#26 Le 28/05/2010, à 14:02
- kemo006
Re : Petites questions sur la sécurité
Dans si le contenu des tables "iptables" est vide, netfilter ne fera rien non plus.
Mais tu disais que contrairement à Windows, les ports étaient fermés par Netfilter (c'est le noyau qui veut ça). Il existe bien des règles malgré que les tables d'Iptables soient vides?
Hors ligne
#27 Le 28/05/2010, à 14:15
- Hoper
Re : Petites questions sur la sécurité
Mais tu disais que contrairement à Windows, les ports étaient fermés par Netfilter
Non, je n'ai jamais dit une chose pareil. J'ai dit que contrairement à Windows qui lance tout un tas de trucs qui ecoute sur tout un tas de port, et ou personne ne sait à quoi toutes ces machines peuvent bien servir, un linux que tu install n'ecoute sur aucun port.
Oubli le terme "ouvert" ou fermé parce que visiblement ca t'embrouille. Imagine que tu appel une personne. Tu as son numéro de téléhone. (son IP). Donc tu l'appel. Soit la personne et la et elle décroche (la personne = un logiciel serveur) soit elle est pas la (le logiciel n'est pas lancé) et personne répond.
Il n'y a aucun firewall la dedans. Personne ne répond c'est tout, et dans ce cas la le système rejete ta connexion car il sait que personne n'est disponible pour y répondre. Un firewall ce serait une secrétaire que tu mettrai encore avant la personne que tu veux joindre. Et fonction de ses instructions, elle transfert l'appel ou pas. C'est plus clair la ?
Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org
Hors ligne
#28 Le 28/05/2010, à 14:24
- kemo006
Re : Petites questions sur la sécurité
Merci pour la comparaison, ça m'aide à assimiler. C'est vrai que ce n'est pas évident de tout saisir au début... et je te remercie de votre patience. Mais excuse moi d'insister sur les termes ouvert/fermé. J'ai très bien compris le coup du numéro de téléphone etc. Ca, c'est ok. Mais si on se place dans la peau d'un hacker, si ma secrétaire (mon pare-feu) est absente, malgré qu'il n'y ai personne pour répondre à l'appel (un programme qui requière un échange de paquets), une personne mal intentionnée ne peut-elle pas profiter de l'ouverture, donc de l'absence de secrétaire pour s'infiltrer par le port même si aucun programme n'est là pour accueillir les paquets?
Un port ouvert n'est pas une passerelle vers le contenu de mon poste?
Dernière modification par kemo006 (Le 28/05/2010, à 14:25)
Hors ligne
#29 Le 28/05/2010, à 14:30
- Hoper
Re : Petites questions sur la sécurité
et la réponse est NON. car dans ce cas, si personne n'est la pour répondre, rien n'est "ouvert".
Si tu n'installe pas apache sur ton pc (ou autre logiciel equivalent), alors aucun programme n'ecoute sur le port 80. On ne peut donc pas DU TOUT se conecter sur le port 80 de ton ordinateur. Fais le test toi même et tu verra :
telnet localhost 80
Et le système va te jeter, car personne n'est disponible sur ce port pour te répondre. Ce que j'explique depuis un moment, c'est que ce sera la meme chose sur les 65535 autres ports. Aucun logiciel en écoute, donc quand le noyau voit arriver la demande de connexion comme il n'a personne à qui transmettre, il répond "va mourir" et basta.
Après si tu installe la logiciel serveur, qui va donc se mettre en écoute sur un port, la c'est c'est TA décision. Et tu le fais pour une bonne raison, parce que ca te permet de faire quelque chose que tu as besoin de faire. Donc mettre un fw ensuite pour le bloquer, ce serait quand meme bizarre comme idée (exactement ce que je disai plus haut).
Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org
Hors ligne
#30 Le 28/05/2010, à 14:47
- kemo006
Re : Petites questions sur la sécurité
Extra, j'ai compris (enfin diront certains...) ! Je saisis enfin ce que tu reprochais à Windows : l'os de Microsoft est vulnérable dès le premier démarrage parce que celui-ci ouvrent des services ou processus sur écoute sans notre consentement.
Pour aller jusqu'au bout, est-ce qu'il existe une commande pour connaître les processus et services en mode écoute sous Linux?
Hors ligne
#31 Le 28/05/2010, à 15:01
- Hoper
Re : Petites questions sur la sécurité
la commande :
sudo netstat -plaute
va te lister toutes les connexions actives. Si tu veux seulement voir quels sont les ports en écoute, rajoute " | grep -i listen" (sans les guillemets) à la fin de la commande.
Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org
Hors ligne
#32 Le 28/05/2010, à 15:26
- psychederic
Re : Petites questions sur la sécurité
sudo apt-get install nmap
nmap -A -T4 localhost
Donc sur une ubuntu par défaut :
631/tcp open ipp CUPS 1.4
Avec samba installé ( comme sous windows ):
139/tcp open netbios-ssn Samba smbd 3.X (workgroup: WORKGROUP)
445/tcp open netbios-ssn Samba smbd 3.X (workgroup: WORKGROUP)
etc ( si tu es encore un windowsien sur peux essayer "active port" pour comprendre )
Ce sont des services normaux pour tout os : et ce sont les services ou l'ont fait le plus attention à la sécurité : quand il y a des mises à jours importante ce sont le kernel, les services ...
Un vrai firewall : bloque sur le contenu qui transite : s'amuser à bloquer tous les ports d'une machine ne sert pas à grand chose. ( mais c'est un point de vue : on est plus du point de vue a utiliser des connections sécurisés en général de nos jours ).
Dernière modification par psychederic (Le 28/05/2010, à 15:29)
Le monde du libre. Ubuntu :Ca rame ? | Installer un logiciel ? Avec Synaptic- Ubuntu Tweak. Msn ?
Hors ligne
#33 Le 28/05/2010, à 17:54
- kemo006
Re : Petites questions sur la sécurité
Généreuse en commentaires cette communauté ! Merci pour toutes vos contributions. Je n'ai plus aucune question... pour l'instant
Hors ligne
#34 Le 12/07/2010, à 22:01
- muadib
Re : Petites questions sur la sécurité
Salut,
Cette discussion est très intéressante et très instructive !
Si je comprends bien, on ne risque rien en terme de sécurité de l'extérieur tant qu'on ne télécharge rien de douteux. C'est comparable à un château-fort imprenable
Sans forcément être parano et si le danger venait de l'intérieur ?
comme il a été dit tout au long de cette discussion le pare-feu d'ubuntu protège le système de l'extérieur mais ne bloque pas les connexions sortantes des applications sur les ports ouverts (comme le 80, le 20 etc).
La faille est de taille donc, linux me fait penser à Troie, imprenable pendant des siècles et il suffit que des petits grecs malins viennent et la ville est à feu et à sang.
Un peu théâtral comme image, non ?
J'ai cru comprendre que c'est la responsabilité de l'utilisateur si il installe des programmes douteux, mais il serait préférable que le système mettent à disposition des outils qui permettent à ce dernier de se protéger comme avec un pare-feu applicatif.
Hors ligne
#35 Le 13/07/2010, à 07:55
- Hoper
Re : Petites questions sur la sécurité
Sans forcément être parano et si le danger venait de l'intérieur ?
Autrement, dit "Et si le problème venait de l'utilisateur ?"
C'est en effet l'un des principaux problèmes.
Si tu demande à ton pc de se connecter à une machine à l'extérieur pour lui transmettre ton numéro de CB et le code secret qui va avec, en effet, ca passera. C'est d'ailleurs le principe du "phishing".
Le problème c'est que contre ça, il n'y a aucune réponse technique. Il ne peut y avoir que de la formation... Bref, apprendre à l'utilisateur à être moins neuneu.
Il faut bien comprendre un truc, aucun firewall, aussi intelligent soit il, ne pourra jamais savoir si une connexion qui sort de ton pc le fait parce que tu le souhaite, ou sans que tu le sache. Dans tous les cas ce sont des programmes qui tournent, et qui demande à avoir accès à l'extérieur.
Le seul truc qui pourrait fonctionner (et encore) dans ce cas, c'est le principe de la liste blanche. En gros tu dirai à ton pc "ok, voici la liste des machines externes sur lesquelles je veux bien me connecter... alors il y a : www.yahoo.fr, www.google.fr, www.ubuntu-fr.org, etc etc etc. Tu imagine le bordel ? Evidement, le p2p et compagnie, tu oublie tout de suite. Mais en faisant ça, oui, tu peux limiter les connexions sortantes...
Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org
Hors ligne
#36 Le 13/07/2010, à 18:02
- muadib
Re : Petites questions sur la sécurité
Oui effectivement, tu as raison, il est avéré que la plus grande faille d'un système informatique est son utilisateur.
C'est un fait, un système orienté grand public devrait en tenir compte.
Mais, si j'ai bien compris l'organisation des logiciels libres se base sur une confiance mutuelle, or il m'apparaît "naïf" de croire qu'aucun programme ou code ne pourrait être malveillant.
A moins qu'un organisme ou un groupe vérifie chaque programme ?
Attention je ne suis pas là pour dire du mal de cet OS, sinon je ne l'utiliserai pas mais simplement je cherche à comprendre.
C'est intéressant d'associer morale et informatique, sans toutefois oublier que la nature humaine n'est pas toujours bonne.
Hors ligne
#37 Le 15/07/2010, à 08:24
- Hoper
Re : Petites questions sur la sécurité
Mais, si j'ai bien compris l'organisation des logiciels libres se base sur une confiance mutuelle, or il m'apparaît "naïf" de croire qu'aucun programme ou code ne pourrait être malveillant.
A moins qu'un organisme ou un groupe vérifie chaque programme ?
Inutile de vérifier chaque programmes, ce serait beaucoup, beaucoup trop long. Tu oubli aussi que les vérificateurs sont humains, et ils peuvent eux aussi faire des erreurs. (et qui paierait un travail aussi pénible et aussi peut glorifiant !?). La seule personne qui sait tout de suite si son programme est malveillant ou non, c'est évidement le développeur lui même.
D'ou tout le principe de fonctionnement qui est en place, avec les dépôts et les signatures électroniques etc. En résumé :
- Pour qu'un programme (un paquet) soit accepté, il doit normalement être signé numériquement. -> On connait l'identité du développeur, ou du responsable de l'equipe de dev.
- Les repository (dépots), qui vont proposer ce paquet disposent eux même d'un certificat, afin de prouver leur identité.
-> Quand tu installe un programme avec apt-get ou synatpic etc, tu te connecte donc uniquement sur des serveurs en qui tu peux avoir confiance... Des serveurs qui te garentisse que les paquets qui te sont envoyés sont conformes à ceux qui ont étés transmis par le developeur, dont on connait l'identité.
Au final, si jamais un programme malveillant était découvert, la personne qui serait responsable de son envoi perdrait évidement toute crédibilité, ses paquets ne serait plus acceptés dans les dépôts officiels etc.
Il existe donc une chaine de confiance qui fait que globalement, les dépots officiels sont aussi sur que possible, sans que chaque programmes ne soit vraiment analysé en profondeur pour vérifier qu'il ne contient rien de dangereux.
C'est une solution qui me semble être un bon compromis, entre l'absence totale de vérifications (fonctionnement sous windows ou les gens sont habituer à aller télécharger des fichiers .exe n'importe ou), et le mode de fonctionnement Apple ou chaque programme doit être décortiqué par les ingénieurs apple avant d'être mis sur l'apple store... Ce qui abouti plus à de la censure qu'a du code propre, mais c'est encore un autre problème.
Dernière modification par Hoper (Le 15/07/2010, à 08:25)
Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org
Hors ligne
#38 Le 24/10/2010, à 15:11
- mohican
Re : Petites questions sur la sécurité
J'ai lu cette discussion, je n'ai peut-être pas tout compris mais vous ne dites pas grand chose sur les connexions sortantes (si ce n'est : installé depuis dépôt = confiance).
Or ce n'est parce que un logiciel provient d'un dépôt qu'il ne va pas envoyer des connexions sortantes qui, même si cela fait partie de son fonctionnement "normal", peuvent être considérée comme indésirables (ex: protection de la vie privée).
Je prends un exemple :
Je met un CD audio dans ma machine, Rythmbox (Lucid) s'ouvre et m'affiche en jaune au dessus du titre de l'album : MusicBrainz (ou qqch comme ça) ne reconnaît pas cet album, voulez -vous le soumettre ?
Ceci signifie que Rythmbox c'est connecté à MusicBrainz sans mon accord et lui à envoyé des informations sur le disque que j'écoute. (Pourtant j'ai désactivé tous les greffons du genre "rechercher la pochette de disque en ligne").
Bref, c'est ici qu'un pare-feu pourrait être utile : il dirait : "tiens, y'a rythmbox qui veut se connecter à tel IP" et là autoriser ou non et sauvegarder ou non la règle.
Peut-on configurer le pare-feu du noyau, à travers un outil graphique, pour obtenir ce comportement ?
mohican, plus tout à fait débutant sur Ubuntu
Ub 22.04 // Mint 21 Xfce // Mint 21 Cinnamon // Win7 SP1
Hors ligne
#39 Le 24/10/2010, à 20:28
- kemo006
Re : Petites questions sur la sécurité
Ce qu'il te faut, c'est un pare-feu applicatif. A la manière d'un ZoneAlarm (Windows), ce genre de pare-feu demandera ta permission pour chaque opération jusqu'à ce que tes règles soient définis, et ça, ça peut prendre du temps.
Si tu ne souhaites pas t'embêter (mais cela prend en compte la couche réseau, pas la logicielle), tu peux installer FireStarter (dans les dépôts). C'est une interface adaptés à Iptables, le petit frère de Netfilter qui facilite la vie à tout le monde. Une fois installé, dans l'onglet "politique", il te reste à placer la politique du trafic sortant en "restrictif par défaut". Et petit à petit, selon tes besoins, tu ouvres les ports nécessaires à tes activités.
Hors ligne
#40 Le 25/10/2010, à 00:39
- mohican
Re : Petites questions sur la sécurité
Merci. Je viens de regarder un peu.
Apparement FireStarter ne pose pas de questions. Il bloque. Ensuite il faut aller dans la liste des évènements voir ce qu'il a bloqué et éventuellement créer une règle pour qu'il ne bloque plus ceci ou cela.
Plus gênant : apparemment les règles pour autoriser portent sur les services et non sur les applications. Par exemple je dois autoriser le service HTTP pour avoir accès à Internet. Mais alors toutes les applications qui utilise ce service vont pouvoir se connecter (et pas seulement Firefox par exemple).
Ou alors je n'ai pas tout compris...
mohican, plus tout à fait débutant sur Ubuntu
Ub 22.04 // Mint 21 Xfce // Mint 21 Cinnamon // Win7 SP1
Hors ligne
#41 Le 25/10/2010, à 10:46
- kemo006
Re : Petites questions sur la sécurité
C'est exactement ça, Firestarter contrairement aux pare-feu applicatifs ne gère pas les connexions spécifiques de chaque programme.
Hors ligne
#42 Le 25/10/2010, à 14:18
- mohican
Re : Petites questions sur la sécurité
Et... un pare-feu applicatif libre pour Linux ça existe ?
mohican, plus tout à fait débutant sur Ubuntu
Ub 22.04 // Mint 21 Xfce // Mint 21 Cinnamon // Win7 SP1
Hors ligne
#43 Le 25/10/2010, à 14:40
- Hoper
Re : Petites questions sur la sécurité
Mais ca veut rien votre truc...
Tu crois que tu va sécuriser quoi en regardant le nom du binaire qui se connecte !? C'est vrai que c'est HYPER compliqué de changer de nom, ou de faire croire à l'OS qu'on s'appelle firefox.exe avant de lancer une connexion vers l'extérieur...
mohican : Tu veux vraiment avoir un système à la Vista, ou à chaque fois qu'une application va vouloir se connecter elle va te demander la permission !? Vraiment ? C'est un peu pour ça que la sécurité de Vista à fait un flop et que tout le monde à vite désactivé le bouzin.
Bref, si c'était le cas tu commencerai par cocher la case "toujours autorisé" (sinon il faudrait cliquer environ 100 fois pour télécharger une simple page web). Or une fois autorisée... bref, aucun intérêt.
Alors oui, en allan très, très loin dans le domaine et en mettant en place des "vrais" firewall applicatifs et en passant quelques mois à les tuner on doit pouvoir faire des trucs. Mais il y a vraiment que quelques pures geek en france qui pourrait perdre leur temps à ça. Même les gouvernements ou les agences de sécurité je suis sur qu'il le font pas.
Autre chose, tu semble donc avoir peur d'une connexion SORTANTE. Si effectivement ton pc initie une connexion vers l'extérieur qui pose un problème de sécurité, cela veut dire que le programme malveillant tourne déjà sur ta machine... Bref, il est un peu tard hein... C'est avant qu'il faut agir, avant qu'il faut faire en sorte que cela n'arrive pas.
Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org
Hors ligne
#44 Le 25/10/2010, à 15:17
- mohican
Re : Petites questions sur la sécurité
Permet-moi Hoper, je trouve ton intervention d'une agressivité parfaitement injustifiée.
Je ne suis pas un geek, et sous windows xp, j'utilise Comodo firewall (mais il y a d'autres pare-feu applicatifs du même genre) je n'ai pas à cliquer n fois à chaque page internet : je défini une politique de pare-feu pour chaque application, la première fois qu'elle se manifeste. En particulier selon que j'ai fait une requête (de mise à jour par exemple) ou que l'application se connecte "spontanément". Après je suis tranquille.
De plus je n'ai pas pris comme exemple un programme malveillant (mais cela reste une possibilité même sous Linux, et même si on agit préventivement) mais d'un programme ordinaire qui compromet la vie privée.
mohican, plus tout à fait débutant sur Ubuntu
Ub 22.04 // Mint 21 Xfce // Mint 21 Cinnamon // Win7 SP1
Hors ligne
#45 Le 25/10/2010, à 15:29
- Hoper
Re : Petites questions sur la sécurité
Il y a très, très peu de logiciels sous linux qui se connectent sans t'en parler. (Et cela se désactive très facilement). Maintenant si tu préfère configurer un firewall plutôt que décocher une case dans les préférences d'un soft (que personne te force à utiliser d'ailleurs) pas de soucis...
Mon message n'est pas agressif, je dis juste que 99,99% des gens devraient se moquer totalement du firewall de linux. Et pourtant la sécurité me tiens à coeur, je te jure. Chiffrer ses données, oui c'est important. Mais perdre ton temps à paramétrer un truc inutile dans 99,99% des cas ? Non vraiment, je vois toujours pas.
A la limite je t'accorde une pointe d'agacement... parce que plus ce topic remonte et plus on va voir débarquer des gens comme toi qui pense que parce qu'ils utilisaient un fw sous windows, il leur en faut un aussi sous linux.
Savoir ce qui se passe sur sa machine est bien plus important que de se croire protégé. Autrement dit, savoir utiliser la commande netstat ou lsof est bien plus important que de savoir utiliser iptables.
Dernière modification par Hoper (Le 25/10/2010, à 15:29)
Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org
Hors ligne
#46 Le 17/05/2014, à 17:26
- jptzd
Re : Petites questions sur la sécurité
bonjour, je suis novice sous linux j'espere etre au bon endroit pour poser ma question securite qui pourra servir au plus grand nombre: j'ai active l'upnp sur ma freebox pour faire fonctionner transmission. J'ai donc un port ouvert. Mon ubuntu est il en danger avec ca. Merci de vos reponses et ne m'en voulez pas si j'ai pas poste au bon endroit.
Hors ligne
#47 Le 17/05/2014, à 17:33
- Brunod
Re : Petites questions sur la sécurité
upnp, sauf erreur de ma part, est un agent infiltré comme le serait un majordome trop docile qui ouvre la porte à tout qui le demande (et même pas poliment). Si tu sais que tu utilises transmission, ouvre uniquement les ports de transmission et vire upnp au plus vite
Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis
Hors ligne
#48 Le 17/05/2014, à 20:46
- Hoper
Re : Petites questions sur la sécurité
Meme reponse que brunod.
choisit un numero de port au hasard entre 10000 et 60000, configure transmission pour qu'il utilise ce port et ta box pour qu'elle le forward. puis désactive upnp.
car oui, upnp peut etre dangereux. surtout mour les routeurs etc. voir mon billet "j'ai pirate la tele" pour quelques exemples...
PS:la prochaine fois ce serait vraiment mieux d'ouvrir un nouveau sujet plutôt que de faire remonter un truc qui de 2010...
Dernière modification par Hoper (Le 17/05/2014, à 20:48)
Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org
Hors ligne
#49 Le 20/01/2017, à 09:44
- HornyReaper
Re : Petites questions sur la sécurité
Bon alors :
1) Le firewall est utile pour toutes machines et en particulier les machines windows mais heureusement ubuntu c'est linux.
2) Le IPTables/Netfilter est statefull et protège plutôt bien votre machine, encore faut-il savoir s'en servir.
3) Si un trojan s'execute sur votre machine vous pouvez être sur qu'il vas utiliser le HTTPS Tunneling qui est très difficile à contrer avec Netfilter seul, d'où l’intérêt de ne pas installer n'importe quoi et ce quelque soit le système.
4) Le principe de Netfilter c'est d’empêcher un utilisateur mal intentionné de pénétrer votre machine si il arrivais à pénétrer votre réseau pas d’empêcher à des applications de sortir si elles ont vraiment envie de le faire.
5) Ouvrir tout ses ports est une ânerie. Vous laissez les clés sur la porte. Allez voir le film sur snowden vous comprendrez.
6) Lisez ce site, il donne les bases de la piraterie de réseau et les risques de base : http://olivieraj.free.fr/fr/linux/infor … index.html
7) La box ne protège pas votre réseau toute seule, elle utilise elle aussi netfilter et est configurée pour tout laisser sortir et ne rien laisser entrer sauf si une requête à été faite avant depuis le réseau domestique.
8) Mieux vaut tout fermer et ouvrir au cas par cas en cas de nécessité que de laisser entrer le premier venu (qui à entendu parler de vers réseaux). A savoir que sous linux le serveur graphique est un serveur qui ouvre des ports et donc on peut être amené à le pirater pour faire de l'élévation de privilège. Mettre Netfilter en place permet de sécuriser les ports des serveurs qui sont ouvert pour que le système fonctionne.
Hors ligne
#50 Le 17/03/2018, à 00:35
- uboops
Re : Petites questions sur la sécurité
Bref, le mieux étant de surfer via le liveCD/DVD d'Ubuntu sur un vieux PC (pas cher) avec rien dedans monté en lecture seule et juste un /tmp read:write , pour le transfert hors ligne sur clé USB;-) ...
“Au lieu de faire que ce qui fût juste fût fort, on a fait que ce qui fût fort fût juste.” (Blaise Pascal).
Hors ligne