Contenu | Rechercher | Menus

Annonce

DVD, clés USB et t-shirts Ubuntu-fr disponibles sur la boutique En Vente Libre

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#76 Le 26/05/2013, à 00:38

svi_binette

Re : Pare feu ou pas ?

Excusez-moi, je comprends que si je mets mon adresse (celle de ma box) c'est normal, vu que je n'utilise pas avahi, pas de règle concernant ce port dans la box.
Je ne vous embête plus.
Mille mercis pour ce fil si riche.

Hors ligne

#77 Le 26/05/2013, à 12:27

tiramiseb

Re : Pare feu ou pas ?

Les ports UDP ne peuvent pas apparaître filtré.

Pour ses vérifications en TCP, nmap tente de se connecter et attend une réponse : sans réponse (timeout) on est dans le cas d'un port filtré, avec une réponse négative on est dans le cas d'un port fermé, avec uen réponse positive on est dans le cas d'un port ouvert.

Mais en UDP, il n'y a pas de "connexion" : avec ce protocole, on envoie les données et puis c'est tout, on ne vérifie pas qu'elles sont reçues, on ne demande pas d'ouverture de connexion, pas d'acquittement. Donc on ne peut pas avoir ces trois cas distincts smile

Hors ligne

#78 Le 26/05/2013, à 14:21

svi_binette

Re : Pare feu ou pas ?

Bonjour à tous,

Merci Tiramiseb, j'ai l'impression que je commence à comprendre mieux grâce à ta réponse.
Cependant, il doit manquer une petite précision :

tiramiseb a écrit :

Les ports UDP ne peuvent pas apparaître filtré.

En fait il faudrait peut-être dire "rarement" plutôt que "ne peuvent pas".
En effet la commande  sudo nmap -sU -p68 5.X.X.X pour dhcp me renvoie :

Host is up (0.00045s latency).
PORT   STATE         SERVICE
68/udp open|filtered dhcpc

Nmap done: 1 IP address (1 host up) scanned in 0.36 seconds

Un extrait de la doc nmap :

Le scan UDP envoie un en-tête UDP (sans données) à chaque port visé. Si un message ICMP « port unreachable (type 3, code 3) » est renvoyé, le port est alors fermé. Les autres messages d'erreur « unreachable ICMP (type 3, codes 1, 2, 9, 10, or 13) » rendront le port filtré. À l'occasion, il arrive qu'un service répond par un paquet UDP, prouvant que le port est dans l'état ouvert. Si aucune réponse n'est renvoyée après plusieurs essais, le port est considéré comme étant ouvert|filtré.
(...)
Une des grandes difficultés avec le scan UDP est de l'exécuter rapidement. Les ports ouverts et filtrés ne renvoient que rarement des réponses, laissant Nmap expirer son délai de retransmission au cas où les paquets se soient perdus.

Quid du rarement ? J'en déduis qu'un scan UDP par nmap n'est pas fiable du tout. Ou alors c'est une histoire de port < 1024 (cas du port 68)...

Hors ligne

#79 Le 26/05/2013, à 14:26

tiramiseb

Re : Pare feu ou pas ?

Quid du rarement ? J'en déduis qu'un scan UDP par nmap n'est pas fiable du tout. Ou alors c'est une histoire de port < 1024 (cas du port 68)...

Un scan UDP n'est pas fiable, que ce soit par nmap ou non, en raison du fonctionnement du protocole UDP.

Comme indiqué dans cette doc, s'il n'y a pas de réponse à une requête UDP, on ne peut pas savoir si c'est un port ouvert et que c'est normal ou si c'est parce que c'est bloqué...

Hors ligne

#80 Le 26/05/2013, à 14:34

svi_binette

Re : Pare feu ou pas ?

Merci !

Hors ligne

#81 Le 26/05/2013, à 14:48

nam1962

Re : Pare feu ou pas ?

Je prends le fil en route.
Voilà, depuis longtemps, j'applique scrupuleusement les conseils prodigués ici (pour la version ad hoc évidemment) : https://debianhelp.wordpress.com/2012/0 … ng-system/

Pour UFW ça donne :

sudo apt-get install gufw
gufw


sudo ufw deny 5353/udp
sudo ufw deny 5900/tcp
sudo ufw deny 22
sudo ufw deny 25/tcp
sudo ufw deny 135,139,445/tcp
sudo ufw deny 137,138/udp
sudo ufw deny 110
sudo ufw deny 2049
sudo ufw deny 143
sudo ufw deny 21/tcp
sudo ufw deny ssh


sudo ufw enable

Utile ou pas ?


[ Modéré ]

Hors ligne

#82 Le 26/05/2013, à 15:08

tiramiseb

Re : Pare feu ou pas ?

Utile ou pas ?

Ton truc là, ça installe et lance l'interface graphique GUFW, pour ensuite mettre des règles avec UFW en ligne de commande.
Quel est l'intérêt de la ligne de commande si c'est pour ne l'utiliser qu'en ligne de commande par la suite ?

Ensuite, tu fais plein de règles "deny" en entrée, c'est totalement inutile vu que la règle par défaut d'UFW en entrée c'est "deny".

Donc toutes ces lignes, ça a le même résultat que juste :

sudo ufw enable

Et concernant mon avis sur l'inutilité d'un pare-feu sur un poste de travail normal, je te renvoie à cette passionnante discussion que tu as prise en route... smile

Hors ligne

#83 Le 26/05/2013, à 19:37

compte supprimé

Re : Pare feu ou pas ?

nam1962 a écrit :

Je prends le fil en route.
Voilà, depuis longtemps, j'applique scrupuleusement les conseils prodigués ici (pour la version ad hoc évidemment) : https://debianhelp.wordpress.com/2012/0 … ng-system/

Pour UFW ça donne :

sudo apt-get install gufw
gufw


sudo ufw deny 5353/udp
sudo ufw deny 5900/tcp
sudo ufw deny 22
sudo ufw deny 25/tcp
sudo ufw deny 135,139,445/tcp
sudo ufw deny 137,138/udp
sudo ufw deny 110
sudo ufw deny 2049
sudo ufw deny 143
sudo ufw deny 21/tcp
sudo ufw deny ssh


sudo ufw enable

Utile ou pas ?

Bonjour smile

Utile? Tout dépend de l'usage de ta machine...? Sur mon pc bureautique j'ai cette règle qui me va bien

root@debian:/home/ignus# ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), deny (outgoing)
New profiles: skip

To                         Action      From
--                         ------      ----
80/tcp                     ALLOW OUT   Anywhere
53/udp                     ALLOW OUT   Anywhere
443/tcp                    ALLOW OUT   Anywhere
25/tcp                     ALLOW OUT   Anywhere
995/tcp                    ALLOW OUT   Anywhere
110/tcp                    ALLOW OUT   Anywhere
143/tcp                    ALLOW OUT   Anywhere

Dans ton cas, tu interdis ssh (en double), smtp, pop, imap... Le mieux est d'utiliser le fichier des services pour mieux configurer sa machine selon ses besoins.

cat /etc/services

A+

#84 Le 28/05/2013, à 09:49

Hoper

Re : Pare feu ou pas ?

En revanche, je ne suis pas d'accord quand vous présumez des besoins de Mme Michu. En fait je pense que beaucoup confondent statistiques comportementales et besoins. J'ai l'impression que beaucoup font de grands raccourcis du type : Mme Michu n'héberge pas son serveur chez elle, donc elle n'a besoin de rien,

Oula, je ne présume rien du tout... Et loin de moi l'idée de vouloir empêcher qui que ce soit de se former, bien au contraire ! La question qui est posée est "un firewall est il utile", Je répond NON pour les particuliers en général, et tout particulièrement sous ubuntu.

Prenons ton exemple, une personne (michu ou autre) qui "ouvre" des services. Mettons par exemple qu'elle installe un serveur web pour faire ses premiers essais de pages web (super, bonne idée !). Et donc ? L'idée c'est bien d'autoriser les autres machines à venir consulter ses pages non ? (Bon, de fait, à cause de la box, ca marchera pas... Et si elle cherche sur le net comment parametrer correctement la box, mais que rien ne fonctionne à cause du Firewall, ça va être cool hein ? ) Bref, a quoi ça sert d'ouvrir un service si c'est pour ensuite le bloquer avec un Firewall ?

Oui! dis moi, sur une buntu, Mme et M dupond (j'ai changé na big_smile ) ont une imprimante installée (non partagée) et ont activé le partage de fichier avec Samba, bah oui ils veulent pouvoir y accéder avec leur Windows... La buntu aura donc deux serveurs : Cups et Samba en écoute respectivement sur le port 631 puis 139 et 445. Tjrs pas besoin de pare-feu surtout avec le port 139 d'ouvert??? Et quid s'ils sont nomades avec leur Pc Buntu?

Et non, toujours pas besoin. Allez, meme dans le pire des cas, mettons que que ce ne soit pas juste cups ou samba qui soit en écoute, mais carrément un serveur ssh ou vnc. (mais ça vaut aussi pour samba etc hein). Et bien quoi ? Il est ou le problème sans firewall ? Il y a forcément un mot de passe sur le compte non ? (Parce que, entre nous, si jamais il n'y a aucun mot de passe... Avant de s’intéresser aux firewall il me semble qu'il y aurait des tas de notions hyper importantes en sécurité a apprendre en urgence bien avant...)


Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org

Hors ligne

#85 Le 28/05/2013, à 09:55

tiramiseb

Re : Pare feu ou pas ?

+1 Hoper smile

Tjrs pas besoin de pare-feu surtout avec le port 139 d'ouvert???

Ben non, toujours pas de pare-feu. Parce que si on veut fermer le port 139 alors ça ne sert à rien d'avoir fait des partages, auquel cas on arrête Samba, on ne le laisse pas tourner en bloquant son port...

Hors ligne

#86 Le 28/05/2013, à 14:43

compte supprimé

Re : Pare feu ou pas ?

hoper a écrit :

Oula, je ne présume rien du tout... Et loin de moi l'idée de vouloir empêcher qui que ce soit de se former, bien au contraire ! La question qui est posée est "un firewall est il utile", Je répond NON pour les particuliers en général, et tout particulièrement sous ubuntu.

Prenons ton exemple, une personne (michu ou autre) qui "ouvre" des services. Mettons par exemple qu'elle installe un serveur web pour faire ses premiers essais de pages web (super, bonne idée !). Et donc ? L'idée c'est bien d'autoriser les autres machines à venir consulter ses pages non ? (Bon, de fait, à cause de la box, ca marchera pas... Et si elle cherche sur le net comment parametrer correctement la box, mais que rien ne fonctionne à cause du Firewall, ça va être cool hein ? ) Bref, a quoi ça sert d'ouvrir un service si c'est pour ensuite le bloquer avec un Firewall ?

Si cette personne installe un serveur web à son domicile, il est évident qu'elle n'a aucun intérêt à ne pas ouvrir le port 80 roll La palisse n'aurait pas mieux écrit. Héhé mais si elle ajoute cette règle à iptables, c'est mieux et je te laisse chercher pourquoi, na (*¿*)

# iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT

De plus, si c'est un serveur web complet (apache, mysql, vsftp) elle aura tout intérêt à fermer les ports de mysql et ftp si elle ne veut pas qu'ils soient accessible depuis l'extérieur, c'est mieux quand on commence... Ça évite bien des étourderies! En fait, les tables ne sont pas relatives au réseau, mais à la machine elle même ou plutôt au flux dans la machine

tiramiseb a écrit :

Ben non, toujours pas de pare-feu. Parce que si on veut fermer le port 139 alors ça ne sert à rien d'avoir fait des partages, auquel cas on arrête Samba, on ne le laisse pas tourner en bloquant son port...

Si seulement il pouvait y avoir plus de Gnu/linux avec un partage réseau d'activé sans pare-feu sur un wifi public... big_smile

Dans l'exemple de mon post #83, c'est la config que j'ai donné à ma machine qui ne possède pas de partage réseau ni quoi que ce soit. J'ai tout fermé en entrant et sortant (comme sur un serveur) pour n'autoriser que ce que j'ai besoin, est-ce mal?
Il est bien évident que cette config peut évoluer au fil de mes besoins... On peut tjrs présenter une situation dans laquelle un pare-feu est gênante mais j'avais également écris un truc dans le genre... Un pare-feu est un élément de la sécurisation d'une machine...
Ce n'est pas la sécurité absolue mais ce logiciel y participe. Puisque Iptables (lui même frontend du pare-feu Netfilter intégré au noyau Linux)  possède un frontend qui s'appelle UFW et qui permet de ce servir simplement du pare-feu, pourquoi s'en privé? C'est un plus, qui pour vous est inutile ou rédhibitoire, sur une machine de bureau... Pourtant c'est très pédagogique pour chacun et cela permet d'en apprendre un peu plus sur ces mystérieux fux qui passent dans les réseaux...

Apprendre c'est mon leitmotiv!

A+

#87 Le 28/05/2013, à 14:48

tiramiseb

Re : Pare feu ou pas ?

Dans l'exemple de mon post #83, c'est la config que j'ai donné à ma machine qui ne possède pas de partage réseau ni quoi que ce soit. J'ai tout fermé en entrant et sortant (comme sur un serveur) pour n'autoriser que ce que j'ai besoin, est-ce mal?

Mal, non...
Inutile, oui...

si c'est un serveur web complet (apache, mysql, vsftp) elle aura tout intérêt à fermer les ports de mysql et ftp

FTP est à éviter, il y a bien mieux de nos jours.
Avec la configuration par défaut d'Ubuntu (et de Debian et de bien d'autres) MySQL n'écoute qu'en local, il n'y a pas besoin de pare-feu pour interdire l'accès à distance.

Hors ligne

#88 Le 28/05/2013, à 15:04

compte supprimé

Re : Pare feu ou pas ?

Oui pour le ftp, je lui préfère le sftp

tiramiseb a écrit :

Avec la configuration par défaut d'Ubuntu (et de Debian et de bien d'autres) MySQL n'écoute qu'en local, il n'y a pas besoin de pare-feu pour interdire l'accès à distance.

Bah on résume donc ces quatre pages, un pare-feu ne sert à rien ou dans de très rares cas, Ok, j'en prends bonne note roll et merci pour vos précieuses informations!

A+

Ignus.

Dernière modification par Ignus (Le 28/05/2013, à 15:05)

#89 Le 28/05/2013, à 15:04

Hoper

Re : Pare feu ou pas ?

# iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT

Désolé mais je vois pas trop... Tu pense que bloquer le protocole udp à un intérêt quelconque ? Parce que la comme ça, je vois pas... Apache n'écoute pas en udp. (et si il le faisait, ce serait utile)

De plus, si c'est un serveur web complet (apache, mysql, vsftp) elle aura tout intérêt à fermer les ports de mysql et ftp [...]

Tu continu sur le même délire... Pourquoi installer des services si on ne les utilise pas !? Si on n'a pas besoin de mysql, pourquoi l'installer ? Accessoirement et comme Tiramiseb le fait si bien remarquer, mysql par défaut n'écoute que sur 127.0.0.1, donc installé ou pas, firewall ou pas, aucune différence. Enfin, même remarque que lui aussi sur ftp. Utiliser ftp aujourd'hui, il faut vraiment avoir un besoin spécifique... parce que sinon, c'est un protocole à bannir au même titre que telnet (tout passe en clair). Installer un serveur sftp (voir ftps) n'est pas beaucoup plus compliqué et infiniment mieux sécurisé... Et la encore, on parle de trucs vraiment importants et utile, pas d'un firewall qui ne sert à rien (à part à se former un peu en réseau, mais ce n'est pas le sujet de ce thread).

Dernière modification par Hoper (Le 28/05/2013, à 15:04)


Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org

Hors ligne

#90 Le 28/05/2013, à 15:08

compte supprimé

Re : Pare feu ou pas ?

Oui hoper, visiblement vous ne faîtes par d'erreur et tant mieux! Je désactive mon pare-feu de suite sur mon pc bureautique ainsi que sur mon dédié... J'espère que vous assurerez le service si souci lol Non, je déconne!
Le pare-feu est parfaitement inutile, j'en suis convaincu M'sieur Dames...
Je vous laisse dans votre délire également.

Ignus.

#91 Le 28/05/2013, à 15:12

tiramiseb

Re : Pare feu ou pas ?

Je vous laisse dans votre délire également.

En quoi est-ce un délire ?

Nos affirmations sont étayées et expliquées, chacun se fera son idée comme il le sent.


Pour moi, un pare-feu sur le PC de monsieur tout-le-monde c'est inutile, j'ai expliqué pourquoi en long, en large et en travers.
Je ne vois pas ce que je peux en dire de plus.

Non, je ne te dirai pas « oh oui tu as raison, un pare-feu pour bloquer des ports déjà fermés c'est bien », ce serait du délire, justement !

Hors ligne

#92 Le 28/05/2013, à 16:54

Haleth

Re : Pare feu ou pas ?

Nos affirmations sont étayées et expliquées, chacun se fera son idée comme il le sent.

Tout à fait !


Ubuntu is an ancien African word which means "I can't configure Debian"

Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.

Hors ligne

#93 Le 28/05/2013, à 17:55

pires57

Re : Pare feu ou pas ?

Un parefeu n'est pas inutile pour tout le monde, mais il ne sert à rien de mettre un parefeu pour tout .


Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

Hors ligne

#94 Le 28/05/2013, à 21:25

compte supprimé

Re : Pare feu ou pas ?

Dans cette Doc ubuntu
On peut y lire notamment:
1.1 Pertinence d'un Pare-feu pour l'utilisateur normal
Si vous êtes sous un routeur IPV4, avec un sous réseau, et sur un réseau sûr, vous n'aurez pas besoin de pare-feu.
Si vous êtes sur un modem IPV6, par exemple en cochant l'ipv6 sur une freebox en dégroupé, ou en modem Adsl directe, ou modem rtc vous avez besoin d'un pare feu, bien configuré. (j'avais évoqué ce cas wifi public, 3G etc...)
Et
5.4 4.5 Pare-feu personnel
Les pare-feu personnels, généralement installés sur une machine de travail, agissent comme un pare-feu à états. Bien souvent, ils vérifient aussi quel programme est à l'origine des données. Le but est de lutter contre les virus informatiques et  les logiciels espions.
Dans mon premier post  sur ce thread j'écrivais que Linux n'est pas codé avec les pieds mais des ports fermés ne sont pas tjrs synonymes de sécurité, un hacker voit des ports fermés et "peut" chercher par exemple s'il ne peut pas exploiter une autre faille... Si la machine ne répond pas, il y a de forte chance qu'il passe à une machine qui donne signe de vie même avec des réponses négatives...! Encore une fois, c'est du conditionnel, ne pas taper merci big_smile
Après on me dit, oui mais si on installe un service quel intérêt de ne pas ouvrir le port pour en profiter (en gros), Évidemment faut être zarb pour procéder de la sorte... C'était l'idée en gros que je venais exposer... Iptables surveille la machine elle même et s'intéresse au flux dans la machine!

tiramiseb a écrit :

Non, je ne te dirai pas « oh oui tu as raison, un pare-feu pour bloquer des ports déjà fermés c'est bien », ce serait du délire, justement !

Je ne te dirai pas que "oh oui tu as raison, un pare feu ne sert à rien quand les ports sont fermés", ce serait du délire... big_smile

Encore une fois, j'utilise un pare-feu sur toutes mes machines non pas parce que je suis parano, mais je considère que l'erreur en informatique est tout à fait possible comme le montre cette faille 0day des noyau Linux affectant pas mal de distrib et corrigée depuis. En sommes, j'applique une simple mesure de bon sens! Il y a cette doc de chez Fédora qui liste les trojans possible avec les ports correspondant. Certes, Ubuntu n'est pas Fédora... Mais fermer tous les ports entrants et sortants et ne laisser passer que ceux dont nous avons l'utilité me semble assez précautionneux.

Voilà, si la doc Ubuntu en haut de mon message n'est pas à jour, il faut la corriger rapidement...!

Dernière modification par Ignus (Le 28/05/2013, à 21:35)

#95 Le 28/05/2013, à 22:08

nam1962

Re : Pare feu ou pas ?

il y a déjà çà pour se rassurer : http://www.zebulon.fr/outils/scanports/ … curite.php


[ Modéré ]

Hors ligne

#96 Le 29/05/2013, à 08:11

SangokuSS

Re : Pare feu ou pas ?

Pour ré-alimenter un peu le débat... (ANSSI)
http://www.securite-informatique.gouv.f … cle41.html

tongue

#97 Le 29/05/2013, à 08:49

tiramiseb

Re : Pare feu ou pas ?

SangokuSS : cette documentation évoque visiblement surtout les pare-feux sous Windows. C'est surtout le paragraphe suivant qui me fait dire ça : « La plupart des pare-feu personnels peuvent filtrer les applications qui tentent de se connecter à l’internet ou qui attendent une connexion de l’extérieur. L’utilisateur est en général prévenu par un message d’alerte, via lequel il peut accepter ou refuser cette connexion au cas par cas ou définitivement. Ce mode d’utilisation est aussi appelé mode d’apprentissage. ».
On n'a pas de tel filtrage sous Linux ; avec un tel outil, on pourrait se rendre compte de ce qu'il se passe réellement et autoriser les flux au niveau applicatif (pour empêcher un téléchargement malicieux par exemple).

Cela étant dit, le besoin est aujourd'hui bien moindre sous Linux étant donné que les logiciels sont distribués par la distribution elle-même et vérifiés avant publication.
Ce qui n'est pas le cas sous Windows, où les utilisateurs ont été formé au téléchargement de logiciels sur Internet sans vérifier ce qu'ils installent réellement.
Le problème surgit quand des gens avec ces habitudes débarquent dans un environnement qui fonctionne différemment : ils commencent à installer des trucs qui proviennent de n'importe où, des logiciels malicieux peuvent alors techniquement s'installer sur le poste par ce biais-là. Ce n'est pas encore utile pour les gens qui exploitent ces logiciels malicieux car le parc concerné est très réduit, mais le moyen technique est de plus en plus présent.

Mais ce n'est pas un pare-feu standard qui bloquera ce genre d'activités : il faut bien un pare-feu applicatif dans ce cas.
L'activation systématique d'un pare-feu simple comme ce que fait UFW est donc encore une fois inutile, il faut une meilleure solution dans ce cas.

Ignus indique qu'il bloque un maximum de choses, en entrée comme en sortie, et qu'il n'autorise que les ports qu'il veut.
Mais s'il autorise les ports 80 et 443, nécessaires pour le web, ça autorise n'importe quel logiciel à accéder à n'importe quel serveur en port 80 ou 443 : où est l'intelligence du filtrage ? De toute façon l'écrasante majorité des flux passe par ces ports : si jamais Ignus a un logiciel malicieux sur son PC et que ce logiciel va chercher quelque chose sur un serveur web quelconque, il ne le bloquera pas et ne s'en rendra pas compte. Inutile, encore une fois...

Ignus a écrit :

Dans cette Doc ubuntu [...]

Je ne suis pas d'accord avec cette page de cette documentation.
De manière générale, je ne suis pas souvent d'accord avec la documentation ubuntu-fr (qui est, rappelons-le, un wiki que n'importe qui peut éditer) ; celle-ci a le mérite d'exister, certes, mais elle est de piètre qualité.

Ignus a écrit :

Je ne te dirai pas que "oh oui tu as raison, un pare feu ne sert à rien quand les ports sont fermés", ce serait du délire...

Explique pourquoi alors !
Port fermé => blocage inutile, c'est logique : il n'y a rien à bloquer !
Port fermé => blocage utile, ça ne coule pas de source...

Le problème que je ressens dans ton argumentation, c'est que tu appuies tes affirmations sur le mélange de deux situations qui n'ont rien à voir.
Les attaques par le réseau, on en voit deux familles :

D'un côté les attaques (semi)automatiques, qui tentent de trouver une faille facile à exploiter pour « pirater » un maximum d'ordinateurs, généralement pour propager des logiciels malicieux ; pour ces attaques il n'y a pas les moyens (humains, financiers ou techniques) pour essayer d'aller au-delà d'un port fermé. Oui, on peut deviner facilement quel est le noyau ou éventuellement qui tourne, et après ? tant que le système est à jour, il n'y aura aucune faille facile à exploiter. Pirates concernés : les spammeurs, qui sont parait-il liés à des mafias.

D'un autre côté, les attaques ciblées, qui tentent d'entrer sur une machine précise (ou plus généralement sur un réseau précis) ; dans ce cas, l'attaquant fera tout pour entrer sur le réseau en question, et ce n'est pas un blocage de ports déjà fermés qui l'arrêtera, il a tout un arsenal d'outils à sa disposition. Notons d'ailleurs que ces attaques ne se font pas (ou alors très rarement) sur le PC de madame Michu : les photos de vacances de madame Michu n'intéressent pas l'attaquant. Le filtrage de ports déjà fermés ne sera qu'un petit plus derrière une politique de sécurisation bien ficelée. Pirates concernés : les espions industriels, les gouvernements, etc.

Encore une fois, je précise que je n'ai jamais écrit qu'un pare-feu est inutile dans l'absolu. Un pare-feu est inutile, par contre, sur le PC de madame Michu, installé de manière standard et ayant une utilisation tout à fait standard de son PC (web, mails, traitement de texte, etc).


cette faille 0day des noyau Linux affectant pas mal de distrib et corrigée depuis

De quelle faille parles-tu ?
Sans détails, on ne peut pas juger de la pertinence de ton argument et on ne peut pas y répondre précisément.

Des failles 0day, il y en a eu plein, qui pour la plupart sont inexploitables en l'état.

Le pare-feu n'est pas une protection efficace contre toute faille du noyau exploitable par le réseau : le pare-feu fait partie du noyau, s'il y a une faille dans le système réseau du noyau, alors il y a des chances qu'elle soit devant le pare-feu.


j'applique une simple mesure de bon sens

Le bon sens, pour moi, est de se rendre compte que, si tous les ports sont fermés, il n'y a pas besoin de pare-feu.


Ignus a écrit :

Il y a cette doc de chez Fédora qui liste les trojans possible avec les ports correspondant. Certes, Ubuntu n'est pas Fédora... Mais fermer tous les ports entrants et sortants et ne laisser passer que ceux dont nous avons l'utilité me semble assez précautionneux.

Mais non ! Encore une fois, ces troyens ne peuvent marcher que si le port est ouvert ! Si le port est fermé, s'il n'y a rien à quoi se connecter, le troyen ne peut simplement pas pénétrer la machine ! Pas besoin de pare-feu, il suffit que le port ne soit pas ouvert, que le serveur ne soit pas installé !

Hors ligne

#98 Le 29/05/2013, à 10:04

Hoper

Re : Pare feu ou pas ?

Totalement indécrottable...
Et elle à été écrit par qui cette page de doc !? Parce que la personne (cordialement invité a venir ici en discuter avec nous) qui à écrit ça, à forcément raison et nous tort !?

Alors qu'il y a vraiment pas besoin de lire beaucoup pour voir qu'effectivement cette page est à coté de la plaque sur de nombreux points. (+1 avec les remarques de Tiramiseb, iptable ne permet pas de réaliser un filtre applicatif etc).

Le but est de lutter contre les virus informatiques et  les logiciels espions.

C'est avec ce genre de remarque qu'on voit à quelle point tu ne comprend rien au sujet. Explique moi voir un peu comment iptable pourrait empêcher un logiciel espion de faire quoi que ce soit ? Ta machine à accès au net non ? Tu peux surfer avec ? Et bien alors un logiciel espion aussi à accès au net et peut faire ce qu'il veut, avec ou sans firewall !

La seule façon d’empêcher un logiciel espion qui serait installer sur ta machine d'envoyer des infos etc, c'est de débrancher le cable réseau, et d'attacher l'antenne Wifi point. Ca oui ce sera efficace. iptable, tu crois qu'il peut bloquer quoi et comment ?

On est deux professionnels à t'expliquer qu'iptable ne sert à rien dans le contexte qu'on évoque depuis le début (ordinateur personel sous linux etc). On te l'explique avec des arguments techniques. Peut etre que tu pourrai commencer à remettre tes croyances un peu en cause non ? Au lieu de ça, tu veux tellement avoir raison que tu préfère fouiller le web a la recherche de la moindre page qui affirmerai (pas expliquerait !) le contraire de ce qu'on te dit. Si tu essayai plutot de comprendre ce qu'on raconte au lieu d'essayer de trouver des avis (à défaut d'argumentation) contraires, ce serait pas mieux ?

Dernière modification par Hoper (Le 29/05/2013, à 10:05)


Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org

Hors ligne

#99 Le 29/05/2013, à 11:29

compte supprimé

Re : Pare feu ou pas ?

tiramiseb a écrit :

Explique pourquoi alors !
Port fermé => blocage inutile, c'est logique : il n'y a rien à bloquer !
Port fermé => blocage utile, ça ne coule pas de source...

Un trojan installé ne lance-t-il pas un service? J'ai connu un djeun's qui installait ses logiciels à coup de .deb dans 70% des cas ^^

Hopper a écrit :

C'est avec ce genre de remarque qu'on voit à quelle point tu ne comprend rien au sujet.

Bah écoute, je suis admin réseau dans ma boite mais nous ne sommes pas toujours d'accord entre nous big_smile Heureusement, des formations périodiques nous recentrent sur les objectifs sécuritaires. Par ailleurs je dev du site à mes heures perdues.

Hopper a écrit :

Explique moi voir un peu comment iptable pourrait empêcher un logiciel espion de faire quoi que ce soit ? Ta machine à accès au net non ? Tu peux surfer avec ? Et bien alors un logiciel espion aussi à accès au net et peut faire ce qu'il veut, avec ou sans firewall !

Tout dépend...!
Si un user lambda télécharger un logiciel .deb depuis un site car il trouve ce logiciel attrayant et l'installe, en l'absence de code source, ce logiciel peut très bien déployer un trojan sur le port 20023... Certes, un rootkit se fera discret et la jouera sur le port 80... Mais fermer tout en entrant et en sortant et l'ouvrir suivant ces besoins pourra déjouer certains trojans. Ce n'est pas la panacée mais ça peut aider.

Hopper a écrit :

On est deux professionnels à t'expliquer qu'iptable ne sert à rien dans le contexte qu'on évoque depuis le début (ordinateur personel sous linux etc). On te l'explique avec des arguments techniques. Peut etre que tu pourrai commencer à remettre tes croyances un peu en cause non ?

Je n'ai aucune croyance, un forum est fait pour débattre et non pour avoir raison big_smile

Donc j'utilise Iptables via le frontend UFW pour deux raisons:
1: l'erreur est humaine...
2: les users (enfants) de ma machine peuvent très bien télécharger et installer un truc malsain... J'essaye pourtant de les éduquer à un comportement plus "classique" (que la logithèque)
Puisque que UFW est simple, pourquoi je m'en priverais?

Dans mon raisonnement, un pare-feu n'est qu'un plus...

Dernière modification par Ignus (Le 29/05/2013, à 11:39)

#100 Le 29/05/2013, à 11:46

tiramiseb

Re : Pare feu ou pas ?

les users (enfants) de ma machine peuvent très bien télécharger et installer un truc malsain...

Parce que tu leur donnes les droits administrateur !?


Un trojan installé ne lance-t-il pas un service?

Il n'ouvre pas nécessairement un port.
Il me semblerait plus logique de se connecter à une machine distante : c'est plus discret.
Bien sûr, on peut rencontrer de tout, mais il serait faux de croire que le seul moyen de communiquer d'un troyen c'est d'ouvrir un port et que le pare-feu est un moyen efficace de se protéger contre tout troyen.
Ce n'est peut-être pas ce que tu veux dire, mais c'est ce qu'on peut comprendre de tes messages.
(évite d'aller sur le terrain du "vous ne savez pas lire ce que j'écris" big_smile quand on écrit, si on a une formulation mal comprise on ne peut s'en prendre qu'à soi-même - ça nous arrive à tous)


Dans mon raisonnement, un pare-feu n'est qu'un plus...

Pourtant jusqu'ici ce n'est pas ce qui transparaît dans tes messages.
Cette précision explicite est bienvenue.


je suis admin réseau dans ma boite

Et tu gères individuellement le pare-feu de chaque machine de chaque utilisateur ? big_smile


Heureusement, des formations périodiques nous recentrent sur les objectifs sécuritaires.

C'est dommage d'avoir besoin d'une formation pour se recentrer... hmm


fermer tout en entrant et en sortant et l'ouvrir suivant ces besoins pourra déjouer certains trojans. Ce n'est pas la panacée mais ça peut aider.

Ce n'est pas ce qu'on comprend de tes messages, sincèrement.
Jusqu'ici tu semblais bien plus annoncer qu'installer un pare-feu était indispensable pour madame Michu, quoi qu'on puisse en penser.


J'ai connu un djeun's qui installer ses logiciels à coup de .deb dans 70% des cas ^^
2: les users (enfants) de ma machine peuvent très bien télécharger et installer un truc malsain...

Voilà donc deux cas qui ne correspondent pas à ce que j'explique depuis le début (et pas seulement moi) : un Ubuntu installé normalement, avec les outils standard utilisés, non bidouillé et sur lequel on ne va pas installer n'importe quoi, n'a pas besoin de pare-feu.

Si on se place dans le cas où on a des utilisateurs auxquels on a donné les droits administrateurs et qui font n'importe quoi, alors ce n'est toujours pas un pare-feu qui sera une bonne solution.
Le troyen peut très bien, lors de son activation, afficher un message du genre « to activate Starcraft 3 for Linux, please type the following comand in a terminal : sudo iptables -I INPUT -p tcp --dport 20023 -j ACCEPT ». Quelqu'un qui va télécharger n'importe quoi n'importe où est tout à fait capable de taper n'importe quelle commande.

Comme dans bien des cas, on se retrouve toujours dans la même situation : PEBKAC.

Hors ligne