Vous n'êtes pas identifié(e).
La liberté d’expression est un droit fondamental ouvert à tous les citoyens dans le respect des lois.
Hors ligne
Hors ligne
Pour quel usage ?
Ton pare-feu ne filtrerait que des connexions sur le réseau local, supposé sûr, puisqu'il est local et domestique.
L'usage de bien sécuriser mon PC en quelque sorte.
Mais oui, je passe par une bbox, c'est içi que je dois voir, alors, en premier lieu !
Merci de l'info primo, Dunatotatos !
Regarde ceci, un pare-feu facile: https://debian-facile.org/doc:systeme:ufw
Je connais de nom, mais l'interface graphique risque de m'embrouiller encore plus !
Mais je regarde ça de plus près, merci deuchdeb !
Pour le moment le fichier que je considère le plus sérieux est /etc/sysctl.conf ou il y a de la rupture avec l'extérieur, raison pour moi ou pas ?
Encore merci pour vos infos précieuses !
La liberté d’expression est un droit fondamental ouvert à tous les citoyens dans le respect des lois.
Hors ligne
Ton pare-feu ne filtrerait que des connexions sur le réseau local, supposé sûr, puisqu'il est local et domestique.
Pour avoir essayé ufw (et bien galéré avec ) je confirme, l'imprimante, le grille-pain connecté, le multicast etc ... ça bloque tout
Hors ligne
Pour le moment le fichier que je considère le plus sérieux est /etc/sysctl.conf ou il y a de la rupture avec l'extérieur, raison pour moi ou pas ?
Suis-je le seul à ne rien comprendre à cette phrase ?
Il vaut mieux montrer que raconter.
Hors ligne
Pour le moment le fichier que je considère le plus sérieux est /etc/sysctl.conf ou il y a de la rupture avec l'extérieur, raison pour moi ou pas ?
Pour moi, la seul utilité de sysctl est le forward et l'anti-spoofing, ainsi que l'interdiction du redirect icmp, sinon rien d'intéressant. Mais n'offre aucune rupture avec l'extérieur comparé à iptables.
Un script iptables placé dans init.d et ajouté au démarrage, avec une politique non restrictive de tout laisser sortir et rien entré (à moins d'avoir une connection etablished est suffisante.
Après si tu n'a pas confiance en tes applications, comme par exemple ton navigateur web firefox ou autre, tu peu les confiner avec apparmor ou selinux. Bien que ce dernier est très difficile d'utilisation en comparaison à apparmor.
Dernière modification par kawer (15-06-2016 11:28:43)
ThinkPad T530 - Debian - CoreBoot
Hors ligne
Pour moi, la seul utilité de sysctl est le forward et l'anti-spoofing, ainsi que l'interdiction du redirect icmp
Et du ping broadcast.
Concernant l'anti-spoofing, son efficacité est très limitée (pour ne pas dire nulle) dans le cas d'un poste de travail qui n'a qu'une interface réseau.
Il vaut mieux montrer que raconter.
Hors ligne
Kernel system variables configuration files
Et du ping broadcast.
Concernant l'anti-spoofing, son efficacité est très limitée (pour ne pas dire nulle) dans le cas d'un poste de travail qui n'a qu'une interface réseau.
Oui, je n'es qu'une interface réseau sur ce poste de travail.
J'ai mis en route ufw et fait un peu de lecture.
C'est compliqué.
Un script iptables placé dans init.d et ajouté au démarrage, avec une politique non restrictive de tout laisser sortir et rien entré (à moins d'avoir une connection etablished est suffisante.
Oui, je dois prendre mon temps
(à moins d'avoir une connection etablished est suffisante.
Que veux tu dire par cette expression ?
Bonne soirée
La liberté d’expression est un droit fondamental ouvert à tous les citoyens dans le respect des lois.
Hors ligne
Il faut penser à mettre :
ThinkPad T530 - Debian - CoreBoot
Hors ligne
La liberté d’expression est un droit fondamental ouvert à tous les citoyens dans le respect des lois.
Hors ligne
Il vaut mieux montrer que raconter.
Hors ligne
ThinkPad T530 - Debian - CoreBoot
Hors ligne
Il vaut mieux montrer que raconter.
Hors ligne
De plus il est simple d'utiliser une connection établie pour acceder à un autre port lorsque tu n'a pas un suivis niveau iptables.
Comment ? Et imagions que j'arrive à accéder à un autre port. Genre le port 80, 443, ou 22. J'en fais quoi ? Aucun service n'écoute derrière.
mais il faut retenir qu'il est souvent dit par certains gourou qu'une Debian fraichement installé et non sécurisé sera tout aussi exposé au attaque extérieur qu'un windows.
Tu as lu ça où ?
C'est vrai pour un serveur. C'est faux pour un poste client. Les vulnérabilités des postes clients viennent des logiciels tiers installés depuis des sources autres que les sources de confiance. Genre logiciels craqués, débrideurs, et autres cochonneries qu'on peut choper en téléchargeant n'importe où. D'ailleurs, l'intérêt du pare-feu de Windows n'est pas de bloquer les connexion entrantes, mais sortantes. Le filtrage se fait par application, pour savoir si telle logiciel a le droit d'ouvrir un port. Sur du Unix, la protection se fait par l'interdiction d'écouter sur un port en-dessous de 1024 pour les processus non root.
La preuve sur le PC depuis lequel je poste. Debian Sid, installée il y a trois mois, avec tous les paramètres par défaut, quasiment aucun paquet installé en plus, à part KDE :
Bloquer l'un de ces ports donne lieu à une interruption du service associé. Vus les services dont il s'agit, une meilleure protection serait donc de les arrêter, plutôt que de bloquer les ports associés.
* dhclient sert à la configuration DHCP. Si le poste n'est pas configurer en adresses statiques, bloquer ce port en entrée peut empêcher une re-configuration DHCP à l'expiration de celle actuellement en place.
* avahi est une implémentation du protocole Zeroconf, qui est fait pour fonctionner sur un réseau local de confiance. Bloquer son port veut dire que le réseau local n'est pas tant de confiance. Autant le virer, dans ce cas.
* Je ne connais pas très bien minissdpd, mais il est lié à l'auto-annonce des périphériques UPnP. Interdire l'accès à ce port empêche le processus d'auto-annonce.
* Le reste est fermé, faute de service écoutant dessus.
Installer un pare-feu sur un réseau local avec une imprimante, trois PC portables et deux smartphone ne sert strictement à rien. Même si une attaque quelconque arrive à exploiter une vulnérabilité de la box, ou plus probablement une étourderie d'un utilisateur, il pourra peut-être envoyer des paquets sur différentes ports des PC portables, mais ne pourra strictement rien recevoir en retour.
Mais encore une fois, si le but est didactique, je ne peux qu'encourage cette initiative.
Je viens de relire la discussion et je ne vois pas le moindre encouragement à installer un pare-feu.
Vous réfléchissez encore en IPv4 derrière un NAT qui offre un semblant de protection. Mais de plus en plus de FAI fournissent l'IPv6 sans aucune garantie de protection par la box. Etre en IPv6 avec une adresse globale derrière une freebox, c'est exactement comme être directement sur internet.
Sur l'interface de ma Bbox - TVW 620.1, comment voir cela ?
J'ai exploré, le pare-feu est actif, il y a deux règles Accepter - Refuser, sur le port 25 tcp,udp.
Je n'ai encore rien rajouté.
Votre Bbox accepte de répondre aux Ping provenant d'Internet.
Mais encore une fois, si le but est didactique, je ne peux qu'encourage cette initiative.
Merci de t'intéresser à mon post, je te lis attentivement, oui le but est aussi didactique du coup et encore merci de m'encourager !
Pour le moment UFW est installé, mais non configurer par moi, par défaut et ça me sort un sacré listing quand je réalise une analyse de base, bref.
Je compte le virer, ça m'embrouille complètement.
Bonne soirée
Dernière modification par Atys (19-06-2016 22:45:28)
La liberté d’expression est un droit fondamental ouvert à tous les citoyens dans le respect des lois.
Hors ligne