Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Pare feu ou pas ?

svi_binette

Bonsoir,

Votre discussion m'intéresse beaucoup bien que je sois vraiment débutante, je m'interroge moi aussi sur l'utilité d'un pare-feu sur mon pc, je veux dire derrière une box.
Il se peut que je rentre dans la catégorie des besoins dits "spécifiques", je voudrais ouvrir à quelques personnes l'accès à un site en cours de développement sans prendre de trop gros risques non plus.

J'ai bien compris que si on demande à des logiciels (Apache par exemple) d'être en écoute, c'est qu'on attend des "visiteurs" et qu'il ne s'agit donc pas d'interdire l'accès. J'ai cru comprendre aussi, qu'il était difficile ou plutôt impossible de distinguer un visiteur bienveillant d'un visiteur malveillant.

Cependant, je me demande si un pare-feu comme iptables (je ne sais plus comment s'appelle la catégorie de pare-feu) sur ma machine n'aurait pas une utilité tout de même :
celle de pouvoir réguler le trafic en terme de quantité (et non qualité malveillant/bienveillant) pour tenter de contrer tant bien que mal certaines attaques, comme deni de services (je ne suis pas sure du terme).

Il s'agirait de limiter le nombre de requêtes par unité de temps, cette unité de temps étant pas trop gênante pour un être humain, mais ralentirait assez un robot pour donner le temps de réagir...
Je ne sais pas si cette limite serait possible à donner pour une ip donnée et non pas pour l'ensemble des requêtes tous clients confondus.
Dans un cas, je trouve intéressant a priori pour les débuts (petit trafic), dans le deuxième cas, je trouverais intéressant cette possibilité pour tout le temps !

Je ne crois pas avoir une fonctionnalité de régulation comme celle-ci sur ma box. (peut-être que je n'ai pas encore trouvé ceci dit). Il y a peut-être bien d'autres moyens plus simples faire l'équivalent ? (dans Apache ?) et de ne pas s'ennuyer avec un pare-feu supplémentaire que je trouve assez rebutant pour un débutant.

tiramiseb

svi_binette : tu peux faire ce genre de choses en effet, avec le module "limit" d'iptables.
Voir là par exemple : http://blog.bodhizazen.net/linux/prevent-dos-with-iptables/

Cela étant dit, il y a peu de risques que tu subisses un DoS, tu n'es probablement pas une cible intéressante...

Si les personnes avec qui tu veux partager le site ont des adresses IP fixes, alors tu peux simplement n'autoriser l'accès qu'à ces adresses-là.
C'est clairement un cas où la mise en place d'un pare-feu devient utile.

svi_binette

Bonsoir et merci beaucoup pour le lien que je vais creuser et tenter de comprendre bien.
Pour la probabilité d'être victime de ce genre d'attaque, c'est vrai que ça peut paraître bizarre (probaboibilit quasi nulle si petit trafic attendu), mais la situation est très particulière. Ce serait trop long à expliquer et cela "pourrirait" le post avec des explications qui n'intéressent que moi mais il y a des situations où il est positif et tout à fait justifié d'être parano.
Merci en tout cas pour le lien.

[supprimé]

le sujet est devenu très intéressant ,il y a quand même pas mal de personnes
qui se préoccupent de la sécurité !

svi_binette

Bonsoir,
Tout à fait d'accord. Beaucoup de gens s'intéressent à la sécurité.
Pas forcément des pros. Je pense que ça serait pas inutile de faire une sorte de doc là-dessus adaptée à des débutants (comme moi quoi) car si non ça fait vraiment beaucoup de directions dans lesquelles chercher, parfois des voies de garage, et parfois trop difficile à comprendre.
Le lien donné est lui aussi très intéressant ! (même avec un anglais pas terrible) -Merci !!! Exactement mes préoccupations.

pires57

bonsoir a tous,
@svi_binette :

pour tenter de contrer tant bien que mal certaines attaques, comme deni de services

je te conseille de regarder du coté de fail2ban

svi_binette

Bonsoir,

Merci, effectivement Fail2ban a l'air vraiment intéressant en complément de iptables!! J'avais entendu parler de Nessus, mais là, c'est un cran au dessus je trouve, on pourrait bannir une adresse ip pendant un laps de temps si le dans un log il y a de multiples erreurs d'authentifications, de façon automatique et souple...
Bon me voilà avec beaucoup de pistes à "creuser", c'est à dire tenter de comprendre vraiment pour ne pas trop faire de bêtise avec...
Merci infiniment à tous pour l'apprentissage.

pires57

oui ou faire plusieur niveau.
je m'explique :
je rentre 3 fois (exemple) un mauvais mot de passe pour l'acces ssh, je me fait ban 5 minute. puis je me fait encore ban 2 autre fois dans un intervalle de 2h et donc le ban sera de 24h ...
bien sur toute les valeurs sont fausse, c'est simplement des exemples ...

Haleth

Je pense notamment au partage CIFS sous Windows, qui est rarement désactivé : si un utilisateur partage un répertoire sans le protéger, même temporairement, il sera alors accessible à la terre entière...

Bah, deux faits sont acquis:
1) les dos-users AIMENT faire tourner des softs inutiles. Parcque consommer plus d'énergie est bon, parcqu'acheter un PC puissant pour rien est bon
2) les dos-users AIMENT saboter leurs softs. Parcque se mettre des limites est bon

Du coup, ca ne gène pas outre mesure.

NB: si j'comprend bien, la dernière version de dos gère l'ipv6 ? bonne nouvelle ! :troll:

[supprimé]

Salut 🙂

J'ai lu beaucoup de choses et certaines s'avèrent, à mon sens, inexactes.

Si vous êtes derrière une box, effectivement, configurer un pare-feu n'est pas utile... Sauf si vous avez une utilisation nomade de votre pc (3G, wifi public)
Le pare-feu fait partit de la sécurisation d'une machine, c'est un des piliers... Bien entendu les distribs Linux ne sont pas codées avec les pieds, donc les ports sont fermés, nonobstant ce n'est pas si sécurisé que cela... Cela veut juste dire qu'aucun service ou processus ne tourne!

Pour répondre directement à la question pare-feu ou pas? Je dis oui! Sa fonction est de séparer par un mur votre réseau local du réseau internet... Mais ce mur est intelligent, on peut lui dire de laisser sortir vos requêtes (http mail etc) sans pour autant accepter les requêtes en provenance d'internet, c'est la configuration par défaut de UFW et cela me semble être le bon emploi pour une station de travail.
Faîtes donc sudo ufw enable et vous verrez que rien ne change pour votre connexion, en revanche votre pc devient invisible aux yeux des méchants. Bien entendu, si vous réalisez un partage de fichier à domicile ou d'imprimante avec samba, un simple ufw allow samba ouvrira les ports adéquates pour que votre partage continu à être accessible, on peut même lui dire de masquer ce partage du réseau internet et le montrer qu'en réseau local.

Le fonctionnement d'un pare-feu est complexe pour une gestion d'un serveur, on peut lui dire par exemple de laisser l’accès à votre serveur ftp que pour certaines ips ou hosts... Concrètement, on peut dire, s'il te plaît gentil pare feu, interdit toutes les ip mais laisse l'accès à mon serveur ftp pour mon ami qui à l'ip xxx.xxx.xxx.xxx pour... c'est modulable à souhait!
Fail2ban est un excellent complément pour contrer les attaques par "brute force", tout comme il existe le fichier Htaccess de apache qui lui aussi est capable de réaliser plein de chose... J'adore Snort, c'est un sniffer que je lance en IDS, les logs sont révélateurs... Comme vous le comprenez, la sécurité d'un serveur est un ensemble d'outil qui conjointement permettent une certaine sérénité!

Quelques tests valent mieux qu'un long discourt 😃

Une debian prête à l'emploi (comme votre Ubuntu, je n'ai pas fait d'install minimum pour que tout soit comparable) sans parefeu directement sur internet (modem sans routeur, wifi public, 3G):

http://pix.toile-libre.org/upload/original/1369306214.png

Verdict, machine potentiellement hackable.

La même Debian avec sudo ufw enable

http://pix.toile-libre.org/upload/original/1369306279.png

C'est un peu mieux non?

Ce post est dédié à mon modo préféré 😃

tiramiseb

Salut Ignus,

Je ne suis pas d'accord avec toi.

Tu indiques qu'une machine qui a des ports fermés et non filtrés est "potentiellement hackable" : peux-tu expliquer comment un attaquant pourrait pénétrer une telle machine, si les ports concernés sont fermés ?
Pour toi, quelle est la différence entre un port fermé et un port filtré (appelé « masqué » dans l'outil Zebulon-fr que tu as utilisé), du point de vue d'une potentielle faille ?

Le pare-feu fait partit de la sécurisation d'une machine, c'est un des piliers...

Oui pour un pare-feu de réseau (donc pour la sécurité d'un réseau), non pour un pare-feu local (donc pour la sécurité d'une machine seule).

tout comme il existe le fichier Htaccess de apache qui lui aussi est capable de réaliser plein de chose

Le fichier .htaccess est à éviter autant que possible pour des questions de performance.
Donc dès qu'on a la main sur la configuration d'Apache, on désactive htaccess.

Haleth

Verdict, machine potentiellement hackable.

Verdict erroné: les ports sont fermés, donc personne ne peut les utiliser, personne ne les utilise, personne ne peut les utiliser, ils sont donc clairement non-hackable;

[supprimé]

@ tiramiseb

tiramiseb a écritOui pour un pare-feu de réseau (donc pour la sécurité d'un réseau), non pour un pare-feu local (donc pour la sécurité d'une machine seule).

Je ne crois pas que les devs de Iptables aient conçu un truc inutile. Étant utilisateur de BSD également, installe une pcbsd par exemple (très userfriendly), le pare feu est activé et paramétré par défaut pour une utilisation bureautique... Tâtonne du Freebsd ou du openbsd, c'est des prisons par défaut... Je veux un serveur chez moi qui soit accessible sur le net, je dois faire confiance à ma box ou à Iptables via UFw selon toi?
Pour héberger son propre serveur, il faut le mettre en DMZ pour qu'il soit accessible sur le web donc le pare feu de ma box ne filtre plus rien... À notre que le pare feu de la livebox est iptables 😉
Désactiver le htaccess, c'est te priver de plein de bonne chose, ce n'est en tout cas pas le choix de OVH et 1 AND 1 pour ne citer que les deux hébergeurs de mes sites 😃

Exemple de possibilité : http://openweb.eu.org/articles/le-fichier-htaccess

@ Haleth, quand tu fermes la porte de ta maison à clé, tu ne peux pas te faire cambrioler?

tiramiseb

Ignus a écritJe ne crois pas que les devs de Iptables aient conçu un truc inutile.

Je n'ai jamais dit que c'est inutile. Cela ne veut pas dire qu'il faut s'en servir tout le temps inconditionnellement.

Ignus a écritinstalle une pcbsd par exemple (très userfriendly), le pare feu est activé et paramétré par défaut pour une utilisation bureautique... Tâtonne du Freebsd ou du openbsd, c'est des prisons par défaut...

Il existe également des distributions Linux qui sont "verrouillées" comme ça.
Cela ne veut pas dire que c'est indispensable.

Ignus a écritJe veux un serveur chez moi qui soit accessible sur le net, je dois faire confiance à ma box ou à Iptables via UFw selon toi?

Si tu mets un serveur dispo derrière une box, tu fais une redirection d'un seul port. Il n'y a alors aucun intérêt à mettre un pare-feu, vu que le seul port accessible est le port que tu as besoin de rendre accessible.

Ignus a écritPour héberger son propre serveur, il faut le mettre en DMZ

Oui, il faut le mettre en DMZ.
Et le filtrage des communications entre Internet et la DMZ, c'est le pare-feu de réseau (passerelle) qui s'en charge.
Voir http://fr.wikipedia.org/wiki/Pare-feu_%28informatique%29

Ignus a écritle pare feu de ma box ne filtre plus rien...

Les box ne permettent pas de mettre en place une DMZ. La fonctionnalité appelée "DMZ" des box n'a rien à voir avec une DMZ, je déplore l'utilisation de ce terme dans ce cadre.

Une DMZ, c'est une zone totalement isolée du réseau interne.
La fonctionnalité des box, ce n'est pas une DMZ, c'est un open-bar : on donne accès à tous les ports d'une machine interne, sans la séparer du reste du réseau. La pire des choses à faire en matière de sécurité informatique d'un réseau.

Ignus a écritDésactiver le htaccess, c'est te priver de plein de bonne chose

Bien sûr que non.

Le .htaccess, ça permet uniquement de modifier la configuration locale d'Apache lorsque l'on n'a pas accès aux fichiers de configuration d'Apache.
Toutes les directives utilisables dans un fichier .htaccess sont utilisables dans les fichiers de configuration d'Apache, cette dernière méthode est à préférer.

Les fichiers .htaccess induisent une surcharge du serveur.

ce n'est en tout cas pas le choix de OVH et 1 AND 1 pour ne citer que les deux hébergeurs de mes sites 😃

L'hébergement mutualisé est le cas où le ".htaccess" peut être utile, car tu n'as pas toi-même accès aux fichiers de configuration d'Apache.

Ignus a écritExemple de possibilité : http://openweb.eu.org/articles/le-fichier-htaccess

Tu me donnes un document de référence, je vais t'en donner un autre :

GNU/Linux Magazine Hors Série n°66, titré "Apache", sorti il y a moins d'un mois, actuellement encore en kiosques. Celui-ci explique en quoi le fichier .htaccess est à éviter lorsque l'on le peut.
Oups, c'est moi qui l'ai écrit...

Ignus a écrit@ Haleth, quand tu fermes la porte de ta maison à clé, tu ne peux pas te faire cambrioler?

L'analogie du mur de la maison est une mauvaise analogie pour un pare-feu.

Le pare-feu, c'est le verrou qu'on met sur la porte ; une porte étant alors un port ouvert.
Un port fermé, c'est un mur.

Quand la maison n'est constituée que de portes murées (ports fermés) alors il n'est pas nécessaire de mettre un verrou dessus.

[supprimé]

tiramiseb a écritJe n'ai jamais dit que c'est inutile. Cela ne veut pas dire qu'il faut s'en servir tout le temps inconditionnellement.

Honnêtement, en 2013, l'utiliser est simplisme pour une Ubuntu. UFW enable et cela ne change rien pour M et Mme Michu qui peut utiliser son pc portable au MacDo ou ailleur... Qui plus est, ses connexions réseaux (sauf partage local) ne sont modifiés, ils masquent juste leur machine quand ils sont sur internet... Dès lors je ne comprends pas trop ce débat... Pourquoi s'en priver ?

tiramiseb a écritLes box ne permettent pas de mettre en place une DMZ. La fonctionnalité appelée "DMZ" des box n'a rien à voir avec une DMZ, je déplore l'utilisation de ce terme dans ce cadre.

Une DMZ, c'est une zone totalement isolée du réseau interne.
La fonctionnalité des box, ce n'est pas une DMZ, c'est un open-bar : on donne accès à tous les ports d'une machine interne, sans la séparer du reste du réseau. La pire des choses à faire en matière de sécurité informatique d'un réseau.

Bin écoute, pour ma livebox, je me sers de cette Doc

tiramiseb a écritLe pare-feu, c'est le verrou qu'on met sur la porte ; une porte étant alors un port ouvert.
Un port fermé, c'est un mur.

Je me permets simplement de te répondre à cette déclaration, ta perception du pare-feu est erronée... Par défaut les portes sont fermées sur une Gnu/Linux, cela ne veut pas dire que l'on ne peux pas entrer (par effraction). Mettre un pare-feu en amont, c'est simplement ne pas montrer à un attaquant potentiel que la porte existe et qu'elle est fermée par défaut.

Autrement dit : je joue les gros bras ou je me la joue discret?

Pour conclure mon message, je n'ai plus de noyaux Linux sur mes machines, je n'ai que du BSD avec les outils GNU de Debian (Debian Kfreebsd) et une Freebsd. C'est incomparable aux distros Linux userfriendly... J'ai beaucoup appris avec la communauté de Debian et la communauté BSD, je partage simplement mes expériences, je ne prétends pas quelles sont "vérités absolues".

À tous les nouveaux arrivants, n'oubliez pas de faire sudo ufw enable sur votre Ubuntu.

Je vous laisse.

Tschüssss!

tiramiseb

Ignus a écritHonnêtement, en 2013, l'utiliser est simplisme pour une Ubuntu. UFW enable et cela ne change rien pour M et Mme Michu qui peut utiliser son pc portable au MacDo ou ailleur... Qui plus est, ses connexions réseaux (sauf partage local) ne sont modifiés, ils masquent juste leur machine quand ils sont sur internet... Dès lors je ne comprends pas trop ce débat... Pourquoi s'en priver ?

Parce que c'est inutile, peut-être ?

En 2013, Un ordinateur sous Ubuntu n'écoute sur aucun port à part le client DHCP si nécessaire et le protocole Zeroconf.
Un pare-feu sur une machine qui n'a rien en écoute, c'est parfaitement inutile.

Par contre, un simple "ufw enable" va empêcher le protocole zeroconf, seul protocole en écoute par défaut, de fonctionner...
Et ça bloquera également les connexions CIFS entrantes lorsqu'un utilisateur partage un dossier sur le réseau : il devra alors en plus ouvrir un port.

Je vais donc tourner ta phrase dans l'autre sens : pourquoi s'en encombrer ?

Ignus a écritBin écoute, pour ma livebox, je me sers de cette Doc

Oui ben c'est ce que je dis, ce qui est décrit là n'est pas une DMZ. Encore une fois, je déplore l'utilisation de ce terme dans ce cadre.

Pour ma part, lorsque je pense à une DMZ, je me sers de mes cours de réseau et de sécurité ainsi que des plus de dix ans d'expérience professionnelle qui ont suivi...

Ignus a écritJe me permets simplement de te répondre à cette déclaration, ta perception du pare-feu est erronée...

Sérieusement ? J'écris des articles sur les systèmes et la sécurité dans le magazine "Linux" leader en France, j'ai plus de 10 ans d'expérience dans le domaine, des centaines de clients contents... et ma perception est erronée ?

Ignus a écritPar défaut les portes sont fermées sur une Gnu/Linux, cela ne veut pas dire que l'on ne peux pas entrer (par effraction).

Je vais donc reformuler la question à laquelle tu n'as pas répondu : comment on peut entrer par effraction par un port fermé ?
La réponse intéressera probablement ceux qui se demande comment on entre par effraction dans un système.
Et si tu arrives à donner une réponse sensée et étayée à cette question, peut-être que ma perception sera remise en question...

Ignus a écritMettre un pare-feu en amont, c'est simplement ne pas montrer à un attaquant potentiel que la porte existe et qu'elle est fermée par défaut.

Je vais te faire une confidence : les 65535 ports TCP et les 65535 ports UDP existent sur n'importe quel système qui dessert ces protocoles.
Un pirate n'est pas con (quoique, parfois on se demande :lol:), un pirate sait comment le protocole marche, un pirate sait que tous ces ports existent.

Mais vu que tu parles de portes, c'est une analogie avec une maison. Ton analogie est erronée.
Un port fermé, ce n'est pas une porte fermée. Un port fermé, c'est un mur.
Un port filtré par un firewall, par contre, c'est une porte fermée.

Ignus a écritAutrement dit : je joue les gros bras ou je me la joue discret?

gros bras = je mets un pare-feu pour montrer "héhé regarde, je filtre les ports" - le pirate y verra alors un challenge
discret = je ne mets pas de pare-feu, le pirate verra que les ports sont fermés et qu'il ne peut rien faire

Pour reprendre l'analogie de la maison :

sans pare-feu : lorsque l'on regarde ma maison, on voit plein de murs, aucune fenêtre et aucune porte : aucune chance de passer
avec pare-feu : lorsque l'on regarde ma maison, on voit 65535 portes cadenassées et on ne sait pas si derrière c'est muré : ça vaut peut-être le coup d'aller voir.

Ignus a écritÀ tous les nouveaux arrivants, n'oubliez pas de faire sudo ufw enable sur votre Ubuntu.

À tous les nouveaux arrivants, ne prenez pas pour argent comptant une phrase dite comme ça sur un forum, renseignez-vous.
Cela ne veut pas dire qu'il faut prendre mes propos pour argent comptant ; faites marcher votre cerveau.

[supprimé]

tiramiseb 🙂

Mes propos ne font que traduire mon expérience technique acquise auprès de plusieurs communautés (Debian et BSD), en aucun cas je suis apte à juger de tes qualiltés professionnelles ou celles du magazine que tu mentionnes, je partage seulement ma vision, je reste dans l'échange technique, c'est tout. Et pour ton info, je suis aussi admin réseau dans ma boite, cette fonction requière des formations régulières... :-)

tiramiseb a écritParce que c'est inutile, peut-être ?

Rhôôô comme tu y vas, lol : Gaffe quand même au nouveaux arrivants ;-)

tiramiseb a écritgros bras = je mets un pare-feu pour montrer "héhé regarde, je filtre les ports" - le pirate y verra alors un challenge
discret = je ne mets pas de pare-feu, le pirate verra que les ports sont fermés et qu'il ne peut rien faire

Je le vois plutôt comme ça:

Tu mets un pare-feu pour que tes ports soient masqués, autrement dit, le vilain pas bô ne verra pas (avec un scanner par exemple) qu'il y a des portes fermées et ne sera pas tenté d'approfondir pour voir si les serrures tiennent le choc... Si pas de pare-feu, le scanner verra des portes fermées... Comme je l'ai écris plus haut, le pare-feu est un outil pour sécuriser avec d'autres logiciels, la sécurité est un état d'esprit global, donc ce genre de logiciel est complémentaire...

J'ai quitté les forums Linux car l'arrogance du Linuxien avancé empêche bien souvent les échanges (attend je sais faire ca alors si je te le dis c'est que c'est vrai)! Pour M et Mme Michu, un sudo ufw enable ne changera rien à ses connexions pour ses besoins internet (sauf partage local), alors pourquoi s'en priver surtout s'il est nomade? J'ai bien compris ta vision technique mais elle n'est pas mienne 😃

Pour ta dernière interrogation:

tiramiseb a écritJe vais donc reformuler la question à laquelle tu n'as pas répondu : comment on peut entrer par effraction par un port fermé ?
La réponse intéressera probablement ceux qui se demande comment on entre par effraction dans un système.
Et si tu arrives à donner une réponse sensée et étayée à cette question, peut-être que ma perception sera remise en question...

C'est abordé dans les formations d'admin réseau ou "certains forums spécialisés" ... 😃 . Savais tu que ce forum d'entre aide "Linux" est motorisé par du BSD? (Koala Web Server/2.4.0 (FreeBSD 6.2) Server at forum.ubuntu-fr.org Port 80). Pourquoi? Quels en sont les raisons...? Performance? Sécurité? Ils savaient pas installer une distrib "Linux"? Si je puis me permettre, les choix natifs sont différents. Avec Linux, c'est open bar par défaut et tu construis ton truc comme tu veux, avec BSD, c'est sécurisé par défaut... Je ne suis pas apte à juger si l'un vaut mieux que l'autre mais j'ai choisis BSD car je le trouve plus en cohérence avec mes formations...

Voilà mon ami, rien de personnel, juste un partage qui vaut ce qui vaut... Et comme je ne détiens pas la vérité, je me remets en cause pour progresser encore un peu plus dans les connaissances qu'offrent le logiciel libre à ses utilisateurs. ;-)

Hasta luego.

[Édit] Puisque tu es un user avancé, installe Snort sur ton pc et observe bien les logs... Moi ça me fait flipper *¿*

tiramiseb

Ignus a écritJe le vois plutôt comme ça:

Tu mets un pare-feu pour que tes ports soient masqués, autrement dit, le vilain pas bô ne verra pas (avec un scanner par exemple) qu'il y a des portes fermées et ne sera pas tenté d'approfondir pour voir si les serrures tiennent le choc... Si pas de pare-feu, le scanner verra des portes fermées... Comme je l'ai écris plus haut, le pare-feu est un outil pour sécuriser avec d'autres logiciels, la sécurité est un état d'esprit global, donc ce genre de logiciel est complémentaire...

Récapitulons le fonctionnement des ports TCP :

Un port ouvert, c'est un port sur lequel un processus est en écoute. Quand on essaie de s'y connecter, la connexion est acceptée et le port répond. Un pirate peut donc tenter d'exploiter une éventuelle faille du processus en écoute.

Un port fermé, c'est un port sur lequel rien n'est en écoute. Quand on essaie de s'y connecter, la connexion est explicitement refusée : on sait qu'il n'y a rien en écoute sur ce port, qu'on ne pourra pas s'y connecter, qu'il n'y a rien à exploiter (*). Un pirate se dira donc que ce n'est pas un moyen d'entrer.

Un port masqué (ou "stealth"), c'est un port sur lequel le pare-feu fait en sorte qu'il n'y ait jamais aucune réponse ; le seul moyen de "masquer" un port c'est par le pare-feu. Quand on essaie de s'y connecter, on a un timeout au bout d'un moment, aucune réponse : on ne sait donc pas si derrière il y a quelque chose en écoute, si le port est ouvert ou fermé (**). Un pirate se dira donc qu'il doit bien y avoir une raison pour "cacher" ce port, que c'est un truc à garder sous le coude pour essayer de l'exploiter d'une manière détourner ; « on ne sait jamais ».

Pour reprendre et recorriger ta mauvaise analogie avec la maison et les portes :

Avec le pare-feu (donc avec des cadenas partout), le vilain pas bô ne verra pas s'il y a une porte ouverte ou un mur derrière ; il sera donc tenté de creuser pour voir s'il peut faire sauter les serrures d'une manière détournée (***).
Sans pare-feu (donc avec des murs partout), le vilain pas bô verra qu'il n'a aucune chance de passer, il pourra laisser tomber.

(*) c'est là que je ne comprends pas ton propos et que j'ai réellement besoin d'une explication de ta part : un port fermé, c'est un port fermé, il n'y a aucun moyen de l'exploiter. Quel moyen d'exploiter un tel port vois-tu ?
(**) c'est expliqué ici : http://fr.wikipedia.org/wiki/Balayage_de_port
(***) la manière détournée, ça peut être une prise de contrôle d'un truc secondaire mal sécurisé, qui ne donne pas nécessairement un accès shell ou root, mais qui permet de se connecter sur des portes qui sont bloqués par le pare-feu en ce qui concerne les accès de l'extérieur ; ça peut aussi (et souvent) inclure du social engineering (****)
(****) eh ouais, la plupart des vraies attaques exploitent énormément le social engineering : PEBKAC dans la beaucoup de cas.

Ignus a écritJ'ai quitté les forums Linux car l'arrogance du Linuxien avancé empêche bien souvent les échanges

Quel est l'intérêt de mentionner cela ici ?

Pour M et Mme Michu, un sudo ufw enable ne changera rien à ses connexions pour ses besoins internet (sauf partage local), alors pourquoi s'en priver surtout s'il est nomade?

Parce que c'est inutile.

Ignus a écrit
tiramiseb a écritJe vais donc reformuler la question à laquelle tu n'as pas répondu : comment on peut entrer par effraction par un port fermé ?
La réponse intéressera probablement ceux qui se demande comment on entre par effraction dans un système.
Et si tu arrives à donner une réponse sensée et étayée à cette question, peut-être que ma perception sera remise en question...
C'est abordé dans les formations d'admin réseau ou "certains forums spécialisés" ... 😃

Donc, aucune réponse étayée ? Un exemple ? Quelque chose ? Parce que non, je ne connais aucune formation où on parle de possibles attaques sur des ports fermés.
Là, sincèrement, je ne vois pas de quelle manière on peut vouloir pénétrer un serveur par un port fermé... Une explication de ta part serait utile.
(c'est une vraie requête, hein)

Ignus a écrit Savais tu que ce forum d'entre aide "Linux" est motorisé par du BSD? (Koala Web Server/2.4.0 (FreeBSD 6.2) Server at forum.ubuntu-fr.org Port 80). Pourquoi? Quels en sont les raisons...?

Peut-être parce qu'il est gracieusement hébergé par l'université de Nantes et que c'est l'administrateur système de l'université de Nantes qui fait son choix, indépendamment des préférences des administrateurs web et webmasters du site hébergé ?

tiramiseb

Ignus a écrit[Édit] Puisque tu es un user avancé, installe Snort sur ton pc et observe bien les logs... Moi ça me fait flipper *¿*

Je connais Snort. Et je sais qu'il y a souvent des tentatives d'attaques.
Même pas besoin de Snort pour s'en rendre compte, on trouve des traces de ce genre de tentatives à plein d'endroits : logs de SSH, logs du serveur web, etc.

Mais il n'y a pas de raison de flipper : un port fermé c'est un port fermé et aucune attaque ne pourra réussir sur un tel port.
Il faut par contre rester vigilant sur les ports ouverts : les serveurs doivent être à jour, correctement sécurisées, etc. Et pour ça, le pare-feu n'est d'aucun secours.

[supprimé]

:-)

tiramiseb a écrit(*) c'est là que je ne comprends pas ton propos et que j'ai réellement besoin d'une explication de ta part : un port fermé, c'est un port fermé, il n'y a aucun moyen de l'exploiter. Quel moyen d'exploiter un tel port vois-tu ?

Issue de la doc de Nmap

fermé (closed)

Un port fermé est accessible (il reçoit et répond aux paquets émis par Nmap), mais il n'y a pas d'application en écoute. Ceci peut s'avérer utile pour montrer qu'un hôte est actif (découverte d'hôtes ou scan ping), ou pour la détection de l'OS. Comme un port fermé est accessible, il peut être intéressant de le scanner de nouveau plus tard au cas où il s'ouvrirait. Les administrateurs pourraient désirer bloquer de tels ports avec un pare-feu, mais ils apparaîtraient alors dans l'état filtré décrit dans la section suivante.

filtré (filtered)
Nmap ne peut pas toujours déterminer si un port est ouvert car les dispositifs de filtrage des paquets empêchent les paquets de tests (probes) d'atteindre leur port cible. Le dispositif de filtrage peut être un pare-feu dédié, des règles de routeurs filtrants ou un pare-feu logiciel. Ces ports ennuient les attaquants car ils ne fournissent que très peu d'informations. Quelques fois ils répondent avec un message d'erreur ICMP de type 3 code 13 (« destination unreachable: communication administratively prohibited »), mais les dispositifs de filtrage qui rejettent les paquets sans rien répondre sont bien plus courants. Ceci oblige Nmap à essayer plusieurs fois au cas où ces paquets de tests seraient rejetés à cause d'une surcharge du réseau et pas du filtrage. Ceci ralenti terriblement les choses.

Donc tu dis vrai un port fermé n'est pas forcément attaquable mais il peut fournir des informations précieuses voir même un peu plus. Nikto est très performant sur la détection des OS, logiciels etc, dès lors si une faille logiciel apparait (exploit), tu la trouveras vite fait avec gout gueule des informations plus précises 😃

Bref, un port fermé est donc inaccessible, mais visible. Un pirate peut dans ce cas tenter une attaque sur la machine qu’il voit, en cherchant une autre vulnérabilité. Si les ports sont masqués, cela signifie que le port est invisible. Si tous les ports sont masqués, le PC est invisible (le cas de M et Mme Michu avec UFW enable).

D'ou ma question, pourquoi s'en priver?
:-)

« Page précédente Page suivante »