Journal : Les pare-feu
Posté par seginus () le 02 mars 2008
Bonjour, je poste ce journal au sujet d'une question que je me pose et à laquelle je n'ai jamais eu de réponses qui m'ont satisfait. Ce sont les pare-feux et dans deux cas :
1) C'est celle de l'utilité des pare-feux sur un système sûr.
Je parle aussi uniquement du pare-feu « simple », celui qui se contente d'ouvrir ou fermer les ports. Je ne prend pas non plus en compte le cas ou l'on ferme un port vers internet mais qui reste ouvert sur le réseau local. Je parle bien du type courant de pare-feu « tout ou rien ».
En effet, si je ne me trompe pas : Le pare-feu autorise ou refuse une connexion à un port. Hors, un port non utilisé est toujours fermé. Un exemple, si je n'ai pas de connexion ssh, et rien sur le port 22, personne ne pourra rentrer sur ma machine par là. J'ai lu plusieurs fois : « Si tu n'utilises pas un service, bloque le port ». La réponse me venant à l'esprit est bien évidemment de tout simplement couper le service. Je ne vais pas faire tourner ssh sur ma machine et fermer le port l'utilisant, ça me semble un peu insensé.
Quelque chose m'aurait-il donc manqué quelque part, où c'est quelque chose d'inutile dans un cas aussi simple.
2) Un pare-feu derrière un routeur :
Deuxième cas. La majorité des gens sont derrière un routeur, leur modem Machin-box autre que Freebox configurer par défaut (auquel cas il n'est pas en routeur). À quoi sert un pare-feu sur les ordinateurs présent derrière le routeur ? En effet, ces ordinateurs ne sont simplement pas visible depuis l'extérieur à moins de rediriger un port. Alors à quoi bon fermer les ports ? Le premier cas était dans le cas d'un système sûr dans lequel on a confiance, mais ce deuxième point s'applique même à un système mal configurer où l'on ne sait rien de ce qui tourne dessus. Quelque-chose m'échappe peut-être sur le fonctionnement du pare-feu et des routeurs, mais ceci m'étonne.
Et vous, quel est votre politique de sécurité sur vos ordinateurs ? ceux reliés directement à internet et ceux en local. Pare-feu pour tous ? juste sur le serveur (pour ceux qui ne sont pas derrière un routeur)… Pensez-vous qu'un pare-feu est vraiment utile, ou juste un patch pour système mal conçu ?
Je parle bien des pare-feu les plus basique, pas du cas ou on laisse l'on veut ouvrir un port juste à quelques postes particuliers.
Voilà, c'était mon questionnement du dimanche matin.
PS : routeur ne semble pas connu par le correcteur de Linuxfr ce que je trouve assez amusant.
1) C'est celle de l'utilité des pare-feux sur un système sûr.
Je parle aussi uniquement du pare-feu « simple », celui qui se contente d'ouvrir ou fermer les ports. Je ne prend pas non plus en compte le cas ou l'on ferme un port vers internet mais qui reste ouvert sur le réseau local. Je parle bien du type courant de pare-feu « tout ou rien ».
En effet, si je ne me trompe pas : Le pare-feu autorise ou refuse une connexion à un port. Hors, un port non utilisé est toujours fermé. Un exemple, si je n'ai pas de connexion ssh, et rien sur le port 22, personne ne pourra rentrer sur ma machine par là. J'ai lu plusieurs fois : « Si tu n'utilises pas un service, bloque le port ». La réponse me venant à l'esprit est bien évidemment de tout simplement couper le service. Je ne vais pas faire tourner ssh sur ma machine et fermer le port l'utilisant, ça me semble un peu insensé.
Quelque chose m'aurait-il donc manqué quelque part, où c'est quelque chose d'inutile dans un cas aussi simple.
2) Un pare-feu derrière un routeur :
Deuxième cas. La majorité des gens sont derrière un routeur, leur modem Machin-box autre que Freebox configurer par défaut (auquel cas il n'est pas en routeur). À quoi sert un pare-feu sur les ordinateurs présent derrière le routeur ? En effet, ces ordinateurs ne sont simplement pas visible depuis l'extérieur à moins de rediriger un port. Alors à quoi bon fermer les ports ? Le premier cas était dans le cas d'un système sûr dans lequel on a confiance, mais ce deuxième point s'applique même à un système mal configurer où l'on ne sait rien de ce qui tourne dessus. Quelque-chose m'échappe peut-être sur le fonctionnement du pare-feu et des routeurs, mais ceci m'étonne.
Et vous, quel est votre politique de sécurité sur vos ordinateurs ? ceux reliés directement à internet et ceux en local. Pare-feu pour tous ? juste sur le serveur (pour ceux qui ne sont pas derrière un routeur)… Pensez-vous qu'un pare-feu est vraiment utile, ou juste un patch pour système mal conçu ?
Je parle bien des pare-feu les plus basique, pas du cas ou on laisse l'on veut ouvrir un port juste à quelques postes particuliers.
Voilà, c'était mon questionnement du dimanche matin.
PS : routeur ne semble pas connu par le correcteur de Linuxfr ce que je trouve assez amusant.
> Lire le journal (40 commentaires, moyenne: 3).
Vous avez demandé le commentaire #909603.
Run by 
Cette page a été générée par Templeet en 0.04s (dont 0.0041 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Poser le problème
Salut,
je ne suis pas sûr que tu poses très bien le problème.
Ce que tu appelles pare-feu « simple » ca n'existe pas vraiment sous Linux - ce que je veux dire c'est que ton pare-feu « simple » c'est juste une configuration possible de Netfilter. Et qu'un pare-feu pas « simple », c'est une autre configuration de Netfilter, qui est même pas forcément plus compliquée.
Et je ne vois pas en quoi ce type est courant... sous Windows peut-être j'en sais rien, mais c'est bien tout.
Bref l'intérêt du pare-feu déjà c'est d'imposer une politique de sécurité (autant que faire se peut), c'est-à-dire que si quelqu'un lance un serveur Apache et que toi tu l'interdis, si tu bloques son port ton interdiction sera respectée. Il faut nuancer cela parce que si le mec lance un serveur Apache qui écoute sur le port 80 ca veut dire qu'il est root et donc qu'il peut reconfigurer Netfilter. Mais ça marche pour les ports > 1024 avec les utilisateurs normaux.
Ensuite, bon, si le service tourne pas ça n'a pas forcément beaucoup de sens de mettre un pare-feu pour bloquer le port correspondant. Mais ça te permet de dropper les paquets (-j DROP) au lieu de renvoyer RST (-j REJECT ou je ne sais comment ça s'appelle). C'est pas révolutionnaire mais ca rend la machine plus discrète et ça embête les scanners.
Pour ton deuxième point, j'avoue que c'est pas forcément très utile. Maintenant c'est pas pour les ressources que ça bouffe sur un système Linux, mon firewall je l'ai configuré une fois y a cinq ans, et en cinq ans ma config a changé - j'ai pas toujours été derrière un routeur notamment. Je vois une réponse possible - bloquer les ports en sortie peut être utile, j'utilise pas Windows mais j'ai entendu parler de mochetés qui essayaient d'établir des connexions en sortie on sait pas trop pourquoi.
Enfin, ma politique de sécurité actuelle (config actuelle: le modem routeur de Tele2 en première ligne, toutes mes machines derrière) est pare-feu pour tous,
qui autorise tout en sortie dans toutes les directions, ainsi que tout ce qui rentre du réseau local, droppe les paquets par défaut, et n'autorise que ssh en entrée de l'extérieur - sur un port bizarre que je connais par coeur (ça évite les tentatives de bruteforce). L'intérêt c'est qu'il y a un seul point d'entrée de l'extérieur (ssh), c'est bien moins difficile à gérer.
Donc pour conclure :
1 - pas de réponse claire de ma part, juste quelques pistes
2 - tu parles "des pare-feux les plus basiques" (attention l'orthographe...), ceux là ne servent certainement à rien en effet, c'est pour ça qu'on fait des configurations plus élaborées
3 - chez moi politique de sécurité assez basique mais qui je crois marche plutôt bien
Je me relis pas j'ai la flemme. :)