[firewall] En utilisez-vous un ?

[Nic0]

Bonjour,

Le but de ce sondage, connaître la proportion d'archers utilisant un firewall (si vous ne savez pas, il probable que vous en utilisez pas sur votre PC).

Je dois avouer être rester pas mal de temps sans vraiment me pencher sur la question, je souhaite donc soulever ce point de la sécurité.
Un post un peu en rapport : [pare feu] Utile sous archlinux ?

Bien que la configuration de l'iptables ne soit pas très «user-friendly» j'ai suivi ce wiki anglais : Simple stateful firewall HOWTO

En suivant leurs explications j'en suis arrivé à l'iptables.rules suivant :

Code : Tout sélectionner

# Generated by iptables-save v1.4.2 on Sun Mar 15 15:34:18 2009
*mangle
:PREROUTING ACCEPT [5048:991598]
:INPUT ACCEPT [5048:991598]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [5263:333566]
:POSTROUTING ACCEPT [5263:333566]
COMMIT
# Completed on Sun Mar 15 15:34:18 2009
# Generated by iptables-save v1.4.2 on Sun Mar 15 15:34:18 2009
*filter
:INPUT DROP [1:32]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [505:34044]
:interfaces - [0:0]
:open - [0:0]
-A INPUT -p icmp -m icmp --icmp-type 18 -j DROP 
-A INPUT -p icmp -m icmp --icmp-type 17 -j DROP 
-A INPUT -p icmp -m icmp --icmp-type 10 -j DROP 
-A INPUT -p icmp -m icmp --icmp-type 9 -j DROP 
-A INPUT -p icmp -m icmp --icmp-type 5 -j DROP 
-A INPUT -s 127.0.0.0/8 -i eth0 -j DROP 
-A INPUT -s 192.168.0.0/16 -i eth0 -j DROP 
-A INPUT -s 172.16.0.0/12 -i eth0 -j DROP 
-A INPUT -s 10.0.0.0/8 -i eth0 -j DROP 
-A INPUT -p icmp -j ACCEPT 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -j interfaces 
-A INPUT -j open 
-A INPUT -p tcp -j REJECT --reject-with tcp-reset 
-A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable 
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP 
-A INPUT -f -j DROP 
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP 
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP 
-A INPUT -i eth0 -p icmp -m icmp --icmp-type 8 -j DROP 
-A interfaces -i lo -j ACCEPT 
-A interfaces -i eth0 -j ACCEPT 
-A open -p tcp -m tcp --dport 22 -j ACCEPT 
-A open -i ppp0 -p tcp -m tcp --dport 80 -j ACCEPT 
-A open -i foo -p tcp -m tcp --dport 65000:65005 -j ACCEPT 
-A open -i foo -p udp -m udp --dport 65000:65005 -j ACCEPT 
-A open -i foo -p 123 -j ACCEPT 
COMMIT
# Completed on Sun Mar 15 15:34:18 2009

J'avoue devoir encore me pencher sur le wiki pour bien saisir ce que j'ai appliqué.

Quelques questions à propos de cette configuration, et des parfeu en général.
Est-il efficace contre les intrusions ?
Est-il efficace contre les attaques ? Je sais que «attaques», ça reste un terme général donc surement pas facile d'en discuter de son efficacité.

Les parfeux graphiques sont il aussi efficace que iptables ? pour le cas de firestarter, il faut le configurer comme iptables de toute facon pour une bonne efficacité ?
Des programmes anexes peuvent-être utile ? Je pense par exemple à fail2ban, ou bien tcp_wrappers dont vincentxavier parle dans le post cité plus haut.

Avez-vous testé vos propres sécurité, que ce soit niveau PC ou server ? Les résultats sont il satisfaisant ?

[FenDanT]

Coucoux

J'ai vôté autre, car firewall hardware (contenu dans mon routeur wifi)

[gyo]

Coucoux

J'ai vôté autre, car firewall hardware (contenu dans mon routeur wifi)

Idem, j’utilise le firewall de mon routeur/modem/wifi (netgear), c’est ultra-KISS
Il fut un moment, où j’ai utilisé iptables/netfilter, mais c’est chiant à maintenir (et, paraît-il sous openBSD, l’outil CLI est plus KISS que iptables).

Sinon les /etc/hosts.allow et /etc/hosts.deny, ÀMHA ça peut faire office de firewall simplifié (bon, pas de notion de NAT ni d’états, juste ouvrir ou fermer pour certaines plages d’ip (quand c’est en deny ça dissimule ? i.e. stealth))

[chipster]

Je pense qu'aujourd'hui, un firewall, même sous linux est une obligation puisque l'on est en train de parler de piratage courant des box, ...
Bon, après, chacun est parano à son niveau
Pour ma part, tous mes pc, sous win et sous linux ont un firewall
Question de sécurité nationale

[Thom1]

Bonjour,

J'utilise un script iptables mais pas sur arch. J'ai 2 PC, 1 desktop et 1 serveur. Ma arch est sur mon desktop et mon serveur sous slack, c'est donc lui qui a ce script.

[Nic0]

Je pense qu'aujourd'hui, un firewall, même sous linux est une obligation puisque l'on est en train de parler de piratage courant des box, ...

Là, je suis entièrement d'accord c'est pour ça que j'essaye de me pencher sur la question, non pas que j'ai des données de l'importance de la NSA ,mais faut un minimum quand même, quand on entends ce qu'il peut ce faire, on ce dit qu'après tout ce n'est pas un luxe.

On peut remarquer que 1/3 des votant sont sans par-feu (sur 15 votants jusque là) Ce qui ne m'étonne pas plus que ça, puisqu'on dit souvent que linux est plus sécurisé, qu'on peut en oublier les bases, ou pensé qu'elle ne sont pas utiles réellement.

Il fut un moment, où j’ai utilisé iptables/netfilter, mais c’est chiant à maintenir (et, paraît-il sous openBSD, l’outil CLI est plus KISS que iptables).

Qu'entends tu par maintenir ? Car dans le wiki que j'ai suivi, il n'est pas question de maintenir l'iptables, une fois les règles écrite on les gardes, je n'ai certes pas tout saisis (je sais c'est mal d'appliquer un wiki sans bien le comprendre )
y aurais-t-il une base d'ip (à bannir) ou je ne sais pas à maintenir pour en garder l'efficacité ?
À première vue, l'iptables et plus utilisé dans le cas des serveurs (qui n'ont pas de par-feu en effet sur une box)

Reste à connaitre les limites de protection apporté par les routeurs.

À moins de vivre en autarcie coupé de toute communications, il y aura toujours des ports d'ouverts, sont-il potentiellement une faille ? Peut-on s'en prémunir ?

J'ai installé donc fail2ban, qui me semble une solution contre une des formes d'attaque possible, (es ce vraiment nécessaire et efficace ?)

[tuxce]

salut,

On peut remarquer que 1/3 des votant sont sans par-feu (sur 15 votants jusque là) Ce qui ne m'étonne pas plus que ça, puisqu'on dit souvent que linux est plus sécurisé, qu'on peut en oublier les bases, ou pensé qu'elle ne sont pas utiles réellement.

tu veux réveiller des trolls toi
ce n'est pas une question de plus sécurisé ou pas, ça dépend ce que lance ta machine, si elle ne lance rien, le résultat est que tu n'as rien d'accessible.
mais je suis curieux de savoir ce qu'on peut configurer dans un firewall pour un poste desktop.
la plupart du temps, on rejette tout, on laisse le "lo", le lan et le trafic provenant d'un port 80, ça revient à n'avoir aucun service écoutant sur les interfaces non "lo" et avec juste un navigateur ou équivalent connecté au net.

sous d'autres os ou distribution, à la limite, je conçois qu'il y ait besoin d'un firewall tant les services écoutant sur le lan ou applications avec des options par défaut permissives sont pas simple à modifier, mais bon sous arch, je vois peu d'applications dans ce cas (mais je dois peut être rater quelque chose )

À moins de vivre en autarcie coupé de toute communications, il y aura toujours des ports d'ouverts

lesquels ?

[Nic0]

tu veux réveiller des trolls toi

Justement j'aimerais savoir où sont les trolls, faire la part des choses comme on dis entre trolls et vérité ?

mais je suis curieux de savoir ce qu'on peut configurer dans un firewall pour un poste desktop

pour satisfaire ta curiosité, j'ai d'une part posté l'iptables, et d'autre le wiki correspondant (sur archlinux.org)

la plupart du temps, on rejette tout, on laisse le "lo", le lan et le trafic provenant d'un port 80, ça revient à n'avoir aucun service écoutant sur les interfaces non "lo" et avec juste un navigateur ou équivalent connecté au net.

La, ça me parais logique, mais le wiki m'as un peu perdu dans une foule de détail… ne sachant pas forcément l'utile du superflu.

lesquels ?

Le 80 et le 23 pour commencer, le fait d'être connecter sur IRC ouvre t-il un port ? Et ayant régulièrement un bittorent d'ouvert doit ouvrir un port aussi?
Et heu… pour avoir lancer un nmap, j'aurais d'autre port d'ouvert dont je ne sais pas forcément la provenance.

[tuxce]

pour satisfaire ta curiosité, j'ai d'une part posté l'iptables, et d'autre le wiki correspondant (sur archlinux.org)

euh oui, mais ça m'étonnerait que tu ais une interface nommée "foo" ni que tu te connectes en modem (si ?)

Le 80 et le 23 pour commencer, le fait d'être connecter sur IRC ouvre t-il un port ? Et ayant régulièrement un bittorent d'ouvert doit ouvrir un port aussi?

Et heu… pour avoir lancer un nmap, j'aurais d'autre port d'ouvert dont je ne sais pas forcément la provenance.

le 80, c'est le serveur web, si tu l'utilises qu'en local (lo), pour apache, un:

Code : Tout sélectionner

Listen 127.0.0.1:80

suffit de fermer le port depuis l'exterieur

le 23, tu fous quoi avec ? t'as un serveur telnet sur ta machine ? c'est le service non sécurisé par excellence...
pour le reste, il faut faire la différence entre port sous écoute pour un service et port ouvert par une application en fonction, un client irc ou un navigateur ouvrent des ports mais pas en écoute et lié au serveur auquel tu te connectes, le client bittorrent, ça dépend de ton routeur, du mode de fonctionnement du client, s'il est upnp et le routeur aussi, un port s'ouvre pendant son fonctionnement et se ferme après.

pour le reste, il faudrait la sortie de nmap (sur ton ip et non pas localhost)

PS: vu que je l'ai pas précisé avant, je parle bien du cas où on est derrière un routeur genre box adsl, parce que direct sur le net, c'est une autre affaire

[Cactus]

Désolé d'interférer cette belle discussion technique, mais le titre du topic me choque !
"En utilisez-vous un ?" serait mieux... (même si j'admets que ce genre de locution interrogative n'est plus trop usitée !)

[gyo]

Désolé d'interférer cette belle discussion technique, mais le titre du topic me choque !
"En utilisez-vous un ?" serait mieux... (même si j'admets que ce genre de locution interrogative n'est plus trop usitée !)

+1

On peut remarquer que 1/3 des votant sont sans par-feu (sur 15 votants jusque là) Ce qui ne m'étonne pas plus que ça, puisqu'on dit souvent que linux est plus sécurisé, qu'on peut en oublier les bases, ou pensé qu'elle ne sont pas utiles réellement.

Ou alors, il y en a qui ne savent pas qu’ils ont un firewall avec leur box…

Qu'entends tu par maintenir ? Car dans le wiki que j'ai suivi, il n'est pas question de maintenir l'iptables, une fois les règles écrite on les gardes, je n'ai certes pas tout saisis (je sais c'est mal d'appliquer un wiki sans bien le comprendre )
y aurais-t-il une base d'ip (à bannir) ou je ne sais pas à maintenir pour en garder l'efficacité ?
À première vue, l'iptables et plus utilisé dans le cas des serveurs (qui n'ont pas de par-feu en effet sur une box)

Ben si tu y touches pas… la question ne se pose pas
Mais si tu as besoin de rajouter par exemple des règles NAT et/ou PAT, et ben c’est pas simple de se (re)plonger dans le « langage » iptables surtout si tu as un besoin urgent/ponctuel.

Il fut un temps où je devais maintenir 2 firewalls sur un réseau (debian) et là, je peux te dire que pour rajouter des règles, c’est une vrai partie de plaisir

Évidemment, tout ça c’est scriptable, il y a aussi des frontends à tire larigot, etc.

L’homologue iptables sous OpenBSD (PF (paquet filter)) est notoirement connu pour être moins cryptique et plus simple d’utilisation que iptables (d’ailleurs, existe-t-il un frontend à la PF sous linux ?). Et en plus il gère le QoS (il faut se la jouer iproute + iptables sous linux).

[Nic0]

Tout d'abord merci tuxce de ta réponse détaillé.

euh oui, mais ça m'étonnerait que tu ais une interface nommée "foo" ni que tu te connectes en modem (si ?)

En effet, je ne pense pas utilisé d'interface «foo» ni «ppp0» du moins à ma connaissance. Correspondante aux 4 dernières règles de l'iptables.
Pour ma connexion, c'est une livebox. Je ne suis pas sûr de voir à quoi corresponds les règles avec ce que tu dis avec la connexion en modem.
Néanmoins, la partie concernant ce qui est écrit comme «Protection against common attacks», on peut le laisser ou c'est sans intérêt ?

Bon après vérification, je n'aurais pas le port 23 d'ouvert, donc pas de services telnet non plus.

Pour le bittorrent, c'est déluge, de la à en connaître son fonctionnement… upnp ou pas je sais pas, j'aurais pu citer des services courant comme les messenger ou bien skype (que je n'utilise que très occasionnellement).

pour le reste, il faudrait la sortie de nmap (sur ton ip et non pas localhost)

c'est sûrement là une erreur de ma part, en effet, j'en avais fait le scan en localhost, je l'ai donc refait à partir d'une autre IP, comme j'avais bloqué la réponse de ping j'ai fait comme il dise (Note: Host seems down. If it is really up, but blocking our ping probes, try -PN), j'ai eu cette réponse :

Code : Tout sélectionner

Not shown: 1713 filtered ports
PORT   STATE  SERVICE
22/tcp closed ssh

Es ce que ça veux dire que je n'ai que ce port d'ouvert, ou que les autres sont caché ?

@gyo, je viens de voir ta réponse, je vais regardé ça tranquillement, mais merci pour ta réponse également.

@Cactus, oui en effet, mon français c'est pas toujours ça, et je fais pleins de fautes, mais je me soigne je rectifie le titre

[aldevar]

Personnellement, j'utilise le firewall de la box.
Je pense que dans un réseau local, c'est amplement suffisant bien que j'y conaisse pas grand chose en sécurité.
Si je ne me trompe pas, pour que quelqu'un puisse s'instroduire sur une machine en utilisant un port ouvert par un appli, il faut que cette appli contienne une faille de sécurité non? Donc a moins d'utiliser des applis proprio (et encore, pas à jour) le risque est tout de même extrêmement faible, sur du desktop en tout cas. A moins d'ouvrir le port 23 pour telnet, le port 22 pour ssh configuré pour accépter toutes les connexions sans mot de passe ni clés.. mais bon, là, c'est qu'on l'a bien cherché

[marc[i1]]

À moi

J’ai pas de pare-feu sur mes machines ( *box powered ) mais tous les ports sont fermés.
Les seules connections autorisées (avec 3 adresses IP locale uniquement en dur dans hosts.allow) sont :
* ssh
* rsync ? sur 1 machine

voilà

[farvardin]

Je dirais comme Aldevar... Déjà pour accéder à ma machine, il faudrait déjà hacker la freebox (tout ce qui concerne l'ip publique arrive dessus), ou encore que j'utilise des logiciels avec des failles connues (qui ouvriraient alors des ports). Jusqu'à présent, je fais plutôt confiance à tout cela.

De plus https://www.grc.com/x/ne.dll?bh0bkyd2 ne semble pas détecter de problème particulier.

Je ne dis pas que c'est inviolable, mais on a encore de la marge avant d'avoir à s'alarmer.

[lenglemetz]

iptables power \o/

[farvardin]

je viens de lire ceci sur les failles possibles des box sagem : http://www.felix-aime.fr/portfolio.php?crea=csrf-box

[Vinvin]

Salut à tous.

J'ai passé énormément de temps à paramétrer Netfilter (c'est-à-dire Iptables). Aucun serveur ne tourne sur ma bécane, mais je bénéficie d'Internet grâce à la box de mes voisins (liaison wifi entre ma bécane et la box). De ce fait, je ne contrôle pas les autres ordinateurs du réseau local, ce qui nécessite quelques précautions.

Pour la sécurité dans un réseau local, voir également du côté de arptables, qui permet de filtrer les requêtes ARP.

[Nic0]

L’homologue iptables sous OpenBSD (PF (paquet filter)) est notoirement connu pour être moins cryptique et plus simple d’utilisation que iptables (d’ailleurs, existe-t-il un frontend à la PF sous linux ?). Et en plus il gère le QoS (il faut se la jouer iproute + iptables sous linux).

Je ne connaissais pas le « QoS », mais en effet ça parais logique, encore faut il savoir l'appliquer, je n'ai jamais ouvert mon « iproute », mais j'essayerai sûrement bientôt. Le « paquet filter » n'est donc pas disponible sur Arch ?

le port 22 pour ssh configuré pour accépter toutes les connexions sans mot de passe ni clés.. mais bon, là, c'est qu'on l'a bien cherché

Pour ce qui est des clés je suppose que ça apporte une bonne protection, pour ce qui est du passe, ça dois ce cracker?

@farvardin, Après avoir effectué les tests de : https://www.grc.com/x/ne.dll?bh0bkyd2, je me suis certes senti rassuré, néanmoins je reste méfiant sur le savoir faire d'hacker/cracker, et la lecture de l'article sur la faille de la box sagem ne rassure pas. Pour voir si j'ai bien compris, si par cette méthode, ou une autre, ma box est contrôlé, ça laisse accès à la totalité de l'ordinateur ? (dans le cas où la box est le seul par-feu) Je l'accorde que dans le cas cité, c'est à la vigilance de chacun que de ne pas aller sur de mauvais site (et surtout ne pas laisser le mdp par défaut), mais si l'ordinateur est partager avec quelqu'un de moins avertie… sans compter que ce ne doit pas être la seul façon de pirater une box.

@marc[i1], ça l'air une méthode bien, gyo en avais fait allusion également.

Pour ce qui est de ce qui sort, tu veux généralement éviter de te faire hacker ou du moins que si ccela arrive, tu ne serves pas de machine à répéter du spam ou à faire du DDoS. Pour cela, il faut ploquer tout ce qui sort.

La box doit prendre ça en charge (pas par défaut), et un par-feu est il efficace dans ce genre de cas ?
D'où je me posé la question par rapport au wiki : Protection against common attacks

En espérant de ne pas tomber dans les travers du troll, mais ce sont des questions que je me pose.

[aldevar]

Pour ce qui est des clés je suppose que ça apporte une bonne protection, pour ce qui est du passe, ça dois ce cracker?

Je ne sais pas si le mot de passe se crack facilement à distance. En tout cas, ce que je sais c'est que quelqu'un qui à un accès physique à ma machine peut cracker mon mot de passe user en moins de 10sec avec l'applis john (john /etc/shadow).
Par contre, je n'ai pas laissé l'applis allé jusqu'au bout pour le mot de passe root (bien plus compliqué celui là ).

La problème qui se pose maintenant est celui de sudo. Sudo demande le mot de passe utilisateur. J'ai beau avoir autorisé mon user a utilisé sudo seulement pour pacman, un "sudo pacman -R kernel26 pacman" lancé par quelqu'un qui à mon mdp user et mon système est hs... (enfin bon, on s'éloigne du sujet des firewall là)

Ou pire, le mot de passe sudo est 'enregistré' pendant un certain temps. Il suffit que je lance une commande avec sudo et le hacker n'a plus besoin de mot de passe...