Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Pare feu ou pas ?

[supprimé]

tiramiseb a écritIl faut par contre rester vigilant sur les ports ouverts : les serveurs doivent être à jour, correctement sécurisées, etc. Et pour ça, le pare-feu n'est d'aucun secours.

Ok que si, avec un pare-feu, tu peux controler qui accedera à ton serveur ssh pour administrer ta machine. tu peux dire au pare-feu, s'il te plaît mon mignon, laisse passer tel host ou tel ip, les autres tu les interdis! C'est un bon complément avec un bon mot de passe pour ton serveur SSH, un ssh.conf au petit oignon, fail2ban et changement du mot de passe régulier 🙂

Comme je le dis, un pare feu est complémentaire... Tu as raison quant à utiliser un serveur à jour!

:-)

tiramiseb

Donc tu dis vrai un port fermé n'est pas forcément attaquable mais il peut fournir des informations précieuses voir même un peu plus.

La façon qu'a le système d'exploitation de répondre lorsqu'un port est fermé permet de deviner quel est le système d'exploitation, en effet. Chacun a sa "signature". Mais s"appuyer là-dessus pour « sécuriser » son serveur, ça ce n'est rien d'autre que de la sécurité par l'obscurité. http://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9_par_l%27obscurit%C3%A9

dès lors si une faille logiciel apparait (exploit)

Une faille logicielle ne peut pas apparaître vu qu'il n'y a pas de logiciel en écoute.
Il peut éventuellement y avoir une faille du noyau, ça s'est déjà vu, mais c'est rare. Et une telle faille serait valable sur n'importe quel port.

Si les ports sont masqués, cela signifie que le port est invisible

Je ne comprends pas ce concept de "invisible". Un port n'est pas visible ou invisible. Un port est toujours là. Un port ne disparaît pas. Dans tous les cas tu donnes une information au pirate. Le mur d'une maison n'est pas invisible, le cadenas non plus. Tu montres de toute manière quelque chose. Ne pas envoyer de réponse, c'est déjà une information.

Si tous les ports sont masqués, le PC est invisible (le cas de M et Mme Michu avec UFW enable).

Non car il y aura toujours soit des traces d'activité du PC, soit une réponse au ping, soit d'autres choses...
Un PC totalement furtif, c'est une utopie.

avec un pare-feu, tu peux controler qui accedera à ton serveur ssh pour administrer ta machine

Oui, c'est ce que j'ai déjà évoqué plus haut, tu peux faire un filtrage par adresse IP source. J'ai même indiqué que c'est un des cas où effectivement un pare-feu peut être utile. Mais là tu parlais de l'activation systématique d'un pare-feu chez madame Michu.

un bon mot de passe pour ton serveur SSH, un ssh.conf au petit oignon, fail2ban et changement du mot de passe régulier

fail2ban n'est pas indispensable.
la configuration par défaut de ssh de certaines distributions (Ubuntu, Debian notamment) est satisfaisante.
Pour une vraie sécurité, les mots de passe sont à bannir. Rien ne vaut les clés SSH.
Et le changement régulier de mot de passe, c'est un miroir aux alouettes.
Le changement régulier de mot de passe induit une simplification des mots de passe, c'est humain : personne ne souhaite et peu de monde est capable de régulièrement se souvenir d'un nouveau mot de passe.

Tiens, en matière de sécurité de mot de passe, je ne résiste pas à citer XKCD : http://xkcd.com/936/

svi_binette

Bonsoir,

Je me permets d'intervenir en tant que représentante des Mme Michu.
Pour ma part le message précédent de Tirmiseb est pour moi vraiment convaincant et je partage aussi son point de vue que trop se camoufler peut attirer l'attention, mais ça je pense que c'est subjectif.

En tant que mme Michu, je vois tout de même un avantage au pare-feu comme iptable sur la machine derrière une box : celui que mme Michu vit souvent en famille et qu'une box se partage. Ce qui est moins le cas du pare-feu sur la machine.
Je peux témoigner du fait qu'il est assez difficile de refuser longtemps de donner l'accès au mot de passe de l'administration de la box à ses enfants ados qui jouent, invitent des copains qui se connectent en wifi, montent des serveurs de jeux etc.. sans savoir le faire correctement. Qui peuvent créer une règle sur le mauvais pc et en refaire une autre car la première ne marche pas.
Du controle ok bien sûr mais je pense qu'il est un peu illusoire de vouloir tout contrôler (à moins d'être un expert)
Un erreur est si vite arrivée.

Mme Michu comme tout le monde commet l'erreur très fréquente de ne pas se méfier assez des dangers qui viennent de l'intérieur, encore moins s'il s'agit de ses enfants.

[supprimé]

tiramiseb a écrit
Donc tu dis vrai un port fermé n'est pas forcément attaquable mais il peut fournir des informations précieuses voir même un peu plus.
La façon qu'a le système d'exploitation de répondre lorsqu'un port est fermé permet de deviner quel est le système d'exploitation, en effet. Chacun a sa "signature". Mais s"appuyer là-dessus pour « sécuriser » son serveur, ça ce n'est rien d'autre que de la sécurité par l'obscurité. http://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9_par_l%27obscurit%C3%A9

Oui si tu veux, c'est ton droit de penser cela 😃

dès lors si une faille logiciel apparait (exploit)
Une faille logicielle ne peut pas apparaître vu qu'il n'y a pas de logiciel en écoute.
Il peut éventuellement y avoir une faille du noyau, ça s'est déjà vu, mais c'est rare. Et une telle faille serait valable sur n'importe quel port.

Oui pour n'importe quel port mais relis bien mes posts (Bref, un port fermé est donc inaccessible, mais visible. Un pirate peut dans ce cas tenter une attaque sur la machine qu’il voit, en cherchant une autre vulnérabilité)

Si les ports sont masqués, cela signifie que le port est invisible
Je ne comprends pas ce concept de "invisible". Un port n'est pas visible ou invisible. Un port est toujours là. Un port ne disparaît pas. Dans tous les cas tu donnes une information au pirate. Le mur d'une maison n'est pas invisible, le cadenas non plus. Tu montres de toute manière quelque chose. Ne pas envoyer de réponse, c'est déjà une information.

Je te renvoie sur la doc de Nmap ou sur le guide de OVH :-)
On a en fait deux choix ou niveau de cette règle. Soit on droppe les paquets, c'est-à-dire que si un paquet arrive et qu'il n'est pas accepté on l'efface. Le client attendra de son côté une réponse en vain, jusqu'au timeout. La deuxième solution est de rejeter les paquets (REJECT au lieu de DROP). Si un paquet non solicité arrive, on renvoie au client une erreur et il n'attend plus car il a une réponse négative. Rejeter les paquets est plus propre mais les jeter est plus securisé. En effet, imaginons quelqu'un qui vous envoie des paquets à répétition sur un mauvais port, votre serveur ne les traîtera pas, alors qu'avec la regle reject, il prendra le temps de répondre.
À vous de voir 😉 --> http://guide.ovh.com/fireWall

Si tous les ports sont masqués, le PC est invisible (le cas de M et Mme Michu avec UFW enable).
Non car il y aura toujours soit des traces d'activité du PC, soit une réponse au ping, soit d'autres choses...
Un PC totalement furtif, c'est une utopie
Bah regarde un exemple avec mon test chez zebulon ou test ton pc avec Nmap, l'un renvoi quelque chose et l'autre non (tu peux désactiver le ping avec Iptables si tu n'es pas joueur)

avec un pare-feu, tu peux controler qui accedera à ton serveur ssh pour administrer ta machine
Oui, c'est ce que j'ai déjà évoqué plus haut, tu peux faire un filtrage par adresse IP source. J'ai même indiqué que c'est un des cas où effectivement un pare-feu peut être utile. Mais là tu parlais de l'activation systématique d'un pare-feu chez madame Michu.

Pour M et Mme Michu, l'option d'un pare-feu est tout aussi envisageable pour une utilisation familiale et cerise, cela les amènera à comprendre un peu mieux ce qu'est un firewall, j'y vois un aspect pédagogique.

un bon mot de passe pour ton serveur SSH, un ssh.conf au petit oignon, fail2ban et changement du mot de passe régulier
fail2ban n'est pas indispensable. --> oui mais j'aime bien les truc inutiles, c'est mon héritage de BSD 😃
la configuration par défaut de ssh de certaines distributions (Ubuntu, Debian notamment) est satisfaisante. --> Arf, de mémoire la config de SSH permet par defaut un acces root avec le login sur une Debian Squeeze, ce n'est pas très sécure!--> PermitRootLogin yes
Pour une vraie sécurité, les mots de passe sont à bannir. Rien ne vaut les clés SSH. --> j'avais oublier de citer ce procéder, merci d'y avoir pensé 😉
Et le changement régulier de mot de passe, c'est un miroir aux alouettes.
Le changement régulier de mot de passe induit une simplification des mots de passe, c'est humain : personne ne souhaite et peu de monde est capable de régulièrement se souvenir d'un nouveau mot de passe.

Tiens, en matière de sécurité de mot de passe, je ne résiste pas à citer XKCD : http://xkcd.com/936/--> Merci pour le lien 😉

Pour résumer on peut penser qu'un pare-feu est facultatif puisque Linux est fermés par défaut mais on peut penser qu'un pare-feu est utile pour masquer son pc, chacun y trouvera sa définition.
Nonobstant, puisque ce genre de logiciel participe à la sécurisation avec d'autres logiciels et stratégies, pourquoi s'en priver? En plus cela permet d'apprendre pour un néophyte, moi j'y vois que du bonus...! Pour moi, ne pas envoyer de réponse, c'est escompter que le vilain pas bô passera son chemin et cherchera dans les logs de son scanner une ip qui donne une réponse... Même négative!

J'en conviens, un pare-feu n'est pas infaillible, tu peux le contourner par dessus via un appel de CreateRemoteThread et par le dessous via une bibliothèque adaptée (pcap)... Penser qu el'on risque rien parce que les ports sont fermés, c'est déjà un trou de sécurité...

Voili voilou, chacun fait comme il veut 😃

Mes amitiés.

Ignus.

Haleth

Je ne crois pas que les devs de Iptables aient conçu un truc inutile

Parcque tu penses que iptables est fait pour drop des paquets, alors que ce n'est qu'une partie ridiculeusement minime du potentiel de l'outil;

@ Haleth, quand tu fermes la porte de ta maison à clé, tu ne peux pas te faire cambrioler?

Je peux, mais mettre un cadenas sur la serrure ne change rien. De même que mettre un écriteau "ne pas cambrioler, merci";

Par défaut les portes sont fermées sur une Gnu/Linux, cela ne veut pas dire que l'on ne peux pas entrer (par effraction)

Ben si, c'est exactement ce que cela veux dire. Ou alors, tu n'as pas confiance dans le noyau Linux, tu penses que ce dernier est buggé et à un comportement non fiable. Dans ce cas, ce baser sur iptables pour "rationnaliser" ce comportement est étrange (iptables = netfilter = Linux); D'ailleurs, utiliser un noyau que tu sais "être buggé" n'est pas vraiment logique;

Ok que si, avec un pare-feu, tu peux controler qui accedera à ton serveur ssh pour administrer ta machine. tu peux dire au pare-feu, s'il te plaît mon mignon, laisse passer tel host ou tel ip, les autres tu les interdis! C'est un bon complément avec un bon mot de passe pour ton serveur SSH, un ssh.conf au petit oignon, fail2ban et changement du mot de passe régulier

Hmpf, ouais, c'est une raison valable
Personnelement, j'aime pas ce genre de pratique (autorisé ssh juste pour certaines IP), parcque t'es chiant
Ca m'empêche d'aller sur la machine, indépendament de ma localisation géographique et de ma connexion
M'enfin, pourquoi pas
(en fait, j'trouve que c'est le même genre d'idée que de faire tourner ssh sur un autre port .. à part faire chier, y'a pas de bénéfices)

http://xkcd.com/936/

:love:

Je te renvoie sur la doc de Nmap ou sur le guide de OVH :-)

nmap: c'est ca raison d'être, pour beaucoup
OVH: si c'est écrit par des "experts".. (j'allais écrire: comme toi, mais j'me retiens :troll)

En effet, imaginons quelqu'un qui vous envoie des paquets à répétition sur un mauvais port, votre serveur ne les traîtera pas, alors qu'avec la regle reject, il prendra le temps de répondre.

Pff, mouais, mais franchement ?
Si le but est d'arriver à ce niveau d'économie, le best est de nullrouter les IP;

la configuration par défaut de ssh de certaines distributions (Ubuntu, Debian notamment) est satisfaisante. --> Arf, de mémoire la config de SSH permet par defaut un acces root avec le login sur une Debian Squeeze, ce n'est pas très sécure!--> PermitRootLogin yes

Franchement !
En quoi c'est pas sécurisé ? En quoi sudo est plus sécurisé ?
Ou alors, c'est parcque le fait de rajouter les 10char du login augmente considérablement le temps de brute-force ?
Bénéfice: illusoire
Réalité: casse-couille de switch continuellement entre user machin et root (via sudo ? via su - & co ?); Et pour faire des scp etc, ca doit être pratique tien

Enfin bref, j'ai l'impression de voir un clone du java, orienté system & réseau.
Un argumentaire basé sur de potentiels supputations et des architectures obèses, juste pour faire plaisir à certains.

tiramiseb

svi_binette a écritl'erreur très fréquente de ne pas se méfier assez des dangers qui viennent de l'intérieur

C'est quelque chose qu'il faut garder en tête également : dans énormément de cas (piratages etc), la source du danger est à l'intérieur...

Ignus : ta manière de répondre en #44 est assez pénible à lire, c'est dommage : tu as tout mis dans un bloc citation, avec tes commentaires en italique au sein de mon message cité et tu termines même par une partie qui n'est pas en italique ; quelqu'un qui lit ça pour la première fois peut penser que tu en fais que citer mes propos, c'est un peu ennuyeux. Cela étant dit, retournons à notre petite discussion 🙂

Ignus a écritun port fermé est donc inaccessible, mais visible. Un pirate peut dans ce cas tenter une attaque sur la machine qu’il voit, en cherchant une autre vulnérabilité

Pour moi, ne pas envoyer de réponse, c'est escompter que le vilain pas bô passera son chemin et cherchera dans les logs de son scanner une ip qui donne une réponse...

Ok, avec tout ça, je vois un peu plus clair dans ta réflexion. Ce que tu dis, c'est qu'un port non "masqué" fait qu'un pirate sait qu'"on est là". Tu te places dans le cas où le pirate tente de se connecter "au petit bonheur la chance", en faisant des scans de ports sur un nombre important d'adresses. Dans ce cas, en effet, si on ne répond pas au ping et que tous les ports sont masqués, le pirate ne verra pas la machine et passera à une autre qui sera, peut-être, plus facile à "pirater". Mais ce n'est qu'un seul et unique cas d'attaque possible, c'est d'ailleurs bien plus l'apanage des script kiddies et des spammeurs (etc) qui ne cherchent qu'à pénétrer "'n'importe quoi", soit pour s'amuser (script kiddie) soit pour exploiter la machine à distance (spammeur, etc).
Bien sûr, à partir du moment où un seul port est ouvert c'est mort, on n'est plus "furtif" et on sera vu par le pirate en question.

Mais ni le script kiddie ni le spammer n'a envie de se creuser les méninges pour pénétrer une machine : après un test sommaire pour voir s'il y a une faille connue, l'un comme l'autre ira voir ailleurs s'il ne peut pas pénétrer, car la machine en question n'est pas directement ciblée par l'attaque, et il y a tellement de machines non sécurisées qu'il est plus rentable de trouver une autre machine non sécurisée. Cela même si les ports sont fermés au lieu d'être "masqués".

Il faut aussi prendre en compte les nombreux cas où l'attaque est ciblée, les cas où le pirate sait qui il veut pirater (espionnage industriel, etc) et qu'il fera tout pour pénétrer une machine. Un pare-feu "masquant" les ports ne sera d'aucun secours (en tout cas, ça ne protégera pas plus que des ports fermés) car le pirate tentera de toute façon de pénétrer, au moins par un moyen détourné.

Comme l'indique le guide d'OVH dont tu parles, il y a en effet également la question du DoS : si on DROP les paquets, alors le noyau mettra moins de temps à les traiter que s'il devait envoyer une réponse à chacun. On est donc moins sensibles aux DoS. Mais il y a bien d'autres manières (plus dynamiques) de se protéger des DoS, fail2ban en étant une (*).

(*): fail2ban, comme de nombreux autres outils, exploite les fonctionnalités de Netfilter, bien sûr : encore une fois, je ne dis pas que Netfilter est inutile. Mais recadrons encore une fois la discussion : toi tu sembles militer pour l'activation du filtrage (notamment avec UFW) systématiquement, chez tout le monde. C'est cela que je trouve inutile, et non l'existence même des firewalls (qui sont bien sûr utiles dans de nombreux cas).

Bah regarde un exemple avec mon test chez zebulon ou test ton pc avec Nmap, l'un renvoi quelque chose et l'autre non (tu peux désactiver le ping avec Iptables si tu n'es pas joueur)

Le test de base de nmap que le test sur zebulon-fr sont tous les deux très réduits, ils ne testent qu'un certain nombre de ports et un peu d'ICMP (**).
Ce n'est pas parce que la configuration standard de nmap ou le site zebulon-fr ne trouvent rien qu'un pirate aguerri ne trouvera rien.

(**): un vrai test, effectué par un pirate motivé, sur une machine bien ciblée, ça peut prendre des heures, voire des jours. Et pas quelques secondes comme le test de zebulon-fr, qui n'est qu'un petit test limité.

de mémoire la config de SSH permet par defaut un acces root avec le login sur une Debian Squeeze, ce n'est pas très sécure!--> PermitRootLogin yes

En quoi n'est-ce pas très "secure" ? Ce qui n'est pas secure, c'est d'utiliser un mot de passe faillible.

Autoriser la connexion en SSH en root sur une machine ne diminue pas sa sécurité. Désactiver ce paramètre dans un but "sécuritaire", c'est un miroir aux alouettes.
D'ailleurs, dans l'inconscient de l'administrateur, il se dira "personne ne peut accéder au compte root, je peux baisser la sécurité du mot de passe" : baisse de la sécurité, c'est l'inverse de l'effet recherché.

on peut penser qu'un pare-feu est utile pour masquer son pc

On peut le penser.
D'une part, pour le seul cas où je vois que cela aurait une quelconque utilisé, en fait masqué ou non l'attaquant s'en fiche car il abandonnera bien vite s'il ne trouve pas de faille évidente.
D'autre part, si l'attaque est ciblée, aucune technique ne pourra réellement masquer le PC, à part le débrancher...

puisque ce genre de logiciel participe à la sécurisation avec d'autres logiciels et stratégies, pourquoi s'en priver?

Parce qu'un logiciel mal utilisé peut avoir des effets de bord qui ne sont pas nécessairement bénéfiques.
Parce qu'un logiciel de plus, ça fait des possibilités de faille en plus.
Parce qu'un pare-feu, ça se gère ou ça ne s'utilise pas.

Penser qu el'on risque rien parce que les ports sont fermés, c'est déjà un trou de sécurité...

Lorsque tous les ports sont fermés, on ne risque aucune attaque par le biais de ces ports. C'est un fait.

Tant qu'on est connecté à un réseau, penser que l'on ne risque rien (quelle que soit la sécurisation qu'on a mise en place) c'est déjà un trou de sécurité... Malheureusement beaucoup croient que "ah voilà, le pare-feu est activé, je ne risque rien" après avoir lu des argumentaires comme le tien... Pour ma part j'explique en quoi le pare-feu sur la machine Ubuntu de madame Michu ne lui apporte rien et dans quelles situations ça peut en effet l'aider.

[supprimé]

En tout cas, merci à vous deux (et aux autres), pour cette file très instructive !

[supprimé]

Excusez moi, j'ai merdouillé dans mon post #44

tiramiseb a écritMalheureusement beaucoup croient que "ah voilà, le pare-feu est activé, je ne risque rien" après avoir lu des argumentaires comme le tien...

Non si tu relis mes posts, j'ai écris que c'était une sécurité supplémentaire, le "ah voilà, le pare-feu est activé, je ne risque rien" est ton interprétation, pas la mienne. 🙂
Pour moi, un sudo UFW enable ne changera rien pour les connexions internet de M et Mme Michu, si ce n'est qu'ils devront ouvrir le port de leur partage réseau s'ils en ont un... Et puis comme écrit plus haut, ça mange pas de pain 😃

haleth a écritFranchement !
En quoi c'est pas sécurisé ? En quoi sudo est plus sécurisé ?
Ou alors, c'est parcque le fait de rajouter les 10char du login augmente considérablement le temps de brute-force ?
Bénéfice: illusoire
Réalité: casse-couille de switch continuellement entre user machin et root (via sudo ? via su - & co ?); Et pour faire des scp etc, ca doit être pratique tien

Enfin bref, j'ai l'impression de voir un clone du java, orienté system & réseau.
Un argumentaire basé sur de potentiels supputations et des architectures obèses, juste pour faire plaisir à certains.

tiramiseb a écritEn quoi n'est-ce pas très "secure" ? Ce qui n'est pas secure, c'est d'utiliser un mot de passe faillible.

Autoriser la connexion en SSH en root sur une machine ne diminue pas sa sécurité. Désactiver ce paramètre dans un but "sécuritaire", c'est un miroir aux alouettes.
D'ailleurs, dans l'inconscient de l'administrateur, il se dira "personne ne peut accéder au compte root, je peux baisser la sécurité du mot de passe" : baisse de la sécurité, c'est l'inverse de l'effet recherché.

Concernant SSH, voici un exemple de doc --> Debian et la sécurité Pour PermitRootLogin yes, faut le mettre à no. Ne pas autoriser de connexion en tant que root. Si quelqu'un veut devenir root via ssh, deux logins sont maintenant nécessaires et le mot de passe root ne peut être attaqué par la force brute via SSH:

On peut aussi changer le port d'écoute, ainsi l'intrus ne peut être complètement sûr de l'exécution d'un démon sshd (soyez prévenus, c'est de la sécurité par l'obscurité) dans le sshd.conf
Aïe, tiramiseb va me tomber dessus :p 😃

Pour récapituler, aucune sécurité est parfaite et chaque admin réseau à sa technique pour sécuriser... Moi je préfère l'approche Debian et surtout celle de BSD maintenant vous avez votre propre approche et c'est bien légitime. Encore une fois je ne juge rien mais si un lecteur parcours ce thread, nos échanges lui permettront sans doute de faire un Mix et c'est le plus important non? 🙂

Allez zou, je passe à autre chose.

Yep!

Haleth

Du coup, j'ai essayé snort, c'est franchement décevant

En une paire d'heure de temps, il m'a craché plein d'annonce "danger", parcque je ping une autre machine .. à chaque ping, hop une alerte (et à chaque ICMP reply également)

Le danger du truc est vraiment contestable ..

Après, il m'a alerté sur le fait que certain paquet ont la même source/dest (priorité 2, high)
Bon, c'est cool, le protocole DHCP est un danger .. (0.0.0.0:68 -> 255.255.255.255:67)

Bref, outil très décevant, à mes yeux
Beaucoup d'alerte pour rien, beaucoup de bruits pour rien (Sheakspeare!)

J'me demande si, un jour, il peut me donner des trucs intéressants. Mais si, pour obtenir ces infos, je dois parser des millions de lignes sans intérêt, non, merci

tiramiseb

Ignus a écritConcernant SSH, voici un exemple de doc --> Debian et la sécurité Pour PermitRootLogin yes, faut le mettre à no. Ne pas autoriser de connexion en tant que root. Si quelqu'un veut devenir root via ssh, deux logins sont maintenant nécessaires et le mot de passe root ne peut être attaqué par la force brute via SSH:

Et en quoi ça apporte plus de sécurité ? Ça apport plus de contrainte, oui, mais pas plus de sécurité.

Concernant l'attaque par force brute du mot de passe, pour ma part je suis totalement immunisé vu que le mot de passe du compte root est verrouillé (avec la commande "passwd -l" notamment) : seule l'authentification par clé est possible.
Et j'estime que tous ceux qui s'occupent de la sécurité de leurs serveurs devraient faire comme ça, avant même de penser au pare-feu.

Ignus a écritOn peut aussi changer le port d'écoute, ainsi l'intrus ne peut être complètement sûr de l'exécution d'un démon sshd (soyez prévenus, c'est de la sécurité par l'obscurité)

Ben oui c'est clairement de la sécurité par l'obscurité, vu qu'il suffit de scanner les ports et de se connecter à tous les ports ouverts pour savoir ce qu'ils répondent :

sebastien@cao:~$ telnet <serveur> 22
Trying 88.191.185.95...
Connected to <serveur>
Escape character is '^]'.
SSH-2.0-OpenSSH_6.0p1 Debian-4

Là c'est sur le port 22, mais le comportement serait le même
Une telle "protection", ça ne tient pas deux minutes face à un pirate qui a vraiment l'intention de rentrer sur une machine particulière

Par contre, il y a beaucoup de tentatives de connexion SSH automatiques, généralement de la part de script kiddies : celles-ci tentent les combinaisons utilisateur / mot de passe courantes... En mettant SSH sur un autre port, on peut les éviter (car ces tentatives sont particulièrement bêtes et se concentrent sur le port standard ; rappelons-le, l'intérêt pour l'attaquant n'est pas de rentrer sur une machine précise mais de rentrer sur un maximum de machines, en exploitant les paramètres par défaut ou très utilisés : si on change le port de 22 à 222, par exemple, le couple user/mot de passe n'est probablement pas "admin/admin" : on est au niveau au-dessus 😃
Avec fail2ban on peut également facilement bloquer ce genre d'attaques.

aucune sécurité est parfaite et chaque admin réseau à sa technique pour sécuriser...

Tout à fait d'accord. La sécurité d'un système réside surtout dans le fait qu'il doit être géré, maintenu, mis à jour, supervisé, etc...

je préfère l'approche Debian

Je croyais que tu n'aimais pas la configuration par défaut d'OpenSSH sur Debian ... :lol:

Et puis sur Debian, il n'y a pas de pare-feu par défaut... 🙂

si un lecteur parcours ce thread, nos échanges lui permettront sans doute de faire un Mix et c'est le plus important non? 🙂

C'est clairement un grand intérêt de ce genre de discussions, oui.

Je pense que rifix, svi_binette et sogyam confirmeront 🙂

Hoper

Je me permets d'intervenir en tant que représentante des Mme Michu.
[...]
En tant que mme Michu, je vois tout de même un avantage au pare-feu comme iptable sur la machine derrière une box : celui que mme Michu vit souvent en famille et qu'une box se partage. Ce qui est moins le cas du pare-feu sur la machine.

Bonjour aux madames Michu :p

Ce que Tiramiseb essaye d'expliquer depuis le début (il me corrigera si je me trombe, je n'ai fait que survoler le thread), c'est que, box ou pas box, un firewall est inutile, point. Il y a beaucoup de raisons techniques à ça. Le concept même de firewall date d'il y a bien longtemps... A une époque ou le moindre paquet construit de façon un peu curieuse pouvait suffire à faire crasher un OS (ping of death sur windows 95...) sans parler des failles dans un grand nombre de services réseaux, utilisés par beuacoup de virus pour se propager (coucou blaster and co.)

Mais entre ce qui était vrai il y a 20 ans, et ce qui est vrai aujourd'hui, il y a un gouffre assez monstrueux. Même sur un Windows (seven hein, pas XP) je n'activerai pas de firewall sur une machine de production. Mais alors sur une machine linux desktop, sans aucun services ouvert !? La vraiment il faut etre tordu ou un peu maso pour vouloir activer ce genre de choses.

Sauf erreur (encore une fois je n'ai lu le thread qu'en diagonale) la seule raison technique valable qu'a finalement pu avancer Ignus en faveur de l'utilisation d'un FW est le fait de, peu être, donner un tout petit moins d'informations à un éventuel attaquant (tcp finger printing etc).

Heu... C'est tout ? Et juste pour ça, ça justifierai de de devoir se prendre la tête avec un truc qui posera forcément problème un jour ou l'autre ? (Hier j'ai cru qu'une machine sous windows était éteinte car pas de réponse aux ping... Ah bein non, c'est juste qu'un couillon d'admin (moi...) avait du activer le firewall par erreur un jour ou je devais être trop crevé pour regarder ou je cliquai).

Bref, un Firewall n’empêchera jamais rien. (Et surtout pas votre machine de se faire hacker, retourner, plier, rooter, owner de toutes les façon possibles et imaginables. Un firewall, ça ne sert plus à rien depuis l'invention des reverse shell, au moins !

Alors, bien sur, un firewall (surtout sous windows) peut s’avérer quand même utile dans certains cas. Mais uniquement si la personne qui le met en place sait le configurer pile poil comme il faut, en fonction de ses besoins etc. (Et la, on ne parle donc plus du tout des madame michu)

Voila, maintenant je vous laisse continuer entre vous 🙂

pires57

On peut aussi changer le port d'écoute, ainsi l'intrus ne peut être complètement sûr de l'exécution d'un démon sshd (soyez prévenus, c'est de la sécurité par l'obscurité)

c'est un petit peu la base cela, tu ne laisse jamais ssh sur le port 22 , les 3/4 des hackers sont de simple scripts-kiddies qui se contente de chopper quelque chose sur le net et ce quelque chose va attaquer sur les ports classiques en général.
Personnellement j'utilise un firewall mais il n'es pas nécessaire d'en mettre un dans n'importe quel cas.
Sur l'ensemble du sujet je suis un peu plus d'accord avec tiramiseb.

tiramiseb

Hoper a écritCe que Tiramiseb essaye d'expliquer depuis le début (il me corrigera si je me trombe, je n'ai fait que survoler le thread), c'est que, box ou pas box, un firewall est inutile, point.

Inconditionnellement inutile, non.
Inutile à madame Michu, oui.

une époque ou le moindre paquet construit de façon un peu curieuse pouvait suffire à faire crasher un OS (ping of death sur windows 95...)

Halala les souvenirs d'enfance... :lol:

Enfin bon, un pare-feu pour se protéger de ça c'était bof : ça empêchait tous les pings... Dommage...
Mais à cette époque, le blocage du ping était assez répandu...
Malheureusement, cette méthode inutile est toujours utilisée.

sans parler des failles dans un grand nombre de services réseaux

Oui enfin c'est pas un pare-feu qui répare les failles : si ton service dessert quelque chose, alors le port n'est pas bloqué par le pare-feu...

Sauf erreur (encore une fois je n'ai lu le thread qu'en diagonale) la seule raison technique valable qu'a finalement pu avancer Ignus en faveur de l'utilisation d'un FW est le fait de, peu être, donner un tout petit moins d'informations à un éventuel attaquant (tcp finger printing etc).

Heu... C'est tout ? Et juste pour ça, ça justifierai de de devoir se prendre la tête avec un truc qui posera forcément problème un jour ou l'autre ?

+++

uniquement si la personne qui le met en place sait le configurer pile poil comme il faut, en fonction de ses besoins etc. (Et la, on ne parle donc plus du tout des madame michu)

+++

pires57 a écrit
On peut aussi changer le port d'écoute, ainsi l'intrus ne peut être complètement sûr de l'exécution d'un démon sshd (soyez prévenus, c'est de la sécurité par l'obscurité)
c'est un petit peu la base cela, tu ne laisse jamais ssh sur le port 22

Pourtant je le fais et ça ne pose pas de problème.

pires57 a écritles 3/4 des hackers sont de simple scripts-kiddies qui se contente de chopper quelque chose sur le net et ce quelque chose va attaquer sur les ports classiques en général.

Et après ? Le serveur SSH à jour et un mot de passe pas bidon, ça suffit pour s'en prémunir.
Le changement de port, ça permet d'alléger les logs, c'est tout.

Dans ce cas, on va aussi dire que s'ils choppent des trucs pour attaquer des serveurs HTTP, autant changer les sites et ne pas les mettre sur le port 80 ?

pires57

cela dépend, sur un serveur avec un site accessible au public je laisse le port 80 mais sur un serveur interne accessible qu'à un nombre de personne restreint je ne laisse pas apache en écoute sur le port 80.
Pour ce qui est de SSH, je ne laisse jamais le port par défaut, j'ai toujours fait comme cela et j'ai mes petites habitudes ^^
En sachant bien évidement que je n'ai pas que cette "sécurité"

Hoper

Pourtant je le fais et ça ne pose pas de problème.

Tout pareil 🙂

Par contre, j'ai fail2ban qui tourne histoire d'éviter de trop pourrir les logs et bien sur d’empêcher un bruteforce (quelque soit le service). Fail2ban (ou équivalent), ça oui, ça me semblerait être une bonne base.

Mais Changer de port ? Mouarf 🙂

Tu sais qu'un nmap tu peux lui demander de scanner tous les ports si tu veux hein... Oui c'est un peu plus long, mais quand c'est un botnet avec des centaines de machines qui font que ça de leurs journées (et de leurs nuits) je pense que tes scripts kiddies ils s'en moqueront un peu du temps que ça peut prendre.

svi_binette

Bonsoir,

D'abord je précise que je n'arrive à "citer" comme je voudrais, ça viendra... (comme quoi mme Michu pour de vrai)

entre ce qui était vrai il y a 20 ans, et ce qui est vrai aujourd'hui, il y a un gouffre assez monstrueux

Effectivement, le paysage informatique évolue très vite, ce n'est pas la même échelle que celle de la vie normale, et je m'en rends compte très... fortement.
Pour autant j'ai très bien compris tout de suite qu'un certain point de vue (très respectable, argumenté etc.) défendait l'idée qu'un pare-feu était inutile et plutôt nocif si mal utilisé, ce qui peut arriver à tous (le "couillon" qui se bloque etc).
J'avoue que je suis dans le fond assez d'accord avec ça d'ailleurs.

En revanche, je ne suis pas d'accord quand vous présumez des besoins de Mme Michu. En fait je pense que beaucoup confondent statistiques comportementales et besoins. J'ai l'impression que beaucoup font de grands raccourcis du type : Mme Michu n'héberge pas son serveur chez elle, donc elle n'a besoin de rien, d'ailleurs Mme Michu ne veut pas entendre parler de sécurité.
Je pense moi que si mme Michu ne fait rien pour sa sécurité, c'est qu'elle ne le peut pas, et que quand elle désire s'y intéresser, la marche est trop grande à franchir. Avec deux grandes réactions typiques : bon tampis la box est une boite noire magique qui s'occupe de tout, ou à l'inverse je ne fais plus rien par internet tellement c'est dangereux.
En fait les besoins de Mme Michu, on présume bien souvent qu'ils concernent un détartrant plutôt que de pare-feu. Tout simplement parce que c'est plutôt Mr Michu qui s'occupe de l'ordinateur et de la télé comme de la voiture.

Mais alors sur une machine linux desktop, sans aucun services ouvert !?

Tout à fait d'accord. Ce que je crois, c'est que Mme Michu aimerait bien avoir des services ouverts. Et je pense que contrairement à ce qu'on pourrait entendre dans cette phrase, elle commencent à ouvrir certains services pour les plus téméraires d'entre elles. Ca risquerait presque de devenir une mode.

Ce serait aussi une idée préconçue de penser que si elle n'utilise que l'aspect graphique c'est parce qu'elle
n'aimerait pas du tout écrire des trucs dans un terminal. Encore une fois un raccourci. Il y a un temps on pensait que les femmes (et même elles mêmes pour une grande part) n'aimeraient pas du tout travailler, avoir un chéquier ou voter. Ca ne la regardait pas. "Elle n'en avait pas besoin".

Pour moi c'est une histoire de savoir, pas de besoin. Pour la sécurité, comme d'ouvrir des services en général, et pourquoi pas de pare-feu en particulier si Mme Michu veut se faire son idée par son expérience comme vous vous l'avez fait, ou en s'aidant de discussions si riches que celle-ci que vous donnez.
Donnez un savoir accessible pour les premières marches et Mme Michu développera elle aussi son esprit critique. Elle en viendra même à acheter la revue Misc où on parle de iptables pour ou contre.

Après il est évident que je ne me risquerais pas à essayer d'argumenter quoique ce soit du point de vue technique, ni sur linux ni sur win xp. Je n'ai pas les connaissances techniques nécessaires pour ça. Je pense simplement que les besoins de chacun sont différents et pas toujours ceux qu'on croit si fermement.

Optiplaste

svi_binette a écritBonsoir,

D'abord je précise que je n'arrive à "citer" comme je voudrais, ça viendra... (comme quoi mme Michu pour de vrai)
entre ce qui était vrai il y a 20 ans, et ce qui est vrai aujourd'hui, il y a un gouffre assez monstrueux
Effectivement, le paysage informatique évolue très vite, ce n'est pas la même échelle que celle de la vie normale, et je m'en rends compte très... fortement.
Pour autant j'ai très bien compris tout de suite qu'un certain point de vue (très respectable, argumenté etc.) défendait l'idée qu'un pare-feu était inutile et plutôt nocif si mal utilisé, ce qui peut arriver à tous (le "couillon" qui se bloque etc).
J'avoue que je suis dans le fond assez d'accord avec ça d'ailleurs.

En revanche, je ne suis pas d'accord quand vous présumez des besoins de Mme Michu. En fait je pense que beaucoup confondent statistiques comportementales et besoins. J'ai l'impression que beaucoup font de grands raccourcis du type : Mme Michu n'héberge pas son serveur chez elle, donc elle n'a besoin de rien, d'ailleurs Mme Michu ne veut pas entendre parler de sécurité.
Je pense moi que si mme Michu ne fait rien pour sa sécurité, c'est qu'elle ne le peut pas, et que quand elle désire s'y intéresser, la marche est trop grande à franchir. Avec deux grandes réactions typiques : bon tampis la box est une boite noire magique qui s'occupe de tout, ou à l'inverse je ne fais plus rien par internet tellement c'est dangereux.
En fait les besoins de Mme Michu, on présume bien souvent qu'ils concernent un détartrant plutôt que de pare-feu. Tout simplement parce que c'est plutôt Mr Michu qui s'occupe de l'ordinateur et de la télé comme de la voiture.

Mais alors sur une machine linux desktop, sans aucun services ouvert !?
Tout à fait d'accord. Ce que je crois, c'est que Mme Michu aimerait bien avoir des services ouverts. Et je pense que contrairement à ce qu'on pourrait entendre dans cette phrase, elle commencent à ouvrir certains services pour les plus téméraires d'entre elles. Ca risquerait presque de devenir une mode.

Ce serait aussi une idée préconçue de penser que si elle n'utilise que l'aspect graphique c'est parce qu'elle
n'aimerait pas du tout écrire des trucs dans un terminal. Encore une fois un raccourci. Il y a un temps on pensait que les femmes (et même elles mêmes pour une grande part) n'aimeraient pas du tout travailler, avoir un chéquier ou voter. Ca ne la regardait pas. "Elle n'en avait pas besoin".

Pour moi c'est une histoire de savoir, pas de besoin. Pour la sécurité, comme d'ouvrir des services en général, et pourquoi pas de pare-feu en particulier si Mme Michu veut se faire son idée par son expérience comme vous vous l'avez fait, ou en s'aidant de discussions si riches que celle-ci que vous donnez.
Donnez un savoir accessible pour les premières marches et Mme Michu développera elle aussi son esprit critique. Elle en viendra même à acheter la revue Misc où on parle de iptables pour ou contre.

Après il est évident que je ne me risquerais pas à essayer d'argumenter quoique ce soit du point de vue technique, ni sur linux ni sur win xp. Je n'ai pas les connaissances techniques nécessaires pour ça. Je pense simplement que les besoins de chacun sont différents et pas toujours ceux qu'on croit si fermement.

ViKToR69

Il est vrai que ce thread est intéressant mais ... y-a pas que les attaques entrantes ... !

Ce que j'ai lu sur les ports:

Lorsqu'un logiciel d'une machine cliente va vouloir accéder aux informations d'une machine serveur, ce logiciel va :

- ouvrir un port
- envoyer une requête à la machine serveur, sur le port qui héberge l'information qu'il désire
- recevoir cette information via le port qu'il avait précédemment ouvert
- refermer son port

Donc ok ça peut se comprendre ...

Pour moi, un port fermé, ouvrir un port ou fermer un port ... etc, est une question de vocabulaire réseau, ce qu'il faut savoir c'est que signifie physiquement/matériellement/réellement les concepts abstraits de ports fermés ou ouverts ... Mais je ne sais pas y répondre !

Pour bien comprendre, il faut être proche du matériel, niveau composant ... Moi, je vois les ports comme les sorties d'un circuit électronique de type démultiplexeur avec 65535 sorties et dont il est possible de le déconnecter (plus de liaison électrique) de tout autre circuit en plaçant, comme dit tout électronicien, sa sortie en haute impédance ... et c'est cette analogie physique que je comprend quand on parle de port fermé ! Mais, je ne pense pas que ce soit juste !

Donc, j'aimerais comprendre à quoi correspond physiquement un port fermé, ouvert car l'informatique réseau reste très abstraite !

Si on se place dans le cas où un PC (sans pare-feu) est contaminé par un virus, (virus au sens large, cheval de troie, ver et que sais-je encore ...) et que le but de ce virus est de se connecter à internet (avec donc notre adresse IP) pour réaliser toutes choses malicieuses ... en fait, ce PC sert de plateforme à un pirate par exemple ... afin de masquer son activité ...

Donc, ce virus, considéré comme un logiciel/programme ouvrira de sa propre initiative un port puisque les ports sont fermés car pas de pare-feu et donc le pirate pourra joyeusement effectuer ses petites activités ... donc ça c'était le cas où pas de pare-feu !

Maintenant, considérons le même PC avec ce virus mais cette fois-ci avec un pare-feu activé ... donc ce même virus voudra toujours se connecter au web puisque c'est ça fonction, et essaiera d'ouvrir un port mais voilà les ports ne sont plus fermés maintenant ils sont filtrés par le pare-feu ... et un message d'alerte indiquera qu'un programme essaie de se connecter à internet ! et on bloquera cette tentative ... et on fera les investigations qui s'imposent pour éradiquer ce virus ...

Conclusion: ça aurait été dommage de se priver d'un pare-feu non ? à moins que j'ai pris un mauvais exemple et que je raconte n'importe quoi !

[supprimé]

Salut 🙂

tiramiseb a écritJe croyais que tu n'aimais pas la configuration par défaut d'OpenSSH sur Debian ... lol

Non toujours pas mais je préfère leur approche sur la sécurisation (manuel de sécurisation) et encore plus celle de BSD (tu ne m'a pas cité en entier et j'aime Debian car ils ont porter leurs paquets sur le noyaux BSD). En effet il me semble qu'avec Gnu/linux, il faut te construire ton propre système tansdis que avec la famille BSD, c'est la sécurité par défaut. À moins que le noyau BSD soit moins sécurisé et qu'il use d'un pare-feu pour palier 😃 😛
Le problème pour construire son système et choisir s'il faut un pare-feu ou non sur un pc bureautique, Mme et M dupond (j'ai changé na 😃 ) ne sauront pas plus...

Hoper a écritSauf erreur (encore une fois je n'ai lu le thread qu'en diagonale) la seule raison technique valable qu'a finalement pu avancer Ignus en faveur de l'utilisation d'un FW est le fait de, peu être, donner un tout petit moins d'informations à un éventuel attaquant (tcp finger printing etc).
Heu... C'est tout ? Et juste pour ça, ça justifierai de de devoir se prendre la tête avec un truc qui posera forcément problème un jour ou l'autre ? (Hier j'ai cru qu'une machine sous windows était éteinte car pas de réponse aux ping... Ah bein non, c'est juste qu'un couillon d'admin (moi...) avait du activer le firewall par erreur un jour ou je devais être trop crevé pour regarder ou je cliquai).
Bref, un Firewall n’empêchera jamais rien. (Et surtout pas votre machine de se faire hacker, retourner, plier, rooter, owner de toutes les façon possibles et imaginables. Un firewall, ça ne sert plus à rien depuis l'invention des reverse shell, au moins !
Alors, bien sur, un firewall (surtout sous windows) peut s’avérer quand même utile dans certains cas. Mais uniquement si la personne qui le met en place sait le configurer pile poil comme il faut, en fonction de ses besoins etc. (Et la, on ne parle donc plus du tout des madame michu)

Donc on peut suivre ici qu'un pare-feu est facultatif. J'entends bien que ce n'est pas vital mais c'est un des composants de la sécurité globale (c'est ce que j'évoquais). D'ailleurs d'autre communauté semble moins présomptueuse, on trouve par exemple chez nos amis de fédora ce wiki sur le pare feu

Hoper a écritCe que Tiramiseb essaye d'expliquer depuis le début (il me corrigera si je me trombe, je n'ai fait que survoler le thread), c'est que, box ou pas box, un firewall est inutile, point.

Oui! dis moi, sur une buntu, Mme et M dupond (j'ai changé na 😃 ) ont une imprimante installée (non partagée) et ont activé le partage de fichier avec Samba, bah oui ils veulent pouvoir y accéder avec leur Windows... La buntu aura donc deux serveurs : Cups et Samba en écoute respectivement sur le port 631 puis 139 et 445. Tjrs pas besoin de pare-feu surtout avec le port 139 d'ouvert??? Et quid s'ils sont nomades avec leur Pc Buntu?

J'entends bien que la sécurisation d'un serveur passe par plusieurs outils mais des communautés comme Debian ou OpenBsd réalisent des audits régulièrement, leurs recommandations avec mon exemple de SSH sont-elles fantasques?

J'ai lu également que Ovh ne sont pas des spécialistes, que Nmap s'est leur raison d'être... Que Snort est totalement débile! Bin Snort dispose de quatre mode d'écoute, il suffit de le lancé dans le bon mode (mode sniffer, mode packet logger, mode IDS, mode IPS) avec les règles adéquates (comme Sheila :p ) . Snort est un très puissant outil et est connu comme un des meilleurs IDS sur le marché, même quand il est comparé à des IDS commerciaux. De nombreuses personnes dans la très active communauté Snort partagent leurs règles de sécurité, ce qui est très utile si l'on n'est pas un expert de la sécurité et si l'on veut des règles à jour. Cerise Snort peut jouer le même rôle que Fail2ban...

Bref, je m'aperçois que vous remettez systématiquement en cause le pare-feu et d'une manière générale les outils de sécurités... J'entends bien que le Noyaux Linux est solide etc etc (faille corrigées rapidement), que le réseau doit être supervisé avec machine à jour, encadré, et tout, et tout mais ce choix est-il judicieux...??? (µ¿*)

@ svi_binette , oui d'autant plus que le logiciel libre te permet d'acquérir le savoir, c'est une invitation ( et non une obligation ) à comprendre et à mieux maîtriser ce que font les logiciels sur ton pc. Comme cela tu ne seras plus tributaire des choix d'une distribution, tu pourras faire comme bon te semble et installer un pare feu si tu veux découvrir ou vraiment fermer ton pc... Bref tu deviens libre 😉

pires57

Tu sais qu'un nmap tu peux lui demander de scanner tous les ports si tu veux hein... Oui c'est un peu plus long, mais quand c'est un botnet avec des centaines de machines qui font que ça de leurs journées (et de leurs nuits) je pense que tes scripts kiddies ils s'en moqueront un peu du temps que ça peut prendre.

Oui je sais bien comment fonctionne nmap, je l'utilises régulièrement .
Quand au script kiddies, bien sur nmap peut les aidés mais encore faut t-il savoir l'utiliser, ce qui n'est pas le cas de tous.

« Page précédente Page suivante »