Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Configuration d'iptables

tiramiseb

Bigorno33 a écrit
Pator75 a écritSi mes souvenirs sont bons, sous Ubuntu avec Gufw ou Ufw, c'est parfait avec tous les scans Nmap sur un PC, sans pare feu ça va être un arc en ciel.
Tes souvenirs sont très bons je dirai même.

Euh non, carrément pas. Refaites vos tests, hein !

Sur une Ubuntu fraîchement installée, une seule chose est en écoute : Avahi, pour le protocole Zeroconf.
On peut également avoir le client DHCP en écoute, si nécessaire.

=> Si on active le pare-feu, Avahi ne sera plus joignable, le protocole Zeroconf ne fonctionnera pas ;
=> le client DHCP n'accepte des connexions que de son serveur, le filtrer ne change rien à la sécurité.

C'est tout. Rien d'autre. Pas d'arc-en-ciel.

Pator75 tu as bien écrit « si mes souvenirs sont bons », je te confirme qu'ils ne sont pas bons.
Bigorno33, tu as indiqué que ses souvenirs sont "très bons", n'importe qui pourra faire le test pour voir que tu te trompes : évite de faire une telle affirmation quand tu n'as pas vérifié auparavant.

tiramiseb

Hé si malheureuesment, que tu le veuilles ou non, c'est l'arc en ciel numérique un NMAP depuis une machine ddistante du réseau local

Test effectué à l'instant, sur une machine Ubuntu que je viens d'installer pour l'occasion :

➜  ~  sudo nmap 192.168.42.18

Starting Nmap 6.46 ( http://nmap.org ) at 2014-12-24 11:19 CET
Nmap scan report for 192.168.42.18
Host is up (0.00041s latency).
All 1000 scanned ports on 192.168.42.18 are closed
MAC Address: 08:00:27:05:A2:DD (Cadmus Computer Systems)

Nmap done: 1 IP address (1 host up) scanned in 2.13 seconds

Avahi et le client DHCP n'apparaîssent pas parce que leurs ports ne sont pas dans les 1000 testés par défaut par nmap.
Le test sur les 65535 ports (argument "-p-") est en cours.

Tu t'es rendu compte que t'as commencé à lui donner de l'aide sur Iptables quand t'as vu qu'elle tournait sous une machien serveur avec des trucs en écoute ?

Je lui ai clairement indiqué en quoi iptables n'est pas nécessaire, quels logiciels configurer pour qu'il n'y ait pas d'écoute "intempestive" sur l'adresse publique. Relis. Je lui ai par contre indiqué que, pour l'aspect passerelle, le pare-feu sera en effet nécessaire. Je lui ai donc conseillé Shorewall pour cela : utiliser directement iptables, c'est inutilement compliqué et risqué.

[modéré]

Sans information complémentaire, au vu de ses paramètres de pare-feu basiques, j'ai en effet indiqué qu'un pare-feu est inutile dans son cas. Et je le répète : avec une bonne configuration de logiciels, le filtrage en entrée est inutile. Et sur un serveur, par définition mieux géré qu'un poste de travail, le filtrage sortant est encore moins utile.

-----
Par ailleurs, vues tes insultes (qui seront probablement censurées par un modérateur, vue ta vulgarité ça ne m'étonnerait pas) je laisse les lecteurs, en particulier Nathaly01, tirer leurs propres conclusions sur ton approche du sujet. J'éviterai de m'aventurer sur ce terrain-là, on n'est pas là pour s'insulter.

tiramiseb

Pour ma part je crois ne t'avoir traité de troll qu'une ou deux fois. C'est surtout nam qui t'a dans le viseur 😉

Pour le reste, j'imagine que tes messages précédents sont du pur troll en effet, comme tu l'affirmes, vue la tournure de tes message. Je commence à apprendre qu'avec toi on a du mal à savoir si c'est du lard ou du cochon...

Concernant le test sur tous les ports, bah il tourne en tâche de fond hein, ça ne me dérange pas du tout. Par contre c'est atrocement long, j'imaginais que ça serait plus rapide : c'est encore en cours !

tiramiseb

Nathaly01 a écritDans /etc/defaults/ntp, il n'y a que :

NTPD_OPTS='-g'

Ok, j'ai donc mauvaise souvenance.

En cherchant "debian ntpd listen interface" sur Google, je trouve notamment une info comme quoi tu peux ajouter les lignes suivantes à /etc/ntp.conf :

interface ignore wildcard
interface listen 127.0.0.1
interface listen 192.168.XXX.XXX

À tester, sans aucune certitude. Sinon ntpd prendrait éventuellement l'option "-I" suivie de l'adresse d'écoute (utilisable plusieurs fois), à ajouter alors à NTPD_OPTS. C'est pour ce genre de complexités que j'ai finalement choisi de bosser avec OpenNTPd : la config me semble plus facile à gérer et les options par défaut sont plus propres (pas d'écoute par défaut, par exemple).

lynn

tiramiseb a écritPar contre c'est atrocement long, j'imaginais que ça serait plus rapide : c'est encore en cours !

Ca prend 10 secondes chez moi... Tu pédale pas assez vite 😛

Starting Nmap 6.47 ( http://nmap.org ) at 2014-12-24 12:11 CET
Nmap scan report for 10.0.2.15
Host is up (0.000022s latency).
All 65535 scanned ports on 10.0.2.15 are closed

Nmap done: 1 IP address (1 host up) scanned in 10.40 seconds

[supprimé]

Pator75 a écrit "@tiramiseb: tu me gâches le plaisir, je voulais voir Pator75 me dire que j'avais des ports ouverts sur le loopback (127.0.0.1)."

pfff! sous Windows la boucle en écoute ils sont abonnés, ils ne meurent pas, y a un bon pare feu.

https://santatracker.google.com/#tracker :þ

tiramiseb

voilà enfin mon nmap sur tous les ports (TCP), toujours envers une machine Ubuntu fraîchement installée et sans pare-feu :

➜  ~  sudo nmap -p- -O 192.168.42.18

Starting Nmap 6.46 ( http://nmap.org ) at 2014-12-24 11:13 CET
Nmap scan report for 192.168.42.18
Host is up (0.00045s latency).
All 65535 scanned ports on 192.168.42.18 are closed
MAC Address: 08:00:27:05:A2:DD (Cadmus Computer Systems)
Too many fingerprints match this host to give specific OS details
Network Distance: 1 hop

OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 6317.60 seconds

lynn: étonné que chez toi ça ait pris 10 secondes, contre 1h45 chez moi ! Je ne sais pas chez qui ça a déconné 🙂

En tout cas, on n'a bel et bien aucun port TCP ouvert sur un Ubuntu tout neuf.
Pour ma part je le savais déjà, mais il me semblait utile de le démontrer une fois de plus pour ceux qui en doutent...

En fait, Avahi et le client DHCP sont en UDP, j'avais zappé que par défaut nmap travaille uniquement sur TCP. Je viens de lancer un scan UDP...

[supprimé]

tiramiseb a écrit En tout cas, on n'a bel et bien aucun port TCP ouvert sur un Ubuntu tout neuf.
Pour ma part je le savais déjà, mais il me semblait utile de le démontrer une fois de plus pour ceux qui en doutent...
.

Oui complétement, une station de travail Gnu/Linux, par défaut, est donc sécurisée.
Reprends moi si j'écris une sottise mais un port ouvert n'est pas une faille mais bien un service, la faille c'est autre chose, non ? Si on ferme les ports ouverts par Apache par exemple, le site web ne sera plus accessible. .. Donc ça marche moins bien 😃
Donc si je me permets de résumer, un amalgame est fréquent chez les novices, ports ouverts = failles...

tiramiseb

Oui Ignus, il y a bien cet amalgame parfois.
La faille, c'est quand le logiciel qui écoute sur le port est exploitable malicieusement.

Pator75

[Modéré]

"Donc si je me permets de résumer, un amalgame est fréquent chez les novices, ports ouverts = failles..."

Port ouvert = attendre la faille...

Donc faut un pare feu.

tiramiseb

[Modéré]

Désolé de ne pas connaître par cœur le fonctionnement précis de chaque outil lié à la sécurité des réseaux. Surtout un outil que je n'utilise que bien peu, cinq fois par an tout au plus.

Port ouvert = attendre la faille...

Donc faut un pare feu.

Oui mais non, ta logique ne va pas.
=> si on veut que le service soit joignable, on ne peut pas le bloquer avec un pare-feu, sinon il n'est plus joignable
=> si on ne veut pas que le service soit joignable, il est bien plus propre de l'arrêter (ou de le configurer pour qu'il n'écoute pas sur l'interface en question) que de mettre un pare-feu, qui tient alors plutôt du palliatif.

tiramiseb

Enfin, voici le résultat du scan nmap en UDP.

➜  ~  sudo nmap -sU 192.168.42.18 
[sudo] password for sebastien: 

Starting Nmap 6.46 ( http://nmap.org ) at 2014-12-24 13:29 CET
Nmap scan report for 192.168.42.18
Host is up (0.00041s latency).
Not shown: 997 closed ports
PORT     STATE         SERVICE
68/udp   open|filtered dhcpc
631/udp  open|filtered ipp
5353/udp open          zeroconf
MAC Address: 08:00:27:05:A2:DD (Cadmus Computer Systems)

Nmap done: 1 IP address (1 host up) scanned in 1083.80 seconds

On voit dont que, sans pare-feu :
- le client DHCP est en écoute (normal, vu que l'adresse IP est obtenue en DHCP) ;
- le port 631 est en écoute (CUPS, partage d'imprimante, désactivable dans les paramétrages de l'impression) ;
- avahi est en écoute pour le protocole zeroconf.

Pour chacun des trois, bloquer le port revient à supprimer une fonctionnalité, auquel cas autant arrêter le service concerné plutôt que bloquer le port

pires57

pator on va faire autrement...

J'installe un serveur web, quel est le but? que les gens puissent voir mon site bien sur.
Maintenant je configure un pare-feu pour bloquer le port 80 pour "combler la faille".
Tu peut m'expliquer maintenant comment les gens se connectent a mon site????

Nathaly01

Bonjour,

Ben j'arrive pas à configurer NTP pour qu'il écoute seulement sur le réseau interne. Si OpenNTPd est plus simple à configurer, je verrai demain pour en changer ...
Question bête : Ne serais ce pas pour aller lui-même se mettre à l'heure qu'il y a cette ligne dans le résultat de nestat ?
Autre question bête : c'est un peu à part, mais bon, si je met une 3ème carte réseau dans mon serveur pour faire une DMZ et ainsi connecter ma box dessus afin de pouvoir profiter de la TV et du téléphone, n'y aura t-il pas un conflit d'adresse MAC étant donné que je suis obligée de forcer mon serveur à déjà utiliser cette adresse MAC ?? Se serai tellement plus simple si mon FAI permettait le mode bridge mais malheureusement, c'est pas le cas ....

Joyeux Noël à tous !!!

[supprimé]

Pator75 a écrit "Donc si je me permets de résumer, un amalgame est fréquent chez les novices, ports ouverts = failles..."

Port ouvert = attendre la faille...

Donc faut un pare feu.

Ô, grand mage magnifique et prolifique, tu confonds, il te faut revoir tes bases. Un service n'est pas une faille. À part débiter tes prophéties, tu apportes quelles valeurs ajoutées au débat ?
Ne penses-tu pas qu'un chroot est beaucoup plus efficace qu'un pare-feu ? Et que si tu n'as pas besoin d'un service autant le désactiver et surtout ne pas l'installer ?

Shanx

Modération : nous avons fait un nettoyage du fil en enlevant tout ce qui était HS ou relevait d’attaques ad hominem. Nous avons aussi accordé quelques vacances à Pator75 et à Bigorno333.
Merci de vous recentrer sur le sujet, et de limiter la discussion à des arguments techniques. Cette discussion sur les pare-feu revient souvent, mais dérape très régulièrement. Il serait dommage de devoir fermer un fil de plus.

Nathaly01

Tout à fait d'accord avec la modération mais il serait bien malheureux que je ne puisse pas apprendre à bien sécuriser mon serveur ....

pires57

Nathaly01, sécuriser un serveur commence par la configuration. Par exemple utilisation de ssh avec un système de clé, connections root interdite en ssh... Certain service (web entre autre écoute par défaut sur 0.0.0.0, si tu n'as pas besoin qu'il écoute dehors c'est a modifier aussi...
Iptables demande des mois de travail pour vraiment le maîtriser, c'est pas le plus simple a mettre en oeuvre et chaque action doit être soigneusement réfléchi sans quoi tu te retrouvera face a de gros problème.

tiramiseb

Ben j'arrive pas à configurer NTP pour qu'il écoute seulement sur le réseau interne

Zut. Je ne saurais pas te guider de manière précise vu que je n'utilise plus ce logiciel-là, désolé.
Cela étant dit, il est possible qu'il écoute toujours sur toutes les interfaces mais qu'il ne répond que sur certaines. Je n'aime pas vraiment cette approche car s'il y a une faille, elle pourrait être exploitable sur une interface "en écoute" mais "sans réponse"... Ce n'est jamais bien d'écouter quand on ne veut pas répondre !

Une possibilité palliative serait un filtrage par pare-feu, mais bon, voilà quoi, c'est palliatif.

Question bête : Ne serais ce pas pour aller lui-même se mettre à l'heure qu'il y a cette ligne dans le résultat de nestat ?

Non, il n'a pas besoin d'écouter pour se mettre à l'heure.

Si OpenNTPd est plus simple à configurer, je verrai demain pour en changer ...

Bah déjà, par défaut OpenNTPd ne se met pas en écoute. C'est déjà un bon point niveau sécurité, quand on ne dessert aucun service réseau.

Autre question bête : c'est un peu à part, mais bon, si je met une 3ème carte réseau dans mon serveur pour faire une DMZ et ainsi connecter ma box dessus afin de pouvoir profiter de la TV et du téléphone, n'y aura t-il pas un conflit d'adresse MAC étant donné que je suis obligée de forcer mon serveur à déjà utiliser cette adresse MAC ??

Non, tu ne peux pas mettre ta box "derrière" ta passerelle, malheureusement. Tu n'as toujours pas dit quel est ton FAI (ou alors je ne l'ai pas vu passer), pour faire ce que tu veux de manière générale je ferais un "double routage" :
- box en frontal ;
- derrière la box, uniquement ta passerelle, rien d'autre ;
- "mode DMZ" (*) activé (c'est-à-dire redirection de tous les flux entrants), vers ta passerelle ;
- tous tes ordinateurs derrière la passerelle, qui gère le filtrage en sortie.

Du coup ta passerelle n'a pas l'adresse IP publique mais au moins elle reçoit tous les flux entrants et elle protège toujours ton réseau interne.

(*): je déteste l'utilisation que font les FAI du terme "DMZ", car rediriger tous les ports vers une machine interne c'est le contraire d'une DMZ. M'enfin bon...

Nathaly01

Je suis bien d'accord avec toi Pires57, c'est pas parce qu'on a un firewall (peut importe lequel ) qu'on est totalement sécurisé, loin de là parce que si derrière les logiciels ouvrent "des boulevards" aux intrus, il n'y a rien de fait !!!
De plus, aucun firewall au monde est incontournable pour des personnes extrêmement doué et il faut suivre régulièrement les fichier de log, etc ...
Sans compter qu'une attaque peut venir de l'intérieur, c'est ce qui me fait le plus peur avec les tablettes Androïd, système que je connais pas du tout et qui a le don de m'énerver très vite !!!

C'est quoi d'ailleurs 0.0.0.0 , je pensais qu'il n'y avait que 127.0.0.1 et les adresses IP des cartes réseaux.
Pour ssh, j'utilise en effet un système de clé comme indiqué dans la doc officiel d'Ubuntu server, mais si je comprend bien, je devrais créer et utiliser un compte autre que mon compte administrateur pour me connecter, au moins depuis l'extérieur, parce que depuis chez moi, c'est mon seul moyen pour gérer mon serveur (pas d'écran, pas de clavier dessus et avec mon petit KVM usb, je sais pas pourquoi, mais je n'ai rien du tout à l'écran ... Cela fonctionnait pourtant bien lorsqu'il était sous windows 2003 server).

En analysant 50 fois les résultats de netstat, je me suis aperçue qu'une ligne UDP/nmbd était sur une adresse IP public qui m'est inconnue et qui se termine par 255 ( 77.xxx.xxx.255). Sur le coup, j'ai tout de suite pensée que c'était pour le broadcast, sauf que le second xxx ne correspond pas à mon IP public.
Faut d'ailleurs que je m'attaque à la config de samba pour qu'il n'écoute plus sur l'interface public, mais écoutera t-il encore sur le tunnel openVPN ??

Je suis bien consciente que c'est pas simple, qu'il y a les pro et les anti firewall, moi, j'ai besoin des deux de toutes façon, ne serai se que pour faire du nat.
Je me rappelle plus qui disait que c'est plus simple avec un autre logiciel de configurer netfilter, moi je pars du principe que pour bien apprendre, on prend les trucs le plus dur, on comprend bien le mécanisme et après, on peut passer à des trucs plus simple, mais on sait ce qu'on fait à ce moment là ...
C'est un peu comme si ton mécano réglait le train avant de ta voiture sans en comprendre les incidences sur le comportement routier de ta bagnole. J'ai fais plus jeune un peu de rally amateur et mes réglages étaient loin de ceux conseillés par le constructeur, mais je savais ce que je faisais ...
J'espère que tu comprend ce que je veux dire en utilisant cette "image" ....
En informatique, c'est plus complexe, mais je baisse pas les bras non plus pour apprendre ....

Alors j'aimerais qu'on en arrive à faire un topique complet sur la sécurité et pas un truc sur l'art de s'envoyer des nom d'oiseau .....

Merci de votre attention ...

« Page précédente Page suivante »