Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 24-02-2015 11:31:11

wlourf
Membre
Distrib. : Jessie
Noyau : Linux 3.16.0-4-amd64
(G)UI : awesome
Inscription : 19-07-2010

protection réseau local

Bonjour

J'ai un réseau local tout simple derrière une freebox composé de PC linux et de deux PC windows.Il n'y a pas de partage sambas ou autre avec les PC windows.
Mon fils m'a montré qu'avec son PC windows connecté au réseau local et le logiciel Cain, il pouvait sniffer le mot de passe de mon webmail, par exemple roll Apparemment, il utilise une attaque "Man in the middle", que doit-on utiliser pour se protéger de ce genre d'attaques (il y a pas mal d'articles sur la sécurité dans le wiki mais je ne vois pas quelle solution utiliser ufw, snort ...)

Merci

Hors ligne

#2 24-02-2015 11:48:10

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : protection réseau local

Bonjour,

UFW, le front-end pour iptables est relativement facile d'emploi.
Quelques exemples : http://jenny.bourdiol.org/frar/notes-regles-ufw-client

Pour vérifier la sécurité obtenue : http://hackademics.fr/showthread.php?66 … -en-LAN%29

I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#3 24-02-2015 13:48:00

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : protection réseau local

Et du réseau internet il fait la meme chose ? tongue

Hors ligne

#4 24-02-2015 14:35:19

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : protection réseau local

lol

I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#5 26-02-2015 17:58:44

raleur
Membre
Inscription : 03-10-2014

Re : protection réseau local

Un pare-feu n'empêchera pas le reniflage des mots de passe transmis sur le réseau en clair ou de façon insuffisamment sécurisée. Pour éviter les attaques de type "homme du milieu", il faut au minimum
- utiliser systématiquement des connexion chiffrées (HTTPS pour le web, TLS/SSL pour le mail via POP/SMTP/IMAP, SSH au lieu de Telnet, FTPS ou SFTP au lieu de FTP...),
- vérifier systématiquement que le certificat présenté par un site sécurisé correspond bien au site (normalement le navigateur émet une alerte ou refuse la connexion si ce n'est pas le cas).

Dernière modification par raleur (26-02-2015 18:00:02)

Hors ligne

#6 26-02-2015 21:59:50

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : protection réseau local

rien n est parfait en informatique faut pas strésser , juste evaluer le risque .
faut voir au infos ce qui circule sur les hack de machines
une bonne méthode pas de pc , pas d internet , pas de telephone et autres .........  etc   tongue
et habiter dans une caverne lol  (gaffe aux ours .......... )

Hors ligne

#7 26-02-2015 22:01:38

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : protection réseau local

big_smile

I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#8 26-02-2015 22:47:18

Coconuts
Membre
Lieu : Ici dans un Rucher d'abeilles
Distrib. : Jessie/ Stretch/Sid
Noyau : Linux Version 3.16.0-4-amd64/ Linux version 4.2.0-
(G)UI : GNOME/ Version 3.14.1/LXDM-MATE
Inscription : 29-06-2014

Re : protection réseau local

Salut,

Mises à jour régulières du système, avec des logiciels [paquets Debian] et un bon MP.
big_smile

Le chocolat a un effet anti-fatigue et anti-déprime, n’hésitez pas à craquer pour un carré de chocolat, c’est bon pour le moral et pour l'esprit en général.
Des points-choco faciles pour piller la cassette à Smolski – Merci qui ? Merci bendia

Hors ligne

#9 27-02-2015 18:32:03

raleur
Membre
Inscription : 03-10-2014

Re : protection réseau local

Comme un pare-feu, la mise à jour suivie du système et des applications et l'utilisation de mots de passe solides font partie des bonnes pratiques mais n'empêchent toujours pas le reniflage des mots de passe transmis sur le réseau en clair ou de façon insuffisamment sécurisée (sauf dans le cas particulier où une mise à jour corrige effectivement une faiblesse dans la transmission sécurisée des mots de passe).

Dernière modification par raleur (27-02-2015 18:33:29)

Hors ligne

#10 28-02-2015 01:05:20

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : protection réseau local

tu parle de quel réseau internet ou local ?

venir renifler sur le reseau local on parle bien de pare-feu , si tu rentre pas tu renifle pas ?

Hors ligne

#11 28-02-2015 16:05:53

raleur
Membre
Inscription : 03-10-2014

Re : protection réseau local

robert2a a écrit :

tu parle de quel réseau internet ou local ?


Je ne fais pas de distinction. Un attaquant bien placé sur internet peut renifler ce qu'il veut.

robert2a a écrit :

venir renifler sur le reseau local on parle bien de pare-feu , si tu rentre pas tu renifle pas ?


Sauf erreur on parlait de pare-feu local sur le poste (ufw, iptables), qui n'empêche en rien le reniflage de ce qui entre ou sort que ce soit sur le réseau local ou sur internet.

Dernière modification par raleur (28-02-2015 16:07:12)

Hors ligne

#12 28-02-2015 19:54:35

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : protection réseau local

cité wikipédia

l'ARP Spoofing : c'est probablement le cas le plus fréquent. Si l'un des interlocuteurs et l'attaquant se trouvent sur le même réseau local, il est possible, voire relativement aisé, pour l'attaquant de forcer les communications à transiter par son ordinateur en se faisant passer pour un « relais » (routeur, passerelle) indispensable. Il est alors assez simple de modifier ces communications ;

sur le réseau local uniquement . (pas de wifi et un bon chien de garde )

le DNS Poisoning : L'attaquant altère le ou les serveur(s) DNS des parties de façon à rediriger vers lui leurs communications sans qu'elles s'en aperçoivent ;
l'analyse de trafic afin de visualiser d'éventuelles transmissions non chiffrées ;

le déni de service : l'attaquant peut par exemple bloquer toutes les communications avant d'attaquer un parti. L'ordinateur ne peut donc plus répondre et l'attaquant a la possibilité de prendre sa place.

je cherche reniflage mais pour l instant , je ne vois danger que vers l exterieur (pas dans le cas d un particulier qui a un petit reseau local) .

ne le prend pas mal raleur j essaie de comprendre , et ta façon d expliquer est assez flippante sad

reniflage : la aussi a priori sur une connexion internet ou en local (acces physique obligatoire wifi ou cable).
l utilisation de hub ou cable agrave encore (obsolet)

Fonctionnement

Lorsqu'une machine veut communiquer avec une autre sur un réseau non-commuté (relié par un hub ou câblé en câble coaxial, qui sont des techniques obsolètes), elle envoie ses messages sur le réseau à l'ensemble des machines et normalement seule la machine destinataire intercepte le message pour le lire, alors que les autres l'ignorent. Ainsi en utilisant la méthode du reniflage (anglais sniffing), il est possible d'écouter le trafic passant par un adaptateur réseau (carte réseau, carte réseau sans fil, etc.).

Pour pouvoir écouter tout le trafic sur une interface réseau, celle-ci doit être configurée dans un mode spécifique, le « mode promiscuous ». Ce mode permet d'écouter tous les paquets passant par l'interface, alors que dans le mode normal, le matériel servant d'interface réseau élimine les paquets n'étant pas à destination de l'hôte. Par exemple, il n'est pas nécessaire de mettre la carte en mode « promiscuous » pour avoir accès aux mots de passe transitant sur un serveur FTP, vu que tous les mots de passe sont à destination dudit serveur.

Le renifleur de paquets (packet sniffer) décompose ces messages et les rassemble, ainsi les informations peuvent être analysées à des fins frauduleuses (détecter des logins, des mots de passe, des emails), analyser un problème réseau, superviser un trafic ou encore faire de la rétro-ingénierie.
Sécurité

La solution à ce problème d'indiscrétion est d'utiliser des protocoles de communication chiffrés, comme SSH (SFTP, scp), SSL (HTTPS ou FTPS) (et non des protocoles en clair comme HTTP, FTP, Telnet).

pour le webmail de notre ami au dessus si utilisation sur le net il faut comme tu dit utiliser une connexion securisé.

Dernière modification par robert2a (28-02-2015 20:04:09)

Hors ligne

#13 01-03-2015 13:58:47

wlourf
Membre
Distrib. : Jessie
Noyau : Linux 3.16.0-4-amd64
(G)UI : awesome
Inscription : 19-07-2010

Re : protection réseau local

Merci pour vos réponses.

Si j'arrive bien à reproduire le sniffage grace au lien de paskal dans le post 2 (méthode arp spoofing, sur les sites HTTP uniquement), je ne vois pas comment utiliser ufw pour empecher ce sniffage, ce qui va dans le sens de vos réponses.

Si le sniffeur à l'IP 192.168.0.6, cette règle ne bloque rien :

sudo ufw deny from 192.168.0.6


roll

Du coup, il n'y a pas moyen de dire au PC que tout ce qui sort du port 80 aille sur l'IP de la freebox sans transiter par un obscur PC du réseau ?

Hors ligne

#14 01-03-2015 14:19:32

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : protection réseau local

Non raleur te conseille d utiliser des connections sécurisé , c est le seul moyen de limiter ce genre de choses , le pare-feu est inutile dans ce cas alors qu avec des connections cryptées ça devient plus difficile d intercepter et de lire les contenu des paquets.
pour la freebox , ton pc connait la route par le dhcp je suppose , si l ip (ou le nom ) fait parti du réseau internet tu sera directement dirigé sur la freebox port 80 (ta passerelle internet).
il te faut sécuriser tes connections de "webmail" , je connais pas ce logiciel donc je peus pas te dire comment hmm  .

ps: pour le risque , c est plutot coté internet , coté local pour un réseau de particulier , a part le wifi (et ton fils ) il y a moins de risque (plutot pour les entreprises ou il y a danger ).
si j ai bien compris les explications de raleur.

Dernière modification par robert2a (01-03-2015 14:27:36)

Hors ligne

#15 01-03-2015 23:50:24

raleur
Membre
Inscription : 03-10-2014

Re : protection réseau local

robert2a a écrit :

ta façon d expliquer est assez flippante


C'est le but. Ayez peur !

Sur un réseau local, comme cela a été expliqué il est assez facile d'intercepter du trafic avec les techniques mentionnées. Il y a des moyens de l'éviter, par exemple avec un switch qui filtre les adresses MAC selon les ports, mais ce  n'est pas faisable avec les équipements domestiques.
Sur internet, c'est plus difficile d'intercepter du trafic mais il y a aussi des techniques (attaques DNS) ou il suffit d'être bien placé sur le chemin des données.
Quant aux box fournies par la plupart des FAI, elles sont administrables à distance, ont des failles de sécurité et peuvent donc être compromises. Dans ce cas, comme tout passe par la box, aussi bien les communications sur le réseau local qu'avec internet, c'est l'endroit idéal pour les interceptions.
Ne faites pas confiance à votre box, elle n'est pas sous votre contrôle.

Hors ligne

#16 02-03-2015 00:37:51

Atys
Membre
Distrib. : Debian GNU/Linux unstable (sid)
Noyau : Linux 4.8.0-2-686-pae
(G)UI : Fluxbox - Xfce
Inscription : 28-02-2015

Re : protection réseau local

Bonsoir,

Par exemple si ont fait une agrégation de liens (2 lignes DSL), les informations qui passe sur l'Internet sont chiffrées ?

Dernière modification par Atys (02-03-2015 00:40:43)

Hors ligne

#17 02-03-2015 01:13:24

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : protection réseau local

raleur a écrit :

robert2a a écrit :

ta façon d expliquer est assez flippante


C'est le but. Ayez peur !

Ne faites pas confiance à votre box, elle n'est pas sous votre contrôle.



Il y a un autre moyen , si vous etes pret a renoncer a la TV et au téléphone acheter un modem-routeur , il vous protegera mieux , pas d administration à distance , et pas mal de possibilités de filtrage.
le NAT est un petit plus , il ignore les requetes internet . (sauf celles que vous avez autorisées dans la redirection )

Mais il est clair que la sécurité a 100% n existe pas , et du moment qu une porte est ouverte vers l exterieur , elle l ai aussi vers l interieur .

ps: pour les livebox et autres live-bidule je ne connais pas les possibilités de sécuriser le lan , donc je ne ferai pas de commentaires .

Hors ligne

#18 02-03-2015 13:46:14

raleur
Membre
Inscription : 03-10-2014

Re : protection réseau local

Atys a écrit :

Par exemple si ont fait une agrégation de liens (2 lignes DSL), les informations qui passe sur l'Internet sont chiffrées ?


L'agrégation de liens et le chiffrement n'ont rien à voir l'un avec l'autre. Ce n'est pas le lien qui chiffre (sauf VPN).

robert2a a écrit :

si vous etes pret a renoncer a la TV et au téléphone acheter un modem-routeur


Pas besoin de renoncer à la TV et au téléphone IP : on peut brancher son propre routeur en cascade derrière la box du FAI. Eviter les modèles qui ont des failles de sécurité connues permettant la prise de contrôle à distance (certain modèle chez D-Link).

robert2a a écrit :

le NAT est un petit plus


La protection du NAT n'est qu'un effet de bord de ses propres limitations. Cela ne remplace pas un vrai pare-feu à état.

Hors ligne

#19 09-03-2015 22:24:50

nikau
Banni(e)
Distrib. : jessie
Noyau : 3.16.0-4-amd64
(G)UI : Xfce 4.10.1
Inscription : 19-10-2011

Re : protection réseau local

robert2a a écrit :

si vous etes pret a renoncer a la TV et au téléphone acheter un modem-routeur



C'est à mon sens même impératif, la box représente un grand danger de hacking voir piratage malveillant, le fai connaît ses abonnés, il est alors d'autant plus <<dangereux>> intercaler un  routeur entre la box et le réseaux LAN permet en effet d'isoler le FAI du niveau ethernet (couche niveau 2 du modèle OSI avec toutes ses formes d'attaques...)  j'ajouterais simplement que c'est mieux dans ce cas de désactiver le mode routeur de la box (inutile de mettre deux NAT en cascade) et si la box est en mode bridge, la TV fonctionne pareillement.

Hors ligne

#20 10-03-2015 00:11:32

Coconuts
Membre
Lieu : Ici dans un Rucher d'abeilles
Distrib. : Jessie/ Stretch/Sid
Noyau : Linux Version 3.16.0-4-amd64/ Linux version 4.2.0-
(G)UI : GNOME/ Version 3.14.1/LXDM-MATE
Inscription : 29-06-2014

Re : protection réseau local

robert2a a écrit :

rien n est parfait en informatique faut pas strésser , juste evaluer le risque .
faut voir au infos ce qui circule sur les hack de machines
une bonne méthode pas de pc , pas d internet , pas de telephone et autres .........  etc   tongue
et habiter dans une caverne lol  (gaffe aux ours .......... )



Bonsoir à tous
@robert2a +1 wink

Voilà maintenant, je me retrouve dans un état qui ressemble beaucoup à l'homme enchaîné et immobilisé dans une demeure souterraine, je suis dans le noir incapable de me protéger des Deamons.
Dicton du jour
: Ça n'est pas parce que vous êtes paranoïaques qu'ils ne sont pas tous après vous ! lol


Le chocolat a un effet anti-fatigue et anti-déprime, n’hésitez pas à craquer pour un carré de chocolat, c’est bon pour le moral et pour l'esprit en général.
Des points-choco faciles pour piller la cassette à Smolski – Merci qui ? Merci bendia

Hors ligne

#21 10-03-2015 12:47:19

nikau
Banni(e)
Distrib. : jessie
Noyau : 3.16.0-4-amd64
(G)UI : Xfce 4.10.1
Inscription : 19-10-2011

Re : protection réseau local

Ça n'est pas parce que vous êtes paranoïaques qu'ils ne sont pas tous après vous ! lol



il ne faut pas exagérer, <<sur le vrai terrain>> si intrus malveillant en la demeure, c'est avec un bon coup de P sur la G. ou du plomb dans le cul qu'il en ressortira..
sur la toile, il ne faut pas croire tout de même que les trouducs en puissance qui usent de lâcheté et perfidie représentent  la plus grande majorité, mais il suffit d'un seul à un poste clé pour justifier l'utilité d'un isolement total d'un réseau lan..
paranoïaque est alors un terme inapproprié..

Hors ligne

#22 10-03-2015 14:11:30

Coconuts
Membre
Lieu : Ici dans un Rucher d'abeilles
Distrib. : Jessie/ Stretch/Sid
Noyau : Linux Version 3.16.0-4-amd64/ Linux version 4.2.0-
(G)UI : GNOME/ Version 3.14.1/LXDM-MATE
Inscription : 29-06-2014

Re : protection réseau local

nikau a écrit :

Ça n'est pas parce que vous êtes paranoïaques qu'ils ne sont pas tous après vous ! lol



il ne faut pas exagérer, <<sur le vrai terrain>> si intrus malveillant en la demeure, c'est avec un bon coup de P sur la G. ou du plomb dans le cul qu'il en ressortira..


..


lol lol lol lol

Dernière modification par Coconuts (10-03-2015 14:12:16)


Le chocolat a un effet anti-fatigue et anti-déprime, n’hésitez pas à craquer pour un carré de chocolat, c’est bon pour le moral et pour l'esprit en général.
Des points-choco faciles pour piller la cassette à Smolski – Merci qui ? Merci bendia

Hors ligne

#23 10-03-2015 14:30:13

nikau
Banni(e)
Distrib. : jessie
Noyau : 3.16.0-4-amd64
(G)UI : Xfce 4.10.1
Inscription : 19-10-2011

Re : protection réseau local

Coconuts a écrit :

nikau a écrit :

Ça n'est pas parce que vous êtes paranoïaques qu'ils ne sont pas tous après vous ! lol



il ne faut pas exagérer, <<sur le vrai terrain>> si intrus malveillant en la demeure, c'est avec un bon coup de P sur la G. ou du plomb dans le cul qu'il en ressortira..


..


lol lol lol lol



[propos modéré]

Hors ligne

#24 10-03-2015 21:07:58

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : protection réseau local

robert2a a écrit :

si vous etes pret a renoncer a la TV et au téléphone acheter un modem-routeur


raleur a écrit :


Pas besoin de renoncer à la TV et au téléphone IP : on peut brancher son propre routeur en cascade derrière la box du FAI. Eviter les modèles qui ont des failles de sécurité connues permettant la prise de contrôle à distance (certain modèle chez D-Link).



tien justement  , explique moi comment avec la prise en main a distance desactivé et un mot de passe   on peut hacker un modem routeur par internet , ce serait une faiblesse de linux ?
c est ssh qui est utilisé comme prise en main a distance sur le modem ?

Ouvrir une porte (un port ) par une redirection on prend des risques , sinon nat en service et redirection inutilisée , je vois pas comment cela serait possible.

d'apres les dires wink , avec le nat votre réseau est invisible de l exterieur tongue  (sur des requets  entrantes) , si vous surfer "mauvais" c est autre chose ....

ps: j ai regarde un peu sur le net , par telnet (ssh) ce serait plutot sur le haut de gamme , et orange l interdit carrement sur ces box.
par le port 80 si tu la desactivé dans le menu (par defaut normalement) , il me semble difficile d avoir acces.

Dernière modification par robert2a (10-03-2015 21:14:49)

Hors ligne

#25 14-03-2015 15:12:51

raleur
Membre
Inscription : 03-10-2014

Re : protection réseau local

robert2a a écrit :

explique moi comment avec la prise en main a distance desactivé et un mot de passe   on peut hacker un modem routeur par internet


En exploitant une faille de sécurité, comme toujours.

Hors ligne

Pied de page des forums