.

Si je vais sur ce site : http://www.inoculer.com/scannerdeports.php
J'obtiens :
Ports ouverts ports ouverts

port    service    commentaire
25    smtp    Port des serveurs mails SMTP utilisé pour le transfert de courrier électronique. Le problème avec un serveur SMTP est qu'il peut servir de relais de mailing anonyme. Un pirate peut très bien s'en servir pour envoyer des mails scabreux à travers Internet.
443    https    Ce port est employé pour la communication sécurisée vers internet. Les données transférées à travers de tels ports sont fortement protégées contre les écoutes clandestines et contre l'interception. Il utilise l'application SSL (Secure Sockets Layer) pour authentifier les communications, par exemple pour les sécurisations des paiements sur internet.


Ports fermés ports fermés

port    service    commentaire
21    ftp    Utilisé pour le transfert de fichier entre ordinateurs. Les serveurs FTP ouvrent leur port 21 et attendent l'arrivée d'un client extérieur. Les hackers adorent les ports ftp anonymes.
80    http    Le protocole HTTP est sûrement le plus utilisé sur le web pour les pages html. Ce protocole ne comporte pas de failles intrinsèques majeures. Par contre, les applications assurant son traitement sont souvent bourrées de failles.
110    pop3    Le protocole POP permet comme son nom l'indique d'aller récupérer son courrier sur un serveur distant (le serveur POP). Le protocole POP3 (Post Office Protocol - Version 3) gére l'authentification à l'aide d'un nom d'utilisateur et d'un mot de passe ; il n'est par contre pas sécurisé car les mots de passe, au même titre que les mails, circulent en clair (de manière non chiffrée) sur le réseau.
143    imap    Le protocole imap est utilisé par les logiciels de messagerie électronique pour récupérer les mails sur les serveurs de messagerie. Ils doivent alors s'identifier et s'authentifier pour entrer sur le serveur distant en utilisant leur compte mail.


Ports masqués ports masqués

port    service    commentaire
22    ssh    Le shell SSH permet de se connecter à un serveur de façon sécurisée. SSH vous permet de créer un tunnel chiffré pour vos connexions, il encrypte toutes les échanges. SSH est donc un outil conseillé (pour ne pas dire indispensable) pour les transactions réseau.
23    telnet    Le service telnet (en écoute sur le port 23) permet à deux machines distantes de communiquer. Telnet établit deux terminaux virtuels pour les deux machines. Ce type de terminal est semblable à une connexion série. L'utilisateur a l'impression d'être assis devant un terminal de la machine.
79    finger    finger n'est pas dangereux mais le laisser en écoute, sans en avoir réellement besoin, est une grossière erreur. finger donne trop d'informations sur les utilisateurs systèmes.
81    hosts2-ns    Ce port n'a pas une utilité spéciale. Son importance aujourd'hui est due à sa contiguîté au port 80 de World Wide Web ; le port 81 est remarquable parce qu'il sert comme alternative au port 80
113    ident    Le service ident (anciennement appelé auth, en écoute sur le port 113) est du même genre que le service finger. Il fournit des informations sur les détenteurs de connexions sur le système.
119    nntp    NNTP (Network News Transfer Protocol) est utilisé en particulier par les forums de discussion Usenet. Une vulnérabilité a été identifiée dans plusieurs versions de Windows ; elle pourrait être exploitée par un attaquant distant afin de compromettre un système vulnérable. Le problème résulte d'une erreur présente au niveau du Network News Transfer Protocol (NNTP) qui ne manipule pas correctement certaines requêtes malicieuses.
135    epmap    epmap est le Microsoft RPC Locator Service. Ce port est connu pour avoir été utilisé par le vers Blaster
(je ne mets pas toute la liste des ports masqués, là encore elle est assez longue)

Finlament, je n'obtiens pas tout a fait le même résultat dans les 2 tests...

Je repose ma question plus simplement, est ce que je suis protégé correctement avec ces réglages ?
Dois je carrement configurer mieux ma box ? ou configurer mes ports sur le site de mon VPN ?
Si vous faites vous meme un scan obtenez vous le meme type de résultat (des ports ouverts, masqué etc etc ...??)

Merci +++ pour vos précieux conseils

Dernière modification par xmax (Le 31/01/2015, à 16:36)

Hors ligne

#5 Le 31/01/2015, à 20:47

J5012

Re : Avec un VPN, me faut il un firewall ? (et antivirus)

avec inoculer, je n'ai aucuns ports d'ouverts (avec un symbole d'exclamation) et aucuns ports de fermés (avec un symbole d'interrogation), il me trouve plein de ports masques dont plusieurs services ne sont pas actifs, les seuls services qui sont exactes sont le client emule et le client kad, il dit entre autres que http+port et https+port sont masqués, mais c'est peut-etre le resultat de l'option activee "ne pas repondre au ping" ...

le scan de zebulon me trouve aussi aucuns ports d'entrees sorties ouverts ni fermes ... il trouve aussi plusieurs services masqués dont aucun n'est actif ... il n'arrive pas à trouver le client emule ni le client kad ...

Hors ligne

#6 Le 31/01/2015, à 22:06

xmax

Re : Avec un VPN, me faut il un firewall ? (et antivirus)

Ben merci du retour mais tout ça n'est pas très rassurant pour moi.
De mémoire quand je faisais ces tests avec Windows tout était OK.... faudrait pas que mon petit Linux soit une passoire.... Si d'autres personnes ont fait le test.... a+

Hors ligne

#7 Le 31/01/2015, à 22:11

J5012

Re : Avec un VPN, me faut il un firewall ? (et antivirus)

ben non, si tu as des services ouverts comme le vpn qui utilise ssh c'est normal que c'est detecté comme ouvert ... des que tu ouvres un service vers l'exterieur tu es vulnerable, w mac ou linux ca change rien ...

Hors ligne

#8 Le 01/02/2015, à 00:32

Compte anonymisé

Re : Avec un VPN, me faut il un firewall ? (et antivirus)

xmax a écrit :

Ben merci du retour mais tout ça n'est pas très rassurant pour moi.
De mémoire quand je faisais ces tests avec Windows tout était OK.... faudrait pas que mon petit Linux soit une passoire.... Si d'autres personnes ont fait le test.... a+

salut, c'est l'égarement total ici,   si tu lances ton vpn, c'est pas toi que le site scan mais ton fournisseur vpn....

les ports 22, 25, 443 qui sont ouverts ne sont pas sur ton système...
la seule chose que tu as à surveillé, c'est les programmes que tu as installé,  par exemple si tu as installé samba,tu peux alors interdire les ports 139 et 145 en entrée sur ton interface vpn.
(j'ai souvenir avoir eu accès chez un fournisseur vpn dont je ne citerais pas aux partages Windows  de plusieurs de ses clients)

tu n'as qu'à faire sudo netstat -taupen     pour voir  les services en écoute sur ton système, et tu sera rassuré.

#9 Le 01/02/2015, à 06:16

J5012

Re : Avec un VPN, me faut il un firewall ? (et antivirus)

et moi qui croyait qu'il auditait la fonction vpn de son routeur ... lol

Hors ligne

#10 Le 01/02/2015, à 11:12

xmax

Re : Avec un VPN, me faut il un firewall ? (et antivirus)

merci à tous les 2, en résumé pas de soucis alors !

Hors ligne