Journal Timeface , la terreur des firewall

Posté par .
Tags : aucun
5
2
nov.
2010
On m'a demandé d'ouvrir les ports nécessaires pour faire fonctionner Timeface de l'Iphone.
J'ai dit "oui, pas de problème ! Je m'en occupe dès que j'ai un moment".

Après une rapide recherche sur Internet , je tombe sur cette page:
http://support.apple.com/kb/ht4245

Il faut juste ouvrir :
443 (TCP)
3478–3497 (UDP)
5223 (TCP)
16384–16387 (UDP)
16393–16402 (UDP)

Depuis, je me pose plusieurs questions:
- Quel est le dealer des dev d'Apple.
- La motivation de créer un protocole d'échange aussi complexe.

C'est dans dès moment comme çà qu'on apprécie que son pare-feu soit géré par un script bash et iptables. Et je pleins la personne qui aura à paramétrer çà via une interface graphique :)
  • # Clavier

    Posté par (page perso) . Évalué à 9.

    Tu as un bépo et tu veux montrer que tu peux facilement mettre des accents n'importe où même quand ce n'est pas nécessaire?

    « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

    • [^] # Re: Clavier

      Posté par . Évalué à 4.

      En fait, si on pouvait rééditer les journaux , on pourrait corriger les fautes d'orthographes.

      De cette manière, les nuls en orthographe pourrait corriger à postériori leurs postes et ceux qui sont blessés par une orthographe déficiente pourrait enseigner aux autres à mieux écrire.

      Je pense qu'on y gagnerai en qualité pour les uns comme pour les autres.
      • [^] # Re: Clavier

        Posté par (page perso) . Évalué à 8.

        Du coup, il y aurait tout un fil de commentaire qui n'aurait plus aucun sens. De plus, il y aurait moyen de changer complètement le sens du journal et plus aucun commentaire n'aurait de sens.

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

        • [^] # Re: Clavier

          Posté par (page perso) . Évalué à 1.

          Il suffirait d'avoir accès aux différentes versions comme sur un wiki, comme ça, ça se voit si quelqu'un essaye de modifier le fond.
          • [^] # Re: Clavier

            Posté par . Évalué à 6.

            Comme ça on perdrait encore plus de temps sur linuxfr, youpi
      • [^] # Re: Clavier

        Posté par (page perso) . Évalué à 4.

        >> ceux qui sont blessés par une orthographe déficiente pourrait enseigner aux autres à mieux écrire.

        Ouais, mais si on perd le plaisir de vous jeter des tomates sur la place publique, DLFP perd grave en intérêt…
    • [^] # Re: Clavier

      Posté par . Évalué à 5.

      Quelle manie de vouloir mettre des accents çà et là…
      • [^] # Re: Clavier

        Posté par . Évalué à -5.

        Je suis sur que si on fait la somme des commentaires portant sur "le bon usage de la langue française" et sur "ma licence est plus libre que la tienne" on aura un chiffre supérieur à celui des commentaires discutant réellement du sujet.


        Je propose qu'on utilise sur linuxfr.org une version simplifier et plus permissive de la langue française. Reste à savoir sous quelle licence on proposera cette langue.
        • [^] # Re: Clavier

          Posté par . Évalué à 10.

          "une version simplifier"
          Apparemment, tu ne nous as pas attendus pour commencer...
  • # Estimes toi heureux

    Posté par . Évalué à 0.

    Y a des soluces où y a plus de ports à ouvrir et où c'est la galère à trouver ces fameux ports à ouvrir.
    En général, ça annonce la (non)qualité du produit...
    • [^] # SIP

      Posté par (page perso) . Évalué à 5.

      En général, ça annonce la (non)qualité du produit...

      Yep, SIP c'est de la non qualité aussi donc (il y a 16000 ports UDP à ouvrir, bien plus que pour Timeface).
      Euh... Je voulais faire de l'humour, mais non, en fait vu ce que les gens pensent de SIP...
      • [^] # Commentaire supprimé

        Posté par . Évalué à 6.

        Ce commentaire a été supprimé par l'équipe de modération.

        • [^] # Re: SIP

          Posté par . Évalué à 9.

          Yeah! SIP c'est tellement pas le bordel, qu'il y a des modules dans le noyal pour le gérer.

          Depending on the time of day, the French go either way.

          • [^] # Commentaire supprimé

            Posté par . Évalué à 3.

            Ce commentaire a été supprimé par l'équipe de modération.

          • [^] # Re: SIP

            Posté par . Évalué à 1.

            et tu proposes quoi à la place, oh, grand génie ?

            (Je suis particulièrement machiavélique de poser cette question, car je sais bien que sois tu ne proposeras rien, soit un truc applicable pour le perso -- et encore, certains cas perso -- et qui ne fonctionnera jamais dans un nombre important de cas d'utilisations grande échelle pro. Et non, IAX2 ou quelque chose de similaire ne permet pas non plus de couvrir ces cas)
  • # Et bien

    Posté par (page perso) . Évalué à 9.

    Quel est l’intérêt de fermer les ports si tu dois les ouvrir à chaque fois que l'on te le demande ?

    Envoyé depuis mon lapin.

    • [^] # Re: Et bien

      Posté par . Évalué à 4.

      Éviter que les utilisateurs téléchargent sur du P2P.

      La demande pour Timeface concerne pour un réseau mis à disposition des visiteurs.

      Plus, tu fermes de port, plus tu peux mettre en évidence le comportement anormal d'un poste :
      - scanne des ports ouverts.
      - tentative de connexion sur des ports qui vont mettre en évidence une tentative d'attaque: connexion aux ports de partage Windows, aux ports d'impressions,...
      • [^] # Re: Et bien

        Posté par . Évalué à 0.

        Tu ferais pas partie d'un réseau étudiant toi? ;)

        Anyway, j'ai déjà eu des cas similaires, mais en mode over-abused. Par exemple des applications "alacon" (du type fessebouc ou iPoire) qui demandent une plage de 22000 ports. De là à écrire un "Idiotic dev that dosen't know how TCP/IP work considered harmful", il n'y a qu'un pas.
  • # Tu as une dent contre les GUI?

    Posté par (page perso) . Évalué à 4.

    Et je pleins la personne qui aura à paramétrer çà via une interface graphique :)

    C'est quoi le problème avec les GUI?
    Je comprend pas où tu vois un soucis avec, c'est 5 lignes de GUI à remplir (un GUI de base propose les plages de ports), bien plus rapide qu'avec un script à faire.
    J'ai l'impression que c'est une attaque gratuite contre les GUI...
    • [^] # Re: Tu as une dent contre les GUI?

      Posté par . Évalué à 4.

      Et si tu as un parcs d'ordis tu dois faire ca 5xN ave le nombre d'ordis a modifier. Super efficaces par rapport a un script... Je me demande d'ailleur pourquoi Microsoft a cree powershell si ce n'est pas pour gerer ce genre de chose... (je parle de microsoft car sous unix cela a toujours etait possible de le faire et comme c'est une des tes compagnies de reference cela sera plus parlant peut etre).
      • [^] # Re: Tu as une dent contre les GUI?

        Posté par (page perso) . Évalué à 2.

        Je vais t'apprendre un truc : sous Windows, il y a des logiciels de gestion de parc / firewall qui diffusent les modifs de config à tous les firewalls. Si si. Et le tout en graphique, bien plus simple.

        Il y en a qui ne jurent que par la ligne de commande et refusent de regarder ailleurs, il y en a d'autres qui ne se prennent pas la tête et on un vrai logiciel de gestion plus simple à utiliser. Que vous fassiez ça en ligne de commande, c'est mignon, c'est votre choix, mais ne faites pas les aveugles : pour ça, il y a de très bon logiciels qui font les choses plus simplement pour l'admin, et automatisé. A choses simples, réponse GUI simple, pour cet exemple, pas besoin de powershell, qu'on utilise pour d'autres besoins moins classiques qui n'ont pas de GUI. La, on parle d'un truc de base de chez base.
        • [^] # Re: Tu as une dent contre les GUI?

          Posté par . Évalué à 3.

          Alors mettre dans la meme phrase GUI simple et Windows cela me laisse legerement dubitatif. Enfin les utilisateurs windows que je cotois n'arretent pas de raler sur le paneau de control et sa logique "redmondienne" (c'est a dire bizarre) et puis j'ai eu l'immense "plaisir" de decouvrir exchange et je pense pouvoir dire que c'est la pire interface graphique que j'ai jamais eu a utiliser.

          Alors peut etre qu'il existe des GUI tres bien pour gerer le firewall de plusieurs centaines de machines mais bon comme la ou je bosse c'est de l'unix je n'ai jamais vu un administrateur s'embetter avec ce genre de truc lorsque un script shell ou perl de 2 lignes fait le boulot. Pour en avoir discuter avec certains, ils n'aiment pas du tout les GUI car ils trouvent cela lent a utiliser.
          • [^] # Re: Tu as une dent contre les GUI?

            Posté par . Évalué à 2.

            mais bon comme la ou je bosse c'est de l'unix je n'ai jamais vu un administrateur s'embetter avec ce genre de truc lorsque un script shell ou perl de 2 lignes fait le boulot. Pour en avoir discuter avec certains, ils n'aiment pas du tout les GUI car ils trouvent cela lent a utiliser.

            Tu me l'envoies ce script de 2 lignes qui distribue les regles sur tous les elements reseau du systeme ? Ca a l'air d'etre un script sacrement baleze (ou 2 lignes vachement longues)
          • [^] # Re: Tu as une dent contre les GUI?

            Posté par (page perso) . Évalué à 2.


            > je pense pouvoir dire que c'est la pire interface graphique que j'ai jamais eu a utiliser.

            Ahah!
            Non. Crois moi.
            • [^] # Re: Tu as une dent contre les GUI?

              Posté par . Évalué à 3.

              si si je te promet c'est la pire que j'ai utiliser ce qui ne veut pas dire qu'il existe pas d'autre immondice du meme style. Je n'ai personnellement jamais eu a faire a la nouvelle interface de MS office mais bon lorsque je vois la place que cela prend en hauteur de l'ecran alors que c'est la dimension la plus petite sur nos ecrans cela me laisse dubitatif...
        • [^] # Re: Tu as une dent contre les GUI?

          Posté par . Évalué à 1.

          C'est vrai. La Freebox et Windows 2008 peuvent attribuer des plages de port sortant , entrant

          Mais, c'est tellement plus beau en script.

          Enfin, puisqu'on est dans le débat. Dans toutes les interfaces graphiques que tu as pu utiliser. Peux tu simplement résoudre un problème de ce type sans cliquer comme un fou:
          J'ai eth1 et et eth2 qui ont la même règle de filtrage vers les deux interface sortante eth3 et eth4. Cette règle s'appelle Safesurf.

          En script, çà se traduit par une fonction safesurf que j'applique à chaque interface eth1 et eth2.

          Quand j'ouvre un port, je modifie uniquement ma fonction safesurf et je recharge les règles.
          • [^] # Re: Tu as une dent contre les GUI?

            Posté par . Évalué à 3.

            Tu achètes windows power + live ultimatum pro, mirlaine édition, qui te permet d'installer un firewall cloud noSQL avec une CLI tweeter (le firewall est hébergé chez Amazon, mais c'est pas un problème pcq tu as quelques fibres giga qui arrivent chez toi), et tu automatises le tout avec un programme pro de test auto d'IHM et un module de vision informatique configuré par un consultant pour détecter les champs dans lesquels il faut rentrer les ports même si un thème CSS change (et avec une garantie d'éviter au moins 80% des fois de se tromper à cause des pubs). Le tout est bien sur personnalisable depuis une feuille de calcul Excel sur le bureau du CEO, grâce à du vb script et une config astucieuses des 12 anti-virus (de marques différentes mais qui couvrent uniquement les 7 machines mises en oeuvre dans cette solution très corporate sécurisé de manière high level state of the art), mais uniquement en ce qui concerne les numéro des ports. Attention à ne pas supprimer la fameuse feuille Excel du CEO, sinon tout le réseau tombe. (Note : en plus d'avoir tuné les anti-virus un par un, tu auras bien sûr pris soin de déployer une bonne grosse conf corporate ++ avec des AD redondés et même du disaster recovery grâce à la fenêtre bien pratique "disaster recovery 3000" et sa fameuse case à cocher [please recover from disasters after they happen, thanks to the all-mighty cloud], mais c'est tellement évident que je l'avais omis dans ma description initiale de ce système professionnel convivial dans lequel n'importe quel teubé peut configurer des trucs super advanced en 3 clics de souris.)

            Un script bash lancé par un cron à pendant un temps tenté de lier cette solution très pro au monde Unix (à cause des hippies du département R&D qui persistent à vouloir utiliser des systèmes de bidouilleurs du dimanche), mais un jour de pleine lune un BSOD du serveur windows accédé à déclenché par un malheureux concours de circonstance un rm -rf /. Tout le service R&D a été viré, étant devenu impossible de communiquer avec eux par la seule voie qui restait jusqu'à là de disponible, toutes tentatives de communication orale ayant été abandonnées depuis maintes années. Une bonne grosse source de coûts et d'emmerdes en moins !
        • [^] # Re: Tu as une dent contre les GUI?

          Posté par . Évalué à 5.

          pour ça, il y a de très bon logiciels qui font les choses plus simplement pour l'admin, et automatisé.
          Pourquoi "plus simplement"? C'est très subjectif ça.

          Et la CLI c'est automatisable également.

          THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

          • [^] # Re: Tu as une dent contre les GUI?

            Posté par . Évalué à 4.

            Il dit que c'est automatisé pas par opposition à la CLI mais juste en réponse à l'autre zozo qui dit "si c'est dans une gui il faut le faire 42000 fois, une par machine".

            Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

            • [^] # Re: Tu as une dent contre les GUI?

              Posté par (page perso) . Évalué à 2.

              Merci.

              Certaines personnes veulent absolument voir dans les GUI un truc tout simpliste qui ne répond pas au besoin, mais quand ils donnent un exemple "tu as vu, je suis un warrior, j'ai mis plein de temps à apprendre les scripts, j'ai automatisé tout à la main pour que je puisse juste lancer un script et hop", quand en face ben les gens "normaux" cliquent, rentrent quelques chiffres (les ports), et valident la demande de propagation sur l'ensemble du parc (avec possibilité de choisir si on veut enlever des serveurs de la propagation, pareil en quelques clics), et c'est tout.

              Il y a plein d'exemples la puissance des scripts pour des choses moins classique, cet exemple est tout simplement très mauvais pour faire la démo.
        • [^] # Re: Tu as une dent contre les GUI?

          Posté par . Évalué à 4.

          Il y en a qui ne jurent que par la ligne de commande et refusent de regarder ailleurs, il y en a d'autres qui ne se prennent pas la tête et on un vrai logiciel de gestion plus simple à utiliser.

          C'est quoi ce faux dilleme à deux sous ?
          Il n'y a personne qui "ne jurent que par la gui et qui refusent de regarder ailleurs" ?

          Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

    • [^] # Re: Tu as une dent contre les GUI?

      Posté par . Évalué à 4.

      Paramétrer un truc, style Firewall, avec une GUI ça va encore, mais administrer un serveur complet c’est plus possible.

      Je dois, malheureusement, administrer un Windows Server 2008 R2. C’est tellement cliquodrome que je pour certaines fonctions, je me fais des fichiers de configuration au format texte qui sont ensuite appliqués grâce à des scripts PowerShell / WMI.

      Un fichier de configuration à l’avantage d’offrir des informations synthétiques pouvant être accédées et modifiées rapidement, contrairement aux IHM qui deviennent rapidement complexes. Tu peux également en conserver les versions successives pour avoir l’historique de la configuration, les transmettre à des collègues, …
  • # Port Triggering

    Posté par . Évalué à 4.

    Faire du port triggering ou utiliser stun si c'est supporté, et ça évite donc d'avoir des ports ouverts vers des applications qui ne l'auraient pas demandé.
    • [^] # Re: Port Triggering

      Posté par . Évalué à 2.

      Stun, il faut qu'il y ai un client pour Iphone.

      Le port triggering, je ne suis pas fan de ce genre de système. Il y a toujours des petits malins qui trouvent comment les détourner à leur profit. Même, si ce n'est pas le même cas, vu qu'on parle de connexion sortante , l'article de phrack( http://phrack.org/issues.html?issue=65&id=5#article ) montre comment cela peut être exploité à l'insu de l'administrateur.

      Je pense surtout qu'il n'y a pas de vrai bonne raison d'utiliser autant de port UDP sortant. Si c'est pour utiliser le port UDP comme un élément identifiant la session. On verra apparaitre des injection de paquet UDP comme pour le DNS qui viseront des failles
      sécurités des lecteurs.
  • # Pas Timeface!

    Posté par (page perso) . Évalué à 3.

    C'est Facetime, pas Timeface, au fait.

  • # XMPP/Jingle

    Posté par (page perso) . Évalué à 4.

    5223 ? C'est le port TCP SSL d'XMPP ça. Facetime ferait pas du Jingle par hasard ?
  • # erreur ....

    Posté par . Évalué à 10.

    Et je pleins la personne qui aura à paramétrer çà via une interface graphique :)

    On dit "je remplis" la personne.
    • [^] # Re: erreur ....

      Posté par . Évalué à 7.

      Ce qui est bien plus distingué que dire "je la fourre".

      Herm...
  • # ceci est une preuve de l'inutilité des firewall centralisés

    Posté par . Évalué à 1.

    le protocole ip est prévu pour fonctionner avec une communication de bout en bout. Il est donc illusoire d'espérer avoir un firewall centralisé supposé protéger toutes les machines de la meme manière.
    les regles de firewalling doivent donc etre installées sur chacune des machines.
    Certes, ca donne plus de travail, mais c'est ainsi. au final, cela permet à chaque machine d'être bien mieux protégées

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.