Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 14-06-2016 08:46:02

Atys
Membre
Distrib. : Debian GNU/Linux unstable (sid)
Noyau : Linux 4.8.0-1-amd64
(G)UI : Fluxbox - Xfce
Inscription : 28-02-2015

Pare-Feu, j'appelais ça contre le feu durant mes études, raison ou pas

Bonjour à tous

J'ai beau essayer de trouver un remède, je ne suis pas pas fort en réseaux !

Comment me configurer un pare-feu de base sans perdre ma connexion Internet ?

J'installe et configure des softs et configure des fichiers mes il me manque cela !

Ça peu paraître idiot, mais c'est le cas ...

Merci à toutes contributions

Hors ligne

#2 14-06-2016 09:25:02

Dunatotatos
Membre
Lieu : Arabie Saoudite
Distrib. : Sid
Noyau : linux-image-amd64
(G)UI : tty
Inscription : 24-04-2012

Re : Pare-Feu, j'appelais ça contre le feu durant mes études, raison ou pas

Pour quel usage ?
Sache que pour une utilisation domestique et classique, un pare-feu est inutile. Ta box filtre déjà les connexions entrantes. Ton pare-feu ne filtrerait que des connexions sur le réseau local, supposé sûr, puisqu'il est local et domestique.

Never trust Windows output.

Hors ligne

#3 14-06-2016 09:53:59

deuchdeb
Moderato ma non troppo
Lieu : Pays de Cocagne
Distrib. : Jessie 8 + backports
Noyau : linux-image-3.16
(G)UI : KDE4.14 - Mate
Inscription : 13-01-2010

Re : Pare-Feu, j'appelais ça contre le feu durant mes études, raison ou pas

Regarde ceci, un pare-feu facile: https://debian-facile.org/doc:systeme:ufw

Hors ligne

#4 14-06-2016 10:23:41

Atys
Membre
Distrib. : Debian GNU/Linux unstable (sid)
Noyau : Linux 4.8.0-1-amd64
(G)UI : Fluxbox - Xfce
Inscription : 28-02-2015

Re : Pare-Feu, j'appelais ça contre le feu durant mes études, raison ou pas

Bonjour

Atys a écrit :

Pour quel usage ?


Dunatotatos a écrit :

Ton pare-feu ne filtrerait que des connexions sur le réseau local, supposé sûr, puisqu'il est local et domestique.


L'usage de bien sécuriser mon PC en quelque sorte.

Mais oui, je passe par une bbox, c'est içi que je dois voir, alors, en premier lieu !

Merci de l'info primo, Dunatotatos !

deuchdeb a écrit :

Regarde ceci, un pare-feu facile: https://debian-facile.org/doc:systeme:ufw


Je connais de nom, mais l'interface graphique risque de m'embrouiller encore plus !

Mais je regarde ça de plus près, merci deuchdeb !

Pour le moment le fichier que je considère le plus sérieux est /etc/sysctl.conf ou il y a de la rupture avec l'extérieur, raison pour moi ou pas ?

Encore merci pour vos infos précieuses !

Hors ligne

#5 14-06-2016 22:03:46

Mercredi
Membre
Distrib. : Testing
Noyau : 4.8
(G)UI : Gnome
Inscription : 25-09-2015

Re : Pare-Feu, j'appelais ça contre le feu durant mes études, raison ou pas

ufw se gère en ligne de commande. Pour l'interface graphique il faut lui ajouter gufw tongue

Dunatotatos a écrit :

Ton pare-feu ne filtrerait que des connexions sur le réseau local, supposé sûr, puisqu'il est local et domestique.


Pour avoir essayé ufw (et bien galéré avec lol ) je confirme, l'imprimante, le grille-pain connecté, le multicast etc ... ça bloque tout big_smile


De toutes les forces de l'univers, la plus dure à surmonter, c'est la force de l'habitude. T.Pratchett - Trois Soeurcières.

Hors ligne

#6 15-06-2016 10:28:35

raleur
Membre
Inscription : 03-10-2014

Re : Pare-Feu, j'appelais ça contre le feu durant mes études, raison ou pas

Atys a écrit :

Pour le moment le fichier que je considère le plus sérieux est /etc/sysctl.conf ou il y a de la rupture avec l'extérieur, raison pour moi ou pas ?


Suis-je le seul à ne rien comprendre à cette phrase ?

En ligne

#7 15-06-2016 12:26:56

kawer
Adhérent(e)
Lieu : Académie de la Croix-Vraie
Distrib. : Debian stable / ArchLinux
Noyau : Current
(G)UI : xfwm4
Inscription : 08-10-2013
Site Web

Re : Pare-Feu, j'appelais ça contre le feu durant mes études, raison ou pas

Atys a écrit :

Pour le moment le fichier que je considère le plus sérieux est /etc/sysctl.conf ou il y a de la rupture avec l'extérieur, raison pour moi ou pas ?



Pour moi, la seul utilité de sysctl est le forward et l'anti-spoofing, ainsi que l'interdiction du redirect icmp, sinon rien d'intéressant. Mais n'offre aucune rupture avec l'extérieur comparé à iptables.

Un script iptables placé dans init.d et ajouté au démarrage, avec une politique non restrictive de tout laisser sortir et rien entré (à moins d'avoir une connection etablished est suffisante.

Après si tu n'a pas confiance en tes applications, comme par exemple ton navigateur web firefox ou autre, tu peu les confiner avec apparmor ou selinux. Bien que ce dernier est très difficile d'utilisation en comparaison à apparmor.

Dernière modification par kawer (15-06-2016 12:28:43)


Rendez à César ce qui est à César et à Dieu ce qui est à Dieu -Cit. J.C.
La persévérance, c'est ce qui rend l'impossible possible, le possible probable et le probable réalisé. -Cit. Robert Half.
Dans toutes les situations, le piège c'était avant, car tu ne voyais pas les murs -Cit. Crevette

Hors ligne

#8 15-06-2016 13:43:19

raleur
Membre
Inscription : 03-10-2014

Re : Pare-Feu, j'appelais ça contre le feu durant mes études, raison ou pas

kawer a écrit :

Pour moi, la seul utilité de sysctl est le forward et l'anti-spoofing, ainsi que l'interdiction du redirect icmp


Et du ping broadcast.
Concernant l'anti-spoofing, son efficacité est très limitée (pour ne pas dire nulle) dans le cas d'un poste de travail qui n'a qu'une interface réseau.

En ligne

#9 16-06-2016 17:52:30

Atys
Membre
Distrib. : Debian GNU/Linux unstable (sid)
Noyau : Linux 4.8.0-1-amd64
(G)UI : Fluxbox - Xfce
Inscription : 28-02-2015

Re : Pare-Feu, j'appelais ça contre le feu durant mes études, raison ou pas

Bonjour à tous

J'ai été voir la Bbox, en effet on peu l'administrer.

Je me suis mal exprimé et mauvaise connaissance du fichier /etc/sysctl.conf
Dans le README

Kernel system variables configuration files


raleur a écrit :

Et du ping broadcast.
Concernant l'anti-spoofing, son efficacité est très limitée (pour ne pas dire nulle) dans le cas d'un poste de travail qui n'a qu'une interface réseau.


Oui, je n'es qu'une interface réseau sur ce poste de travail.

J'ai mis en route ufw et fait un peu de lecture.
C'est compliqué.

kawer a écrit :

Un script iptables placé dans init.d et ajouté au démarrage, avec une politique non restrictive de tout laisser sortir et rien entré (à moins d'avoir une connection etablished est suffisante.


Oui, je dois prendre mon temps smile

kawer a écrit :

(à moins d'avoir une connection etablished est suffisante.


Que veux tu dire par cette expression ?

Bonne soirée

Hors ligne

#10 16-06-2016 18:43:04

kawer
Adhérent(e)
Lieu : Académie de la Croix-Vraie
Distrib. : Debian stable / ArchLinux
Noyau : Current
(G)UI : xfwm4
Inscription : 08-10-2013
Site Web

Re : Pare-Feu, j'appelais ça contre le feu durant mes études, raison ou pas

Par exemple si tu as :


iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT ACCEPT
 



Il faut penser à mettre :


iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
 


Rendez à César ce qui est à César et à Dieu ce qui est à Dieu -Cit. J.C.
La persévérance, c'est ce qui rend l'impossible possible, le possible probable et le probable réalisé. -Cit. Robert Half.
Dans toutes les situations, le piège c'était avant, car tu ne voyais pas les murs -Cit. Crevette

Hors ligne

#11 16-06-2016 19:44:14

Atys
Membre
Distrib. : Debian GNU/Linux unstable (sid)
Noyau : Linux 4.8.0-1-amd64
(G)UI : Fluxbox - Xfce
Inscription : 28-02-2015

Re : Pare-Feu, j'appelais ça contre le feu durant mes études, raison ou pas

Ok, je vais voir ça, je te remercie kawer

Hors ligne

#12 17-06-2016 12:23:43

raleur
Membre
Inscription : 03-10-2014

Re : Pare-Feu, j'appelais ça contre le feu durant mes études, raison ou pas

La règle dans la chaîne OUTPUT n'est pas forcément utile avec une politique par défaut à ACCEPT.

En ligne

#13 18-06-2016 14:58:29

Dunatotatos
Membre
Lieu : Arabie Saoudite
Distrib. : Sid
Noyau : linux-image-amd64
(G)UI : tty
Inscription : 24-04-2012

Re : Pare-Feu, j'appelais ça contre le feu durant mes études, raison ou pas

Pour l'instant, j'ai laissé coulé ce fil, mais je ne comprends vraiment pas pourquoi tout le monde l'encourage à installer et configurer un pare-feu. C'est bien la dernière des nécessités en terme de sécurité sur un réseau local. Le seul endroit où le pare-feu est utile (et encore, certains avis sont contres), c'est à l'interface entre le réseau local et Internet.

Le plus souvent, et je paris que c'est le cas ici, c'est sur la box. Le pare-feu par défaut sur la box est largement suffisant (tout autorisé en OUTPUT, tout interdit en INPUT), et les configurations plus fines peuvent se faire par une interface graphique simple d'utilisation.

Si le but de l'installation du pare-feu est didactique, alors allons-y ! Mais sur un dual boot, une machine virtuelle, ou une vieille machine qui ne sert qu'à ça. Si le but est la sécurité, ça ne sert à rien.

Never trust Windows output.

Hors ligne

#14 18-06-2016 18:09:47

kawer
Adhérent(e)
Lieu : Académie de la Croix-Vraie
Distrib. : Debian stable / ArchLinux
Noyau : Current
(G)UI : xfwm4
Inscription : 08-10-2013
Site Web

Re : Pare-Feu, j'appelais ça contre le feu durant mes études, raison ou pas

Je lui conseil un firewall simplement parcqu'il est connecté à internet et que les box FAI ont des vulnérabilité qui ne sont pas patché en temps et en heure. De plus il est simple d'utiliser une connection établie pour acceder à un autre port lorsque tu n'a pas un suivis niveau iptables.

Après chacun est libre d'exposer son avis, mais il faut retenir qu'il est souvent dit par certains gourou qu'une Debian fraichement installé et non sécurisé sera tout aussi exposé au attaque extérieur qu'un windows. Et pour l'analogie, windows est connus pour être vulnérable. Pas autant que linux mais pourtant c'est la même lorsque le système n'est pas configurer correctement.

Rendez à César ce qui est à César et à Dieu ce qui est à Dieu -Cit. J.C.
La persévérance, c'est ce qui rend l'impossible possible, le possible probable et le probable réalisé. -Cit. Robert Half.
Dans toutes les situations, le piège c'était avant, car tu ne voyais pas les murs -Cit. Crevette

Hors ligne

#15 18-06-2016 21:41:10

raleur
Membre
Inscription : 03-10-2014

Re : Pare-Feu, j'appelais ça contre le feu durant mes études, raison ou pas

Je viens de relire la discussion et je ne vois pas le moindre encouragement à installer un pare-feu.

Vous réfléchissez encore en IPv4 derrière un NAT qui offre un semblant de protection. Mais de plus en plus de FAI fournissent l'IPv6 sans aucune garantie de protection par la box. Etre en IPv6 avec une adresse globale derrière une freebox, c'est exactement comme être directement sur internet.

En ligne

#16 18-06-2016 22:02:42

Dunatotatos
Membre
Lieu : Arabie Saoudite
Distrib. : Sid
Noyau : linux-image-amd64
(G)UI : tty
Inscription : 24-04-2012

Re : Pare-Feu, j'appelais ça contre le feu durant mes études, raison ou pas

kawer a écrit :

De plus il est simple d'utiliser une connection établie pour acceder à un autre port lorsque tu n'a pas un suivis niveau iptables.


Comment ? Et imagions que j'arrive à accéder à un autre port. Genre le port 80, 443, ou 22. J'en fais quoi ? Aucun service n'écoute derrière.

kawer a écrit :

mais il faut retenir qu'il est souvent dit par certains gourou qu'une Debian fraichement installé et non sécurisé sera tout aussi exposé au attaque extérieur qu'un windows.


Tu as lu ça où ?
C'est vrai pour un serveur. C'est faux pour un poste client. Les vulnérabilités des postes clients viennent des logiciels tiers installés depuis des sources autres que les sources de confiance. Genre logiciels craqués, débrideurs, et autres cochonneries qu'on peut choper en téléchargeant n'importe où. D'ailleurs, l'intérêt du pare-feu de Windows n'est pas de bloquer les connexion entrantes, mais sortantes. Le filtrage se fait par application, pour savoir si telle logiciel a le droit d'ouvrir un port. Sur du Unix, la protection se fait par l'interdiction d'écouter sur un port en-dessous de 1024 pour les processus non root.

La preuve sur le PC depuis lequel je poste. Debian Sid, installée il y a trois mois, avec tous les paramètres par défaut, quasiment aucun paquet installé en plus, à part KDE :

netstat -lpunt


Connexions Internet actives (seulement serveurs)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat        PID/Program name    
udp        0      0 0.0.0.0:68              0.0.0.0:*                           28765/dhclient      
udp        0      0 0.0.0.0:37064           0.0.0.0:*                           1022/avahi-daemon:  
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           1022/avahi-daemon:  
udp        0      0 0.0.0.0:1900            0.0.0.0:*                           1329/minissdpd      
udp6       0      0 :::5353                 :::*                                1022/avahi-daemon:  
udp6       0      0 :::34177                :::*                                1022/avahi-daemon:  


Bloquer l'un de ces ports donne lieu à une interruption du service associé. Vus les services dont il s'agit, une meilleure protection serait donc de les arrêter, plutôt que de bloquer les ports associés.
* dhclient sert à la configuration DHCP. Si le poste n'est pas configurer en adresses statiques, bloquer ce port en entrée peut empêcher une re-configuration DHCP à l'expiration de celle actuellement en place.
* avahi est une implémentation du protocole Zeroconf, qui est fait pour fonctionner sur un réseau local de confiance. Bloquer son port veut dire que le réseau local n'est pas tant de confiance. Autant le virer, dans ce cas.
* Je ne connais pas très bien minissdpd, mais il est lié à l'auto-annonce des périphériques UPnP. Interdire l'accès à ce port empêche le processus d'auto-annonce.
* Le reste est fermé, faute de service écoutant dessus.

Installer un pare-feu sur un réseau local avec une imprimante, trois PC portables et deux smartphone ne sert strictement à rien. Même si une attaque quelconque arrive à exploiter une vulnérabilité de la box, ou plus probablement une étourderie d'un utilisateur, il pourra peut-être envoyer des paquets sur différentes ports des PC portables, mais ne pourra strictement rien recevoir en retour.

Mais encore une fois, si le but est didactique, je ne peux qu'encourage cette initiative.


Never trust Windows output.

Hors ligne

#17 19-06-2016 23:23:32

Atys
Membre
Distrib. : Debian GNU/Linux unstable (sid)
Noyau : Linux 4.8.0-1-amd64
(G)UI : Fluxbox - Xfce
Inscription : 28-02-2015

Re : Pare-Feu, j'appelais ça contre le feu durant mes études, raison ou pas

Bonsoir,

raleur a écrit :

Je viens de relire la discussion et je ne vois pas le moindre encouragement à installer un pare-feu.

Vous réfléchissez encore en IPv4 derrière un NAT qui offre un semblant de protection. Mais de plus en plus de FAI fournissent l'IPv6 sans aucune garantie de protection par la box. Etre en IPv6 avec une adresse globale derrière une freebox, c'est exactement comme être directement sur internet.


Sur l'interface de ma Bbox - TVW 620.1, comment voir cela ?
J'ai exploré, le pare-feu est actif, il y a deux règles Accepter - Refuser, sur le port 25 tcp,udp.
Je n'ai encore rien rajouté.

Votre Bbox accepte de répondre aux Ping provenant d'Internet.


Dunatotatos a écrit :

Mais encore une fois, si le but est didactique, je ne peux qu'encourage cette initiative.


Merci de t'intéresser à mon post, je te lis attentivement, oui le but est aussi didactique du coup et encore merci de m'encourager !

Pour le moment UFW est installé, mais non configurer par moi, par défaut et ça me sort un sacré listing quand je réalise une analyse de base, bref.

Je compte le virer, ça m'embrouille complètement.

apt-get remove ufw gufw --purge



Bonne soirée

Dernière modification par Atys (19-06-2016 23:45:28)

Hors ligne

#18 20-06-2016 13:45:20

Dunatotatos
Membre
Lieu : Arabie Saoudite
Distrib. : Sid
Noyau : linux-image-amd64
(G)UI : tty
Inscription : 24-04-2012

Re : Pare-Feu, j'appelais ça contre le feu durant mes études, raison ou pas

Si tu veux vraiment apprendre comment ça marche, je te conseille plutôt d'utiliser iptables directement. UFW n'est qu'une surcouche (bien faite, mais une surcouche tout de même).

Never trust Windows output.

Hors ligne

Pied de page des forums