Journal : Les pare-feu
Posté par seginus () le 02 mars 2008
Bonjour, je poste ce journal au sujet d'une question que je me pose et à laquelle je n'ai jamais eu de réponses qui m'ont satisfait. Ce sont les pare-feux et dans deux cas :
1) C'est celle de l'utilité des pare-feux sur un système sûr.
Je parle aussi uniquement du pare-feu « simple », celui qui se contente d'ouvrir ou fermer les ports. Je ne prend pas non plus en compte le cas ou l'on ferme un port vers internet mais qui reste ouvert sur le réseau local. Je parle bien du type courant de pare-feu « tout ou rien ».
En effet, si je ne me trompe pas : Le pare-feu autorise ou refuse une connexion à un port. Hors, un port non utilisé est toujours fermé. Un exemple, si je n'ai pas de connexion ssh, et rien sur le port 22, personne ne pourra rentrer sur ma machine par là. J'ai lu plusieurs fois : « Si tu n'utilises pas un service, bloque le port ». La réponse me venant à l'esprit est bien évidemment de tout simplement couper le service. Je ne vais pas faire tourner ssh sur ma machine et fermer le port l'utilisant, ça me semble un peu insensé.
Quelque chose m'aurait-il donc manqué quelque part, où c'est quelque chose d'inutile dans un cas aussi simple.
2) Un pare-feu derrière un routeur :
Deuxième cas. La majorité des gens sont derrière un routeur, leur modem Machin-box autre que Freebox configurer par défaut (auquel cas il n'est pas en routeur). À quoi sert un pare-feu sur les ordinateurs présent derrière le routeur ? En effet, ces ordinateurs ne sont simplement pas visible depuis l'extérieur à moins de rediriger un port. Alors à quoi bon fermer les ports ? Le premier cas était dans le cas d'un système sûr dans lequel on a confiance, mais ce deuxième point s'applique même à un système mal configurer où l'on ne sait rien de ce qui tourne dessus. Quelque-chose m'échappe peut-être sur le fonctionnement du pare-feu et des routeurs, mais ceci m'étonne.
Et vous, quel est votre politique de sécurité sur vos ordinateurs ? ceux reliés directement à internet et ceux en local. Pare-feu pour tous ? juste sur le serveur (pour ceux qui ne sont pas derrière un routeur)… Pensez-vous qu'un pare-feu est vraiment utile, ou juste un patch pour système mal conçu ?
Je parle bien des pare-feu les plus basique, pas du cas ou on laisse l'on veut ouvrir un port juste à quelques postes particuliers.
Voilà, c'était mon questionnement du dimanche matin.
PS : routeur ne semble pas connu par le correcteur de Linuxfr ce que je trouve assez amusant.
1) C'est celle de l'utilité des pare-feux sur un système sûr.
Je parle aussi uniquement du pare-feu « simple », celui qui se contente d'ouvrir ou fermer les ports. Je ne prend pas non plus en compte le cas ou l'on ferme un port vers internet mais qui reste ouvert sur le réseau local. Je parle bien du type courant de pare-feu « tout ou rien ».
En effet, si je ne me trompe pas : Le pare-feu autorise ou refuse une connexion à un port. Hors, un port non utilisé est toujours fermé. Un exemple, si je n'ai pas de connexion ssh, et rien sur le port 22, personne ne pourra rentrer sur ma machine par là. J'ai lu plusieurs fois : « Si tu n'utilises pas un service, bloque le port ». La réponse me venant à l'esprit est bien évidemment de tout simplement couper le service. Je ne vais pas faire tourner ssh sur ma machine et fermer le port l'utilisant, ça me semble un peu insensé.
Quelque chose m'aurait-il donc manqué quelque part, où c'est quelque chose d'inutile dans un cas aussi simple.
2) Un pare-feu derrière un routeur :
Deuxième cas. La majorité des gens sont derrière un routeur, leur modem Machin-box autre que Freebox configurer par défaut (auquel cas il n'est pas en routeur). À quoi sert un pare-feu sur les ordinateurs présent derrière le routeur ? En effet, ces ordinateurs ne sont simplement pas visible depuis l'extérieur à moins de rediriger un port. Alors à quoi bon fermer les ports ? Le premier cas était dans le cas d'un système sûr dans lequel on a confiance, mais ce deuxième point s'applique même à un système mal configurer où l'on ne sait rien de ce qui tourne dessus. Quelque-chose m'échappe peut-être sur le fonctionnement du pare-feu et des routeurs, mais ceci m'étonne.
Et vous, quel est votre politique de sécurité sur vos ordinateurs ? ceux reliés directement à internet et ceux en local. Pare-feu pour tous ? juste sur le serveur (pour ceux qui ne sont pas derrière un routeur)… Pensez-vous qu'un pare-feu est vraiment utile, ou juste un patch pour système mal conçu ?
Je parle bien des pare-feu les plus basique, pas du cas ou on laisse l'on veut ouvrir un port juste à quelques postes particuliers.
Voilà, c'était mon questionnement du dimanche matin.
PS : routeur ne semble pas connu par le correcteur de Linuxfr ce que je trouve assez amusant.
> Lire le journal (40 commentaires, moyenne: 3).
Vous avez demandé le commentaire #910073.
Run by 
Cette page a été générée par Templeet en 0.0453s (dont 0.0048 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Freebox en mode routeur fainéant
Ne pas se fier aux boiboites des fai pour la sécurité de son réseau.
Il m'est arrivé 2 ou 3 fois, sur 2 installation distinctes que des freebox configurées en mode routeur, à la suite d'un reboot des boites, que celles-ci se comporte en bridge !
Non, je ne fume pas.
Mes machines (et celles de mes parents) sont sous ubuntu, en mode dhcp (avec ip déterminées par adresse mac).
A la suite d'un reboot de freebox, mes machines n'arrivaient plus à contacter d'autres équipements dur le réseau local en 192.168.0.x, et là je m'aperçois que le machine sur laquelle je travaille a reçu une adresse du genre 88.163.xxx.xxx, comme si la freebox était en mode bridge...
comme si la freebox n'avait pas eu le temps de charger sa configuration (depuis les serveurs de free ?) et que ma machine avait reçu une ip fournie par un routeur/dhcp de free.
heureusement que je n'avais pas de machine sous windows, sinon j'étais bon pour un déverminage en règle, voire une réinstallation.
[^]Re: Freebox en mode routeur fainéant
effectivement j'ai déjà eu cela sur une freebox.
Tous ensemble contre l'esclavitude des logiciels privateurs !
[^]Re: Freebox en mode routeur fainéant
à la suite d'un reboot des boites, que celles-ci se comporte en bridge !
Non, je ne fume pas.
Oui, c'est effectivement le cas. En cas de "hard reset" de la freebox (le fait de la brancher/débrancher plusieurs fois), cela supprime la configuration actuelle, et remet la configuration par défaut : Mode bridge.
La première machine du LAN qui fait alors une requête DNS se retrouve à ce moment là avec une adresse IP internet (88.X.X.X).
Ce genre de "hard reset" peut arriver si tu as des micro-coupures de courant à répétition.