• [supprimé]

  • Message #21
  • Modifié
jmbif a écritBonsoir tout le monde,.. 😉
-pascal34- a écrit " routeur/firewall " veut-il dire soit un routeur ou soit un Firewall (ou soit les deux un routeur qui fasse Firewall) ? Si j'ai bien compris, par exemple derrière une Freebox, tu mets toujours un routeur avec son pare-feu actif entre celle-ci et ton pc stp ?
Pour info, le "pare-feu" de la freebox utilise ( entre autre ) Iptables version 1.4.3...Donc, à mon avis, inutile de
remettre une "sur-couche" pour une utilisation de son PC en version familiale... 😉


Je ne pense pas que ce soit un bon conseil pour les possesseurs de Freebox, une sécurité maximale, surtout en utilisation "familiale" est je pense un excellent reflex, faire le contraire et "sous-entendre" ou dire que c'est inutile ne relève pas vraiment d'une bonne pratique. Mon conseil, surtout pour une utilisation familiale, la femme, le mari (quand c'est madame qui s'occupe de la sécurité), les gamins ont leur pc bien souvent, donc blindez vos appareils, les recoins noirs du Web n'abritent pas vraiment des gens "cools", mais plutôt des gens content de trouvez par différent scans des réseaux familiaux onctueusement "faillés". (ou ouverts sur certains plans, si vous préférez).

Après, chacun voit midi à sa porte, et j'ai bien pris position de tes conseils, que je n'applique pas bien évidement et que je ne dispense pas non plus :rolleyes:


Petit rappel, pour les utilisateurs de réseaux "familiaux" et professionnels, ce site est devenu un incontournable :

http://www.cert.ssi.gouv.fr/site/


Vous avez parlé de failles sur des réseaux familliaux ? Professionnels ? Mmmmmmmh......... Chacun voit midi à sa porte. De plus comme l'indique le site suivant, comment faire confiance à Iptables 1.4.3 sur la Freebox en sachant qu'à la base Iptables avait reçu des changements (mêmes mineurs) et tout ça "dans le dos" du code de conduite de l'utilisation des logiciels libres(en 2011) , voir ici :

http://www.universfreebox.com/article/15021/Publication-du-code-source-de-la-Freebox-Un-accord-a-mis-fin-au-proces-intente-contre-Free



Donc bon, Iptables 1.43 sur Freebox hein..... On repassera, surtout que les responsables du projet en sont à la 1.4.21 seulement, voir le site officiel du projet ici :

http://www.netfilter.org/


tu as des pages récentes qui nous expliquent que maintenant Free se réfère exactement au code de conduite du logiciel Libre stp ?
Bonsoir Pascal34,

Je crois que je me suis mal exprimé,....je m'en excuse.
Ceux ne sont pas des conseils...je voulais juste dire que la freebox était équipée d'un excellent pare-feu,...voilà tout.

Et, je suis bien d'accord avec toi... 😉
Ah ben j'ai édité mon message pour donner d'autres renseignements et poser d'autres questions pour savoir où en été Free maintenant avec ses rapports au logiciel libre, parce qu'en 2011 c'était pas vraiment au top leur politique, même pas au top du tout.

Je m'excuse aussi je n'avais pas compris ton message dans ce sens là.
Merci pour ces infos que je ne connaissais pas,..
Je ne suis pas un fervent défenseur de Free,..simplement un utilisateur parmi tant d'autres qui a du "choisir" un jour un FAI...

Par contre, je sais qu'iptables est un "outil" vraiment top pour équiper les matériels de ce genre et, je voulais simplement
préciser que free l'utilisait dans ses freebox...et, que c'est une excellente protection ( si toutefois elle est bien paramétrée ??? ).
Oki, merci pour les infos aussi, vu qu'ils ont été condamné il y a quelques années, leur politique d'utilisation et d'adaptation d'Iptables a du changer je pense, mais je ne connais pas les détails, je suis comme toi, bonne soirée 😛
La Freebox n'a pas de pare-feu. C'est un simple routeur (ou non si elle est configurée en pont réseau).
bruno a écritLa Freebox n'a pas de pare-feu. C'est un simple routeur (ou non si elle est configurée en pont réseau).
Dans la mesure où derrière la Freebox le réseau est NATé, les adresses privées ne sont pas joignables à partir d'Internet.
Elle fait donc, par la force des choses, office de pare-feu de réseau.
Ce n'est pas un "vrai" pare-feu mais pour un réseau domestique c'est très bien.
L'important c'est que les machines internes ne soient pas joignables, ce qui est le cas.

(je parle bien sûr du fonctionnement en IPv4 ; en IPv6, ce n'est plus pareil vu que chaque machine a une adresse publique)
Oui je comprends ce que tu veux dire, mais un routeur n'est pas un pare-feu au sens strict.
Il agit comme un pare-feu « entrant » en isolant le réseau local. Mais il ne permet pas de filtrer les connexions ou les paquets sortants, un pare-feu au sens strict permet d'agir sur les paquets entrants et sortants. De plus, un routeur ne permet pas d'examiner les paquets qu'il transmet afin de s'assurer qu'ils sont bien à l'origine ou à destination d'une des machines du réseau local.
De plus, un routeur ne permet pas d'examiner les paquets qu'il transmet afin de s'assurer qu'ils sont bien à l'origine ou à destination d'une des machines du réseau local.
En l'occurrence, vu qu'il y a du NAT, la box examine (au moins un peu, dirons-nous) les paquets entrants car elle doit bien faire une correspondance avec une machine interne à laquelle retransmettre une réponse d'un équipement distant.

Mais on est bien d'accord, les box ne sont pas des pare-feux au sens strict du terme.
Pour moi, la sécurité a été la raison de conversion de mes installés.

Dans 90% des cas, des proches m'ont appelé à cause d'un ordi sous W$ en vrac (ultra lent ou bloqué par un ransomware).
Les 10% restants étaient directement installés sur un ordi neuf.

Leur ai installé Xubuntu.
UFW simplement activé.
Réglé leur box en WPA avec mdp fort.
Demandé de faire leurs maj (réglées à quotidien) et de ne charger des paquets que par la logithèque.
J'utilise les PPA indiques dans mon tuto de finalisation.
Noscript en réglage minimal, betterprivacy, adblock et wot sur leur Firefox
Qupzilla en navigateur de secours.

Certains venaient auparavant 1 fois par mois me voir avec un ordinateur tout vérolé - ils n'ont sûrement pas changé leur usage du net (à l'effet wot près).

Pas eu un seul problème de sécurité sur les 40 installations Xubuntu depuis 2011. (Donc 2013 a été une année tranquille ! )
UFW simplement activé.
Je ne suis pas sûr que ça apporte quelque chose.
Réglé leur box en WPA avec mdp fort.
Très bonne idée, je n'en parle même pas tellement c'est une évidence pour moi 😃
Demandé de faire leurs maj (réglées à quotidien) et de ne charger des paquets que par la logithèque.
C'est les points les plus importants à mon avis.
tiramiseb a écrit
UFW simplement activé.
Je ne suis pas sûr que ça apporte quelque chose.

(...)
Constatation perso : en général quand j'ai utilisé mon qbittorrent, pendant les deux jours suivants, mes démarrages sont plus lents.
Quand je regarde mon 
dmesg
je constate que la lenteur est due au blocage de tentatives de connexion à mon port torrent (provenant d'IP russes, chinoises ou africaines)
J'ai effectivement re-contrôlé un peu cette année donc en bilan
1-) Les navigateurs noscript sur firefox, mais maintenant aussi notsript pour chrome/chromium
2-) La box (mot de passe - contrôle de la désactivation de divers services de 'partages' gérable directement depuis la box - fixation des accès wifi sur identtifiant mac - fixation générale des IP locales (voir pourquoi ci-dessous).
3-) Suivi des mises à jour courante sur dépôt distrib - chasse aux softs inutilsés - quelques dépôts amis bien sélectionnés.
Théoriquement j'aurai du m'arréter là, pour mon cas.
-----
Mais vu le vent d'inquiétude qui a régné ces derniers temps j'ai recontrôlé la sécurité globale depuis les service externe dédiés.
Il y a eu quelque sorties violentes et polémiques sur le forum j'ai regardé de plus près le fonctionnement des parefeu linux (ce qui est manipulables à mon niveau donc ufw).
Résultat, comme exercice d'école, je me suis amusé à plomber les accès aux services locaux depuis le réseau local. Seules les machines effectivement inventoriées de façon fixe sur mon réseau accèdent aux services locaux (les partages samba - le réseau multimedia - ce qui peut tourner en localhost - les prises en main via ssh en local).
J'aurai pu encore plus spécialiser les accès/services autorisés machine par machine, et j'ai arrété là ma petite parano domestique.
Toujours en curieux j'ai regardé les histoire d'antivirus, ceux proposés à l'essai par les éditeurs windows (soft à installation malsaine sous linux et vraiment à fuir).
Ce qui tourne autour de clamav qui n'est ni dangereux ni pénalisant, juste inutile dans une utilisation comme la mienne.
----
Coté privacy : xubuntu mais c'est d'abors parce que je préfère cette interface. J'ai pris des mesures limitatives coté google, mais n'ai pas totalement coupé le cordon.

  • [supprimé]

  • Message #34
  • Modifié
agensbur a écritJ'ai effectivement re-contrôlé un peu cette année donc en bilan
1-) Les navigateurs noscript sur firefox, mais maintenant aussi notsript pour chrome/chromium
2-) La box (mot de passe - contrôle de la désactivation de divers services de 'partages' gérable directement depuis la box - fixation des accès wifi sur identtifiant mac - fixation générale des IP locales (voir pourquoi ci-dessous).
3-) Suivi des mises à jour courante sur dépôt distrib - chasse aux softs inutilsés - quelques dépôts amis bien sélectionnés.
Théoriquement j'aurai du m'arréter là, pour mon cas.
-----
Mais vu le vent d'inquiétude qui a régné ces derniers temps j'ai recontrôlé la sécurité globale depuis les service externe dédiés.
Il y a eu quelque sorties violentes et polémiques sur le forum j'ai regardé de plus près le fonctionnement des parefeu linux (ce qui est manipulables à mon niveau donc ufw).
Résultat, comme exercice d'école, je me suis amusé à plomber les accès aux services locaux depuis le réseau local. Seules les machines effectivement inventoriées de façon fixe sur mon réseau accèdent aux services locaux (les partages samba - le réseau multimedia - ce qui peut tourner en localhost - les prises en main via ssh en local).
J'aurai pu encore plus spécialiser les accès/services autorisés machine par machine, et j'ai arrété là ma petite parano domestique.
Toujours en curieux j'ai regardé les histoire d'antivirus, ceux proposés à l'essai par les éditeurs windows (soft à installation malsaine sous linux et vraiment à fuir).
Ce qui tourne autour de clamav qui n'est ni dangereux ni pénalisant, juste inutile dans une utilisation comme la mienne.
----
Coté privacy : xubuntu mais c'est d'abors parce que je préfère cette interface. J'ai pris des mesures limitatives coté google, mais n'ai pas totalement coupé le cordon.

Merci pour le témoignage, ça fait plaisir de voir que comme toi, d'autres personnes ont essayé (et y sont arrivés !), d'appréhender d'une meilleure façon les règles concernant la sécurité informatique, et tout ce qui gravite un peu autour, tu es donc devenu un peu plus "acteur" pour la sécurité de ton environnement informatique, ce qui pour beaucoup est une attitude, intelligente et responsable !
nam a écritUFW simplement activé.
Les régles par defaut sont ACCEPT si tu te contente de l'activé ... donc il faut le configurer...
Nononon.
Les règles par défaut sont :
incoming - refuser
outgoing - accepter
Ah oui tiens, la policy entrante par défaut d'UFW est deny. Bon ok, ça a une utilité de simplement l'activer, alors 🙂
ah?, en tout cas sur iptables avec debian la policy par défaut est ALLOW
en tout cas sur iptables avec debian la policy par défaut est ALLOW
tu parles de la policy par défaut de netfilter (qui est en effet ALLOW), en place quand on n'a rien configuré du tout, ou alors de la policy mise en place par ufw ?

Je viens de tester sur une machine sous Debian, la policy entrante appliquée par défaut par ufw est également drop...
et bien je n'utilise effectivement qu'iptable mais j'ai penser que ufw agissait de la même manière.
Je jetterais un coup d’œil a l'occas ^^