Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 28-04-2008 17:51:54

kantykr
Membre
Inscription : 21-04-2008

firewall

salut
j'ai une préoccupation
est ce que le firewall peut nous prevenir d'une attaque
ou bien d'un scan de port
merci

Hors ligne

#2 28-04-2008 18:47:17

tux12
Membre
Lieu : ./
Distrib. : Squeeze
Noyau : Linux 2.6.32-5-686-bigmem
(G)UI : KDE
Inscription : 27-02-2008

Re : firewall

Bonjour,

La fonction initiale d'un firewall est d''effectuer un filtrage; on laisse passer ou pas les paquets en fonction des ports ou des IPs source et/ou destination, ou d'autres caractéristiques du paquet (selon les capacités du firewall).
Cela peut permettre dans l'absolu de se prémunir de certaines attaques, mais la seule machine inattaquable restera toujours celle qui est déconnectée. wink Difficile d'être plus précis sans plus de précisions sur le type d'attaque envisagé.

Quand à se prémunir d'un scan, c'est comme demander à se prémunir d'un appel téléphonique; on ne peut pas décider que quelqu'un vous appelle ou pas; par contre on peut ne pas répondre. C'est en ce sens que le parefeu, en bloquant (fermant) les ports, évite que l'attaquant ne les trouve ouverts lors du scan. Dit autrement, le danger ne vient pas du scan, mais du résultat de celui-ci lorsqu'il détecte des ports ouverts qui pourront donc être exploités.

Hors ligne

#3 28-04-2008 18:58:30

kantykr
Membre
Inscription : 21-04-2008

Re : firewall

merci mais le problème que je pose est que
pendant que le firewall subit l'attaque ou le scan peut 'il avertir l'administrateur de cet attaques ou ce scan

Hors ligne

#4 28-04-2008 20:21:43

tux12
Membre
Lieu : ./
Distrib. : Squeeze
Noyau : Linux 2.6.32-5-686-bigmem
(G)UI : KDE
Inscription : 27-02-2008

Re : firewall

Dans le cas de Netfilter, le filtre de paquets (parefeu) de Linux, on peut envisager d'effectuer un traitement sur les logs produits par le filtrage IP afin de générer un beep/mail/SMS/sirène...

Ceci étant, à moins de limiter ce genre de choses à des cas très précis, l'émission d'alertes pour chaque scan ou attaque quelconque risque rapidement de vous en mettre plein les yeux/oreilles/mailbox. big_smile

Hors ligne

#5 29-04-2008 10:04:49

kantykr
Membre
Inscription : 21-04-2008

Re : firewall

salut
au faite puisque les ids peuvent nous previnir de toutes scan de port et toutes attaques  je demandais aussi si les firewall pouvait aussi le faire. selon ta  reponse tous les firewall ne sont pas en mesaure de le faire  le mien est un juniper et un proxim.
aussi j'aimerai connaître les differents attaques que le firewall ne peut contrecarre
merci
et boe journée

Hors ligne

#6 29-04-2008 19:00:56

tux12
Membre
Lieu : ./
Distrib. : Squeeze
Noyau : Linux 2.6.32-5-686-bigmem
(G)UI : KDE
Inscription : 27-02-2008

Re : firewall

Bonjour Kantykr,

puisque les ids peuvent nous previnir de toutes scan de port et toutes attaques


Non, un IDS (Intrusion Detection System) détecte les intrusions (en sniffant le traffic du réseau sur lequel il est situé), ce qui est totalement différent de ce que fait un parefeu (filtrer les paquets qu'il reçoit/transmet/émet). Le parefeu évite l'intrusion, l'IDS la détecte lorqu'elle à lieu malgré les précautions prises.

Concernant les capacités des différents parefeu, ce que j'ai essayé de dire est que ma réponse s'applique à Netfilter que je connais un peu, pas à un autre parefeu que je ne connais pas du tout. Et oui tu as bien compris, un parefeu est un programme comme un autre, et tous ne se valent pas en terme de performance, de fiabilité, de fonctionnalités offertes et de souplesse de configuration.
Netfilter à l'avantage (à mon avis) d'être très complet au niveau des possibilités de filtrage, et basé sur du code éprouvé, lu, relu, et corrigé rapidement lorsqu'une faille est découverte, bien plus que ce que peut offrir le parefeu d'un produit commercial dont on ne sait même pas s'il ne comporte pas une backdoor installée par le fabriquant. C'est aussi un excellent outil pédagogique pour qui s'intéresse à la sécurité réseau de sa machine ou de son lan.

Les différentes attaques qu'un parefeu ne peut contrecarrer... Toutes celles qui utilisent un type de communication qui est autorisée par le parefeu. D'ou le succès des attaques par page web, puisque le port http est un des ports qui sont généralement toujours ouverts, au moins en sortie du lan pour pouvoir accéder au web. Dans cette catégorie on trouve aussi le détournement d'usage d'un type de communication existant, je pense au DNS (entre autres) qui, parce qu'il fait aussi partie des ports généralement ouverts (en sortie du lan toujours), est utilisé pour exfiltrer des informations.

Une autre réponse pourrait être toutes les attaques qui utilisent un bug ou une mauvaise configuration du parefeu permettant à l'attaquant de disposer de possibilités de communications qui n'ont pas été normalement prévues.

Je n'ai pas d'avis sur les parefeu commerciaux, que je n'utilise pas pour les raisons exposées ci-avant.

Hors ligne

#7 30-04-2008 13:53:48

kantykr
Membre
Inscription : 21-04-2008

Re : firewall

salut merci pour ton aide
j'aimerais encore que tu m'aide
à faire une evaluation des risques sans un ids dans un système de sécurité
je pense que cela me sera bcp utile
j'en n'ai besoin merci
boe journée

Hors ligne

#8 01-05-2008 00:06:33

tux12
Membre
Lieu : ./
Distrib. : Squeeze
Noyau : Linux 2.6.32-5-686-bigmem
(G)UI : KDE
Inscription : 27-02-2008

Re : firewall

Bonjour,

Pour corriger les imprécisions de mon post précédent à propos des IDS, j'ai mélangé IDS et NIDS, le second servant à surveiller un réseau. Le premier surveille le poste sur lequel il tourne. Dans la cas d'un IDS donc, il est envisageable d'utiliser les logs produits par le FW (firewall) pour générer une alerte ou une action en amont de toute intrusion (voir fwlogwatch en paquet debian).
Ceci étant, il reste vrai qu'un FW et un (N)IDS sont deux choses différentes, c'était le sens de mon explication.

Concernant ta nouvelle demande, je ne comprends pas très bien ce que tu veux faire. Une évaluation des risques d'un système de sécurité? Tu penses à quoi? S'il s'agit de tester la pile IP d'un parefeu commercial, j'ai vu qu'il existe un paquet isic dans Etch:

Description : Test the integrity of an IP Stack with semi-random packets
 ISIC (and components) is intended to test the integrity of an IP Stack and its component stacks (TCP, UDP, ICMP et. al.) It does this by
 generating controlled random packets. You can use ISIC for testing if a firewall leaks packets, or how well an IDS functions.


Ceci dit, je ne sais pas ce que l'on peut en attendre. Ne pas avoir trouvé de faille ne signifie pas qu'il n'y en a pas, dans la mesure ou l'on ne saurait être exhaustif dans les tests.

Néanmoins, avant d'en arriver là, il est bon de se poser la question de quels services (ports) sont accessibles de l'extérieur? Idem en sortie de la machine ou du LAN, qu'est ce qui peut passer?

Ensuite vient la question de l'utilisation. Le système le plus sécurisé soit-il est impuissant face à la négligence ou l'usage inadéquat, sans même envisager l'usage ouvertement hostile. Pour paraphraser ce que je lisais dernièrement sur un forum Windows; Ne pas oublier d'installer le paquet "brain". big_smile

Peux-tu préciser le sens de ta question (redéfinir "système de sécurité" peut-être) ?

@+

Hors ligne

#9 01-05-2008 13:47:32

kantykr
Membre
Inscription : 21-04-2008

Re : firewall

salut bonne fête de travail
quant je parle de système de sécurité je parle de tout les moyen utilisé ou mis en place pour protéger son environnement privé
maintenant je viens à l'evaluation des risques :
exemple: une entreprise utilise un firewall pour sécurisé son reseau et aussi un anti virus
              mais cette entreprise n'utilise pas de ids
              quel est donc le risque qu'il cour s'il n'a pas de système de sécurité dans son son reseau
merci
pour une precision sur les ids il en existe trois sorte 1 hids 2nids 3hybride ids
le 1 pour les postes 2 pour le reseau 3 pour gerer les deux premier
boe journée j'attend ta reponse bye
et porte toi bien

Hors ligne

#10 05-05-2008 23:24:05

tux12
Membre
Lieu : ./
Distrib. : Squeeze
Noyau : Linux 2.6.32-5-686-bigmem
(G)UI : KDE
Inscription : 27-02-2008

Re : firewall

Bonjour,

Hummm... Pas très clair. Tu me parles d'environnement privé, puis, deux lignes plus loin, d'entreprise. De mon point de vue, ce sont deux cas assez différents ne serait ce que parce qu'en entreprise in faut considérer le risque d'attaque interne, ce qui n'est pas le cas sur un réseau personnel. Les services mis en oeuvre sont aussi différents, une entreprise dispose généralement d'un serveur de mails, éventuellement d'un serveur web public, et de services d'accès depuis l'extérieur pour les itinérants (commerciaux). En entreprise, l'aspect "accès physique" aux données et machines et un autre élément à prendre en compte pour répondre à la question du risque.

L'autre question aussi j'ai du mal; si on définit que "système de sécurité" désigne "tout moyen utilisé ou mis en place pour protéger son environnement", la question devient; quel risque si l'on n'a rien pour se protéger?
Je suppose qu'il faut comprendre "Quel risque si l'on n'a pas d'IDS?"
A cela je répondrais que l'important n'est pas d'avoir ou pas tous les outils possibles et imaginables, mais bien d'avoir une vision objective des forces et faiblesses du système de sécurité mis en place. Sans un paramètrage adéquat, un IDS reste un bout de code qui ne fera que ce qu'il est conçu/paramétré pour faire. Un IDS peut remonter des alertes, mais il faut encore savoir comment réagir pour contrer l'attaque.
Sans une vision à la fois détaillée (connaissance des possibilités et des limites de chaque élément) et globale (comment les éléments s'articulent pour former un tout cohérent) il n'y à point de sécurité.

De plus, la sécurité est un processus, qui doit être continu. Il ne s'agit pas d'installer un programme et de compter dessus.

Enfin, la sécurité est une notion relative, jamais absolue. Nos réseaux perso n'ont pour la plupart guère d'autre risque que celui lié aux attaques en aveugle (ça tombe sur n'importe qui) des virus et des scans de ports, ainsi que des pages web piégées et des liens ou pièces jointes des mails. Il en va autrement pour une organisation connue qui peut se voir attaquée pour des raisons financières, idéologiques.... Il s'agit là d'attaques ciblées qui peuvent mettre en oeuvre des moyens sans commune mesure avec le cas précédent et dont la préparation peut prendre plusieurs mois. Ceci pour dire qu'il faut donc relativiser le risque, ou du moins le proportionner aux enjeux.

Pour ma part je n'ai ni antivirus résident, ni IDS, mais un parefeu le plus "serré" possible dont j'épluche quotidiennement les logs et que j'adapte au fur et à mesure que j'ai conscience d'un risque. J'y ajoute des règles strictes d'utilisation tant pour la navigation (FF avec Noscript & Adblock+) que pour le mail, et ne propose aucun service accessible de l'extérieur. Un switch à côté de l'écran me permet de visualiser le traffic pour chaque machine, un netstat au besoin renseigne sur les connexions en cours, et l'IDS est entre les oreilles. wink

Désolé de ne pas être plus précis, je ne sais comment l'être face à un système de sécurité aussi vaguement défini. J'espère néanmoins t'avoir fourni des pistes de réflexion utiles.

Hors ligne

#11 06-05-2008 00:49:57

Melodie
Modérateur
Lieu : Pyrénées
Inscription : 28-05-2007
Site Web

Re : firewall

Un mot de passe root de 8 à 25 caractères avec des chiffres, des lettres, des majuscules des minuscules et des caractères spéciaux mélangés, des comptes utilisateurs séparés, des droits bien gérés sur les groupes, et ne jamais lancer en mode root une application qui n'est pas prévue pour, ça fait déjà pas mal de travail pour la sécurité. Un attaquant dans ces conditions même s'il entre dans le système, n'ira pas très loin.

Sinon tu peux installer Bastille Linux, pour faire et apprendre des choses sur la sécurité.

le blog d'une newbie :: Linuxvillage :: Bentovillage


À propos de l'OS dominant ::> “Il est plus facile de berner les gens que de leur faire admettre qu'ils ont été bernés” (trad d'une citation approximative de Mark Twain)

Hors ligne

#12 06-05-2008 10:08:23

kantykr
Membre
Inscription : 21-04-2008

Re : firewall

salut
merci et encore cela toutes ses reponses m'aides à évoluer merci
en faite je suis entrain de faire un memoire sur la mise en place d'une sonde ds un reseau wan privé
grâce à votre aide je suis à la troisième partie qui est la mise en place
merci encore
pour la mise en place elle consistera
- justifier le choix mon os que je choisirai debian bien sure mais pourquoi pas les autres
- justifier le choix de mes ids
-mise en place proprement dite

j'attend vos surgestion et vos idées merci ensemble cela me permettra de mieu evoluer
bonne journée

Hors ligne

#13 06-05-2008 12:47:38

Melodie
Modérateur
Lieu : Pyrénées
Inscription : 28-05-2007
Site Web

Re : firewall

kantykr a écrit :

- justifier le choix de mes ids

j'attend vos surgestion et vos idées merci ensemble cela me permettra de mieu evoluer


Tu as été voir sur commentcamarche.net ?

http://www.commentcamarche.net/detection/ids.php3


le blog d'une newbie :: Linuxvillage :: Bentovillage


À propos de l'OS dominant ::> “Il est plus facile de berner les gens que de leur faire admettre qu'ils ont été bernés” (trad d'une citation approximative de Mark Twain)

Hors ligne

#14 06-05-2008 16:05:03

kantykr
Membre
Inscription : 21-04-2008

Re : firewall

oui je suis sur comment ça marche
et j'en è fini avec cette partie
je suis maintenant à la partie pratique de la chose d'ou mes differentes questions
merci

Hors ligne

#15 06-05-2008 18:17:49

Melodie
Modérateur
Lieu : Pyrénées
Inscription : 28-05-2007
Site Web

Re : firewall

kantykr a écrit :

oui je suis sur comment ça marche


C'est un site web, et j'ai mis le lien en dessous ce que j'ai écris !  lol


le blog d'une newbie :: Linuxvillage :: Bentovillage


À propos de l'OS dominant ::> “Il est plus facile de berner les gens que de leur faire admettre qu'ils ont été bernés” (trad d'une citation approximative de Mark Twain)

Hors ligne

#16 06-05-2008 18:31:49

Melodie
Modérateur
Lieu : Pyrénées
Inscription : 28-05-2007
Site Web

Re : firewall

Bon, si tu veux un complément à commentcamarche.net (en supposant que tu aies été lire cet article... ) tu ne trouveras pas la page web vers laquelle ils pointent, parce qu'elle a disparu (celle où il est écrit lehman.free.fr/quelque chose) mais tu trouveras ça à cet endroit, et là ça devient consistant.

le blog d'une newbie :: Linuxvillage :: Bentovillage


À propos de l'OS dominant ::> “Il est plus facile de berner les gens que de leur faire admettre qu'ils ont été bernés” (trad d'une citation approximative de Mark Twain)

Hors ligne

#17 06-05-2008 23:23:37

tux12
Membre
Lieu : ./
Distrib. : Squeeze
Noyau : Linux 2.6.32-5-686-bigmem
(G)UI : KDE
Inscription : 27-02-2008

Re : firewall

Superbe le rapport de Guillaume Lehmann (et en français en plus!).
Merci Mélodie smile

Hors ligne

#18 07-05-2008 10:36:16

kantykr
Membre
Inscription : 21-04-2008

Re : firewall

salut
je n'arrive pas à l'ouvrir si vous avez pu l'ouvrir passer le moi en pièce jointe si possible merci
boe journée

Hors ligne

#19 07-05-2008 11:28:51

tux12
Membre
Lieu : ./
Distrib. : Squeeze
Noyau : Linux 2.6.32-5-686-bigmem
(G)UI : KDE
Inscription : 27-02-2008

Re : firewall

Bonjour,

Kantykr, tu devrais pouvoir au moins ouvrir la version html.
Non?

Hors ligne

#20 07-05-2008 12:05:02

kantykr
Membre
Inscription : 21-04-2008

Re : firewall

salut
je suis fier de cette version
merci
je vous tiendrai informé pour l'installation pour les details de l'ainstallation
à commencé par installer debian
parceque les ids que j'utiliserai serons sans doute
snort et prelude je chercherai le troisièmme et je vous verrai par de mon travail
merci encore et bonne journée à tous

Hors ligne

#21 07-05-2008 14:56:13

Melodie
Modérateur
Lieu : Pyrénées
Inscription : 28-05-2007
Site Web

Re : firewall

Je ne parviens pas à afficher le site lehmann.free.fr non plus. Cela dépend peut-être des heures, à moins que Free n'aie mis son site hors ligne ? En tout cas ça ne "pingue" pas non plus. Donc rien en français pour moi pour l'instant.

le blog d'une newbie :: Linuxvillage :: Bentovillage


À propos de l'OS dominant ::> “Il est plus facile de berner les gens que de leur faire admettre qu'ils ont été bernés” (trad d'une citation approximative de Mark Twain)

Hors ligne

#22 07-05-2008 16:07:01

kantykr
Membre
Inscription : 21-04-2008

Re : firewall

esperons que tux12 lèouvrir la version française

Hors ligne

#23 07-05-2008 17:18:26

tux12
Membre
Lieu : ./
Distrib. : Squeeze
Noyau : Linux 2.6.32-5-686-bigmem
(G)UI : KDE
Inscription : 27-02-2008

Re : firewall

Re,

Curieusement, j'accède aux documents pdf ou html (dont le lien que j'ai donné précédemment), mais pas à la page d'accueil. Essayez avec les liens vers les documents sur la page qu'à donnée Mélodie (à droite), pas avec les liens "Guillaume Lehmann" côté gauche.

@+

Hors ligne

#24 07-05-2008 18:55:32

Melodie
Modérateur
Lieu : Pyrénées
Inscription : 28-05-2007
Site Web

Re : firewall

tux12 a écrit :

Re,

Curieusement, j'accède aux documents pdf ou html (dont le lien que j'ai donné précédemment), mais pas à la page d'accueil.


Gné ? mad

[melodie@squirrel ~]$ ping lehmann.free.fr
PING lehmann.free.fr (212.27.63.126) 56(84) bytes of data.

--- lehmann.free.fr ping statistics ---
8 packets transmitted, 0 received, 100% packet loss, time 7009ms

[melodie@squirrel ~]$ wget http://lehmann.free.fr/PreludeInstall.pdf
--2008-05-07 18:48:17--  http://lehmann.free.fr/PreludeInstall.pdf
Résolution de localhost... 127.0.0.1
Connexion vers localhost|127.0.0.1|:3128...connecté.
requête Proxy transmise, en attente de la réponse...
[melodie@squirrel ~]$ wget http://lehmann.free.fr/PreludeInstall.pdf --no-proxy
--2008-05-07 18:51:14--  http://lehmann.free.fr/PreludeInstall.pdf
Résolution de lehmann.free.fr... 212.27.63.126
Connexion vers lehmann.free.fr|212.27.63.126|:80...
[melodie@squirrel ~]$ ping www.free.fr
PING www.free.fr (212.27.48.10) 56(84) bytes of data.
64 bytes from www.free.fr (212.27.48.10): icmp_seq=1 ttl=118 time=54.4 ms
64 bytes from www.free.fr (212.27.48.10): icmp_seq=2 ttl=118 time=54.8 ms
64 bytes from www.free.fr (212.27.48.10): icmp_seq=3 ttl=118 time=56.6 ms
64 bytes from www.free.fr (212.27.48.10): icmp_seq=4 ttl=118 time=54.6 ms
64 bytes from www.free.fr (212.27.48.10): icmp_seq=5 ttl=118 time=54.9 ms

--- www.free.fr ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 3998ms
rtt min/avg/max/mdev = 54.427/55.099/56.626/0.836 ms
[melodie@squirrel]$ ping 212.27.63.126
PING 212.27.63.126 (212.27.63.126) 56(84) bytes of data.

--- 212.27.63.126 ping statistics ---
28 packets transmitted, 0 received, 100% packet loss, time 27007ms

[melodie@squirrel ~]$


tux12, pourrais-tu uploader le pdf sur un espace personnel quelque part, et nous en passer le lien ?


le blog d'une newbie :: Linuxvillage :: Bentovillage


À propos de l'OS dominant ::> “Il est plus facile de berner les gens que de leur faire admettre qu'ils ont été bernés” (trad d'une citation approximative de Mark Twain)

Hors ligne

#25 07-05-2008 20:21:07

tux12
Membre
Lieu : ./
Distrib. : Squeeze
Noyau : Linux 2.6.32-5-686-bigmem
(G)UI : KDE
Inscription : 27-02-2008

Re : firewall

Re,

Imprécision est mère de discutation. lol
Au temps pour moi, j'avais ouvert l'autre document (la ligne en dessous - très complet).
Pour PreludeInstall j'ai le même problème que vous. sad

Hors ligne

Pied de page des forums