Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[ info ] Qu'a représenté pour vous la sécurité sur Ubuntu en 2013?

nam1962

Bref :

sudo apt-get install gufw
sudo ufw enable

ferme les port entrants, épissétou.

(Gufw, c'est pour voir avec un peu de lisibilité, puisque ufw est installé par défaut 😛 )

tiramiseb

et bien je n'utilise effectivement qu'iptable

'faut un peu évoluer, 'spèce de barbu !

nam1962

tiramiseb a écrit(...)
'faut un peu évoluer, 'spèce de barbu !

Ah, c'est lui ?

jmbif

Bonjour,

Intéressant ce "fil",... 😉

Pour ufw je confirme ,....
Moi qui suis débutant sous Linux ( mais pas en Informatique ), j'avais était surpris de voir que le pare feu était
désactivé par défaut...d'autant que les règles de filtrages sont apparemment "pensées" pour satisfaire une
utilisation,...comment pourrais-je dire,..."familiale"...j'avais trouvé ça bizarre, mais bon, ce n'est qu'un détail..

Pour le wi-fi, partout où je passe ( famille, amis ),...j'active le filtrage mac et j'explique.
Les gens ne sont pas suffisamment informés ( ou n'osent pas trop "toucher" aux réglages de leur box )
c'est vraiment dommage car c'est une protection efficace et supplémentaire aux clés WPA qui, nous le savons,...ne sont
pas un problèmes pour certains.
Pour ma part, je n'utilise pas le wi-fi ( je suis un peu trop parano en ce qui concerne la sécurité ) et j'ai eu le tort ( mais j'aime )
de lire pas mal de bouquins sur la sécurité, et depuis, je fuis comme la peste tout ce qui est wi-fi.

[supprimé]

Ah, c'est lui ?

YES. et même que ça gratouille dûr ! 😃

tiramiseb

j'avais était surpris de voir que le pare feu était désactivé par défaut

Il n'y a pas besoin de pare-feu par défaut.
Un pare-feu est nécessaire quand il y a des trucs qui écoutent alors qu'ils ne devraient pas.
Par défaut sur Ubuntu, il n'y a que le strict nécessaire qui écoute.

jmbif

Bonjour tiramiseb,

On est bien d'accord,....c'est pour cela que j'ai précisé que j'étais débutant sous Linux.
J'ai encore de "mauvaises habitudes",... 😃 😃 😃

[supprimé]

jmbif a écritBonjour,

Intéressant ce "fil",... 😉

Pour ufw je confirme ,....
Moi qui suis débutant sous Linux ( mais pas en Informatique ), j'avais était surpris de voir que le pare feu était
désactivé par défaut...d'autant que les règles de filtrages sont apparemment "pensées" pour satisfaire une
utilisation,...comment pourrais-je dire,..."familiale"...j'avais trouvé ça bizarre, mais bon, ce n'est qu'un détail..

Pour le wi-fi, partout où je passe ( famille, amis ),...j'active le filtrage mac et j'explique.
Les gens ne sont pas suffisamment informés ( ou n'osent pas trop "toucher" aux réglages de leur box )
c'est vraiment dommage car c'est une protection efficace et supplémentaire aux clés WPA qui, nous le savons,...ne sont
pas un problèmes pour certains.
Pour ma part, je n'utilise pas le wi-fi ( je suis un peu trop parano en ce qui concerne la sécurité ) et j'ai eu le tort ( mais j'aime )
de lire pas mal de bouquins sur la sécurité, et depuis, je fuis comme la peste tout ce qui est wi-fi.

Salut jmbif.

Activer le filtrage MAC n'est peut-être pas une si bonne idée que cela, surtout si tu le fais chez tout le monde, on peut voir que ce filtrage est soumis à quelques faiblesses :

Sur Wikipédia, voir la partie appelée "Mac Spoofing" et la partie du dessous appelée "Fausse idées concernant le filtrages par adresse MAC" : http://fr.wikipedia.org/wiki/Filtrage_par_adresse_MAC

Et cet article (de 2007 par contre) mais voir après le titre appelé "Déjouer le filtrage MAC" : http://www.clubic.com/article-80766-2-dossier-guide-securite-wifi-wep-wpa-crack-hack.html

Comme tu t'es lancé dans cette voix, étais-tu au courant de tout cela jimbif stp ?

pires57

ahah tiramiseb^^
le problème c'est qu'UFW (je ne dis pas que c'est un mauvais outils loin de la) n'est pas assez restrictif, certes il remplis son rôle de firewall mais il n'offre pas la totalité des fonctionnalités que peut m'offrir Iptables.

nam j'aime pas trop cette barbe la x) mais bon chacun ses goûts mdr .

bruno

nam1962 a écritBref :

sudo apt-get install gufw
sudo ufw enable

ferme les port entrants, épissétou.

Les ports ne sont pas « fermés », ils sont « masqués ». C'est toute la différence entre REJECT et DROP…

jmbif

Salut Pascal34,... 😉

Selon moi, le filtrage par adresse mac est un plus,....il n'est pas suffisant à lui seul .....et, oui, je suis au courant des possibilités d'usurper
une adresse mac.

Mais, d'ailleurs, tu as dis toi même que c'était un bon moyen dans le post 35.

La sécurité informatique restera toujours un ensemble de régles qui doivent être "des automatismes" de la part de l'utilisateur et
malheureusement, beaucoup ne se basent que sur leur seules protections logicielles en se croyant à l'abri.
Un comportement "responsable" est nécessaire lorsque l'on utilise l'outil informatique.

tiramiseb

bruno a écritLes ports ne sont pas « fermés », ils sont « masqués ».

Disons que pour rester simple, pour ma part j'ai évité de parler de la différence fermé/masqué 🙂
J'imagine que nam1962 a fait pareil 😃

pires57 a écritUFW [...] n'offre pas la totalité des fonctionnalités que peut m'offrir Iptables.

Oui, c'est sûr que Uncomplicated FireWall est moins complet qu'iptables.
Mais il permet tout ce qui est nécessaire dans la majorité des cas (serveur seul, poste de travail, etc).

Et si tu as besoin d'aller au-delà, plutôt que de te tourner vers un truc bas niveau comme iptables, pourquoi ne pas plutôt rester en haut niveau et utiliser un bon logiciel complet de gestion de pare-feu ? Je pense bien sûr à Shorewall...

[supprimé]

jmbif a écritSalut Pascal34,... 😉

Selon moi, le filtrage par adresse mac est un plus,....il n'est pas suffisant à lui seul .....et, oui, je suis au courant des possibilités d'usurper
une adresse mac.

Mais, d'ailleurs, tu as dis toi même que c'était un bon moyen dans le post 35.

La sécurité informatique restera toujours un ensemble de régles qui doivent être "des automatismes" de la part de l'utilisateur et
malheureusement, beaucoup ne se basent que sur leur seules protections logicielles en se croyant à l'abri.
Un comportement "responsable" est nécessaire lorsque l'on utilise l'outil informatique.

Tout à fait d'accord, le filtrage des adresses mac est un plus, mais il n'est pas suffisant : il faut l'associer à une clé bien complexe, à de l'ip fixe (ou au moins de la réservation d'adresse...)... etc

Là où je trouve que la discussion devient intéressante (et fait le lien avec les échanges précédent sur iptables...etc) c'est lorsqu'on considère qu'une intrusion sur le réseau domestique (donc derrière la sacro sainte « box ») devient possible... Car dans ce cas, mieux vaut avoir configuré correctement ses machines persos ! :rolleyes: (sous-entendu, mieux vaut qu'elles soient bien "fermées" !)
Bref, personnellement, je maintiens qu'il est préférable, lorsqu'on met en place un réseau domestique, d'envisager les dégâts possibles d'une intrusion (même si celle-ci paraît "improbable" pour certains).Autrement dit, on durcit au maximum, et on ouvre en fonction des besoins.

Par contre, je reconnais bien volontier qu'agir ainsi n'est pas des plus confortable pour ceux qui partagent votre réseau, pour la vigilance que cela demande... etc

nam1962

tiramiseb a écrit
bruno a écritLes ports ne sont pas « fermés », ils sont « masqués ».
Disons que pour rester simple, pour ma part j'ai évité de parler de la différence fermé/masqué 🙂
J'imagine que nam1962 a fait pareil 😃
(...).

Quand j'utilise Qbittorrent, pendant un deux jours à suivre, je trouve des trucs comme çà dans mon dmesg

 [   72.667160] [UFW BLOCK] IN=wlan0 OUT= MAC=f8:d1:11:0c:e3:11:00:24:d4:ab:8f:19:08:00 SRC=213.136.120.39 DST=192.168.0.19 LEN=58 TOS=0x00 PREC=0x00 TTL=112 ID=7193 PROTO=UDP SPT=26080 DPT=55554 LEN=38 
[   75.924154] [UFW BLOCK] IN=wlan0 OUT= MAC=f8:d1:11:0c:e3:11:00:24:d4:ab:8f:19:08:00 SRC=41.82.150.196 DST=192.168.0.19 LEN=58 TOS=0x00 PREC=0x00 TTL=114 ID=29614 PROTO=UDP SPT=52954 DPT=55554 LEN=38 
[   78.855283] [UFW BLOCK] IN=wlan0 OUT= MAC=f8:d1:11:0c:e3:11:00:24:d4:ab:8f:19:08:00 SRC=213.136.120.39 DST=192.168.0.19 LEN=58 TOS=0x00 PREC=0x00 TTL=112 ID=7624 PROTO=UDP SPT=26080 DPT=55554 LEN=38 
[   79.378038] [UFW BLOCK] IN=wlan0 OUT= MAC=f8:d1:11:0c:e3:11:00:24:d4:ab:8f:19:08:00 SRC=41.82.150.196 DST=192.168.0.19 LEN=58 TOS=0x00 PREC=0x00 TTL=114 ID=29617 PROTO=UDP SPT=52954 DPT=55554 LEN=38 
[   80.774034] [UFW BLOCK] IN=wlan0 OUT= MAC=f8:d1:11:0c:e3:11:00:24:d4:ab:8f:19:08:00 SRC=80.28.227.222 DST=192.168.0.19 LEN=48 TOS=0x00 PREC=0x00 TTL=115 ID=7026 PROTO=UDP SPT=14199 DPT=55554 LEN=28 
[   83.404156] [UFW BLOCK] IN=wlan0 OUT= MAC=f8:d1:11:0c:e3:11:00:24:d4:ab:8f:19:08:00 SRC=80.28.227.222 DST=192.168.0.19 LEN=48 TOS=0x00 PREC=0x00 TTL=115 ID=7306 PROTO=UDP SPT=14199 DPT=55554 LEN=28 
[   85.430898] [UFW BLOCK] IN=wlan0 OUT= MAC=f8:d1:11:0c:e3:11:00:24:d4:ab:8f:19:08:00 SRC=41.82.150.196 DST=192.168.0.19 LEN=58 TOS=0x00 PREC=0x00 TTL=114 ID=29619 PROTO=UDP SPT=52954 DPT=55554 LEN=38 
[   86.364905] [UFW BLOCK] IN=wlan0 OUT= MAC=f8:d1:11:0c:e3:11:00:24:d4:ab:8f:19:08:00 SRC=80.28.227.222 DST=192.168.0.19 LEN=48 TOS=0x00 PREC=0x00 TTL=115 ID=7639 PROTO=UDP SPT=14199 DPT=55554 LEN=28 
[   88.626531] [UFW BLOCK] IN=wlan0 OUT= MAC=f8:d1:11:0c:e3:11:00:24:d4:ab:8f:19:08:00 SRC=84.10.198.160 DST=192.168.0.19 LEN=58 TOS=0x00 PREC=0x00 TTL=110 ID=21551 PROTO=UDP SPT=42918 DPT=55554 LEN=38 
[  103.358044] [UFW BLOCK] IN=wlan0 OUT= MAC=f8:d1:11:0c:e3:11:00:24:d4:ab:8f:19:08:00 SRC=80.11.56.9 DST=192.168.0.19 LEN=58 TOS=0x00 PREC=0x00 TTL=116 ID=29031 PROTO=UDP SPT=30900 DPT=55554 LEN=38

C'est du masquage ou du bloquage ?

tiramiseb

C'est du masquage ou du bloquage ?

Attention, on n'oppose pas "masquage" et "blocage", on oppose "masqué" et "fermé".

Un port dit masqué, c'est un port en DROP : la requête ne reçoit aucune réponse, l'ordinateur distant est confronté à un timeout.
Un port dit fermé, c'est un port en REJECT : le pare-feu répond en ICMP à l'ordinateur distant que le port demandé est fermé.

La politique de "blocage" d'UFW, c'est du DROP, donc du "masquage".

pires57

J'ai effectivement tester Shorewall (enfin si on peut dire tester, j'ai du passer une 15 aine d'heure dessus) mais j'ai pas trop adhéré bien que ce soit effectivement bien plus simple qu'Iptables au niveau de la configuration

tiramiseb

j'ai pas trop adhéré

C'est bien c'que j'dis : 'spèce de vieux barbu !
:lol:

Pour ma part je l'ai utilisé à grande échelle (enfin.. allez... disons moyenne, l'échelle, plutôt) pendant plusieurs années... Et c'est d'la bombe bébé !

bruno

Je vais donc préciser, mais il est préférable de lire les docs officielles qui seront bien plus fiables et plus justes que moi 😉

Si le règle est DROP, la machine ne répond pas à une tentative de connexion sur un port xxx. La machine qui a tenté de se connecter reçoit un 'time out'. Le port apparaît comme 'masqué' (ou stealth) de l'extérieur (ce qui est exactement la même chose en l’absence de pare-feu et de service en écoute sur le port xxx).

Si la règle est REJECT, la machine répond à une tentative de connexion sur un port xxx par un message d’erreur. Le port apparaît comme 'fermé' (CLOSED) de l'extérieur. Sauf dans de rares cas il est préférable de ne pas se servir de REJECT.

J'en profite pour dire qu'AMHA, un pare-feu est totalement inutile sur une machine dont on maîtrise l’administration et qui ne fait tourner aucun service accessible depuis l’extérieur.
Le pare-feu est utile lorsque l'on a des services en écoute auxquels on veut restreindre l'accès. Par exemple, restreindre un accès SSH à certaines IP.
Il est utile lorsque l'on veut protéger un réseau local où l'on a peu de confiance concernant les systèmes utilisés (Windows 😉) et les utilisateurs (il faut dans ce cas filtrer les connexions entrantes et sortantes)

UFW me paraît assez léger pour ce genre d'usage (et totalement inutile dès que cela se complique un peu : plusieurs interfaces réseau par exemple) et comme tiramiseb je préfère nettement shorewall si on ne veut pas s'attaquer directement aux règles iptable.

Et enfin, avant de se lancer dans la configuration d'un pare-feu, il est souhaitable d'aller dé-commenter quelques directives dans le fichier /etc/sysctl.conf.

tiramiseb

J'en profite pour dire qu'AMHA, un pare-feu est totalement inutile sur une machine dont on maîtrise l’administration et qui ne fait tourner aucun service accessible depuis l’extérieur.

Toutafé, toutafé ! 🙂

Le pare-feu est utile lorsque l'on a des services en écoute auxquels on veut restreindre l'accès. Par exemple, restreindre un accès SSH à certaines IP.

Ou alors lorsqu'on utilise des services qui, malheureusement, ne permettent pas de restreindre les adresses en écoute...
C'est là qu'UFW est assez pratique.
(d'ailleurs c'est dans ce cadre-là que je l'utilise sur mon serveur pro)

Et enfin, avant de se lancer dans la configuration d'un pare-feu, il est souhaitable d'aller dé-commenter quelques directives dans le fichier /etc/sysctl.conf.

Ah bon ? J'vois pas...

bruno

Pour le fichier /etc/sysctl.conf c'est auto-documenté, donc assez facile à comprendre. Je copie pour information : (par défaut dans Ubuntu toutes ces lignes sont commentées)

###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
net.ipv4.conf.all.send_redirects = 0
#
# Do not accept IP source route packets (we are not a router)
net.ipv4.conf.all.accept_source_route = 0
net.ipv6.conf.all.accept_source_route = 0
#
# Log Martian Packets
#net.ipv4.conf.all.log_martians = 1
#

« Page précédente Page suivante »