Journal : Les pare-feu
Posté par seginus () le 02 mars 2008
Bonjour, je poste ce journal au sujet d'une question que je me pose et à laquelle je n'ai jamais eu de réponses qui m'ont satisfait. Ce sont les pare-feux et dans deux cas :
1) C'est celle de l'utilité des pare-feux sur un système sûr.
Je parle aussi uniquement du pare-feu « simple », celui qui se contente d'ouvrir ou fermer les ports. Je ne prend pas non plus en compte le cas ou l'on ferme un port vers internet mais qui reste ouvert sur le réseau local. Je parle bien du type courant de pare-feu « tout ou rien ».
En effet, si je ne me trompe pas : Le pare-feu autorise ou refuse une connexion à un port. Hors, un port non utilisé est toujours fermé. Un exemple, si je n'ai pas de connexion ssh, et rien sur le port 22, personne ne pourra rentrer sur ma machine par là. J'ai lu plusieurs fois : « Si tu n'utilises pas un service, bloque le port ». La réponse me venant à l'esprit est bien évidemment de tout simplement couper le service. Je ne vais pas faire tourner ssh sur ma machine et fermer le port l'utilisant, ça me semble un peu insensé.
Quelque chose m'aurait-il donc manqué quelque part, où c'est quelque chose d'inutile dans un cas aussi simple.
2) Un pare-feu derrière un routeur :
Deuxième cas. La majorité des gens sont derrière un routeur, leur modem Machin-box autre que Freebox configurer par défaut (auquel cas il n'est pas en routeur). À quoi sert un pare-feu sur les ordinateurs présent derrière le routeur ? En effet, ces ordinateurs ne sont simplement pas visible depuis l'extérieur à moins de rediriger un port. Alors à quoi bon fermer les ports ? Le premier cas était dans le cas d'un système sûr dans lequel on a confiance, mais ce deuxième point s'applique même à un système mal configurer où l'on ne sait rien de ce qui tourne dessus. Quelque-chose m'échappe peut-être sur le fonctionnement du pare-feu et des routeurs, mais ceci m'étonne.
Et vous, quel est votre politique de sécurité sur vos ordinateurs ? ceux reliés directement à internet et ceux en local. Pare-feu pour tous ? juste sur le serveur (pour ceux qui ne sont pas derrière un routeur)… Pensez-vous qu'un pare-feu est vraiment utile, ou juste un patch pour système mal conçu ?
Je parle bien des pare-feu les plus basique, pas du cas ou on laisse l'on veut ouvrir un port juste à quelques postes particuliers.
Voilà, c'était mon questionnement du dimanche matin.
PS : routeur ne semble pas connu par le correcteur de Linuxfr ce que je trouve assez amusant.
1) C'est celle de l'utilité des pare-feux sur un système sûr.
Je parle aussi uniquement du pare-feu « simple », celui qui se contente d'ouvrir ou fermer les ports. Je ne prend pas non plus en compte le cas ou l'on ferme un port vers internet mais qui reste ouvert sur le réseau local. Je parle bien du type courant de pare-feu « tout ou rien ».
En effet, si je ne me trompe pas : Le pare-feu autorise ou refuse une connexion à un port. Hors, un port non utilisé est toujours fermé. Un exemple, si je n'ai pas de connexion ssh, et rien sur le port 22, personne ne pourra rentrer sur ma machine par là. J'ai lu plusieurs fois : « Si tu n'utilises pas un service, bloque le port ». La réponse me venant à l'esprit est bien évidemment de tout simplement couper le service. Je ne vais pas faire tourner ssh sur ma machine et fermer le port l'utilisant, ça me semble un peu insensé.
Quelque chose m'aurait-il donc manqué quelque part, où c'est quelque chose d'inutile dans un cas aussi simple.
2) Un pare-feu derrière un routeur :
Deuxième cas. La majorité des gens sont derrière un routeur, leur modem Machin-box autre que Freebox configurer par défaut (auquel cas il n'est pas en routeur). À quoi sert un pare-feu sur les ordinateurs présent derrière le routeur ? En effet, ces ordinateurs ne sont simplement pas visible depuis l'extérieur à moins de rediriger un port. Alors à quoi bon fermer les ports ? Le premier cas était dans le cas d'un système sûr dans lequel on a confiance, mais ce deuxième point s'applique même à un système mal configurer où l'on ne sait rien de ce qui tourne dessus. Quelque-chose m'échappe peut-être sur le fonctionnement du pare-feu et des routeurs, mais ceci m'étonne.
Et vous, quel est votre politique de sécurité sur vos ordinateurs ? ceux reliés directement à internet et ceux en local. Pare-feu pour tous ? juste sur le serveur (pour ceux qui ne sont pas derrière un routeur)… Pensez-vous qu'un pare-feu est vraiment utile, ou juste un patch pour système mal conçu ?
Je parle bien des pare-feu les plus basique, pas du cas ou on laisse l'on veut ouvrir un port juste à quelques postes particuliers.
Voilà, c'était mon questionnement du dimanche matin.
PS : routeur ne semble pas connu par le correcteur de Linuxfr ce que je trouve assez amusant.
> Lire le journal (40 commentaires, moyenne: 3).
Vous avez demandé le commentaire #909797.
Run by 
Cette page a été générée par Templeet en 0.0576s (dont 0.0062 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Même question
Je me suis posé la même question, mais pour un serveur dédié chez un hébergeur plutôt que pour mon PC à la maison.
Sur un serveur que j'ai configuré pour ma boite chez OVH, seul SSH et Apache sont ouverts sur l'extérieur. Les autres services (MySQL et Tomcat en particulier) sont configurés pour n'accepter les connexions que sur l'interface 127.0.0.1
Si j'utilise nmap depuis une machine distante, je ne ne vois bien que les port 22 et 80 d'ouvert. Y a-il un intérêt à mettre en place un firewall sur la machine dans ce cas ?
[^]Re: Même question
Yep, pour éviter que le type qui s'amuse à placer une backdoor puisse s'y connecter.
[^]Re: Même question
Ce que tu peux faire aussi :
C'est installer Knockd (un truc qui ressemble à ça).
Le principe, pour se connecter en SSH:
Tu envois des signaux particuliers (à définir) dans un ordre précis avec un contenu précis (tout est à définir, précis ou pas, tu es libre de créer tes propres règles), sur des ports précis (règles à déterminer) éventuellement fermés.
Alors, Knocd te reconnaissant, va ouvrir le port prédéterminé (au choix, celui que tu auras défini), pour ton adresse IP.
Et hop, tu n'as plus qu'à lancer ton authentification Ssh, par login/pass ou mieux par clef.
Et voilà, ton serveur reste tout le temps fermé de partout, mais tu peux quand même t'y connecter.
Je n'ai jamais essayé ça, mais c'est bien tentant :)
On est loin du réseau familliale, mais si c'est pour intervenir sur le poste de ta grand-mère (sous Linux), il n'y a pas de raisons de laisser des ports ouverts.
A bientôt
Grégoire
[^]Re: Même question
(tu es libre de créer tes propres règles), sur des ports précis (règles à déterminer) éventuellement fermés.
Et au moment où tu auras besoin d'accéder à ta machine en urgence, tu sera chez un client, qui aura autorisé seulement les ports classiques 22/80/443 (normal, ils vont pas ouvrir tous les ports... Déja que si tu as le droit au port 22, c'est bien, dans mon entreprise c'est 80/443 seulement. Mais tu peux pas utiliser ces ports pour ton test, puisque tu as Apache dessus :) ). Avec ta super-protection, tu te seras protégé de... Toi-même.
Les protections, c'est bien, mais en faire trop, c'est pas bon non plus...
Un petit fail2ban suffit amplement pour virer les emmerdeurs sans que ça t'embête toi.
[^]Re: Resttrictions de port
tu sera chez un client, qui aura autorisé seulement les ports classiques 22/80/443
Mon frère à un serveur qui écoutes sur le 443 et qui lui permettra ensuite de se connecter plus librement ailleurs.
Cela lui fait une machine pour rebondir, à maintenir en état, à sécuriser... c'est vrai.
Sinon, tu peux aussi configurer knockd pour écouter d'une manière spéciale sur le 22.
Sinon, oui, c'est dommage d'être bloqué par un excès de sécurité... :)
[^]Re: Même question
Sans vouloir t'offencer, c'est laid !
OpenSSH fais bien son boulot, pourquoi se torturer
a mettre en place une surcouche ?
You got the money, I got the soul.
[^]Re: Même question
>OpenSSH fais bien son boulot, pourquoi se torturer
>a mettre en place une surcouche ?
C'est une forme de protection par l'obscurité. En principe, Ssh fera son travail. Mais s'il existe une faille, elle ne pourra pas être activée car l'attaquant n'aura pas toqué correctement.
[^]Re: Même question
Oui, mais ça déporte le problème de faille sur l'autre logiciel.
Je comprend que ça puisse attirer certaine personnes, moi
je trouve que c'est sale, générateur de bug, de faille, de dos
et autre joyeuseté qui font qu'OpenSSH, c'est bien. :)
You got the money, I got the soul.
[^]Re: Même question
C'est une forme de protection par l'obscurité.
Qui plus est à peine plus efficace qu'un telnet : tout passe en clair ! Ça pourrait avoir du sens si tu dois toquer sur des machines distinctes et jamais les mêmes pour ouvrir d'autres machines, et encore. Si on veut fermer les ports chez mémé tout en continuant à avoir du ssh simplement, ce qu'il faut à mon sens c'est monter un simple VPN (connexion sortante depuis la machine de mémé).