sécurité pare feu ubuntu

B@rtounet · Le 19/03/2007, à 02:22

Bonsoir, j'avais dejà posé la question mais je n'ai jamais eut de réponse vraiment pertinente...

Comment se comporte exactement le pare feu linux/ubuntu

Je suppose qu'il se base sur netfilter et iptables, mais j'ai remarqué qu'il ouvrait systematiquements les ports des services qu'on intallait.

Par exemple on installe apache il ouvre le 80.
on installe sshd il ouvre le 22
proftpd le 20 et 21...

N'est ce pas un probleme de sécurité??

La personne qui n'a pas de pare feu en amont du poste linux, et qui souhaite que ces ports ne soit pas contamment ouvert, comment fait t'il?

effraie · Le 19/03/2007, à 02:56

il y a pas mal de logiciel pour configurer le firewall.
Perso, j'utilise firestarter et/ou shorewall, selon les cas.
Firestarter est hyper simple, et dispose d'une interface graphique pour la configuration, et shorewall est trés simple aussi, mais s'utilise en ligne de commande. les deux sont assez bien documentés.

shorewall: http://www.shorewall.net/GettingStarted.html
firestarter: http://doc.ubuntu-fr.org/firestarter

Tu peux aussi directement attaquer la config d'iptables, c'est plus compliqué, mais c'est pas comme s'il fallait la refaire toute les 5 minutes:
http://doc.ubuntu-fr.org/iptables

B@rtounet · Le 19/03/2007, à 13:16

ok merci, mais si on installe pas firestarter de base, le pare feu ubuntu est tout de même actif non?

et il ouvre les ports en fonctions des services installés

iuchiban · Le 19/03/2007, à 13:42

ok merci, mais si on installe pas firestarter de base, le pare feu ubuntu est tout de même actif non?

Oui, il est actif tout le temps, mais si pas configuré, alors tous les ports sont ouverts :

alban@Ubuntu:~$ sudo iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
alban@Ubuntu:~$

Il n'y a aucune restriction.

Par contre, dès que tu installes firestarter, tu as un assistant qui se lance pour t'aider à configurer ton firewall (accès web, partage de fichiers, DNS, DHCP).

Après, laisser les ports standards ouverts n'est pas forcément un problème.

La personne qui n'a pas de pare feu en amont du poste linux, et qui souhaite que ces ports ne soit pas contamment ouvert, comment fait t'il?

Tout ce que tu peux faire sur un firewall matériel, peut être fait avec les iptables. Mais si tu veux ne pas laisser le port 80, par exemple, constamment ouvert, attends toi à des ralentissements quand tu surfes sur le web.

Hoper · Le 19/03/2007, à 14:23

Mais si tu veux ne pas laisser le port 80, par exemple, constamment ouvert, attends toi à des ralentissements quand tu surfes sur le web.

??? aucun rapport
De toute facon, tant que tu n'installe pas apache, aucune application ne répond sur ce port. Ca ne sert donc pas a grand chose de mettre un firewall devant.
(et si tu installe apache, il est evident que tu n'en voudra pas non plus). Donc...

B@rtounet · Le 19/03/2007, à 15:52

donc de base sans firestarter tous les ports sont ouverts
faut le savoir...

le pauvremec qui branche son pc direct sur le net sans routeur ni pare feu

B@rtounet · Le 19/03/2007, à 16:33

bah qu'il soit sous linux ou pas...
si tous les ports sont ouverts il n'est pas dur de se loguer en SSH, telnet ou autre et prendre le cotnrole du poste

iuchiban · Le 19/03/2007, à 17:03

en ssh, encore faut-il qu'il ait la clé privée ainsi que la passphrase, en telnet il faut l'activer je pense, en VNC, si tu l'actives pas c'est pareil, ...

PS : mon PC est branché derrière une freebox, sans FW ni antivirus et j'ai aucun soucis. et le PC de ma copine qui tourne sous WinXP a besoin de Zonelabs, Avast, Spybot pour tourner sans dangers

Dernière modification par iuchiban (Le 19/03/2007, à 17:05)

ppmt · Le 19/03/2007, à 17:13

Un parefeu ca ne sert que si un application ecoute sur un port specifique.

Ubuntu apparement de base n'en a aucun de superflu donc ils ont decide que le
firewall ce n'est pas utilse et donc tout est ouvert par defaut

La ou ca devient un probleme c'est quand on commence a installer des applications qui ne font pas parti des depots supporter par Canonical.

Dans ce cas les trou de securite ne seront pas forcement ferme si vous ne faites pas les update qui vont bien et la du coup un parefeu est utile.

C'est mon avis bien sur

PS: J'ai active le parefeu avec firestarter

B@rtounet · Le 19/03/2007, à 17:14

Oui je suis d'accord tant qu'on active pas les servicesn mais par exemple si tu installe apache ton port 80 sera directement ouvert...

De plus pour SSH regar juste ton /var/log/auth.log et tu verra le nombre de tentative d'accès a ton serveur ssh

ppmt · Le 19/03/2007, à 17:43

a B@rtounet: tu as raisons mais quand tu commences a installer des serveurs tu n'est plus dans la version utilisateur de base de Ubuntu. Dans ce cas il vaut mieux installer la version serveur (qui elle je suppose doit avoir un parefeu un peu plus sophistique)

Cela dit c'est sur qu'on chipote. A mon avis Canonical devrait activer un parefeu qui bloque tout en entree

question: Ca existe sous linux un parefeu genre ZoneAlarm qui previent que quelqu'un est en train d'essayer de rentrer dans le PC et propose de l'autoriser ou de le bloquer?

Je trouve ca pratique pour un debutant qui ne sait pas forcement configurer un parefeu

Hoper · Le 19/03/2007, à 17:58

Ce serait bien si certains ici pouvez un tout petit peu se detendre et arreter la paranoia aigu. Donc, encore une fois, tant qu'aucun serveur n'est lanc

B@rtounet · Le 19/03/2007, à 18:08

Hoper a écrit :

Ce serait bien si certains ici pouvez un tout petit peu se detendre et arreter la paranoia aigu. Donc, encore une fois, tant qu'aucun serveur n'est lanc

J'essaye juste de comprendre le fonctionnement de base de Ubuntu.

milambert · Le 19/03/2007, à 18:30

B@rtounet a écrit :

Oui je suis d'accord tant qu'on active pas les services mais par exemple si tu installe apache ton port 80 sera directement ouvert...

Tout dépend comment tu as configurer ton réseau.

par exemple, si tu est derrière ton router/modem une personne n'a théoriquement pas accès a ton serveur sauf (merci la segmentation, ...) si cet accès est spécifiquement autorisé sur le modem.

Par contre si t'es connecter directement au net (ppp) la l'adresse ip de ton pc est celle fournie par ton FAI, dans ce cas il faut impérativement paramétrer iptables.

Mais tu peux aussi configurer ton service pour qu'il n'écoute que certaines adresses IP (la boucle locale par exemple), ...

Franchement, ce qui serrait intéressant, c'est un "filtre" qui bloque les programmes communiquant avec le mode extérieur (bloquer certaines et pas d'autres), mais je ne sais pas si cela existe.

B@rtounet · Le 19/03/2007, à 18:43

Bah iptable fait ca non?

Les paquets sont scannés en entrée et en sortie si bien que tu accept ou Drop ce que tu veux

ppmt · Le 19/03/2007, à 19:11

Hoper a écrit :

Ce serait bien si certains ici pouvez un tout petit peu se detendre et arreter la paranoia aigu. Donc, encore une fois, tant qu'aucun serveur n'est lanc

Oui mais la le monsieur demande ce qui se passe quand il a apache ou un serveur ssh de lance

Poser des questions sur la securite n'a rien de la paranoia aigue.

milambert · Le 19/03/2007, à 19:38

ppmt a écrit :

Poser des questions sur la securite n'a rien de la paranoia aigue.

Bien sur que non, et la question de B@rtounet est très pertinente (tout le mode devrais au moins se la poser une fois).

B@rtounet a écrit :

Bah iptable fait ca non?

en fait non (sauf si je me trompe), iptable, se comporte plus comme un firewall matériel, don ne filtre que les trames entrant et sortant des interfaces réseau.

Ce dont je parlait est un firewall applicatif (comme sous win), Genre, tien firefox tente de se coonetet sur le net, est il autorisé à le faire ou pas??

Dernière modification par milambert (Le 19/03/2007, à 19:39)

ppmt · Le 19/03/2007, à 20:09

milambert a écrit :

Ce dont je parlait est un firewall applicatif (comme sous win), Genre, tien firefox tente de se coonetet sur le net, est il autorisé à le faire ou pas??

C'est ca que je demandais aussi. ZoneAlarm sous windows entre autres le fait bien.

milambert · Le 19/03/2007, à 20:23

j'en ai trouver quelques uns:

tuxGuadian : utilise qt3 ou la console
Program Guard : utilise gnome 2.x

j'en ai tester aucun mais je vais peut être le faire.

ppmt · Le 19/03/2007, à 20:53

tres bien.

Je pense que tuxGuardian a l'air plus proche de ce que je voudrais.

je vais voir a tester ca

jajaX · Le 20/03/2007, à 00:07

milambert a écrit :

par exemple, si tu est derrière ton router/modem une personne n'a théoriquement pas accès a ton serveur sauf (merci la segmentation, ...) si cet accès est spécifiquement autorisé sur le modem.

merci c'est justement la question que je me posais...

ppmt · Le 20/03/2007, à 04:55

j'ai installe TuxGuardian et je dois dire que ca marche plutot bien

Il me previent quand une application essaye de se connecter a internet

Bon c'est une peu brute de font comme programme mais ca marche

Par contre ca n'a pas l'air simple de le fermer

Je vais continuer a creuser cette application

milambert · Le 20/03/2007, à 12:54

@ppmt: j'ai fait un script qui se place dans /etc/init.d pour le lancement/arret automatique. (c'est a rajouter dans la doc ubuntu-fr )

ppmt · Le 20/03/2007, à 21:23

Tu pourrais nous donner ton script stp?

/Philippe

milambert · Le 23/03/2007, à 13:28

la doc est ici: doc.ubuntu-fr.org/tuxguardian

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 19/03/2007, à 02:22

sécurité pare feu ubuntu

#2 Le 19/03/2007, à 02:56

Re : sécurité pare feu ubuntu

#3 Le 19/03/2007, à 13:16

Re : sécurité pare feu ubuntu

#4 Le 19/03/2007, à 13:42

Re : sécurité pare feu ubuntu

#5 Le 19/03/2007, à 14:23

Re : sécurité pare feu ubuntu

#6 Le 19/03/2007, à 15:52

Re : sécurité pare feu ubuntu

#7 Le 19/03/2007, à 16:33

Re : sécurité pare feu ubuntu

#8 Le 19/03/2007, à 17:03

Re : sécurité pare feu ubuntu

#9 Le 19/03/2007, à 17:13

Re : sécurité pare feu ubuntu

#10 Le 19/03/2007, à 17:14

Re : sécurité pare feu ubuntu

#11 Le 19/03/2007, à 17:43

Re : sécurité pare feu ubuntu

#12 Le 19/03/2007, à 17:58

Re : sécurité pare feu ubuntu

#13 Le 19/03/2007, à 18:08

Re : sécurité pare feu ubuntu

#14 Le 19/03/2007, à 18:30

Re : sécurité pare feu ubuntu

#15 Le 19/03/2007, à 18:43

Re : sécurité pare feu ubuntu

#16 Le 19/03/2007, à 19:11

Re : sécurité pare feu ubuntu

#17 Le 19/03/2007, à 19:38

Re : sécurité pare feu ubuntu

#18 Le 19/03/2007, à 20:09

Re : sécurité pare feu ubuntu

#19 Le 19/03/2007, à 20:23

Re : sécurité pare feu ubuntu

#20 Le 19/03/2007, à 20:53

Re : sécurité pare feu ubuntu

#21 Le 20/03/2007, à 00:07

Re : sécurité pare feu ubuntu

#22 Le 20/03/2007, à 04:55

Re : sécurité pare feu ubuntu

#23 Le 20/03/2007, à 12:54

Re : sécurité pare feu ubuntu

#24 Le 20/03/2007, à 21:23

Re : sécurité pare feu ubuntu

#25 Le 23/03/2007, à 13:28

Re : sécurité pare feu ubuntu

Pied de page des forums