Contenu | Rechercher | Menus

Annonce

DVD, clés USB et t-shirts Ubuntu-fr disponibles sur la boutique En Vente Libre

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 21/05/2013, à 20:34

rifix

Pare feu ou pas ?

Bonsoir !

depuis quelques jours je regarde la partie scuritè du forum !
j'ai bien lu les différents liens qu je met ci dssous !

http://doc.ubuntu-fr.org/pare-feu

http://leshirondellesdunet.com/pages/parefeu.php

http://doc.ubuntu-fr.org/ufw

http://doc.ubuntu-fr.org/securite

http://forum.ubuntu-fr.org/viewtopic.php?id=399418

il est donc question de pare feu , certains sujets ne sont peut être pas a jour ?

il est souvnt conseiller de se contenter de celui de sa box ?

j'ai étudiér UFW , est ce que vous vous en servez ?

étant donné qu le pare feu n'est pas activé d'origine ?

me conseillerez vous de l'activer (sudo ufw enable  )

quitte a ne pas mettre d'autorisation ( le laisser par défaut )

Merci pour l'aide

#3 Le 22/05/2013, à 09:19

tiramiseb

Re : Pare feu ou pas ?

Salut,

Sur un poste de travail derrière une box, peu d'intérêt à avoir un pare-feu.
D'ailleurs, même sur une machine qui a directement accès à Internet sans être derrière un routeur ou une box, ce n'est pas nécessairement indispensable.

Le rôle d'un pare-feu, c'est d'empêcher d'accéder à des ports ouverts qu'on ne veut pas laisser accessibles.
Ubuntu, par défaut, n'ouvre aucun port qui n'est pas indispensable à son bon fonctionnement. Donc par défaut, pas besoin de pare-feu.

Après, si tu installes n'importe quel logiciel serveur et que tu ne les sécurise pas, là on peut se poser des questions oui... Mais ce n'est pas un pare-feu qui est nécessaire, c'est plutôt une formation...


Il y a de nombreuses discussions à ce sujet dans le forum, dont une récente où j'ai détaillé tout ça. Je te laisse chercher.

J'ai lu ces deux articles et je me marre.
Ils parlent de routeurs (sous Linux, soit, et alors ? - d'ailleurs ils ne parlent pas de nos box de chez Free, Orange, SFR et autres) qui ont un username/password faible.
Dans n'importe quel cas, avoir un username "admin" avec un mot de passe "admin" sur une interface disponible sur le net c'est n'importe quoi en terme de sécurité, pas besoin d'un virus pour savoir ça...

Hors ligne

#4 Le 22/05/2013, à 11:27

Haleth

Re : Pare feu ou pas ?

Pour quote la doc:

doc a écrit :

Un pare-feu ne sécurise pas votre installation. Il n'est utile que pour parer à vos éventuelles erreurs futures. De plus, configurer un pare-feu entrainera probablement des problèmes plus tard. Ne manipulez pas un pare-feu à moins d'être un expert avec des besoins spécifiques

Ca me semble clair smile


Ubuntu is an ancien African word which means "I can't configure Debian"

Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.

Hors ligne

#5 Le 22/05/2013, à 11:49

rifix

Re : Pare feu ou pas ?

Entendu merci pour les conseils !

#6 Le 22/05/2013, à 13:44

rifix

Re : Pare feu ou pas ?

@tiramiseb

j'ai fait un petit oublie !

j'abandonne l'idée du pare feu , je n'ai pas la formation pour gérer cela !
mais seulement pour savoir !

étant donné que le pare feu n'est pas activé par défaut  ?
(sudo ufw enable  )  pour  l'activer ,sans maître aucune
règle peut il améliorer les choses ?

merci pour l'aide

#7 Le 22/05/2013, à 13:49

compte supprimé

Re : Pare feu ou pas ?

Si tu n'as aucun service tournant sur ta machine,  c'est mettre un cadena sur une porte murée ...

#8 Le 22/05/2013, à 13:53

rifix

Re : Pare feu ou pas ?

sogyam a écrit :

Si tu n'as aucun service tournant sur ta machine,  c'est mettre un cadena sur une porte murée ...

tu as sans doute raison me je ne suis qu’un néophyte qui essaye d'apprendre !

#9 Le 22/05/2013, à 13:55

tiramiseb

Re : Pare feu ou pas ?

(sudo ufw enable  )  pour  l'activer ,sans maître aucune
règle peut il améliorer les choses ?

Ça bloquera tous les paquets entrants s'ils ne correspondent pas à une communication que l'ordinateur a lui-même initiée.
Mais de toute façon tu n'as quasiment rien en écoute.
Donc ça ne changera rien.

La seule chose en écoute c'est avahi, le support du protocole zeroconf (utilisé par exemple par Apple Bonjour). Donc le firewall bloquera les communications avec ce protocole.
Et si tu as partagé des fichiers sur le réseau, le firewall bloquera le partage.
Ainsi de suite...

Hors ligne

#10 Le 22/05/2013, à 14:02

Korak

Re : Pare feu ou pas ?

Bonjour,

rifix a écrit :

étant donné que le pare feu n'est pas activé par défaut  ?
(sudo ufw enable  )  pour  l'activer ,sans maître aucune
règle peut il améliorer les choses ?

J'ai déjà fait l'essai sur un PC de test mais pas en ligne de commande, je l'ai fait avec l'interface graphique du pare-feu.

Et tout les accès à Internet (navigateur, messagerie instantanée entre autres) ont été bloqués. Je désactive le pare-feu et tous les accès à Internet refonctionnent correctement.


OS: Ubuntu 20.04.1 64 bits (avec Unity) + Windows 10 64 bits en dualboot (BIOS UEFI, Secure Boot activé et table de partitions GPT)
PC portable HP Pavilion 17-f055nb: Processeur: AMD A8-6410 APU   Cartes graphiques: AMD Radeon R5 + R7   Mémoire vive: 12 Go RAM
Je suis Parrain-Linux

Hors ligne

#11 Le 22/05/2013, à 14:07

rifix

Re : Pare feu ou pas ?

Bon cela ne changera rien !

Je ne touche donc pas a mon pare feu !

Merci pour l'aide

#12 Le 22/05/2013, à 14:16

Korak

Re : Pare feu ou pas ?

rifix a écrit :

Je ne touche donc pas a mon pare feu !

Si tu n'as pas les connaissances nécessaires, n'y touche pas sous peine de bloquer les accès à Internet.

De toute façon le pare-feu de la box est suffisant pour le commun des mortels.


OS: Ubuntu 20.04.1 64 bits (avec Unity) + Windows 10 64 bits en dualboot (BIOS UEFI, Secure Boot activé et table de partitions GPT)
PC portable HP Pavilion 17-f055nb: Processeur: AMD A8-6410 APU   Cartes graphiques: AMD Radeon R5 + R7   Mémoire vive: 12 Go RAM
Je suis Parrain-Linux

Hors ligne

#13 Le 22/05/2013, à 14:30

rifix

Re : Pare feu ou pas ?

Non je n'ai pas les connaissances nécéssaires

#14 Le 22/05/2013, à 16:47

ViKToR69

Re : Pare feu ou pas ?

Salut à tous,

Tout comme rifix, j'ai lu différentes documentations sur les firewall et antivirus sur Linux. Certains sont pour et d'autres trouvent cela inutile !

Certains disent que par défaut tout est fermé et d'autres disent que tout est ouvert ! va comprendre !

tiramiseb a écrit :

Ubuntu, par défaut, n'ouvre aucun port qui n'est pas indispensable à son bon fonctionnement.

Ubuntu ... mais est-ce vrai pour toutes les distributions ?

Korak a écrit :

Si tu n'as pas les connaissances nécessaires, n'y touche pas sous peine de bloquer les accès à Internet.

Avant d'utiliser un firewall, il faut justement savoir qui fait quoi ... qui utilise tel ou tel port et donc d'ouvrir le(s) port(s) en question et de fermer le reste ...

Je trouve très simple l'utilisation de l'interface graphique GUFW de UFW, il y a un exemple de configuration minimale pour l'utilisation de Firefox, Thunderbird ...

Ce que je veux dire, c'est à partir du moment que l'on sait que les applications que l'on utilise ont besoin de tel ou tel port pour fonctionner alors les laisser ouverts et fermer le reste ... et si on rajoute une nouvelle application alors ouvrir le port pour cette application et laisser fermer le reste et ainsi de suite ... on peut réaliser cela facilement avec GUFW en bloquant tout par défaut et ensuite créer des exceptions ...

De plus, il est possible d'obtenir la liste des ports utilisés avec GUFW, c'est-à-dire les connexions actives ... ce qui peut être très utile pour voir quels ports sont utilisés par telle ou telle application avant de configurer le firewall (firewall activé mais tout allow)

On peut toujours lancer un audit en utilisant  "nmap", "netstat" et ses petits copains pour déterminer quels sont les serveurs qui tournent sur sa machine ... et d'agir en conséquence !

Korak a écrit :

De toute façon le pare-feu de la box est suffisant pour le commun des mortels

ce pare feu est configuré par qui ? par le FAI ? si c'est le cas, alors c'est le FAI qui décide tel port est ouvert ! pas top ça !

Et donc, on peut toujours se tranquilliser en utilisant un petit pare feu ... ça ne mange pas de pain !


Lubuntu 14.04 "The Trusty Tahr"
ConfigPC: Athlon XP 2000+|DFI AD77|1Go DDR|RADEON 7000 AGP

Hors ligne

#15 Le 22/05/2013, à 16:59

Haleth

Re : Pare feu ou pas ?

Et donc, on peut toujours se tranquilliser en utilisant un petit pare feu ... ça ne mange pas de pain !

Ca ne mange pas de pain, et surtout ca ne sert à rien
Bah, ca rajoute juste une petite couche, pour le plaisir de config des trucs inutiles.
L'art de se bouffer de la conf.

Chez d'autres, c'est l'art de cliquer partout ..

Drôle de philosophie, non ? :troll:


Ubuntu is an ancien African word which means "I can't configure Debian"

Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.

Hors ligne

#16 Le 22/05/2013, à 18:17

tiramiseb

Re : Pare feu ou pas ?

ViKToR69 a écrit :

Certains disent que par défaut tout est fermé et d'autres disent que tout est ouvert ! va comprendre !

C'est un abus de langage de la part des seconds : eux parlent du filtrage, alors que moi (faisant partie du premier groupe) je parle bel et bien des ports.

Un port ouvert, c'est un port sur lequel un logiciel est en écoute.
Un port fermé, c'est un port sur lequel aucun logiciel n'est en écoute.
Un port flitré/bloqué, c'est un port sur lequel le firewall bloque les connexions.

Par défaut (quand il n'y a pas de logiciel en écoute), un port est fermé.
Par contre, par défaut (sans firewall) aucun port n'est filtré.

Quelqu'un qui dit "par défaut, tous les ports sont ouverts" est quelqu'un qui se trompe de vocabulaire et qui veut dire "par défaut, aucun port n'est filtré".

Qu'une requête arrive sur un port fermé, cela ne pose aucun problème : il n'y a pas besoin de filtrer les ports fermés, vu qu'ils sont... fermés.
C'est en cela qu'un firewall n'est pas utile si on n'a pas de logiciel en écoute que l'on veut filtrer.

ViKToR69 a écrit :
tiramiseb a écrit :

Ubuntu, par défaut, n'ouvre aucun port qui n'est pas indispensable à son bon fonctionnement.

Ubuntu ... mais est-ce vrai pour toutes les distributions ?

Ici on est sur Ubuntu-fr, non ? Alors on parle d'Ubuntu.

Il y a certainement des distributions qui ont plein de logiciels qui tournent, mais c'est le genre de distributions que je préfère ne pas toucher.
Car une bonne distribution a une empreinte mémoire et processeur minimale, ce qui implique qu'un minimum de logiciels sont lancés... et donc qu'un minimum de ports sont ouverts.

Debian, par exemple n'a pas Avahi par défaut. Ubuntu Server non plus.
Avec ces deux distributions orientées serveur, aucun port n'est en écoute.

La logique est la même pour beaucoup d'autres (Red Hat, Fedora, etc). Certains ont le serveur SSH préinstallé, pourquoi pas... Mais en général on ne veut pas filtrer le port SSH :-)

ViKToR69 a écrit :
Korak a écrit :

De toute façon le pare-feu de la box est suffisant pour le commun des mortels

ce pare feu est configuré par qui ? par le FAI ? si c'est le cas, alors c'est le FAI qui décide tel port est ouvert ! pas top ça !

La box n'est pas un pare-feu local (filtrage de ports entrants), c'est un pare-feu de réseau (routage et redirection de ports).
Derrière une box, les ordinateurs ont des adresses IP privées.
Tant que tu ne mets pas de redirection de port sur ta box, il n'y a absolument aucun moyen de joindre ton PC pour quelqu'un de l'extérieur.

Après, avec l'IPv6 je ne sais pas comment ça marche sur les box : avec l'IPv6, chaque ordinateur peut avoir une adresse publique et peut être joignable de l'extérieur. Dans ce cas, soit la box filtre tout ce qui entre (et il n'y a pas besoin de pare-feu local) soit elle laisse tout passer (et il faut faire gaffe à ce qu'on a en écoute et, éventuellement, mettre un pare-feu local).


c'est le FAI qui décide tel port est ouvert

Non, c'est toi, grâce à l'interface que te propose ton FAI.
Si ton FAI ne te permet pas de configurer les redirections de port sur ta box, sérieux, change de FAI.

Hors ligne

#17 Le 22/05/2013, à 18:26

Haleth

Re : Pare feu ou pas ?

Après, avec l'IPv6 je ne sais pas comment ça marche sur les box : avec l'IPv6, chaque ordinateur peut avoir une adresse publique et peut être joignable de l'extérieur. Dans ce cas, soit la box filtre tout ce qui entre (et il n'y a pas besoin de pare-feu local) soit elle laisse tout passer (et il faut faire gaffe à ce qu'on a en écoute et, éventuellement, mettre un pare-feu local).

Chez nous, la box est la gateway pour le subnet du client
Les routes sont annoncées en BGP :
- subnet client via box client

Du coup, les machines clientes sont accessibles depuis partout, ce qui est bien


Ubuntu is an ancien African word which means "I can't configure Debian"

Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.

Hors ligne

#18 Le 22/05/2013, à 20:56

tiramiseb

Re : Pare feu ou pas ?

Du coup, les machines clientes sont accessibles depuis partout, ce qui est bien

Aucun filtrage au niveau de la gateway ?

Hors ligne

#19 Le 22/05/2013, à 20:57

Haleth

Re : Pare feu ou pas ?

Ben la gateway n'est qu'un switch, elle prend son traffic, et forward le reste


Ubuntu is an ancien African word which means "I can't configure Debian"

Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.

Hors ligne

#20 Le 22/05/2013, à 21:01

tiramiseb

Re : Pare feu ou pas ?

Donc chaque utilisateur peut avoir des trucs en écoute sur son PC, cela ne pose pas de problème ?

Je pense notamment au partage CIFS sous Windows, qui est rarement désactivé : si un utilisateur partage un répertoire sans le protéger, même temporairement, il sera alors accessible à la terre entière...

Hors ligne

#21 Le 22/05/2013, à 21:26

svi_binette

Re : Pare feu ou pas ?

Bonsoir,

Votre discussion m'intéresse beaucoup bien que je sois vraiment débutante, je m'interroge moi aussi sur l'utilité d'un pare-feu sur mon pc, je veux dire derrière une box.
Il se peut que je rentre dans la catégorie des besoins dits "spécifiques", je voudrais ouvrir à quelques personnes l'accès à un site en cours de développement sans prendre de trop gros risques non plus.

J'ai bien compris que si on demande à des logiciels (Apache par exemple) d'être en écoute, c'est qu'on attend des "visiteurs" et qu'il ne s'agit donc pas d'interdire l'accès. J'ai cru comprendre aussi, qu'il était difficile ou plutôt impossible de distinguer un visiteur bienveillant d'un visiteur malveillant.

Cependant, je me demande si un pare-feu comme iptables (je ne sais plus comment s'appelle la catégorie de pare-feu) sur ma machine n'aurait pas une utilité tout de même :
celle de pouvoir réguler le trafic en terme de quantité (et non qualité malveillant/bienveillant) pour tenter de contrer tant bien que mal certaines attaques, comme deni de services (je ne suis pas sure du terme).

Il s'agirait de limiter le nombre de requêtes par unité de temps, cette unité de temps étant pas trop gênante pour un être humain, mais ralentirait assez un robot pour donner le temps de réagir...
Je ne sais pas si cette limite serait possible à donner pour une ip donnée et non pas pour l'ensemble des requêtes tous clients confondus.
Dans un cas, je trouve intéressant a priori pour les débuts (petit trafic), dans le deuxième cas, je trouverais intéressant cette possibilité pour tout le temps !

Je ne crois pas avoir une fonctionnalité de régulation comme celle-ci sur ma box. (peut-être que je n'ai pas encore trouvé ceci dit). Il y a peut-être bien d'autres moyens plus simples faire l'équivalent ? (dans Apache ?) et de ne pas s'ennuyer avec un pare-feu supplémentaire que je trouve assez rebutant pour un débutant.

Hors ligne

#22 Le 22/05/2013, à 21:49

tiramiseb

Re : Pare feu ou pas ?

svi_binette : tu peux faire ce genre de choses en effet, avec le module "limit" d'iptables.
Voir là par exemple : http://blog.bodhizazen.net/linux/preven … -iptables/


Cela étant dit, il y a peu de risques que tu subisses un DoS, tu n'es probablement pas une cible intéressante...

Si les personnes avec qui tu veux partager le site ont des adresses IP fixes, alors tu peux simplement n'autoriser l'accès qu'à ces adresses-là.
C'est clairement un cas où la mise en place d'un pare-feu devient utile.

Hors ligne

#23 Le 22/05/2013, à 21:54

svi_binette

Re : Pare feu ou pas ?

Bonsoir et merci beaucoup pour le lien que je vais creuser et tenter de comprendre bien.
Pour la probabilité d'être victime de ce genre d'attaque, c'est vrai que ça peut paraître bizarre (probaboibilit quasi nulle si petit trafic attendu), mais la situation est très particulière. Ce serait trop long à expliquer et cela "pourrirait" le post avec des explications qui n'intéressent que moi mais il y a des situations où il est positif et tout à fait justifié d'être parano.
Merci en tout cas pour le lien.

Hors ligne

#24 Le 22/05/2013, à 23:03

rifix

Re : Pare feu ou pas ?

le sujet est devenu très intéressant ,il y a quand même pas mal de personnes
qui se préoccupent de la sécurité !

Dernière modification par rifix (Le 22/05/2013, à 23:04)

#25 Le 22/05/2013, à 23:08

svi_binette

Re : Pare feu ou pas ?

Bonsoir,
Tout à fait d'accord. Beaucoup de gens s'intéressent à la sécurité.
Pas forcément des pros. Je pense que ça serait pas inutile de faire une sorte de doc là-dessus adaptée à des débutants (comme moi quoi) car si non ça fait vraiment beaucoup de directions dans lesquelles chercher, parfois des voies de garage, et parfois trop difficile à comprendre.
Le lien donné est lui aussi très intéressant ! (même avec un anglais pas terrible) -Merci !!! Exactement mes préoccupations.

Hors ligne