Ubuntu-fr

Compte supprimé

[Résolu] Pourquoi activer le firewall ?

Bonjour,
Dans les diverses versions d'Ubuntu, un firewall est installé, mais pas activé.
Quelles sont, d'après vous, les raisons qui pourraient nous mener à l'activer ?  et si on l'active, comment le paramétrer ?

Dernière modification par Compte supprimé (Le 09/01/2016, à 14:26)

tiramiseb

Re : [Résolu] Pourquoi activer le firewall ?

Salut,

Quelles sont, d'après vous, les raisons qui pourraient nous mener à l'activer ?

Je ne pourrais pas faire une liste exhaustive, alors je donne juste quelques exemples.
Volontairement, je ne donne pas de contre-exemple car c'est ce qui déchaîne le + les foules.

Si ta machine est un "bac à sable", que tu veux installer plein de logiciels sans te soucier de la sécurité du réseau (par exemple en phase d'apprentissage), tu peux vouloir l'activer et bloquer tous les flux en entrée. Comme ça, quelle que soit l'erreur que tu pourrais faire, les logiciels serveurs que tu installes ne sont pas joignables de l'extérieur.

Si ta machine est connectée à deux réseaux, que tu installes un service pour un seul des deux réseaux et que ce service est incapable d'écouter sur une seule interface (eh ouais, certains logiciels sont mal foutus) alors tu peux bloquer les flux en entrée pour ce service-là sur le réseau à interdire.

Si tu es sur un serveur dans un environnement très sécurisé (actuellement au boulot on est en pleine problématique autour de PCI DSS, y'a plein de contraintes), tu peux vouloir bloquer des ports en sortie pour être sûr que ton application n'accède pas à des choses auxquelles elle n'a pas droit (mais dans ce cas, un firewall extérieur est plus efficace : pour cela, les security groups chez AWS sont très bien).

Lorsque tu installes un service à destination d'une cible précise, tu peux activer le pare-feu pour bloquer toute requête provenant d'ailleurs. Exemple, encore dans mon environnement certifié PCI DSS, on n'autorise les connexions aux interfaces d'administration qu'à partir de nos réseaux professionnels. Ceci serait inutile si nos serveurs étaient en interne, mais on s'appuie sur un service cloud, ce qui simplifie énormément la gestion de l'infrastructure.

De manière générale, ces problématique sont quasi-exclusivement des problématiques de serveurs (serveur au sens logiciel, pas au sens matériel : si tu installes Samba sur ton PC perso, alors ton PC perso est serveur Samba).

et si on l'active, comment le paramétrer ?

Ça, c'est complètement dépendant de ce que tu veux en faire...

Dernière modification par tiramiseb (Le 09/01/2016, à 13:25)

---

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

pires57

Re : [Résolu] Pourquoi activer le firewall ?

Je rajoutes le cas ou ta machine jouera le rôle de firewall réseau avec plusieurs sous réseau interne (donc plusieurs carte réseau).
Par exemple un LAN ou tu retrouvera tout tes utilisateurs et une DMZ dans laquelle tu auras un serveur web, mails ...

Ce cas de figure est valable uniquement pour un réseau complet et donc avec un serveur spécialement dédié au rôle de pare feu réseau.

---

Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

Compte supprimé

Re : [Résolu] Pourquoi activer le firewall ?

Merci, c'est bien plus clair que ce que j'aurais pu écrire.

Je passe le sujet en résolu, mais toutes les précisions complémentaires sont les bienvenues à condition qu'elles soient relatives au sujet et rien qu'au sujet.

Compte supprimé

Re : [Résolu] Pourquoi activer le firewall ?

Ce passage de la documentation Ubuntu-fr me laisse perplexe :

Par exemple, si vous activez le partage de bureau à distance sans le protéger, quiconque dans Internet peut charger une session de bureau à distance et voir votre bureau ! Ne pas protéger un ordinateur relié directement à Internet est un risque non négligeable.

Dans cette situation, il est indispensable que vous activiez un pare-feu logiciel dans chacun de vos ordinateurs à la maison.

Poursuivons l'hypothèse : quelle serait la règle ? On ne va pas fermer le port vu que l'on veut s'y connecter.

Par contre, si le serveur le permet, pourquoi ne pas le régler pour limiter les IP qui peuvent s'y connecter ? Genre liste blanche.

nam1962

Re : [Résolu] Pourquoi activer le firewall ?

Alors, quoique pas bien inquiet, je repose ma question pour moi pas élucidée.
Je passe en ceinture + bretelles en activant ufw derrière une box en mode routeur, dhcp activé, assignation fixe, dmz non activée, aucun port ouvert.

Donc, si j'ai bien pigé, je ferme un placard dans une pièce fermée.

Mais alors, pourquoi après une bonne séance Qbittorrent, au prochain redémarrage, mon boot est il plus long because, comme m'indique mon dmesg, je me retrouve avec ufw qui me dit bloquer plein d'IP exotiques ? (coréennes, baltes, russes, africaines et tout)

---

[ Modéré ]

tiramiseb

Re : [Résolu] Pourquoi activer le firewall ?

Poursuivons l'hypothèse : quelle serait la règle ? On ne va pas fermer le port vu que l'on veut s'y connecter.

C'est en effet typiquement le genre de cas où un pare-feu peut être utile.
Ici, ce qui est le plus facile à imaginer c'est un filtrage sélectif selon les adresses IP sources : tu n'autorises que des adresses particulières à se connecter. Mais ça empêche l'utilisation nomade.

Par contre, si le serveur le permet, pourquoi ne pas le régler pour limiter les IP qui peuvent s'y connecter ? Genre liste blanche.

Dans ce cas, autant filtrer avec le pare-feu : si tu limites par le logiciel, les autres ordinateurs pourront quand même arriver aux premières étapes de la connexion, avant le rejet. Et s'il y a une faille à ce niveau-là, c'est mort.

-----

Cela dit, pour le partage de bureau, je privilégierais plutôt des solutions qui incluent du chiffrement et une authentification... un serveur qui permet d'accéder à des données perso sans authentification, c'est quand même un peu beaucoup de la merde...

---

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

Compte supprimé

Re : [Résolu] Pourquoi activer le firewall ?

Oui mais c'était pour reprendre l'exemple . Merci

tiramiseb

Re : [Résolu] Pourquoi activer le firewall ?

pourquoi après une bonne séance Qbittorrent, au prochain redémarrage, mon boot est il plus long because, comme m'indique mon dmesg, je me retrouve avec ufw qui me dit bloquer plein d'IP exotiques ? (coréennes, baltes, russes, africaines et tout)

A priori je pense que c'est lié à UPnP : Qbittorrent a demandé à ta box de faire la redirection de certains ports vers ta machine (histoire de pouvoir accepter les connexions des tiers, truc de base de Bittorrent, quoi. La box garde ce paramétrage en mémoire pendant un certain temps... du coup lors de ton reboot, la box n'a pas encore "oublié" cette demande de Qbittorrent.
C'est ce qui me semble le plus logique.

---

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

nam1962

Re : [Résolu] Pourquoi activer le firewall ?

Je vois grosso.
...question subsidiaire alors : dans ce cas, mon ufw qui se démène me protège-t'il de quoique ce soit en bloquant ces allogènes qui se présentent sur les ports en question?

---

[ Modéré ]

tiramiseb

Re : [Résolu] Pourquoi activer le firewall ?

mon ufw qui se démène me protège-t'il de quoique ce soit en bloquant ces allogènes qui se présentent sur les ports en question?

Non, car :
* soit tu as arrêté QBittorrent, le port est donc fermé, les paquets se retrouveront face à un mur : que ce soient des paquets légitimes ou des tentatives d'attaques, port fermé = pas de réponse ;
* soit tu as lancé QBittorrent, les paquets sont donc légitimes et attendus, QBittorrent les reçoit et y répond.

---

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

nam1962

Re : [Résolu] Pourquoi activer le firewall ?

Ok, c'est donc peut-être de là que viennent certaines confusions : le firewall est bien à l'extérieur et voit des gens frapper sur le mur, mais on s'en fout because c'est un mur. C'est çà ?

..du coup sur un desktop derrière une box, à part avoir un guetteur qui ralentit le système, activer ufw ne sert à rien.

Grosso dans ce cas, ufw ne sert que si on veut empêcher quelqu'un qui a un accès physique à l'ordi d'utiliser certains ports ?

Dernière modification par nam1962 (Le 10/01/2016, à 10:34)

---

[ Modéré ]

tiramiseb

Re : [Résolu] Pourquoi activer le firewall ?

"à l'extérieur" de quoi ?

---

Je reprends mon analogie avec la maison.

Dans le cas d'un PC personnel, sur un réseau domestique :
- la box, c'est les fortifications du village ;
- ton réseau, c'est le village où tu habites ;
- ton ordinateur, c'est le terrain sur lequel tu as construit ta maison ;
- le système d'exploitation, c'est la maison que tu as construite ;
- les ports, ce sont les fenêtres de la maison.

Dans le cas d'un serveur dédié :
- le serveur, c'est le bout de campagne sur lequel tu as construit ta maison ;
- le système d'exploitation, c'est la maison que tu as construite ;
- les ports, ce sont les fenêtres de la maison.

Quand tu lances un logiciel qui fait serveur (comme Qbittorrent), tu ouvres une fenêtre et tu dis à un de tes enfants de se mettre à la fenêtre et d'attendre qu'on vienne lui parler. Quand tu arrêtes ce logiciel, tu renvoies ton enfant dans sa chambre et tu fermes la fenêtre.

Le logiciel "client", lui, c'est ton aîné qui va acheter le pain en sortant par une porte et revient par la même porte : tu lui ouvres quand il arrive en te disant « papa, c'est moi ! ».

Le gars qui utilise ton PC, c'est ton frère Gérard que tu as invité dans ta maison.

Le pare-feu logiciel, quant à lui, c'est un mur que tu mets devant le mur de ta maison.

Les règles en entrée, ce sont les murs que tu ajoutes à l'extérieur de la maison : tu auras beau ouvrir la fenêtre, le mur empêchera les gens de venir te parler.
Les règles en sortie, ce sont les murs que tu ajoutes à l'intérieur de la maison : ton fils ne peut plus sortir pour aller acheter le pain, Gérard ne pourra pas sortir non plus.

La redirection de port sur ta box, c'est un chemin balisé qui mène d'une ouverture dans les fortifications jusqu'à une fenêtre de ta maison.

Le fait de construire un mur toi-même, c'est l'utilisation de la commande iptables.
ufw, c'est le maçon à qui tu vas demander de construire des murs, plutôt que de le faire toi-même : il connaît son métier, il fera ça plus rapidement et mieux que toi.
gufw, c'est la secrétaire du maçon, qui est quand même plus jolie...

S'il existe le chemin balisé (redirection de port) ou s'il y a des grosses fissures dans les fortifications (failles sur la box) mais que tes fenêtres sont fermées (rien en écoute), alors les gens ont beau venir te voir, ils ne pourront pas rentrer chez toi.

Exploitation de faille : ton fils est à la fenêtre, un gars vient le voir et lui dit "hey, je sais que le réveil posé sur ta table de chevet est bleu", du coup il le laisse passer parce que bon, le gars connaît la maison c'est qu'il a le droit d'entrer.
DDoS : tout plein de monde vient voir ton fils, il ne sait plus où donner de la tête, il ne peux plus répondre aux demandes.
Exploitation d'un mot de passe faible : un gars se déguise en ton frangin et ton fils se laisse berner, parce que bon quand même, tonton Gérard a le droit d'entrer.

... mais dans tous les cas, si la fenêtre est fermée personne ne pourra entrer dans ta maison.

Dernière modification par tiramiseb (Le 10/01/2016, à 11:08)

---

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

nam1962

Re : [Résolu] Pourquoi activer le firewall ?

Oki, c'est super bien dit (et pour mon "extérieur" c'est bien ce que je voulais dire : extérieur de la maison à l'intérieur du village)
Je la ressortirait ta parabole !

..enfin après l'avoir adaptée : comme mon frère ne s'appelle pas Gérard, au début j'ai eu du mal, j'ai relu plusieurs fois pour piger, mais enfin ça a fini par passer en copiant/collant dans writer avec un petit rechercher/remplacer pour que ce soit compréhensible !

Dernière modification par nam1962 (Le 10/01/2016, à 11:22)

---

[ Modéré ]

tiramiseb

Re : [Résolu] Pourquoi activer le firewall ?

https://www.maccagnoni.eu/2016/01/le-pa … la-maison/

---

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

nam1962

Re : [Résolu] Pourquoi activer le firewall ?

Hop ! tweeté !

Dernière modification par nam1962 (Le 10/01/2016, à 17:01)

---

[ Modéré ]

cqfd93

Re : [Résolu] Pourquoi activer le firewall ?

cocoloto89 : Quel est l'intérêt de créer un compte pour poster un copier-coller de <url supprimée> ?

Parce que c'est un spammeur

---

− cqfd93 −