Journal : Les pare-feu
Posté par seginus () le 02 mars 2008
Bonjour, je poste ce journal au sujet d'une question que je me pose et à laquelle je n'ai jamais eu de réponses qui m'ont satisfait. Ce sont les pare-feux et dans deux cas :
1) C'est celle de l'utilité des pare-feux sur un système sûr.
Je parle aussi uniquement du pare-feu « simple », celui qui se contente d'ouvrir ou fermer les ports. Je ne prend pas non plus en compte le cas ou l'on ferme un port vers internet mais qui reste ouvert sur le réseau local. Je parle bien du type courant de pare-feu « tout ou rien ».
En effet, si je ne me trompe pas : Le pare-feu autorise ou refuse une connexion à un port. Hors, un port non utilisé est toujours fermé. Un exemple, si je n'ai pas de connexion ssh, et rien sur le port 22, personne ne pourra rentrer sur ma machine par là. J'ai lu plusieurs fois : « Si tu n'utilises pas un service, bloque le port ». La réponse me venant à l'esprit est bien évidemment de tout simplement couper le service. Je ne vais pas faire tourner ssh sur ma machine et fermer le port l'utilisant, ça me semble un peu insensé.
Quelque chose m'aurait-il donc manqué quelque part, où c'est quelque chose d'inutile dans un cas aussi simple.
2) Un pare-feu derrière un routeur :
Deuxième cas. La majorité des gens sont derrière un routeur, leur modem Machin-box autre que Freebox configurer par défaut (auquel cas il n'est pas en routeur). À quoi sert un pare-feu sur les ordinateurs présent derrière le routeur ? En effet, ces ordinateurs ne sont simplement pas visible depuis l'extérieur à moins de rediriger un port. Alors à quoi bon fermer les ports ? Le premier cas était dans le cas d'un système sûr dans lequel on a confiance, mais ce deuxième point s'applique même à un système mal configurer où l'on ne sait rien de ce qui tourne dessus. Quelque-chose m'échappe peut-être sur le fonctionnement du pare-feu et des routeurs, mais ceci m'étonne.
Et vous, quel est votre politique de sécurité sur vos ordinateurs ? ceux reliés directement à internet et ceux en local. Pare-feu pour tous ? juste sur le serveur (pour ceux qui ne sont pas derrière un routeur)… Pensez-vous qu'un pare-feu est vraiment utile, ou juste un patch pour système mal conçu ?
Je parle bien des pare-feu les plus basique, pas du cas ou on laisse l'on veut ouvrir un port juste à quelques postes particuliers.
Voilà, c'était mon questionnement du dimanche matin.
PS : routeur ne semble pas connu par le correcteur de Linuxfr ce que je trouve assez amusant.
1) C'est celle de l'utilité des pare-feux sur un système sûr.
Je parle aussi uniquement du pare-feu « simple », celui qui se contente d'ouvrir ou fermer les ports. Je ne prend pas non plus en compte le cas ou l'on ferme un port vers internet mais qui reste ouvert sur le réseau local. Je parle bien du type courant de pare-feu « tout ou rien ».
En effet, si je ne me trompe pas : Le pare-feu autorise ou refuse une connexion à un port. Hors, un port non utilisé est toujours fermé. Un exemple, si je n'ai pas de connexion ssh, et rien sur le port 22, personne ne pourra rentrer sur ma machine par là. J'ai lu plusieurs fois : « Si tu n'utilises pas un service, bloque le port ». La réponse me venant à l'esprit est bien évidemment de tout simplement couper le service. Je ne vais pas faire tourner ssh sur ma machine et fermer le port l'utilisant, ça me semble un peu insensé.
Quelque chose m'aurait-il donc manqué quelque part, où c'est quelque chose d'inutile dans un cas aussi simple.
2) Un pare-feu derrière un routeur :
Deuxième cas. La majorité des gens sont derrière un routeur, leur modem Machin-box autre que Freebox configurer par défaut (auquel cas il n'est pas en routeur). À quoi sert un pare-feu sur les ordinateurs présent derrière le routeur ? En effet, ces ordinateurs ne sont simplement pas visible depuis l'extérieur à moins de rediriger un port. Alors à quoi bon fermer les ports ? Le premier cas était dans le cas d'un système sûr dans lequel on a confiance, mais ce deuxième point s'applique même à un système mal configurer où l'on ne sait rien de ce qui tourne dessus. Quelque-chose m'échappe peut-être sur le fonctionnement du pare-feu et des routeurs, mais ceci m'étonne.
Et vous, quel est votre politique de sécurité sur vos ordinateurs ? ceux reliés directement à internet et ceux en local. Pare-feu pour tous ? juste sur le serveur (pour ceux qui ne sont pas derrière un routeur)… Pensez-vous qu'un pare-feu est vraiment utile, ou juste un patch pour système mal conçu ?
Je parle bien des pare-feu les plus basique, pas du cas ou on laisse l'on veut ouvrir un port juste à quelques postes particuliers.
Voilà, c'était mon questionnement du dimanche matin.
PS : routeur ne semble pas connu par le correcteur de Linuxfr ce que je trouve assez amusant.
> Lire le journal (40 commentaires, moyenne: 3).
Vous avez demandé le commentaire #909619.
Run by 
Cette page a été générée par Templeet en 0.0453s (dont 0.0045 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
un pare-feu derrière un routeur
Salut,
Le point "un pare-feu derrière un routeur" s'intitule dans ton cas "un pare-feu derrière un routeur à translation d'adresse" qui, en effet, ne fait rien rentrer si aucun port n'est configuré pour laisser entrer ...
Dans mon cas le plus courant (ma boite) où l'on a des routeurs qui routent :) des blocs d'ip, on a un pare-feu sur le routeur qui filtre port par port les machines de l'intérieur, en entrant comme en sortant. Très utile pour imposer une politique et contrôler les services autorisés.
Si un client me dit "j'ai un apache et ssh uniquement sur ce serveur" je ne vais ouvrir que 80 et 22 tcp, et d'autres trucs internes (dns & ntp en udp typiquement, et ce uniquement vers les machines dédiées à ces services)
Après, on ouvre aussi en sortie des ports classiques à la demande des clients (http, ssh etc.). Dans le cas contraire, comme tout est fermé, le vilain pirate ne pourra pas faire grand chose :
- pas possible de virer le pare-feu interne de la machine : c'est le routeur qui s'en charge
- pas possible de rentrer autrement que par un service officiellement ouvert (genre faille applicative, toutça)
- une fois entré, pas possible d'aller chercher son script à la mode avec fetch ou wget : cela limite l'usage de bots de piratage parallèles ...
- pas possible d'écouter sur un port exotique pour y laisser une backdoor : ce port sera fermé en entrée sur le routeur.
Bref, cela complique quand même rudement la tâche de piratage.
[^]Re: un pare-feu derrière un routeur
À propos de routeurs qui routent, seginus pourra rétorquer que ce n'est pas utilisé dans les réseaux familiaux derrière une FAIbox.
Mais avec l'avènement d'IPv6, ce genre de chose devrait remplacer de plus en plus la translation d'adresses, d'où l'intérêt d'avoir des règles de filtrage explicites.
[^]Re: un pare-feu derrière un routeur
Si tu as l'IPv6, la box IPv4 ne bloque plus rien. Il te faut alors faire gaffe à, par exemple, tes partages samba qui sont accessibles depuis le net (Ca peut se configurer dans samba et non dans le firewall).
Il faut aussi faire attention que certains firewalls bloquent les ports en IPv4 mais pas en IPv6 !
Tuxicoman : Blog sur l'actu Mandriva
[^]Re: un pare-feu derrière un routeur
ça se configure dans Samba, mais je pense que Samba
ecoute sur son port quand même, et ne laisse passer que
les bons réseaux, mais une faille dans Samba, et hop, c'
est cuit :)
You got the money, I got the soul.