Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Question sur GUFW

nam1962

Pas de course, de trait, on t'a dit.
c'est vrai qu'il s'est ridiculisé, mais au moins la modération l'a conduit à un post qui n'est pas un copié/collé, c'est déjà çà 😛

Bon, maintenant, bête question qu'est ce qui peut arriver sur une buntu qui serait visible depuis l’extérieur ?
(ce qui ne semblepas le cas chez moi quand je me teste avec https://www.grc.com/x/ne.dll?bh0bkyd2 , déjà..)

Brunod

Rien : tu la mets en dmz et tu re-scannes 😉

pires57

ce que j'ai déjà vu sur un serveur qu'un admin avait foutu dans un coin c'est une machine vérolé suite au faille découverte et non mise a jours, on voyais que la machine envoyé des requêtes sur le réseau a certaine heure et que le nombre de requête étaient anormal, le pirate c'est amusé a modifié le script de certaine commande pour protéger son exploit (notement la commande netstat ) mais la encore on parle d'une machine qui a été vérolé suite au non mise a jours de son système !!

tiramiseb

Salut,

C'est bon « Pierre », on t'a reconnu, arrête de créer des comptes pour faire croire que des gens sont de ton côté... 😛

Jlumbla a écrità défaut de pouvoir se payer du marketing, il faudrait faire un effort du côté de la communication, il n'est pas normal que quelqu'un qui a un point de vue différent d'un habituel petit groupe de harceleurs, se fasse insulter en toute impunité

C'est bel et bien ton autre alias « Patrick241 » qui m'a insulté, de notre côté on n'a commencé à ne plus être tout à fait poli quand il (tu) a(s) commencé à être vraiment exaspérant.

Ton alias « Patrick241 » comme ton premier compte « Pierre Lhabitant » n'étayent absolument pas ce point de vue, ils ne font qu'asséner des affirmations non fondées, sans explication technique autre que des croyances vagues...

(ah ben mince, le message de « Jlumbla » a été supprimé - ou lui-même a-t-il été supprimé ? ...)

pires57

moi ce que je retiens du message c'est qu'on es un groupe de petit harceleur :lol:
Il a peut-être été supprimé, je ne sais pas mais j'ai signalé son post vu que moi aussi j'ai eu l'impression qu'on avait a faire a lui de nouveau qui utilise un autre compte pour appuyé ses propos non argumentés.

Brunod, il te parle de la machine en elle même, pas des autres machines du réseau mais tant que cette machine est à jours et bien configuré il n'y a pas que très peu de risque

Brunod

pires57 a écrit...

Brunod, il te parle de la machine en elle même, pas des autres machines du réseau mais tant que cette machine est à jours et bien configuré il n'y a pas que très peu de risque

Moi aussi, mais je n'ai pas été suffisamment clair : je voulais dire rescanner de l'extérieur avec grc ou autre après l'avoir mise en dmz pour qu'elle soit accessible de l'extérieur, notamment au scan.

nam1962

Ah celui là alors !

Bon, donc une bécane toute nue sous buntu peut se faire hacker, ok, qu'aurait changé un firewall ?

tiramiseb

Bon, maintenant, bête question qu'est ce qui peut arriver sur une buntu qui serait visible depuis l’extérieur ?

Question très simple, dont un cas a été survolé ici dans le cadre exclusif de la nécessite ou non d'un pare-feu sur un poste de travail "de base". Maintenant, pour répondre clairement à cette question voici des détails, en plusieurs cas... Étant donné qu'on est sur un fil qui parle de pare-feu, je termine à chaque fois sur ce qu'apporterait (ou non) un pare-feu (cela dit, il y a des usages plus complexes du pare-feu, je reste sur des cas globaux et des explications simples).

Avant de commencer, je précise bien dans tous les cas qu'il s'agit d'éventualités d'attaque, que je ne lie pas du tout à l'importance de la machine : un attaque complexe ne sera certainement pas mise en œuvre pour pénétrer le PC de madame Michu... Et mine de rien, sur ce forum on parle surtout de la machine de madame Michu 🙂

Cas 1/ aucun logiciel serveur n'est en place sur cette machine, qui est maintenue à jour

Aucun port n'est en écoute, un pirate n'aura alors pas moyen de pénétrer sur la machine, sauf éventuellement entre la publication d'une mise à jour de sécurité du noyau et son application par l'utilisateur/administrateur ou alors s'il s'agit d'une faille zero-day (faille ayant été exploitée avant d'être rendue publique). Il faut savoir que les failles réseau du noyau rendant possible une pénétration sur la machine sont rares et très difficiles à exploiter, surtout quand on met régulièrement sa machine à jour, ne laissant ainsi pas le temps à un éventuel pirate de pénétrer la machine.

Ici, le pare-feu est inutile.

Cas 2/ aucun logiciel serveur n'est en place sur cette machine, qui n'est pas maintenue à jour

Aucun port n'est en écoute, un pirate n'aura alors pas moyen de pénétrer sur la machine en "attaquant un port". Par contre, il pourra tenter de pénétrer la machine en utilisant une faille du noyau qui n'aurait pas été corrigée sur cette machine non mise à jour : il a alors tout le temps qu'il veut pour tenter d'exploiter cette faille qui, bien que rare et difficile à exploiter, suffit à pouvoir affirmer que la machine n'est plus inviolable.

Ici, le pare-feu complexifierait le travail du pirate mais n'enlèverait pas la faille.

Cas 3/ Un ou plusieurs logiciel(s) serveur(s) est/sont en place sur cette machine, qui est maintenue à jour - ce(s) logiciel(s) est/sont correctement configuré(s)

Un ou plusieurs port(s) est/sont en écoute. Cela ne veut pas dire que la machine est corrompue ou corruptible : tant que le(s) logiciel(s) serveur(s) est/sont correctement configuré(s), il n'y a grosso modo pas de risque. La machine étant régulièrement mise à jour, une éventuelle faille sur l'un ou l'autre de ces logiciels serait rapidement corrigée. Il y a toujours le risque de la faille zero-day, ou d'un délai entre disponibilité et application de la mise à jour ; parfois, certaines failles sont exploitables sans trop de difficulté, il y a là un risque, mais plutôt minime.

Ici, le pare-feu peut éventuellement permettre de ne rendre accessible le port qu'à partir de certaines adresses IP, réduisant ainsi le risque qui est lui-même déjà minime. Cela peut toutefois être contourné par des attaques de type "spoofing".

Cas 4/ Un ou plusieurs logiciel(s) serveur(s) est/sont en place sur cette machine, qui n'est pas maintenue à jour - ce(s) logiciel(s) est/sont correctement configuré(s)

On est dans un cas assez proche du précédent, sauf que là si une faille est présente sur l'un des logiciels serveurs (ou dans le noyau), elle ne sera pas corrigée : le pirate a alors tout le loisir d'exploiter cette faille, en prenant le temps qu'il faut.

Le pare-feu a ici le même usage que dans le cas précédent, il réduit le risque mais ne le supprime pas.

Cas 5/ Un ou plusieurs logiciel(s) serveur(s) est/sont en place sur cette machine, qui est maintenue à jour - ce(s) logiciel(s) est/sont mal configuré(s)

On est dans un cas assez similaire au cas 3. On ajoute cependant un risque lié aux erreurs de configuration : une mauvaise configuration peut parfois permettre à un pirate de pénétrer la machine sans même utiliser une faille. On est ici dans un cas assez courant sur ce forum : celui du gars qui veut faire son serveur lui-même, qui suit des tutoriels sans vraiment les comprendre puis qui laisse sa machine "vivoter".

Le pare-feu n'apporte pas plus de sécurité qu'avec les cas 3 et 4.

Cas 6/ Un ou plusieurs logiciel(s) serveur(s) est/sont en place sur cette machine, qui n'est pas maintenue à jour - ce(s) logiciel(s) est/sont mal configuré(s)

Là, on est dans le pire des cas : on cumule les risques d'exploitation de failles aux risques liés à la mauvaise configuration du système et à sa non-maîtrise.

Le pare-feu n'apporte pas plus de sécurité qu'avec les cas 3, 4 et 5.

-----

Quand j'évoque ici une mauvaise configuration, je ne peux pas être beaucoup plus précis : il y a autant de cas qu'il y a de directives pour chacun des logiciels que l'on peut placer comme serveur. On peut évoquer :
- l'utilisation de mots de passe trop simples
- l'activation de fonctionnalités d'administration simplifiées, par le réseau (webmin et cie)
- l'activation ou la non-désactivation d'un accès un peu trop "large" (par exemple si avec un serveur FTP on laisse l'utilisateur "anonymous" accéder à l'intégralité de l'arborescence des disques)
- etc

C'est pour cela que je conseille toujours de s'adresser à un professionnel quand on veut mettre en place un "vrai" serveur d'entreprise : le (bon) professionnel ne fait pas que suivre des tutoriels : il a de l'expérience, il sait ce qu'il faut sécuriser, il sait comment sécurisé et il maîtrise le système qu'il met en place. Et surtout, il comprend ce qu'il faut.

-----

Enfin, notons qu'une manière "facile" de pénétrer une machine est simplement de récupérer les identifiants permettant de s'y connecter... Si vous laissez traîner les clés de votre maison dans la poche de votre veste sur une chaise dans l'entrée chez un ami qui fait une soirée, beaucoup de gens auront l'opportunité de la copier...

À partir de là, soit cette personne peut avoir accès physique à la machine concernée (et se connecter comme vous le feriez vous-même), soit un accès distant (comme un serveur SSH) est disponible et il n'a plus qu'à se connecter...

[supprimé]

Hey ! Voilà une belle démo, merci Ti'Rami

nam1962

oki tiramiseb, vilain harceleur que tu es 😉
(au passage, merci, je te suggères de faire de ton post un tuto "mon analyse du risque sous buntu".)
Maintenant, qu'est ce que mon conseil aux polytraumatisés W$ (que je fus) de :

sudo apt-get install  gufw
sudo ufw enable

va leur apporter (ou pas) ?

tiramiseb

nam1962 a écritMaintenant, qu'est ce que mon conseil aux polytraumatisés W$ (que je fus) de :

sudo apt-get install  gufw
sudo ufw enable

va leur apporter (ou pas) ?

1/ gufw n'est qu'une interface graphique de gestion d'ufw : si l'utilisateur ne fait qu'activer le pare-feu sans le gérer, cette interface ne sert à rien
2/ s'il n'y a aucun serveur qui tourne, alors l'activation du pare-feu est inutile (cas 1 ci-dessus)

tiramiseb

je te suggères de faire de ton post un tuto

naaaaaan, pas un tuto.
déjà j'aime pas les tutos : tu l'as lu plus haut.
et puis c'est un avis, une explication, une documentation... pas un tuto :p

nam1962

tiramiseb a écrit
nam1962 a écritMaintenant, qu'est ce que mon conseil aux polytraumatisés W$ (que je fus) de :
sudo apt-get install  gufw
sudo ufw enable
va leur apporter (ou pas) ?
1/ gufw n'est qu'une interface graphique de gestion d'ufw : si l'utilisateur ne fait qu'activer le pare-feu sans le gérer, cette interface ne sert à rien
2/ s'il n'y a aucun serveur qui tourne, alors l'activation du pare-feu est inutile (cas 1 ci-dessus)

Je sais que c'est l'interface graphique.
C'est la 2 e ligne (qui entraine : Entrants : deny - Sortants : allow) sur laquelle je voulais l'avis du harceleur de trait

tiramiseb

Tu demandes un avis sur 2 lignes, je donne un avis sur 2 lignes...

[supprimé]

bonsoir

Pour le 113 il faut rediriger
expl sur une freebox

allez sur l'interface de gestion /redirection des ports

rediriger port 113 ip destination 192.168.0.254 port (choix perso) 65534

refaire un tour chez gibson le port doit être à nouveau caché.

Gaara

Bonjour,
Je suis ce fil depuis qq jours et maintenant que c'est plus calme, je me demandais s'il y avait une différence entre un pare-feu et un logiciel du type peergardian.
J'utilise pgld. Par défaut, il bloque tout. J'ai donc débloqué tous les ports que j'utilise (80, 110 etc..)
Est-ce efficace par rapport à gufw?

pires57

peergardian est un pare feu applicatif

tiramiseb

c_biloute a écritbonsoir

Pour le 113 il faut rediriger
expl sur une freebox

allez sur l'interface de gestion /redirection des ports

rediriger port 113 ip destination 192.168.0.254 port (choix perso) 65534

refaire un tour chez gibson le port doit être à nouveau caché.

Ça c'est une énormité sans nom !!!

Le 113 vu comme « fermé » (et non « filtré ») ce n'est en rien un problème. Dans cet état, la machine répond simplement « désolé il n'y a rien ici » lorsqu'on essaie de s'y connecter plutôt que d'ignorer la requête. Cela devrait être le comportement habituel d'ailleurs : cette histoire de port « filtré » (ou « stealth ») c'est un non-respect des protocoles, juste pour cacher des informations qui pourraient montrer que la machine n'est pas sécurisée : ça a peut-être été généralisé par les chantres de la « sécurité par l'obscurité »...

Avec ton conseil, on redirige cette requête provenant de l'extérieur vers une adresse interne qui pourrait exister, sur un porte qui pourrait être ouvert : on crée une potentielle faille de sécurité !

N'appliquez pas ce « conseil » de c_biloute !

tiramiseb

gaara92 a écritje me demandais s'il y avait une différence entre un pare-feu et un logiciel du type peergardian.

Peerguardian fait deux choses :
1/ configurer Netfilter pour filtrer certains paquets par défaut
2/ demander à Netfilter de lui transmettre tous les paquets afin qu'il procède à son propre filtrage par blacklists

Donc :
- toute utilisation du réseau est ralentie et/ou utilise beaucoup plus de ressources processeur/mémoire
- si le démon Peerguardian tombe, le réseau ne fonctionne plus

Tant que la machine n'est pas vulnérable (cas 1 ou 3 présentés plus haut), Peerguardian ne sert à rien, comme n'importe quel autre logiciel autour du pare-feu.

Peerguardian sur une machine non vulnérable, c'est un peu comme un videur devant une boîte de nuit fermée : qu'il laisse passer ou non, personne n'entrera !

gaara92 a écritEst-ce efficace par rapport à gufw?

Non.

Gaara

Ok, merci.
Netfilter (dont j'ignorait l’existence) est-t-il activé par défaut dans tout noyau Linux ?
Si oui, (après je t'embête plus) pourquoi activer gufw ?

« Page précédente Page suivante »