craintes sur la sécurité en général

Compte anonymisé · Le 09/01/2016, à 22:21

pires57 a écrit :

un rootkit ou autres logiciels malveillants utiliseront le premier port ouvert et en général sur une station de travail, c'est le port 80 à minima
Attention libc6, tu fait erreur, tu te connecte au port 80 du serveur mais ton firefox n'utilise pas le port 80, il utilise un port aléatoire hors de ceux réservé au système.

Nous sommes au niveau de votre navigateur web, Firefox chez moi, et celui-ci souhaite envoyer une requête sur le réseau vers le serveur d'adresse IP 88.191.135.63. Firefox va utiliser le protocole applicatif HTTP pour envoyer une requête web. Le protocole HTTP fonctionnant sur TCP, Firefox va envoyer sa requête au protocole TCP de couche 4. Plus exactement, et pour les connaisseurs du web, voici à peu de chose près la requête applicative qui est envoyée :

GET http://88.191.135.63 HTTP/1.0
HOST: 88.191.135.63\r\n
Accept : text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
User-Agent : Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:19.0) Gecko/20100101 Firefox/39.0

Ce sont donc ces informations qui vont être envoyées au serveur web 88.191.135.63. Pour l'instant, voici où nous en sommes de l'envoi de notre trame finale:

GET http://88.191.135.63...

Donc avant de pouvoir envoyer nos données applicatives, nous allons devoir envoyer un segment TCP qui demande à la machine 88.191.135.63 si elle veut bien ouvrir une connexion avec nous.
Cette requête ne sera donc qu'une demande d'ouverture de connexion SYN qui ne contient pas de données applicatives.
Ce premier segment TCP envoyé ne contiendra donc pas de données.

Il va cependant falloir former l'en-tête TCP.
Pour former l'en-tête, nous avons notamment besoin des ports TCP utilisés.
Le port destination est donné par Firefox, c'est le port 80 qui est utilisé par défaut pour le web.
Le port source est un port choisi aléatoirement au-dessus de 1024, la pile TCP/IP va donc nous donner un port aléatoire, par exemple 1337.
On y ajoute les flags, avec notamment le flag SYN qui est positionné, vu qu'il s'agit de l'initialisation d'une connexion.

*source :https://openclassrooms.com/courses/apprenez-le-fonctionnement-des-reseaux-tcp-ip/on-recapitule-tout-de-a-a-z

Si je ferme mon port http80 en sortant, je pourrai tjrs surfé sur le web avec firefox ?

Dernière modification par Compte anonymisé (Le 09/01/2016, à 22:22)

tiramiseb · Le 09/01/2016, à 22:25

[...] au sujet des paquets spoofés [...]

Mais le rp filtering ce n'est pas une protection contre le spoofing, quand on est sur un poste de travail... Si tu logges ces paquets, tu peux nous montrer les logs et on peut te donner des détails techniques pour voir d'où ça peut éventuellement venir. Là sans détail, on ne peut faire que des suppositions, sans grand intérêt...

Ou sinon, accessoirement, c'est vrai, quel intérêt d'envoyer des paquets en courrier suivi dans la vie, hein ?

Non, ce n'est pas ça que je dis. Je demande quel est l'intérêt de faire un bordereau de suivi *de ta cuisine à la poste*. Le courrier suivi, c'est un service de la Poste, c'est un service de ceux qui font le routage. Ce n'est plus une problématique de poste de travail, c'est une problématique de routeur.

Pourquoi t'en prendre à nous et nous dire que ça sert à rien

Tu donnes vraiment l'impression que tu ne lis pas. Je ne dis pas que ça sert à rien *dans l'absolu*. Ces fonctionnalités faites pour les routeurs, je les utilise sur des routeurs.

Pour le reste, peut-être est-il utile de préciser que ces « eux » qui ont développé ces fonctionnalités (qui seraient à l'extrême opposé de moi), ce sont des personnes avec qui j'ai déjà échangé par le passé... quand j'ai donné des conférences aux RMLL par exemple.

robindesbois · Le 09/01/2016, à 22:26

Un petit lien explicatif sur le conntrack et son utilité évidemment, et son utilité aussi et surtout, sur un poste de travail : http://irp.nain-t.net/doku.php/130netfi … _conntrack

Dans le menu à gauche sur ce site il y a tout un tas d'autres pages parlant de Netfilter et d'Iptables, de la sécurité qu'ils proposent, c'est très simple à lire car écrit, simplement... Oh ça va en intéresser plus d'un et d'une lol.

Explications des types de Firewall : http://irp.nain-t.net/doku.php/120secur … _firewalls

Dernière modification par robindesbois (Le 09/01/2016, à 22:28)

tiramiseb · Le 09/01/2016, à 22:27

Si je ferme mon port http80 en sortant, je pourrai tjrs surfé sur le web avec firefox ?

Non, clairement pas.

[ jusqu'ici on parlait de ports entrants, en fait ]

Compte anonymisé · Le 09/01/2016, à 22:28

tiramiseb a écrit :

Encore une fois, bloquer un truc avec UFW ne sert à rien, un rootkit ou autres logiciels malveillants utiliseront le premier port ouvert et en général sur une station de travail, c'est le port 80 à minima
¹Là tu confonds flux entrants et sortants
²Sur une station de travail, aucun port (entrant) n'est ouvert.

¹Non.
²Oui, mais ton navigateur initialise bien via ce port une requête http, donc le port 80 si pare-feu actif devra être ouvert en out, sinon ma station de travail ne peut communiquer avec le web... Donc un rootkit sur une station familiale pourra communiquer avec son maitre. Mais effectivement, aucun logiciel en écoute sur le port 80, donc pas de port ouvert...

tiramiseb a écrit :

Par contre, les éventuels rootkits se connectent à l'extérieur comme ils veulent, de la même manière que n'importe quel logiciel sur l'ordinateur. Aucun port ouvert n'est nécessaire.

Oui mais imaginons un indien qui ferme tout par defaut sur sa station de travail et qui ouvre en out (connexions sortantes et refuse les connexions entrantes) 53.80,443 en http, cela suffit à un rootkit pour communiquer, moralité, un pare-feu ne sert à rien dans ce cas précis.

édit:

tiramiseb a écrit :

[ jusqu'ici on parlait de ports entrants, en fait smile ]

'scuse, je lis par intermittence, désolé...

Dernière modification par Compte anonymisé (Le 09/01/2016, à 22:33)

tiramiseb · Le 09/01/2016, à 22:29

robindesbois a écrit :

Un petit lien explicatif sur le conntrack [...]

Non mais on sait ce qu'est le connection tracking hein.
Mais quand on ne fait pas de filtrage (car sur un poste de travail, le filtrage est inutile), le connection tracking est inutile...

tiramiseb · Le 09/01/2016, à 22:33

robindesbois a écrit :

[...] je n'ai jamais de paquets qui sentent l'ail sur mon poste de travail, ni en entrée, ni en sortie, donc ça ne sert à rien [...]

Ce que j'affirme, c'est que ces paquets, s'ils n'avaient pas été bloqués, auraient été inoffensifs. Donc inutile de les bloquer.

pires57 · Le 09/01/2016, à 22:39

Ce que j'affirme, c'est que ces paquets, s'ils n'avaient pas été bloqués, auraient été inoffensifs. Donc inutile de les bloquer.

Et ceci pour la simple et bonne raison qu'ils auraient été ignoré par défaut.

Dernière modification par pires57 (Le 09/01/2016, à 22:44)

nam1962 · Le 09/01/2016, à 22:45

Vous avez testé vos ports visibles ou vulnérables ?

Sabina75 · Le 09/01/2016, à 22:47

tiramiseb a écrit :

jplemoine a écrit :
tiramiseb a écrit :
... et puis si ça se trouve vous avez utilisé certains de mes articles pour apprendre des choses
Et le pire, c'est que c'est peu-être vrai... !!!!
J'en suis à 48 articles (dont 12 en 2015) et 3 hors-série complets
... y'a des chances.

Il faudrait que tu écrives en anglais alors car à part ce forum, exceptionnellement, je ne lis l'informatique qu'en anglais.

Compte anonymisé · Le 09/01/2016, à 22:48

robinofthewood a écrit :

Faut arrêter de dire aussi que c'est parce que rien n'est en écoute que la machine n'est pas vulnérable,

On n'a jamais écrit qu'une station de travail n'est pas vulnérable sans logiciel en écoute sur un port défini, on écrit juste qu'une machine n'est pas plus sécurisée avec un pare-feu activé... Un port en écoute n'est pas une vulnérabilité mais un service, est-ce difficile à admettre ?

robinofthewood a écrit :

comme vous l'aurez compris, le simple fait de surfer vian un navigateur, ou de récupérer ses emails via Thunderbird ou autres occasionne un échange de paquets TCP ou UDP

Ledit service sert à communiquer comme avec ton exemple ci-dessus, est-ce dangereux...?

À ce rythme là, on va nous ressortir qu'un antivirus est obligatoire sur Gnu/Linux.

tiramiseb · Le 09/01/2016, à 22:50

Il faudrait que tu écrives en anglais

Dans ce cas en effet peu de chances... je n'ai pas beaucoup écrit en anglais.
J'écris en particulier dans GNU/Linux Magazine France, Linux Pratique, et Hackable, tous trois sont des magazines en français.

Dernière modification par tiramiseb (Le 09/01/2016, à 22:50)

tiramiseb · Le 09/01/2016, à 22:52

robinofthewood a écrit :

comme vous l'aurez compris, le simple fait de surfer vian un navigateur, ou de récupérer ses emails via Thunderbird ou autres occasionne un échange de paquets TCP ou UDP

Et pour toute attaque visant ces paquets-là, tout pare-feu est inefficace vu que ce sont des paquets dont la réponse sera acceptée, grâce au connection tracking.

Sabina75 · Le 09/01/2016, à 22:57

Et donc, ce n'est pas moi qui le dit :

https://www.schneier.com/news/archives/ … schne.html

Security is both a feeling and a reality, and they're different. You can feel secure, even if you're not. And you can be secure, even if you don't feel it. Really, there are two different concepts sharing the same word. My talk is about the feeling and reality of security: when they are different, why they diverge, and how they can be made to converge. As technologists we tend to focus on the reality of security and ignore the feeling. I will argue that both are important.

La sécurité est à la fois un sentiment et une réalité, et ils sont différents. Vous pouvez vous sentir en sécurité, même si vous ne l'êtes pas. Et vous pouvez être en sécurité, même si vous ne vous y sentez pas. Il y a vraiment deux concepts différents partageant le même mot. Mon discours porte sur le sentiment et la réalité de la sécurité : quand ils sont différents, pourquoi ils divergent et comment peut-on les faire converger. En tant que technologistes, nous avons tendance à nous concentrer sur la réalité de la sécurité et à ignorer le sentiment. J'argumenterai que les deux sont importants.

tiramiseb · Le 09/01/2016, à 23:02

En effet, jusqu'ici je n'ai pas du tout parlé du sentiment de sécurité, je parle bien de la réalité de la sécurité. De faits, pas de points de vue.

Sabina75 · Le 09/01/2016, à 23:16

Si, toi tu confonds fait et point de vue. Et tu vas même continuer à le faire pour la vie durant.

tiramiseb · Le 09/01/2016, à 23:21

Eh bien éclaire-moi, plutôt que de te moquer d'un autiste.

pires57 · Le 09/01/2016, à 23:37

Si, toi tu confonds fait et point de vue. Et tu vas même continuer à le faire pour la vie durant.

Cette notion est tiré par les cheveux, a partir du moment ou la personne ne partage pas ton point de vue et donc ta vision des choses tu vas dire que la sienne n'est qu'un point de vue ...
Le problème c'est que ce qu'on a avancé par rapport a cette histoire de firewall et de port fermé ce n'est pas un point de vue, c'est un fait et n'importe quel expert en système / réseau te le dira, un port ne se mets pas en écoute tout seule, si un port passe en écoute, alors cela signifie que quelque chose (une application) ou quelqu'un a installé /mis en marche une application qui a besoin de ce port.

Pour ma part je fais confiance a mon système, je sais ce que j'ai installé dessus, je sais également comment je l'ai configuré et par conséquent je sais que rajouter un pare feu sur la machine ne me servira a rien (sauf à augmenter sa charge de travail)

robindesbois · Le 10/01/2016, à 00:55

Sabina75 a écrit :

Et donc, ce n'est pas moi qui le dit :
https://www.schneier.com/news/archives/ … schne.html
Security is both a feeling and a reality, and they're different. You can feel secure, even if you're not. And you can be secure, even if you don't feel it. Really, there are two different concepts sharing the same word. My talk is about the feeling and reality of security: when they are different, why they diverge, and how they can be made to converge. As technologists we tend to focus on the reality of security and ignore the feeling. I will argue that both are important.
La sécurité est à la fois un sentiment et une réalité, et ils sont différents. Vous pouvez vous sentir en sécurité, même si vous ne l'êtes pas. Et vous pouvez être en sécurité, même si vous ne vous y sentez pas. Il y a vraiment deux concepts différents partageant le même mot. Mon discours porte sur le sentiment et la réalité de la sécurité : quand ils sont différents, pourquoi ils divergent et comment peut-on les faire converger. En tant que technologistes, nous avons tendance à nous concentrer sur la réalité de la sécurité et à ignorer le sentiment. J'argumenterai que les deux sont importants.

Intéressant.

Sinon. Il n'y avait pas eu de mouvement depuis 2013, et ils ont sorti une nouvelle version : https://www.netfilter.org/projects/ipta … loads.html

1.6.0, je vais voir ce qu'il y a de neuf, à plus..

Dernière modification par robindesbois (Le 10/01/2016, à 00:56)

DantonKbis · Le 10/01/2016, à 07:09

Ce sujet de sécurité Windows ou Linux peut être traité de façon large, évidemment, et de façon plus précise, mais pour être tout à fait précis il faudrait avoir fait le tour complet du problème, impossible ! D'où la modestie nécessaire que certains, sans attaque personnelle, ne possèdent pas, ça peut être intéressant de se demander pourquoi les faits observés ( failles CVE recensées, type de ports attaqués ), la prudence requise sur la qualité des outils actuels ( Robindesbois ), l'ignorance en fait face au savoir actuel et à venir des hackers, n'intéressent pas certains libristes, professionnels de surcroit, qui systématiquement cherchent la démonstration pour ramener les choses à leur niveau de savoir.

Certains intervenants réclament des exemples, classique pour se sortir momentanément d'un mauvais pas, mais chez Tiramiseb, c'est systématique, il renvoie toujours à son histoire de pare feu, reproche aux autres de faire des digressions, et campe sur son vécu, ses connaissances, donc sa subjectivité, ce qui est bien décrit par Sabina ( point de vue ).
Si on lui donne un exemple ( mon réseau pourri, ma DMZ, mon port ouvert en 53 ), il revient à sa ritournelle ( pas de service ouvert, etc … ).

J'ai noté que quand j'ai parlé plus haut des exploits, certains n'ont pas compris la notion de fenêtre d'exposition face à un zéro day, d'autres ignorent les moyens de défense d'un antivirus ( types de proactivité, scan de listes, bloqueur comportemental ), normal , on est chez Linux, mais dans la réponse de je ne sais plus qui, les faits sont là, le port 53 est très attaqué, il me semble que c'est en partie pour faire de la redirection DNS et du malware « Police », mais j'aurais pris un exemple d'un autre port, le 22 par exemple, j'aurais eu droit à la même rengaine : « comprends rien, service pas ouvert, pas besoin de pare feu, Linux intraitable », donc retour à la subjectivité par négation du possible et étalage de son savoir actuel et pas plus, alors que c'est bien connu, les hackers ont toujours un temps d'avance.

Sabrina a dit : « La sécurité est à la fois un sentiment et une réalité, et ils sont différents. Vous pouvez vous sentir en sécurité, même si vous ne l'êtes pas. »

Très bien résumé.

Tiramiseb a dit :« En effet, jusqu'ici je n'ai pas du tout parlé du sentiment de sécurité, je parle bien de la réalité de la sécurité. »

CQFD, c'est lui qui dit LA sécurité, IL est LA sécurité.

Tiramiseb, sans vouloir t'égratigner, tu as quand même souvent quelques pulsions de pouvoir, grâce à toi, j'ai en partie compris le fonctionnement de Torvalds, ce type déclarait en gros il y a peu : « le problème de la sécurité est secondaire ( paraît il que le noyau Linux n'est pas si sécurisé que ça, libre ne veut pas dire sûr ), le principal est qu'il soit comme on veut qu'il soit ... ».
Au début, je me suis dit, il met des coups de menton, c'est un petit facho ( encore un, c'est la mode ), mais il me manquait quelque chose.
Tes « faits » à toi ne sont souvent que de la subjectivité, puisque tu n'as pas la connaissance universelle en matière de sécurité informatique, par contre les faits observés, la norme observée, ça ne t'intéresse pas, parce que tu n'as pas assez de prise sur elle.
Tu es attiré par quelque chose de parfait, d'idéal, de beau, à ta main, contrôlable par ton savoir, Torvalds est mieux loti que toi puisqu'il est concepteur.

Malheur à celui qui bronche face à tant de charme, vite sortons les moyens de défense, protégeons nos chimères.

Entre nous, tu aurais pu choisir autre chose qu'internet, la politique c'est bien aussi, pourquoi tu n'as pas choisi la politique ? T'as été élevé chez les augustins ou les jésuites ? Tu habites une région très conservatrice ?
Tu te rends compte ? tu aurais pu essayer de refaire le monde .. changer l'homme … les verts c'est bien les verts, l'extrême gauche c'est foutu, c 'était bon il y a 40 ans, mais les verts ça tourne encore, là avec Linux t'as quand même joué petit pied.

Et puis je vais te faire une confidence, mais faut que ça reste entre nous, internet c'est de la merde, ça me rappelle la bagnole quand j'étais jeune : « Citroën c'est bien mieux que Renault que je me tue à vous dire, je le sais, je suis le meilleur mécano du quartier », manque de bol les meilleures bagnoles ça a été les japonaises et les coréennes à une époque, et toutes ces grosse merdes ont contribué à flinguer la planète, donc tous ces cons auraient mieux fait de faire de la politique à l'époque, on aurait peut être évité Mitterrand et Chirac.
Oui ton internet c'est de la merde, on s'est encore trouvé un instrument de torture, il va non seulement nous bouffer nos libertés ( le concepteur de Debian a probablement reçu il y a peu un message corse, ou sicilien, de la part de la NSA ), mais il va nous bouffer aussi nos emplois, c'est prévu et prévisible pour de nombreuses professions, en économie il y a un sujet qui débat de la saine importance du machinisme, à partir de quel niveau est il destructeur d'emplois, figure toi qu'on discute actuellement au niveau européen d'un revenu de survie de 700 à 800 euros … pour toutes les futures victimes d'internet et ses robots.

Va chez les verts Tiramiseb, ou un autre, c'est mieux que Nunux, vous allez changer la nature, donc l'homme, le monde, tout ça dans votre petite main, tu te rends compte?

Dernière modification par DantonKbis (Le 10/01/2016, à 08:18)

tiramiseb · Le 10/01/2016, à 08:01

Ptain mais à quoi ça sert tout ce bla bla bla ? C'est quoi ton délire, là ?
Oui je ne parle que du pare-feu, oui je maintiens qu'un pare-feu est inutile sur une Ubuntu de base, car il n'y a pas de port en écoute.
Et je ne dis rien d'autre, je ne parle que de ça, je ne fais aucun commentaire sur le reste car c'est précisément sur ce sujet-là que vous racontez n'importe quoi !
Je n'ai jamais dit que c'est la seule chose importante, je n'ai jamais dit que vous avez tort sur quelque autre sujet que ce soit.

Arrêtez d'inventer n'importe quoi, sortez de votre monde, apprenez la vraie sécurité informatique ! Il y a des formations pour ça, il y a des professionnels compétents.

Pourquoi des amateurs se croient-ils permis de dénigrer des professionnels, en informatique ?
Diriez-vous à un plombier qu'il a tort quand il parle d'évacuation de chiottes ???

Compte supprimé · Le 10/01/2016, à 08:09

@tiramiseb (et quelques autres)
Passe un bon dimanche avec ta famille, éteint toute machine connectée à internet.
Je vais faire une balade de la journée dans la garrigue, trouve toi un truc dans ce genre.

Dernière modification par Compte supprimé (Le 10/01/2016, à 08:09)

tiramiseb · Le 10/01/2016, à 08:14

Malheureusement c'est un effort très difficile d'ignorer purement et simplement...

pires57 · Le 10/01/2016, à 09:10

Ce qui est le plus amusant c'est que des professionnels, des personnes ayant donc suivi une formation scolaire spécialisé dans le domaine et / ou des formation et même des certifications viennent bénévolement passer du temps ici dans le simple but d'aider les personnes qui justement débutent ou ont des problèmes.
Les professionnels ont tous dit a l unanimité la même chose, a savoir pas de port en écoute = pare feu inutile donc pas nécessaire !
Au lieu de vous demandez pourquoi les pro disent cela vous préférez suivre des personnes qui vous affirme l'inverse alors qu'elles n'ont suivi aucune formation la dessus.
Peut être qu'il serait grand temps pour ce genre de personnes d'aller prendre quelques cours sur LD fonctionnement du système linux (la gestion des droits, l'installation de service, les ACL, SELinux, le fonctionnement du kernel avec les appels systèmes ...et j'en passe.

tiramiseb · Le 10/01/2016, à 09:24

pires57: professionnels qui eux-mêmes *donnent* des formations aussi hein. On ne fait pas qu'en suivre...

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#201 Le 09/01/2016, à 22:21

Re : craintes sur la sécurité en général

#202 Le 09/01/2016, à 22:25

Re : craintes sur la sécurité en général

#203 Le 09/01/2016, à 22:26

Re : craintes sur la sécurité en général

#204 Le 09/01/2016, à 22:27

Re : craintes sur la sécurité en général

#205 Le 09/01/2016, à 22:28

Re : craintes sur la sécurité en général

#206 Le 09/01/2016, à 22:29

Re : craintes sur la sécurité en général

#207 Le 09/01/2016, à 22:33

Re : craintes sur la sécurité en général

#208 Le 09/01/2016, à 22:39

Re : craintes sur la sécurité en général

#209 Le 09/01/2016, à 22:45

Re : craintes sur la sécurité en général

#210 Le 09/01/2016, à 22:47

Re : craintes sur la sécurité en général

#211 Le 09/01/2016, à 22:48

Re : craintes sur la sécurité en général

#212 Le 09/01/2016, à 22:50

Re : craintes sur la sécurité en général

#213 Le 09/01/2016, à 22:52

Re : craintes sur la sécurité en général

#214 Le 09/01/2016, à 22:57

Re : craintes sur la sécurité en général

#215 Le 09/01/2016, à 23:02

Re : craintes sur la sécurité en général

#216 Le 09/01/2016, à 23:16

Re : craintes sur la sécurité en général

#217 Le 09/01/2016, à 23:21

Re : craintes sur la sécurité en général

#218 Le 09/01/2016, à 23:37

Re : craintes sur la sécurité en général

#219 Le 10/01/2016, à 00:55

Re : craintes sur la sécurité en général

#220 Le 10/01/2016, à 07:09

Re : craintes sur la sécurité en général

#221 Le 10/01/2016, à 08:01

Re : craintes sur la sécurité en général

#222 Le 10/01/2016, à 08:09

Re : craintes sur la sécurité en général

#223 Le 10/01/2016, à 08:14

Re : craintes sur la sécurité en général

#224 Le 10/01/2016, à 09:10

Re : craintes sur la sécurité en général

#225 Le 10/01/2016, à 09:24

Re : craintes sur la sécurité en général

Pied de page des forums