Journal : Les pare-feu
Posté par seginus () le 02 mars 2008
Bonjour, je poste ce journal au sujet d'une question que je me pose et à laquelle je n'ai jamais eu de réponses qui m'ont satisfait. Ce sont les pare-feux et dans deux cas :
1) C'est celle de l'utilité des pare-feux sur un système sûr.
Je parle aussi uniquement du pare-feu « simple », celui qui se contente d'ouvrir ou fermer les ports. Je ne prend pas non plus en compte le cas ou l'on ferme un port vers internet mais qui reste ouvert sur le réseau local. Je parle bien du type courant de pare-feu « tout ou rien ».
En effet, si je ne me trompe pas : Le pare-feu autorise ou refuse une connexion à un port. Hors, un port non utilisé est toujours fermé. Un exemple, si je n'ai pas de connexion ssh, et rien sur le port 22, personne ne pourra rentrer sur ma machine par là. J'ai lu plusieurs fois : « Si tu n'utilises pas un service, bloque le port ». La réponse me venant à l'esprit est bien évidemment de tout simplement couper le service. Je ne vais pas faire tourner ssh sur ma machine et fermer le port l'utilisant, ça me semble un peu insensé.
Quelque chose m'aurait-il donc manqué quelque part, où c'est quelque chose d'inutile dans un cas aussi simple.
2) Un pare-feu derrière un routeur :
Deuxième cas. La majorité des gens sont derrière un routeur, leur modem Machin-box autre que Freebox configurer par défaut (auquel cas il n'est pas en routeur). À quoi sert un pare-feu sur les ordinateurs présent derrière le routeur ? En effet, ces ordinateurs ne sont simplement pas visible depuis l'extérieur à moins de rediriger un port. Alors à quoi bon fermer les ports ? Le premier cas était dans le cas d'un système sûr dans lequel on a confiance, mais ce deuxième point s'applique même à un système mal configurer où l'on ne sait rien de ce qui tourne dessus. Quelque-chose m'échappe peut-être sur le fonctionnement du pare-feu et des routeurs, mais ceci m'étonne.
Et vous, quel est votre politique de sécurité sur vos ordinateurs ? ceux reliés directement à internet et ceux en local. Pare-feu pour tous ? juste sur le serveur (pour ceux qui ne sont pas derrière un routeur)… Pensez-vous qu'un pare-feu est vraiment utile, ou juste un patch pour système mal conçu ?
Je parle bien des pare-feu les plus basique, pas du cas ou on laisse l'on veut ouvrir un port juste à quelques postes particuliers.
Voilà, c'était mon questionnement du dimanche matin.
PS : routeur ne semble pas connu par le correcteur de Linuxfr ce que je trouve assez amusant.
1) C'est celle de l'utilité des pare-feux sur un système sûr.
Je parle aussi uniquement du pare-feu « simple », celui qui se contente d'ouvrir ou fermer les ports. Je ne prend pas non plus en compte le cas ou l'on ferme un port vers internet mais qui reste ouvert sur le réseau local. Je parle bien du type courant de pare-feu « tout ou rien ».
En effet, si je ne me trompe pas : Le pare-feu autorise ou refuse une connexion à un port. Hors, un port non utilisé est toujours fermé. Un exemple, si je n'ai pas de connexion ssh, et rien sur le port 22, personne ne pourra rentrer sur ma machine par là. J'ai lu plusieurs fois : « Si tu n'utilises pas un service, bloque le port ». La réponse me venant à l'esprit est bien évidemment de tout simplement couper le service. Je ne vais pas faire tourner ssh sur ma machine et fermer le port l'utilisant, ça me semble un peu insensé.
Quelque chose m'aurait-il donc manqué quelque part, où c'est quelque chose d'inutile dans un cas aussi simple.
2) Un pare-feu derrière un routeur :
Deuxième cas. La majorité des gens sont derrière un routeur, leur modem Machin-box autre que Freebox configurer par défaut (auquel cas il n'est pas en routeur). À quoi sert un pare-feu sur les ordinateurs présent derrière le routeur ? En effet, ces ordinateurs ne sont simplement pas visible depuis l'extérieur à moins de rediriger un port. Alors à quoi bon fermer les ports ? Le premier cas était dans le cas d'un système sûr dans lequel on a confiance, mais ce deuxième point s'applique même à un système mal configurer où l'on ne sait rien de ce qui tourne dessus. Quelque-chose m'échappe peut-être sur le fonctionnement du pare-feu et des routeurs, mais ceci m'étonne.
Et vous, quel est votre politique de sécurité sur vos ordinateurs ? ceux reliés directement à internet et ceux en local. Pare-feu pour tous ? juste sur le serveur (pour ceux qui ne sont pas derrière un routeur)… Pensez-vous qu'un pare-feu est vraiment utile, ou juste un patch pour système mal conçu ?
Je parle bien des pare-feu les plus basique, pas du cas ou on laisse l'on veut ouvrir un port juste à quelques postes particuliers.
Voilà, c'était mon questionnement du dimanche matin.
PS : routeur ne semble pas connu par le correcteur de Linuxfr ce que je trouve assez amusant.
> Lire le journal (40 commentaires, moyenne: 3).
Vous avez demandé le commentaire #909605.
Run by 
Cette page a été générée par Templeet en 0.0785s (dont 0.0081 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Moi
1- Tu raisonne comme si une machine appartenait à un seul réseau, et avec une seule interface réseau, ce qui n'est pas toujours le cas. Maintenant, comme je fais, si je veux autoriser un service uniquement sur une patte précise ?
Néanmoins, en effet, tout cela doit se faire par des firewall intermédiaire en général en cas de grand réseau,plus simple àexploiter qu'un firewall sur toutes les machines finale.
2- A protéger des attaques du réseau local ? Bon, certes quand tu as quelques machines dans ton LAN, c'est complétement absurde. Mais , sur de grands réseau, les attaques viennent plus souvent de l'interieur.
Moi ce que je fais, je laisse tout psser depuis le LAN, je laisse passer quelques services sur le routeur, mais sur des ports exotique, que j'apprends par coeur. Par exemple ,je peux rediriger le port 653984 vers le port 22 d'une mmachine qui elle interdira les connexions root.
PS: vite , file à la messe, tu va être en retard ;-)
[^]Re: Moi
Merci.
1) J'ai bien précisé que je parle du cas simple avec une connexion simple, pas du cas où l'on veut activer un service que sur une portion du réseau (bien que dans ce cas, ça doit bien souvent pouvoir se faire de l'application elle-même).
2) C'est là un cas bien particulier de gros réseaux locaux, je parle plutôt du cas de l'utilisation familiale avec une machin-box qui partage internet à tout au plus une dizaine d'ordinateurs. Dans ceux cas, à quoi ça sert les pare-feu sur les ordinateurs branchés derrière ? Surtout que dans bien des cas, le réseau derrière, c'est juste une seule machine.
[^]Re: Moi
Sous windows (il y en a sous Linux mais c'est plus rare) les pare-feu sont le plus souvent applicatif, ce qui, souvent, pond des trucs du style:
L'application notepad.exe veut se connecter a 23.45.75.135 (vilainpirate.com), Autoriser ? Oui/Non
Ce qui permet de protéger la passoire de tout ce qui est déjà rentré par l'intermédiaire de couveuses a virus style outlook, ie et compagnie de ne pas pouvoir sortir. Du coup le cheval de Troie rentré va avoir bien du mal à se rendre utile sans pouvoir téléphoner maison.
La hiérarchie, c'est comme les étagères : plus c'est haut, moins ça sert.
[^]Re: Moi
C'est une des choses qui m'agacent profondément dans le monde Windows. Les pare-feux personnels en tant qu'applications, en soi, c'est déjà une hérésie, parce qu'ils fonctionnent sur la machine qu'ils sont censés protéger. On a tous trouvé ça absurde quand c'est sorti, mais maintenant, les gens se sentent en sécurité parce qu'ils « ont fait les démarches nécessaires ».
L'application notepad.exe veut se connecter a 23.45.75.135 (vilainpirate.com), Autoriser ? Oui/Non Ce qui permet de protéger la passoire de tout ce qui est déjà rentré par l'intermédiaire de couveuses a virus style outlook, ie et compagnie de ne pas pouvoir sortir. Du coup le cheval de Troie rentré va avoir bien du mal à se rendre utile sans pouvoir téléphoner maison.
C'est hallucinant parce que :
1) Il vaut mieux empêcher le spyware de rentrer et, à tout le moins, le nettoyer plutôt que de mettre une couche par dessus quelque chose qui est percé en soi.
2) Qu'est-ce qui empêche un programme malfaisant installé en local de tripatouiller le pare-feu pour s'octroyer les droits dont il a besoin ?
[^]Re: Moi
1) Donc si j'ai bien compris, a la maison chez toi, tu ne penseras jamais a avoir un coffre-fort parce que la porte de la maison et les fenetres sont sensees etre sures ?
Je te propose de chercher les mots "defense in depth" sur google...
2) Faut avoir les droits de changer la config du firewall pour ca, ce qui n'est pas donne si t'es un user.
[^]Re: Moi
1°) Donc si j'ai bien compris, a la maison chez toi, tu ne penseras jamais a avoir un coffre-fort parce que la porte de la maison et les fenetres sont sensees etre sures ?
Il disait plutôt "j'évite qu'un voleur s'introduise chez moi, plutot que de le laisser s'introduire puis essayer de l'empecher de sortir".
En tout cas c'est ce que j'ai compris.
2°) Comme la majorité des user travaillent en mode "root", car historiquement, si on était pas dans ce mode, on ne pouvait pas avoir accés à un certain nombre de fonctionnalité (utilisation de certaines devices, ...) ...
Subete ga wakatta toki…watashi ga anta wo korosu.
[^]Re: Moi
Et moi, je te propose de commencer par mettre des serrures à tes portes si tu comptes installer un coffre-fort chez toi.
"Defense in depth". Non mais je rêve !
[+] [^]Re: Moi
Ah ben ca tombe bien, j'esperes que tu vas me montrer ou est-ce que les serrures ne sont pas installees.
[^]Re: Moi
c'est pas un peu ce que font SELinux, AppArmor & cie. mais pas au niveau TCP/IP ? (c'est une vraie question)
ensuite, si ton service réseau est troué et qu'on lui injecte du code qui va faire des trucs réseaux inhabituels (autrement dit que tu n'auras pas autorisés explicitement, et on ne va pas considérer le cas du blocage/acceptation interactive), et ben il aura plus de mal.
[^]Re: Moi
Par exemple ,je peux rediriger le port 653984 vers le port 22 d'une mmachine qui elle interdira les connexions root.
Tu arrives à rediriger le port 653984 en TCP/IP ? Faudra que tu me montres comment tu fais :-)
[^]Re: Moi
C'est de l'IP V12 !
You got the money, I got the soul.
[^]Re: Moi
plutot du tcp²
Subete ga wakatta toki…watashi ga anta wo korosu.
[^]Re: Moi
TCP et IP ont fusionnés pour la version 8 de IP.
[^]Re: Moi
Meunon c'est grâce à ipot
suJeSelS
http://www.suJeSelS.net/