#51 Le 24/05/2013, à 15:10
- Hoper
Re : Pare feu ou pas ?
Je me permets d'intervenir en tant que représentante des Mme Michu.
[...]
En tant que mme Michu, je vois tout de même un avantage au pare-feu comme iptable sur la machine derrière une box : celui que mme Michu vit souvent en famille et qu'une box se partage. Ce qui est moins le cas du pare-feu sur la machine.
Bonjour aux madames Michu
Ce que Tiramiseb essaye d'expliquer depuis le début (il me corrigera si je me trombe, je n'ai fait que survoler le thread), c'est que, box ou pas box, un firewall est inutile, point. Il y a beaucoup de raisons techniques à ça. Le concept même de firewall date d'il y a bien longtemps... A une époque ou le moindre paquet construit de façon un peu curieuse pouvait suffire à faire crasher un OS (ping of death sur windows 95...) sans parler des failles dans un grand nombre de services réseaux, utilisés par beuacoup de virus pour se propager (coucou blaster and co.)
Mais entre ce qui était vrai il y a 20 ans, et ce qui est vrai aujourd'hui, il y a un gouffre assez monstrueux. Même sur un Windows (seven hein, pas XP) je n'activerai pas de firewall sur une machine de production. Mais alors sur une machine linux desktop, sans aucun services ouvert !? La vraiment il faut etre tordu ou un peu maso pour vouloir activer ce genre de choses.
Sauf erreur (encore une fois je n'ai lu le thread qu'en diagonale) la seule raison technique valable qu'a finalement pu avancer Ignus en faveur de l'utilisation d'un FW est le fait de, peu être, donner un tout petit moins d'informations à un éventuel attaquant (tcp finger printing etc).
Heu... C'est tout ? Et juste pour ça, ça justifierai de de devoir se prendre la tête avec un truc qui posera forcément problème un jour ou l'autre ? (Hier j'ai cru qu'une machine sous windows était éteinte car pas de réponse aux ping... Ah bein non, c'est juste qu'un couillon d'admin (moi...) avait du activer le firewall par erreur un jour ou je devais être trop crevé pour regarder ou je cliquai).
Bref, un Firewall n’empêchera jamais rien. (Et surtout pas votre machine de se faire hacker, retourner, plier, rooter, owner de toutes les façon possibles et imaginables. Un firewall, ça ne sert plus à rien depuis l'invention des reverse shell, au moins !
Alors, bien sur, un firewall (surtout sous windows) peut s’avérer quand même utile dans certains cas. Mais uniquement si la personne qui le met en place sait le configurer pile poil comme il faut, en fonction de ses besoins etc. (Et la, on ne parle donc plus du tout des madame michu)
Voila, maintenant je vous laisse continuer entre vous
Dernière modification par Hoper (Le 24/05/2013, à 15:23)
Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org
Hors ligne
#52 Le 24/05/2013, à 16:04
- pires57
Re : Pare feu ou pas ?
On peut aussi changer le port d'écoute, ainsi l'intrus ne peut être complètement sûr de l'exécution d'un démon sshd (soyez prévenus, c'est de la sécurité par l'obscurité)
c'est un petit peu la base cela, tu ne laisse jamais ssh sur le port 22 , les 3/4 des hackers sont de simple scripts-kiddies qui se contente de chopper quelque chose sur le net et ce quelque chose va attaquer sur les ports classiques en général.
Personnellement j'utilise un firewall mais il n'es pas nécessaire d'en mettre un dans n'importe quel cas.
Sur l'ensemble du sujet je suis un peu plus d'accord avec tiramiseb.
Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn
Hors ligne
#53 Le 24/05/2013, à 17:42
- tiramiseb
Re : Pare feu ou pas ?
Ce que Tiramiseb essaye d'expliquer depuis le début (il me corrigera si je me trombe, je n'ai fait que survoler le thread), c'est que, box ou pas box, un firewall est inutile, point.
Inconditionnellement inutile, non.
Inutile à madame Michu, oui.
une époque ou le moindre paquet construit de façon un peu curieuse pouvait suffire à faire crasher un OS (ping of death sur windows 95...)
Halala les souvenirs d'enfance...
Enfin bon, un pare-feu pour se protéger de ça c'était bof : ça empêchait tous les pings... Dommage...
Mais à cette époque, le blocage du ping était assez répandu...
Malheureusement, cette méthode inutile est toujours utilisée.
sans parler des failles dans un grand nombre de services réseaux
Oui enfin c'est pas un pare-feu qui répare les failles : si ton service dessert quelque chose, alors le port n'est pas bloqué par le pare-feu...
Sauf erreur (encore une fois je n'ai lu le thread qu'en diagonale) la seule raison technique valable qu'a finalement pu avancer Ignus en faveur de l'utilisation d'un FW est le fait de, peu être, donner un tout petit moins d'informations à un éventuel attaquant (tcp finger printing etc).
Heu... C'est tout ? Et juste pour ça, ça justifierai de de devoir se prendre la tête avec un truc qui posera forcément problème un jour ou l'autre ?
+++
uniquement si la personne qui le met en place sait le configurer pile poil comme il faut, en fonction de ses besoins etc. (Et la, on ne parle donc plus du tout des madame michu)
+++
On peut aussi changer le port d'écoute, ainsi l'intrus ne peut être complètement sûr de l'exécution d'un démon sshd (soyez prévenus, c'est de la sécurité par l'obscurité)
c'est un petit peu la base cela, tu ne laisse jamais ssh sur le port 22
Pourtant je le fais et ça ne pose pas de problème.
les 3/4 des hackers sont de simple scripts-kiddies qui se contente de chopper quelque chose sur le net et ce quelque chose va attaquer sur les ports classiques en général.
Et après ? Le serveur SSH à jour et un mot de passe pas bidon, ça suffit pour s'en prémunir.
Le changement de port, ça permet d'alléger les logs, c'est tout.
Dans ce cas, on va aussi dire que s'ils choppent des trucs pour attaquer des serveurs HTTP, autant changer les sites et ne pas les mettre sur le port 80 ?
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#54 Le 24/05/2013, à 18:17
- pires57
Re : Pare feu ou pas ?
cela dépend, sur un serveur avec un site accessible au public je laisse le port 80 mais sur un serveur interne accessible qu'à un nombre de personne restreint je ne laisse pas apache en écoute sur le port 80.
Pour ce qui est de SSH, je ne laisse jamais le port par défaut, j'ai toujours fait comme cela et j'ai mes petites habitudes ^^
En sachant bien évidement que je n'ai pas que cette "sécurité"
Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn
Hors ligne
#55 Le 24/05/2013, à 19:57
- Hoper
Re : Pare feu ou pas ?
Pourtant je le fais et ça ne pose pas de problème.
Tout pareil
Par contre, j'ai fail2ban qui tourne histoire d'éviter de trop pourrir les logs et bien sur d’empêcher un bruteforce (quelque soit le service). Fail2ban (ou équivalent), ça oui, ça me semblerait être une bonne base.
Mais Changer de port ? Mouarf
Tu sais qu'un nmap tu peux lui demander de scanner tous les ports si tu veux hein... Oui c'est un peu plus long, mais quand c'est un botnet avec des centaines de machines qui font que ça de leurs journées (et de leurs nuits) je pense que tes scripts kiddies ils s'en moqueront un peu du temps que ça peut prendre.
Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org
Hors ligne
#56 Le 24/05/2013, à 21:47
- svi_binette
Re : Pare feu ou pas ?
Bonsoir,
D'abord je précise que je n'arrive à "citer" comme je voudrais, ça viendra... (comme quoi mme Michu pour de vrai)
entre ce qui était vrai il y a 20 ans, et ce qui est vrai aujourd'hui, il y a un gouffre assez monstrueux
Effectivement, le paysage informatique évolue très vite, ce n'est pas la même échelle que celle de la vie normale, et je m'en rends compte très... fortement.
Pour autant j'ai très bien compris tout de suite qu'un certain point de vue (très respectable, argumenté etc.) défendait l'idée qu'un pare-feu était inutile et plutôt nocif si mal utilisé, ce qui peut arriver à tous (le "couillon" qui se bloque etc).
J'avoue que je suis dans le fond assez d'accord avec ça d'ailleurs.
En revanche, je ne suis pas d'accord quand vous présumez des besoins de Mme Michu. En fait je pense que beaucoup confondent statistiques comportementales et besoins. J'ai l'impression que beaucoup font de grands raccourcis du type : Mme Michu n'héberge pas son serveur chez elle, donc elle n'a besoin de rien, d'ailleurs Mme Michu ne veut pas entendre parler de sécurité.
Je pense moi que si mme Michu ne fait rien pour sa sécurité, c'est qu'elle ne le peut pas, et que quand elle désire s'y intéresser, la marche est trop grande à franchir. Avec deux grandes réactions typiques : bon tampis la box est une boite noire magique qui s'occupe de tout, ou à l'inverse je ne fais plus rien par internet tellement c'est dangereux.
En fait les besoins de Mme Michu, on présume bien souvent qu'ils concernent un détartrant plutôt que de pare-feu. Tout simplement parce que c'est plutôt Mr Michu qui s'occupe de l'ordinateur et de la télé comme de la voiture.
Mais alors sur une machine linux desktop, sans aucun services ouvert !?
Tout à fait d'accord. Ce que je crois, c'est que Mme Michu aimerait bien avoir des services ouverts. Et je pense que contrairement à ce qu'on pourrait entendre dans cette phrase, elle commencent à ouvrir certains services pour les plus téméraires d'entre elles. Ca risquerait presque de devenir une mode.
Ce serait aussi une idée préconçue de penser que si elle n'utilise que l'aspect graphique c'est parce qu'elle
n'aimerait pas du tout écrire des trucs dans un terminal. Encore une fois un raccourci. Il y a un temps on pensait que les femmes (et même elles mêmes pour une grande part) n'aimeraient pas du tout travailler, avoir un chéquier ou voter. Ca ne la regardait pas. "Elle n'en avait pas besoin".
Pour moi c'est une histoire de savoir, pas de besoin. Pour la sécurité, comme d'ouvrir des services en général, et pourquoi pas de pare-feu en particulier si Mme Michu veut se faire son idée par son expérience comme vous vous l'avez fait, ou en s'aidant de discussions si riches que celle-ci que vous donnez.
Donnez un savoir accessible pour les premières marches et Mme Michu développera elle aussi son esprit critique. Elle en viendra même à acheter la revue Misc où on parle de iptables pour ou contre.
Après il est évident que je ne me risquerais pas à essayer d'argumenter quoique ce soit du point de vue technique, ni sur linux ni sur win xp. Je n'ai pas les connaissances techniques nécessaires pour ça. Je pense simplement que les besoins de chacun sont différents et pas toujours ceux qu'on croit si fermement.
Hors ligne
#57 Le 24/05/2013, à 21:55
- Optiplaste
Re : Pare feu ou pas ?
Bonsoir,
D'abord je précise que je n'arrive à "citer" comme je voudrais, ça viendra... (comme quoi mme Michu pour de vrai)
entre ce qui était vrai il y a 20 ans, et ce qui est vrai aujourd'hui, il y a un gouffre assez monstrueux
Effectivement, le paysage informatique évolue très vite, ce n'est pas la même échelle que celle de la vie normale, et je m'en rends compte très... fortement.
Pour autant j'ai très bien compris tout de suite qu'un certain point de vue (très respectable, argumenté etc.) défendait l'idée qu'un pare-feu était inutile et plutôt nocif si mal utilisé, ce qui peut arriver à tous (le "couillon" qui se bloque etc).
J'avoue que je suis dans le fond assez d'accord avec ça d'ailleurs.En revanche, je ne suis pas d'accord quand vous présumez des besoins de Mme Michu. En fait je pense que beaucoup confondent statistiques comportementales et besoins. J'ai l'impression que beaucoup font de grands raccourcis du type : Mme Michu n'héberge pas son serveur chez elle, donc elle n'a besoin de rien, d'ailleurs Mme Michu ne veut pas entendre parler de sécurité.
Je pense moi que si mme Michu ne fait rien pour sa sécurité, c'est qu'elle ne le peut pas, et que quand elle désire s'y intéresser, la marche est trop grande à franchir. Avec deux grandes réactions typiques : bon tampis la box est une boite noire magique qui s'occupe de tout, ou à l'inverse je ne fais plus rien par internet tellement c'est dangereux.
En fait les besoins de Mme Michu, on présume bien souvent qu'ils concernent un détartrant plutôt que de pare-feu. Tout simplement parce que c'est plutôt Mr Michu qui s'occupe de l'ordinateur et de la télé comme de la voiture.Mais alors sur une machine linux desktop, sans aucun services ouvert !?
Tout à fait d'accord. Ce que je crois, c'est que Mme Michu aimerait bien avoir des services ouverts. Et je pense que contrairement à ce qu'on pourrait entendre dans cette phrase, elle commencent à ouvrir certains services pour les plus téméraires d'entre elles. Ca risquerait presque de devenir une mode.
Ce serait aussi une idée préconçue de penser que si elle n'utilise que l'aspect graphique c'est parce qu'elle
n'aimerait pas du tout écrire des trucs dans un terminal. Encore une fois un raccourci. Il y a un temps on pensait que les femmes (et même elles mêmes pour une grande part) n'aimeraient pas du tout travailler, avoir un chéquier ou voter. Ca ne la regardait pas. "Elle n'en avait pas besoin".Pour moi c'est une histoire de savoir, pas de besoin. Pour la sécurité, comme d'ouvrir des services en général, et pourquoi pas de pare-feu en particulier si Mme Michu veut se faire son idée par son expérience comme vous vous l'avez fait, ou en s'aidant de discussions si riches que celle-ci que vous donnez.
Donnez un savoir accessible pour les premières marches et Mme Michu développera elle aussi son esprit critique. Elle en viendra même à acheter la revue Misc où on parle de iptables pour ou contre.Après il est évident que je ne me risquerais pas à essayer d'argumenter quoique ce soit du point de vue technique, ni sur linux ni sur win xp. Je n'ai pas les connaissances techniques nécessaires pour ça. Je pense simplement que les besoins de chacun sont différents et pas toujours ceux qu'on croit si fermement.
+1
Après Xubuntu, utilisateur de Xfce4 sur Debian, maintenant sur ARCH avec plasma-desktop.
Très bonne série décalées : http://www.levisiteurdufutur.com/accueil.html
http://www.hero-corp.com/
Hors ligne
#58 Le 24/05/2013, à 22:20
- ViKToR69
Re : Pare feu ou pas ?
Il est vrai que ce thread est intéressant mais ... y-a pas que les attaques entrantes ... !
Ce que j'ai lu sur les ports:
Lorsqu'un logiciel d'une machine cliente va vouloir accéder aux informations d'une machine serveur, ce logiciel va :
- ouvrir un port
- envoyer une requête à la machine serveur, sur le port qui héberge l'information qu'il désire
- recevoir cette information via le port qu'il avait précédemment ouvert
- refermer son port
Donc ok ça peut se comprendre ...
Pour moi, un port fermé, ouvrir un port ou fermer un port ... etc, est une question de vocabulaire réseau, ce qu'il faut savoir c'est que signifie physiquement/matériellement/réellement les concepts abstraits de ports fermés ou ouverts ... Mais je ne sais pas y répondre !
Pour bien comprendre, il faut être proche du matériel, niveau composant ... Moi, je vois les ports comme les sorties d'un circuit électronique de type démultiplexeur avec 65535 sorties et dont il est possible de le déconnecter (plus de liaison électrique) de tout autre circuit en plaçant, comme dit tout électronicien, sa sortie en haute impédance ... et c'est cette analogie physique que je comprend quand on parle de port fermé ! Mais, je ne pense pas que ce soit juste !
Donc, j'aimerais comprendre à quoi correspond physiquement un port fermé, ouvert car l'informatique réseau reste très abstraite !
Si on se place dans le cas où un PC (sans pare-feu) est contaminé par un virus, (virus au sens large, cheval de troie, ver et que sais-je encore ...) et que le but de ce virus est de se connecter à internet (avec donc notre adresse IP) pour réaliser toutes choses malicieuses ... en fait, ce PC sert de plateforme à un pirate par exemple ... afin de masquer son activité ...
Donc, ce virus, considéré comme un logiciel/programme ouvrira de sa propre initiative un port puisque les ports sont fermés car pas de pare-feu et donc le pirate pourra joyeusement effectuer ses petites activités ... donc ça c'était le cas où pas de pare-feu !
Maintenant, considérons le même PC avec ce virus mais cette fois-ci avec un pare-feu activé ... donc ce même virus voudra toujours se connecter au web puisque c'est ça fonction, et essaiera d'ouvrir un port mais voilà les ports ne sont plus fermés maintenant ils sont filtrés par le pare-feu ... et un message d'alerte indiquera qu'un programme essaie de se connecter à internet ! et on bloquera cette tentative ... et on fera les investigations qui s'imposent pour éradiquer ce virus ...
Conclusion: ça aurait été dommage de se priver d'un pare-feu non ? à moins que j'ai pris un mauvais exemple et que je raconte n'importe quoi !
Lubuntu 14.04 "The Trusty Tahr"
ConfigPC: Athlon XP 2000+|DFI AD77|1Go DDR|RADEON 7000 AGP
Hors ligne
#59 Le 24/05/2013, à 22:26
- compte supprimé
Re : Pare feu ou pas ?
Salut
Je croyais que tu n'aimais pas la configuration par défaut d'OpenSSH sur Debian ... lol
Non toujours pas mais je préfère leur approche sur la sécurisation (manuel de sécurisation) et encore plus celle de BSD (tu ne m'a pas cité en entier et j'aime Debian car ils ont porter leurs paquets sur le noyaux BSD). En effet il me semble qu'avec Gnu/linux, il faut te construire ton propre système tansdis que avec la famille BSD, c'est la sécurité par défaut. À moins que le noyau BSD soit moins sécurisé et qu'il use d'un pare-feu pour palier
Le problème pour construire son système et choisir s'il faut un pare-feu ou non sur un pc bureautique, Mme et M dupond (j'ai changé na ) ne sauront pas plus...
Sauf erreur (encore une fois je n'ai lu le thread qu'en diagonale) la seule raison technique valable qu'a finalement pu avancer Ignus en faveur de l'utilisation d'un FW est le fait de, peu être, donner un tout petit moins d'informations à un éventuel attaquant (tcp finger printing etc).
Heu... C'est tout ? Et juste pour ça, ça justifierai de de devoir se prendre la tête avec un truc qui posera forcément problème un jour ou l'autre ? (Hier j'ai cru qu'une machine sous windows était éteinte car pas de réponse aux ping... Ah bein non, c'est juste qu'un couillon d'admin (moi...) avait du activer le firewall par erreur un jour ou je devais être trop crevé pour regarder ou je cliquai).
Bref, un Firewall n’empêchera jamais rien. (Et surtout pas votre machine de se faire hacker, retourner, plier, rooter, owner de toutes les façon possibles et imaginables. Un firewall, ça ne sert plus à rien depuis l'invention des reverse shell, au moins !
Alors, bien sur, un firewall (surtout sous windows) peut s’avérer quand même utile dans certains cas. Mais uniquement si la personne qui le met en place sait le configurer pile poil comme il faut, en fonction de ses besoins etc. (Et la, on ne parle donc plus du tout des madame michu)
Donc on peut suivre ici qu'un pare-feu est facultatif. J'entends bien que ce n'est pas vital mais c'est un des composants de la sécurité globale (c'est ce que j'évoquais). D'ailleurs d'autre communauté semble moins présomptueuse, on trouve par exemple chez nos amis de fédora ce wiki sur le pare feu
Ce que Tiramiseb essaye d'expliquer depuis le début (il me corrigera si je me trombe, je n'ai fait que survoler le thread), c'est que, box ou pas box, un firewall est inutile, point.
Oui! dis moi, sur une buntu, Mme et M dupond (j'ai changé na ) ont une imprimante installée (non partagée) et ont activé le partage de fichier avec Samba, bah oui ils veulent pouvoir y accéder avec leur Windows... La buntu aura donc deux serveurs : Cups et Samba en écoute respectivement sur le port 631 puis 139 et 445. Tjrs pas besoin de pare-feu surtout avec le port 139 d'ouvert??? Et quid s'ils sont nomades avec leur Pc Buntu?
J'entends bien que la sécurisation d'un serveur passe par plusieurs outils mais des communautés comme Debian ou OpenBsd réalisent des audits régulièrement, leurs recommandations avec mon exemple de SSH sont-elles fantasques?
J'ai lu également que Ovh ne sont pas des spécialistes, que Nmap s'est leur raison d'être... Que Snort est totalement débile! Bin Snort dispose de quatre mode d'écoute, il suffit de le lancé dans le bon mode (mode sniffer, mode packet logger, mode IDS, mode IPS) avec les règles adéquates (comme Sheila ) . Snort est un très puissant outil et est connu comme un des meilleurs IDS sur le marché, même quand il est comparé à des IDS commerciaux. De nombreuses personnes dans la très active communauté Snort partagent leurs règles de sécurité, ce qui est très utile si l'on n'est pas un expert de la sécurité et si l'on veut des règles à jour. Cerise Snort peut jouer le même rôle que Fail2ban...
Bref, je m'aperçois que vous remettez systématiquement en cause le pare-feu et d'une manière générale les outils de sécurités... J'entends bien que le Noyaux Linux est solide etc etc (faille corrigées rapidement), que le réseau doit être supervisé avec machine à jour, encadré, et tout, et tout mais ce choix est-il judicieux...??? (µ¿*)
@ svi_binette , oui d'autant plus que le logiciel libre te permet d'acquérir le savoir, c'est une invitation ( et non une obligation ) à comprendre et à mieux maîtriser ce que font les logiciels sur ton pc. Comme cela tu ne seras plus tributaire des choix d'une distribution, tu pourras faire comme bon te semble et installer un pare feu si tu veux découvrir ou vraiment fermer ton pc... Bref tu deviens libre
Dernière modification par Ignus (Le 24/05/2013, à 22:51)
#60 Le 24/05/2013, à 22:28
- pires57
Re : Pare feu ou pas ?
Tu sais qu'un nmap tu peux lui demander de scanner tous les ports si tu veux hein... Oui c'est un peu plus long, mais quand c'est un botnet avec des centaines de machines qui font que ça de leurs journées (et de leurs nuits) je pense que tes scripts kiddies ils s'en moqueront un peu du temps que ça peut prendre.
Oui je sais bien comment fonctionne nmap, je l'utilises régulièrement .
Quand au script kiddies, bien sur nmap peut les aidés mais encore faut t-il savoir l'utiliser, ce qui n'est pas le cas de tous.
Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn
Hors ligne
#61 Le 25/05/2013, à 12:33
- svi_binette
Re : Pare feu ou pas ?
Bonjour,
sur une buntu, Mme et M dupond (j'ai changé na big_smile ) ont une imprimante installée (non partagée) et ont activé le partage de fichier avec Samba, bah oui ils veulent pouvoir y accéder avec leur Windows... La buntu aura donc deux serveurs : Cups et Samba en écoute respectivement sur le port 631 puis 139 et 445.
Un exemple de Mme Michu (ou Mme Dupond ) qui a viré totalement windows (mais ce ne doit pas être le cas le plus fréquent) pour Ubuntu 13.10
Par défaut : démons cupsd et avahi.
Effectivement imprimante installée non partagée. Rien de partagé.
Pourquoi avahi par défaut ??
Hors ligne
#62 Le 25/05/2013, à 13:07
- tiramiseb
Re : Pare feu ou pas ?
Par défaut : démons cupsd et avahi.
cupsd n'écoute-t-il pas que localement ?
(sur 127.0.0.1:631 et sur ::1:631)
C'est le cas par défaut je crois, en tout cas c'est comme ça chez moi.
Pourquoi avahi par défaut ??
C'est un protocole pour les détections automatiques de trucs en réseau. Je ne m'y suis pas intéressé de près, mais en gros si tu ne l'as pas, certains trucs qui sont normalement automatiques ne se feront plus.
Mais bon, je n'ai pas approfondi pour voir ce qui en dépend réellement...
http://fr.wikipedia.org/wiki/Zeroconf
http://fr.wikipedia.org/wiki/Avahi_%28logiciel%29
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#63 Le 25/05/2013, à 14:47
- svi_binette
Re : Pare feu ou pas ?
Bonjour,
cupsd n'écoute-t-il pas que localement ?
(sur 127.0.0.1:631 et sur ::1:631)
Si effectivement. (Je ne savais pas si c'était pour tout le monde pareil). Bon, je ne dis pas pour cupsd .
Mais pour Avahi ? Les explications que je trouve à ce sujet sont incompréhensibles pour moi, et vu le nombre de posts à ce sujet je ne dois pas être la seule.
J'ai cru comprendre (très grosse confusion possible), que ce serait utile pour ouvrir des ports sans le faire manuellement ? Par exemple si j'utilisais skype (ou certains jeux), je n'aurais pas à déclarer quoique ce soit. Et dans l'onglet UPnP de ma box j'aurais, sans en avoir conscience, des ports ouverts automatiquement.
Dans le lien que tu donnes, il est vrai qu'il est dit : "les machines du réseau local sont prévenues de l'arrivée ou du départ d'un service". Je ne le savais pas. Reste à savoir si la façon de prévenir est compréhensible pour Mme Michu.
Il me semblerait plus sécuritaire d'avoir à ouvrir des ports plutôt que cela soit fait de manière transparente (s'il s'agit bien de ça)
Hors ligne
#64 Le 25/05/2013, à 16:07
- tiramiseb
Re : Pare feu ou pas ?
En fait, je crois que c'est du genre "un PC proposant un service annoncé par Zeroconf se connecte à ton réseau, et hop ton ordinateur voit le service proposé par cette machine grâce à Avahi". Si tu désactives Avahi, tu ne vois pas ce service.
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#65 Le 25/05/2013, à 20:30
- compte supprimé
Re : Pare feu ou pas ?
Bonsoir.
Pourquoi avahi par défaut ??
Comme te l'explique tiramiseb, c'est un protocole pour les détections automatiques de trucs en réseau, fort pratique mais je le trouve un peu trop entreprenant pour mon système libre , donc il n'est pas installé sur mes systèmes Gnu/linux. Je dois donc configurer mon réseau à la place de Avahi, pour ce faire, je me sers du fichier :etc/network/interfaces...
Pour lister les interfaces présentes sur une machine :
ifconfig -a
Pour ne lister que les interfaces en activité :
ifconfig
Peut-être que ce genre de wiki t'aiderait. tu dois retenir que l'interface filaire commence tjrs par eth0 et le wifi comme tjrs par wlan0, bien entendu si tu as plusieurs carte réseau filaire ou wifi, tu auras par exemple eth0, eth1 etc... Même le bluetooth peut être configuré manuellement. Avec cela, mon pare-feu est configuré pour rejeter toute les connexions entrantes et sortantes, j'ouvre seulement les ports entrants et sortants pour mes besoins.
A+
Dernière modification par Ignus (Le 25/05/2013, à 20:31)
#66 Le 25/05/2013, à 20:31
- Haleth
Re : Pare feu ou pas ?
avahi n'est pas network-manager, même si c'est le même topo (voir pire)
Ubuntu is an ancien African word which means "I can't configure Debian"
Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.
Hors ligne
#67 Le 25/05/2013, à 20:39
- compte supprimé
Re : Pare feu ou pas ?
Oui tu as raison de le préciser, mais je n'ai pas non plus network manager
Seulement mon fichier interfaces configuré.
[ÉDIT]
Heu, une question me taraude, si Avahi n'est pas installé, network-manager peut-il configurer automatiquement le(s) interface(s) et un réseau domestique?
Merci pour vos réponses.
Dernière modification par Ignus (Le 25/05/2013, à 20:45)
#68 Le 25/05/2013, à 21:17
- svi_binette
Re : Pare feu ou pas ?
Merci beaucoup à tous pour votre aide sur avahi.
Hors ligne
#69 Le 25/05/2013, à 21:27
- Haleth
Re : Pare feu ou pas ?
Oui tu as raison de le préciser, mais je n'ai pas non plus network manager
Seulement mon fichier interfaces configuré.[ÉDIT]
Heu, une question me taraude, si Avahi n'est pas installé, network-manager peut-il configurer automatiquement le(s) interface(s) et un réseau domestique?Merci pour vos réponses.
En fait, tu confonds
network-manager configure les interfaces réseaux à l'occasion
avahi est un bousin ignoble
Avahi s'occupe d'attribuer automatiquement une adresse IP même sans présence d'un serveur DHCP, de faire office de DNS (chaque machine est accessible par le nom nomMachine.local), de publier des services et d'y accéder facilement (les machines du réseau local sont prévenues de l'arrivée ou du départ d'un service). Il permet donc à des logiciels de publier et de découvrir des services et des hôtes en cours d'exécution sur un réseau local TCP/IP sans configuration particulière. Par exemple, un utilisateur peut brancher son ordinateur sur un réseau et trouver instantanément des imprimantes pour imprimer, des fichiers à lire et des personnes à qui parler. Avahi est publié sous la licence publique générale limitée GNU (LGPL).
Ubuntu is an ancien African word which means "I can't configure Debian"
Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.
Hors ligne
#70 Le 25/05/2013, à 21:28
- tiramiseb
Re : Pare feu ou pas ?
[ÉDIT]
Heu, une question me taraude, si Avahi n'est pas installé, network-manager peut-il configurer automatiquement le(s) interface(s) et un réseau domestique?
L'aspect "configuration IP" de Avahi n'est pas installé sur Ubuntu.
Il n'y a pas de lien entre Network-Manager et Avahi.
Network-Manager gère la connexion aux réseaux : requêtes DHCP, adresses fixes, VPN, etc.
Avahi (enfin, sa partie "autoconfiguration IP") permet de communiquer même s'il n'y a pas d'infrastructure réseau (pas de plan d'adressage, pas de serveur DHCP, etc) : des adresses sont alors automatiquement attribuées aux différentes machines présentes par l'intermédiaire du protocole Zeroconf.
N'avez-vous jamais vu un Windows prendre une adresse IP en 169.254.X.X quand il n'arrivait pas à joindre un serveur DHCP ? C'est ça, le protocole Zeroconf (enfin, sa composante IPv4LL) : les ordinateurs présents sur le réseau se mettent d'accord sur "qui a quelle adresse".
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#71 Le 25/05/2013, à 21:29
- tiramiseb
Re : Pare feu ou pas ?
network-manager configure les interfaces réseaux à l'occasion
avahi est un bousin ignoble
On aura bien compris que tu n'aimes pas les outils et les protocoles qui servent à simplifier la vie des utilisateurs...
(en fait, ça transpire dans la moitié de tes messages sur ce forum...)
Dernière modification par tiramiseb (Le 25/05/2013, à 21:30)
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#72 Le 25/05/2013, à 21:31
- Haleth
Re : Pare feu ou pas ?
en fait, j'aime bien network-manager, ca rentre très bien dans l'aspect utilisateur
le problème, c'est que aillant une config réseau asser verbeuse, il me les brise, donc j'le vire
ca reste un bon outil (notamment pour le wifi qui est toujours foutoir, intrinsequement)
(en fait, ça transpire dans la moitié de tes messages sur ce forum...)
La schizophrénie et la sociopathie sont mes deux grands mots .. j'me fait soigner, m'enfin.
Dernière modification par Haleth (Le 25/05/2013, à 21:35)
Ubuntu is an ancien African word which means "I can't configure Debian"
Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.
Hors ligne
#73 Le 25/05/2013, à 21:44
- svi_binette
Re : Pare feu ou pas ?
Bonsoir,
les outils et les protocoles qui servent à simplifier la vie des utilisateurs
C'est vrai que ça doit beaucoup simplifier quand on en a besoin. Je comprends l'utilité maintenant.
En ce qui me concerne, pfou... Pas simple. Ca fait des jours que je me demande si c'est risqué que avahi ouvre 2 ports udp, et si je peux l'enlever sans abîmer le système.
Hors ligne
#74 Le 25/05/2013, à 22:32
- compte supprimé
Re : Pare feu ou pas ?
svi_binette,
le désinstaller est risqué, Avahi est très intégré au système... Si tu veux essayer, tu peux le désactiver en éditant le fichier /etc/default/avahi-daemon et tu remplaces ta ligne
AVAHI_DAEMON_DETECT_LOCAL=1
par
AVAHI_DAEMON_DETECT_LOCAL=0
C'est le genre de désagrément que je ne connais pas puisque j'installe toujours le strict minimum. D'ou mon doute (édit du post #67)
@ tiramiseb et haleth, merci pour vos précisions.
Dernière modification par Ignus (Le 25/05/2013, à 22:33)
#75 Le 25/05/2013, à 22:55
- svi_binette
Re : Pare feu ou pas ?
Merci pour l'astuce ! Il y a bien cette valeur et un message de prévention.
Je pense que je vais prendre le risque.
Si ce n'est pas trop abuser, il y a encore quelque chose que je ne comprends pas pour avahi :
avec la commande netstat j'obtiens :
udp 0 0 0.0.0.0:5353 0.0.0.0:* 111 9428 929/avahi-daemon: r
udp 0 0 0.0.0.0:57103 0.0.0.0:* 111 9430 929/avahi-daemon: r
udp6 0 0 :::5353 :::* 111 9429 929/avahi-daemon: r
udp6 0 0 :::37828 :::* 111 9431 929/avahi-daemon: r
Cela voudrait bien dire que les ports 5353 et 37828 sont ouverts ?
Mais suite à ce fil de discussion, je viens d'installer nmap pour voir et la commande
sudo nmap -sU -p5353 monadresse
Host is up (0.00057s latency).
PORT STATE SERVICE
5353/udp closed zeroconf
Le port ne devrait pas apparaître ouvert/filtré ? Est-ce que c'est justement parce que je ne l'utilise pas ?
Un grand merci déjà pour toutes les infos que vous avez données.
Hors ligne