[Sécurité] firewall

[Kristen]

Bonjour
avec une archlinux installée "basiquement" au niveau logiciel, est-ce que je suis protégé contre les intrusions dans mon PC? Où faut-il installé un firewall? Où potasser dans iptable?
Merci

[chipster]

Salut
Ce n'est pas parce que tu es sous linux qu'il n'existe pas de faille de sécurité donc il est préférable de mettre un firewall en utilisant iptable ou un soft qui le fait plus simplement. Après il faut bien que tu saches ce que tu fais car un FW mal configurer est pire que de ne pas mettre de FW

[Kristen]

bien, je me doutais bien de la réponse. Le problème maintenant est de mettre en place quelque chose qui "marche " bien sans me gêner évidemment. Gros boulot je pense.
Vous avez un site qui explique tout ça pour une personne qui ne s'est jamais préoccupé de son firewall pour comprendre et mettre en place tout ça?

[FoolEcho]

Wiki:

Pour installer:
Iptables

Pour comprendre un brin et configurer (le premier truc principal à piger est que les règles sont prises dans l'ordre, le second est qu'il ne faut bien évidemment pas y mettre n'importe quoi, donc il faut bien faire gaffe comme disait chipster):
http://doc.ubuntu-fr.org/iptables
Simple_Stateful_Firewall

Après, ça dépend de ce que tu veux pour ta machine (et s'il y a du ssh/sql et autres services dont tu veux autoriser l'accès).
Pour ma part, j'utilise iptables mais je ne suis point un expert (il me semble en tous cas que l'exemple fournit dans le paquet est un peu léger, j'ai plutôt suivi le wiki).

[benjarobin]

http://olivieraj.free.fr/fr/linux/infor ... index.html

[Kristen]

Ouf
pas facile tout ça
Pour le moment, j'ai mis ceci

Code : Tout sélectionner

# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere             state ESTABLISHED

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination    

Si je comprends bien, tout est bloqué sauf ce qui était autorisé avant la création de la première règle (ACCEPT all -- anywhere anywhere state ESTABLISHED) firefox en ce qui me concerne.
Maintenant, je rajoute les règles que je veux pour permettre à gftp, vlc etc de pouvoir utiliser Internet.
C'est ça?

[FoolEcho]

pas facile tout ça

Administrateur réseau ça ne s'improvise pas. En ce qui me concerne, j'ai pour l'essentiel repris le wiki (après je ne sais pas ce que les autres en pensent, notamment les spécialistes du domaine ... mais ce sujet est sans doute le bienvenu).

Le point de départ est bon (par défaut, on interdit tout: "Chain INPUT (policy DROP)" puis on autorise au cas par cas).
Mais il te faut rajouter plus de choses: la boucle locale ('lo'), sans quoi un tas d'applications risque de planter (ne pouvant communiquer entre elles, ou ne pouvant récupèrer certaines informations locales) ; tout ce qui concerne les entrées non sollicités, etc. (en gros l'idée étant de n'autoriser que des réponses à des choses qui partent de ta machine -- hors ping, éventuellement) ; et finalement ce qui reste.
Pour firefox et cie, c'est géré sur le port 80. C'est la partie renseignée par les chaines ajoutées, TCP, UDP, voir wiki (puisque les règles sont prises dans l'ordre, ces chaînes vont permettre d'intercaler les règles supplémentaires: ).

Pour le ftp, je suppose que c'est pareil (... il me semble qu'il y a un module conntrack à charger, à vérifier...).

[jaco]

Comme FoolEcho... On interdit d'abord tout et on autorise au cas par cas.

L'erreur à ne pas faire est de mettre des règles dangereuses pour "simplifier" la config... C'est pour ça que je conseillerais plutôt ufw (un frontal d'iptable qui simplifie beaucoup la gestion des règles, tout en restant sécurisé). Ensuite, si on est intéressé et qu'on en a vraiment besoin, on peut passer à iptable... Sinon (c'est mon cas), les règles d'ufw suffisent et on a quand même un système sécurisé.

Voici les seules règles que j'ai ajoutées chez moi (tout ce qui est n'est pas explicitement autorisé par ALLOW est donc interdit)

Code : Tout sélectionner

% sudo ufw status
Status: active

To                         Action      From
--                         ------      ----
Anywhere                   ALLOW       192.168.2.0/24        <- Toutes les machines du LAN sont autorisées 
SSH                        ALLOW       Anywhere              <- Toutes les entrées sur SSH sont autorisées
Anywhere                   ALLOW       212.27.38.253/udp      <- Pour FreeTuxTV (à raffiner...)
7263/udp                   ALLOW       Anywhere              <- Pour Wuala
7263/udp                   ALLOW       Anywhere (v6)         <- idem en IpV6

A noter que ces règles sont très simples à mettre en place via l'interpréteur de commande. Sinon, il existe également un outil graphique pour KDE et un autre pour Gtk.

[widapit]

Salut!

@ FoolEcho : pour la boucle lo, je ne l'ai jamais spécifié, sur aucune de mes machines et tout marche très bien ....
je travaille uniquement avec iptables. quand tu as écris un certain nombre de règles, tu peux lancer

Code : Tout sélectionner

iptables-save > /chemin/dun/fichier

(chez moi '/etc/Firewall') qu'on peut ensuite rappeler à chaque démarrage en mettant

Code : Tout sélectionner

iptables-restore < /etc/Firewall &

dans son '/etc/rc.local'.
on peut ensuite faire une copie de ce fichier (par sécurité) et le modifier directement en l'éditant ( ne pas oublier iptables-restore pour prendre en compte les modifs !!)
cette page ou celle-là peuvent t'aider aussi...
voici un de mes fichiers en exemple :

Code : Tout sélectionner

# Generated by iptables-save v1.4.10 on Mon May 16 21:59:55 2011
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -p icmp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT     ## je veux pouvoir pinger mes autres machines
-A INPUT -p udp -m udp --sport 53 -m state --state RELATED,ESTABLISHED -j ACCEPT  ## je veux accéder a mon DNS
-A INPUT -i wlan0 -p tcp -m multiport --sports 80,443,8000,8080 -m state --state RELATED,ESTABLISHED -j ACCEPT  ## connecté en wifi 
-A INPUT -i eth0 -p tcp -m multiport --sports 80,443,8000,8080 -m state --state RELATED,ESTABLISHED -j ACCEPT ## cablé
-A INPUT -i eth0 -s 192.168.0.0/24 -p tcp -m multiport --sports 22,80,443,631,8000,8080 -m state --state RELATED,ESTABLISHED -j ACCEPT ## cablé mais j'autorise ssh et ipp sur mon réseau local

-A OUTPUT -p icmp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT 
-A OUTPUT -o wlan0 -p tcp -m multiport --dports 80,443,8000,8080 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT 
-A OUTPUT -o eth0 -p tcp -m multiport --dports 80,443,8000,8080 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT 
-A OUTPUT -o eth0 -d 192.168.0.0/24 -p tcp -m multiport --dports 22,80,443,631,8000,8080 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT 
COMMIT
# Completed on Mon May 16 21:59:55 2011

mais j'avoue que celui qui m'a le plus aidé, c'est le 'man iptables', qui est longtemps resté ouvert chez moi !!!

bon courage....

[FoolEcho]

@ FoolEcho : pour la boucle lo, je ne l'ai jamais spécifié, sur aucune de mes machines et tout marche très bien ....

Je suppose que tu ne contactes aucun serveur local (sur localhost/127.0.0.1: cups, apache, sql, etc.).

[karhu]

J'ai retrouvé un vieux script pour la configuration d'un firewall. Je ne l'ai pas encore utilisé, changement de distribution et paresse , mais si cela peut t'aider à comprendre les principes.
http://pastebin.archlinux.fr/434483

[widapit]

Je suppose que tu ne contactes aucun serveur local (sur localhost/127.0.0.1: cups, apache, sql, etc.).

exact
mes serveurs sont accessibles depuis les autres machines du réseau, les connexions sont donc acceptées avec une règle 'INPUT' ...
... et aucun serveur sur mon poste !

[Kristen]

merci pour toutes ces infos. Je "joue" donc avec iptables. J'ai pensé qu'au cas où ça tournerait mal, il faudrait mieux que je garde un .pdf du wiki. Bingo, je ne sais pas trop ce que j'ai fait mais impossible d'avoir Internet. Je vais continuer à essayer de comprendre iptables et au cas où, je pense que je vais regarder du côté de ufw. Ça serra peut-être moins risqué/compliqué?

[benjarobin]

Attention car tout ceci ne filtre que l'IPv4 et non l'IPv6 (Donc beaucoup de "faille" d'ouverte si tu connecté en IPv6), je n'ai pas encore creusé la question, mais il le faudra assez rapidement

[FoolEcho]

Attention car tout ceci ne filtre que l'IPv4 et non l'IPv6 (Donc beaucoup de "faille" d'ouverte si tu connecté en IPv6)

Bon à savoir. (en ce qui me concerne, je ne suis qu'en ipv4 pour le web... ipv6 n'est que pour le local si je ne me trompe pas:
inet ... scope global eth0
inet6 ... scope link avec ip addr show)

[benjarobin]

Personnellement je suis connecté en IPv6 comme en IPv4 car je suis chez Free, donc non ce n'est pas uniquement réservé pour le local.
L'IPv4 est en fin de vie... Pour l'instant tu as 2 piles réseaux qui fonctionne en même temps le temps d'une migration totale vers l'IPv6 et malheureusement ce n'est pas de suite... Bref je ne me suis que très peu pencher sur le sujet

[Kristen]

Bonjour
je suis chez free également. Tu as réussi à avoir toutes les chaînes en multiposte. C'est à dire également tf1, et M6 dont les programmes ne sont accessibles que par la TNT avec vlc. Avec iptables, je n'arrive à avoir que celles diffusées par adsl.
Merci

[benjarobin]

Que vient faire les programmes TV dans ce sujet avec Iptables ? Sinon pour information Free à normalement totalement blindé le système, il n'est normalement pas possible d'avoir accès à TF1 ou M6 car Free l'interdit.

[Kristen]

Ça vient faire que free a un service multiposte qui permet de visionner les émissions TV diffusées par free et accessibles avec VLC (et peut-être d'autres programmes) sur son ordinateur en passant par la freebox. Donc réseau d'où iptables que j'ai du mal à paramétrer correctement. Tout ce que je peux avoir pour le moment, ce sont les chaînes diffusées par l'adsl (la plupart des chaînes) et non celles diffusées par la TNT (tf1, M6, Arte entre autres). Je précise que toutes les chaînes sont accessibles par l'adsl pour la TV mais pas toutes retransmises par le multiposte. Un post qui en parle sur freenews
Cette manip est tout à fait légale et décrite sur le site de free

[benjarobin]

Je ne vois toujours pas le rapport, bien que je ne savais pas que c'était possible. En gros il faut avoir une freebox révolution, la freebox player encode le signal TNT et le transmet à l'ordinateur, donc maintenant c'est possible.
Mais j’insiste, il n'y a aucun rapport avec iptables, sauf si cela fonctionne quand iptables est désactivé. Dans ce cas merci de donner l'ensemble de ton script iptables, sinon merci d'ouvrir un autre sujet