Sécurité sur internet - pare-feu utile ?

totoZero7 · 27-08-2022 05:04:21

Bonjour,

J'ai un système d'exploitation Debian 11 installé sur un PC fixe. Dessus, j'ai un accès à internet par câble Ethernet.

Est-ce qu'une personne qui se branche sur ma box internet peut accéder au contenu de mon PC via internet, sans que j'ai donné d'accès spéciaux en ce sens ?
Est-ce qu'une personne extérieur au logement peut accéder au contenu de mon PC via internet ?
Dans quel cas utiliser un pare-feu ? est-ce primordiale tout court dans mettre un ?
Faut-il ajouter un anti virus ?

Je me souviens quand j'étais sur Windows, il fallait installer plein de "trucs": pare-feu, anti-virus, anti-malwares, anti autre truc (me souviens plus des noms), et faire des "nettoyages" régulièrement...
On nous foutait bien la trouille aussi avec des messages partout incitant à se protéger. Je n'avais pas peur de télécharger n'importe quoi à cette époque car je ne comprenais rien. Et je me souviens que ça clignotait de partout sur ma machine...
Le temps est passé et j'ai branché mon cerveau. Je me documente dès que possible dans la mesure où la compréhension est accessible.

Mais depuis que j'ai installé Debian, je n'ai plus rien installé de ce genre de chose et n'ai jamais eu le temps de m'en préoccuper. L'univers Linux n'a rien à voir avec ce que j'ai connu de Windows et ce thème là en fait partie.
Faut ajouter aussi que je fais moins le con sur mon PC et je clique moins qu'avant sur tout ce qui bouge et que j'essaye de comprendre tout ce qu'il se passe dans mes mouvements avec la machine, dans la mesure du possible ; ça peut aider à moins chopper de saloperie.
Néanmoins, ça m’immunise pas contre un fichier frauduleux par exemple.
Cela étant, je ne sais pas comment toute cette communication numérique fonctionne, c'est pourquoi je démarre cette discussion sur l'intrusion et la nécessité ou pas de mettre un pare-feu et de se protéger par quel moyen.

Les pirates, c'est à vous de parler

Mugen · 27-08-2022 12:54:10

Bonjour

En attendant les réponses de personnes beaucoup plus chevronnées que moi, je te donne mon avis.
Tout d'abord il est très important de maintenir son système à jour
et d'éviter autant que possible d'utiliser des dépôts tiers, ou de télécharger par exemple un fichier .deb sur un site quelconque dont on est pas sûr de la fiabilité.

Est-ce qu'une personne qui se branche sur ma box internet peut accéder au contenu de mon PC via internet, sans que j'ai donné d'accès spéciaux en ce sens ?

Tu veux dire quelqu'un qui se connecte directement à ton réseau local en ethernet ou wifi ?
Non impossible que cette personne ait accès à ton PC.

Est-ce qu'une personne extérieur au logement peut accéder au contenu de mon PC via internet ?

Non

Dans quel cas utiliser un pare-feu ? est-ce primordiale tout court dans mettre un ?

Je ne sais pas répondre à ta question, tout ce que je peux te dire c'est qu'il y a un pare-feu directement intégré dans le noyau Linux, qui s'appelle Netfilter.
Tu peux le configurer à l'aide de ufw (ligne de commande) ou de gufw (avec interface graphique)

Faut-il ajouter un anti virus ?

Non

vv222 · 27-08-2022 15:09:50

totoZero7 a écrit :

Dans quel cas utiliser un pare-feu ? est-ce primordiale tout court dans mettre un ?

De mon expérience on s’en passe très bien. Mon serveur accessible publiquement n’en a pas eu pendant plus de 10 ans, sans que ça pose de souci.

Depuis peu j’en utilise un mais c’est non pas pour des questions de sécurité mais pour rendre accessibles des services tournant dans des conteneurs via du transfert de ports. On est là dans un cas d’utilisation assez avancé qui ne se rencontre pas dans l’utilisation courante d’une Debian au quotidien.

totoZero7 · 28-08-2022 02:40:05

Merci pour ces chouettes retours qui me rassurent sur cette absence de 'sécurité' que je n'avais pas, et surtout que je ne comprenais pas.

Je vais néanmoins tourner ma question autrement afin de voir cela sous un autre angle.
Qu'est-ce qui différencie du coup, un système Debian d'un système Windows, dans ce cadre ? Car avec Windows, on peut difficilement ne pas avoir de protection (ou alors je me trompe ?).
Est-ce à cause de ces logiciels potentiellement vulnérables ? Est-ce que cela vient du système lui-même (Windows) qui serait troué de partout ? ou est-ce par-ce que "on" fait n'importe-quoi dessus et qu'en réalité nous n'avons pas besoin de protection non plus sur Windows ?

Autre question:
Je vois de plus en plus tourner des articles de presse parlant de failles sur des fichiers de type .doc .pdf .jpg etc... permettant, une fois le fichier ouvert, qu'il télécharge et installe en toute discrétion un autre paquet pour faire ensuite ce qu'il veut sur l'ordinateur et donc de se faire attaquer par un marabout qui pourrait potentiellement contrôler le pc, ou du moins de verrouiller à distance. (ce n'est que de la théorie car j'en ai pas jamais entendu parlé sur Linux sur-PC et non Linux sur-Android car lui c'est la fête).
Mais nul n'est à l'abri d'en obtenir un, d'en ouvrir un et donc d'être vulnérable à une menace de ce type.
Comment se protéger ce genre de situation, en supposant que l'on reçoive un fichier d'un correspondant en qui on a confiance ?

Anonyme · 28-08-2022 07:48:20

Bonjour,
Pour répondre au dernier message Linux est un peu avantagé par son faible nombre d'utilisateurs.
Un créateur de virus s'attaquera plus à un OS très utilisé et qui des failles connues.
Pour les virus qui arrivent par fichier DOC ou autre, c'est aussi possible avec des macros dans LibreOffice (mais personne ne diffuse des ODT !). Reste surtout à savoir ne pas ouvrir n'importe quoi.

otyugh · 28-08-2022 08:45:18

Quand linux a une muraille relativement peu scannée avec des pierres dont la structure est publiquement connue (ce qui pousse au moins à corriger les pires défauts de sécurité), windows est dix fois cette murailles avec des pierres mystérieuses construite par des manufacturiers différents, et qu'on a pas le droit de regarder comment elles sont à l'intérieur (secret de fabrication des logiciels non libre), et très régulièrement les centaines de scans par seconde trouvent des points de vulnérabilité dedans.

Pardessus cet assemblages de pierres aux comportements imprévisibles, y a une chaux d'antivirus qu'on tartine de partout "font des trucs" mais qu'ont toujours un coup de retard, et qui parfois causent eux-même les problèmes voir sont la cible des attaquants.

Sans parler même des failles volontaires ("back door") que Microsoft devrait être légalement tenu d'avoir -patriot act oblige- (et qui probablement en cultive d'autres "au cas où" qui parfois seront parfois dévoyées par des assaillants ~ ).

Je pense qu'un parefeu peut avoir un intêret dans le cas de windows où "ça part dans tous les sens", on mets un genre de camisole (ultra-grossière la camisole, ça protège pas vraiment non plus, c'est plus une couche confiance qui absorbe les grosses fuites qui devraient pas y être) pour que les applis (qu'on ne maîtrise pas vraiment vu que fermées) qui ne devraient par parler ou écouter sur des ports ne puissent pas le faire. Dans le cas de debian, on a normalement moins ce problème ? Si personne n'écoute sur un port et qu'on s'y adresse, rien ne se passe (ou alors ça répond par un rejet ? Chépu ~).

Dernière modification par otyugh (28-08-2022 08:56:35)

infothema · 28-08-2022 13:12:41

Un système d'exploitation sans firewall ? C'est une blague !

Voir les rapports quotidiens de l'Agence nationale de la sécurité des systèmes d’information / Secrétariat général de la défense et de la sécurité nationale

Site : https://cert.ssi.gouv.fr/

Et en plus fonctionner sans firewall !

CERTFR-2022-AVI-774
Multiples vulnérabilités dans le noyau Linux de SUSE
26 août 2022

CERTFR-2022-AVI-773
Multiples vulnérabilités dans le noyau Linux d’Ubuntu
26 août 2022

CERTFR-2022-AVI-772
Multiples vulnérabilités dans Tenable Nessus Agent
25 août 2022

CERTFR-2022-AVI-771
Multiples vulnérabilités dans SonicWall SMA
25 août 2022

CERTFR-2022-AVI-770
Vulnérabilité dans ElasticSearch Cloud Enterprise
25 août 2022

CERTFR-2022-AVI-769
Multiples vulnérabilités dans les produits Cisco
25 août 2022

CERTFR-2022-AVI-768
Multiples vulnérabilités dans le noyau Linux d’Ubuntu
24 août 2022

CERTFR-2022-AVI-767
Multiples vulnérabilités dans les produits IBM

bendia · 28-08-2022 13:52:49

infothema a écrit :

Un système d'exploitation sans firewall ? C'est une blague !

Peux-tu expliquer l'utilité d'un Firewall ?

Je prends le deuxième exemple que tu donnes de faille de sécurité qui concerne Ubuntu basé sur Debian :

... A local attacker could use this...

...
A local attacker could use this ...

Je ne fais pas les 12, mais seul le dernier risque met en cause une attaque distante. Notons d'ailleurs que le premier est une faille de sécurité de... Netfilter, le Firewall du noyau Linux

Je ne suis pas en train de dire qu'un Firewall ne sert à rien, mais ta réponse me semble plus dogmatique que technique en énumérant un volume de danger sans les analyser et se demander l'intérêt du Firewall pour s'en prémunir. Elle me donne un peu l'impression d'un conseil du genre Prends un parapluie, c'est dangereux dehors

infothema · 28-08-2022 14:25:28

bendia a écrit :

Je ne suis pas en train de dire qu'un Firewall ne sert à rien, mais...

Alors on est d'accord Bendia ... l'exposition des ports d'un système Debian permet plus facilement l'élévation des privilèges sur le système.

https://cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-750/

Référence CERTFR-2022-AVI-750
Titre Multiples vulnérabilités dans le noyau Linux de Debian
Date de la première version 17 août 2022
Date de la dernière version 17 août 2022
Source(s) Bulletin de sécurité Debian dsa-5207 du 15 août 2022

Bisous. Je vais boire une bière dans mon jardin

bendia · 28-08-2022 15:29:11

infothema a écrit :

l'exposition des ports d'un système Debian permet plus facilement l'élévation des privilèges sur le système.

Et ils s'exposent tout seuls les ports ? Seul le Firewall l'empêche ?

vv222 · 28-08-2022 19:15:53

infothema a écrit :

Un système d'exploitation sans firewall ? C'est une blague !

L’IP publique de mon serveur n’utilisant pas de pare-feu est : 2a00:5884:8300::1 (IPv6) / 89.234.186.75 (IPv4).
Je t‘invite à me montrer à quel point celui-ci est vulnérable

Tawal · 28-08-2022 20:05:08

Hello,

Heu ... c'est pas gentil vv222, l'accès est "Forbidden"

Edit: Erreur 403

Dernière modification par Tawal (28-08-2022 20:05:56)

otyugh · 28-08-2022 20:18:35

@Tawal : parce que tu t'attends à un serveur web de répondre autre chose si tu n'y accèdes pas par son nom de domaine ?

infothema · 28-08-2022 20:28:00

vv222 a écrit :

infothema a écrit :
Un système d'exploitation sans firewall ? C'est une blague ! https://debian-facile.org/img/smilies/xtras/sos.gif

L’IP publique de mon serveur n’utilisant pas de pare-feu est : 2a00:5884:8300::1 (IPv6) / 89.234.186.75 (IPv4).
Je t‘invite à me montrer à quel point celui-ci est vulnérable

89.234.186.0/24

Je doute que l'association GRIFON de Rennes expose directement son infra sur le net sans passer par la couche firewall

Une étude plus approfondie sur l'IP donnée est proscrite par la législation... je passe mon tour

AS204092 · Association GRIFON
Summary
Country France
Domain grifon.fr
ASN AS204092
Registry ripe
Hosted IPs 256
ID FR-GRIFON-SUBALLOCATION
WHOIS Details

inetnum: 89.234.186.0 - 89.234.186.255
netname: FR-GRIFON-SUBALLOCATION
descr: sous-allocation Grifon
country: FR
org: ORG-GRIF1-RIPE
admin-c: GLFR1-RIPE
tech-c: GLFR1-RIPE
status: SUB-ALLOCATED PA
notify: noc@opdop.net
mnt-by: OPDOP-MNT
mnt-lower: OPDOP-MNT
mnt-lower: GRIFON-MNT
mnt-domains: OPDOP-MNT
mnt-domains: GRIFON-MNT
mnt-routes: OPDOP-MNT
mnt-routes: GRIFON-MNT
created: 2015-08-26T11:49:59Z
last-modified: 2015-08-26T11:49:59Z
source: RIPE
abuse-email: abuse@grifon.fr
abuse-c: GRIF1-RIPE
abuse-org: ORG-GRIF1-RIPE

route: 89.234.186.0/24
descr: IPv4 route to Grifon
origin: AS204092
org: ORG-GRIF1-RIPE
notify: lir@opdop.net
mnt-by: OPDOP-MNT
created: 2015-09-13T15:01:34Z
last-modified: 2015-09-13T15:01:34Z
source: RIPE

person: Gael FAUCONNIER
address: FR
remarks: Please see GF10058-RIPE for more information.
phone: +33.674221034
nic-hdl: GLFR1-RIPE
mnt-by: OPDOP-MNT
created: 2015-08-25T15:36:37Z
last-modified: 2015-08-25T15:36:37Z
source: RIPE

Dernière modification par infothema (28-08-2022 20:32:00)

otyugh · 28-08-2022 20:45:36

'Fin comme vvv22 mon serveur (auto-hebergé) tourne sans firewall depuis plus de cinq ans, et pas d'intrusion remarqué à ce jour.
...Par contre j'ai des disque durs qui meurent, grmhlm

Dernière modification par otyugh (28-08-2022 20:46:35)

vv222 · 28-08-2022 20:49:36

infothema a écrit :

Je doute que l'association GRIFON de Rennes expose directement son infra sur le net sans passer par la couche firewall

Il ne s’agit pas d’une machine de Grifon mais de mon serveur. Grifon est juste le FAI qui me fournit mon IP.

infothema a écrit :

Une étude plus approfondie sur l'IP donnée est proscrite par la législation...

Pas du tout, vu que je t’y ai explicitement invité

anonyme · 28-08-2022 22:25:57

Bonjour,

Je ne peux que plussoyer ce qui à été dit par d'autres.

À l'époque ou j'avais un serveur je n'avais pas non plus de parefeu, juste des logs des tentatives de connexion sur des ports quelconques, ça permet de voir arriver les virus par l'apparition et l'augmentation de tentatives sur un port précis ou une plage de ports.

Ce qu'il faut comprendre c'est qu'il ne sert à rien de bloquer un port sur lequel il n'y a pas un service à l'écoute susceptible de répondre. De ce fait seuls les ports sur lesquels il y a un service/serveur qui tourne sont potentiellement vulnérables. Pour ces ports là, deux possibilités;
- soit ils doivent être accessibles de l'extérieur du système, auquel cas il faut les laisser accessibles (on peut néanmoins dans ce cas utiliser le parefeu pour limiter l'accès à certaines IPs),
- soit ils ne doivent être utilisés que par le système local (typiquement un serveur *SQL utilisé pour un serveur web) auquel cas ils ne doivent être accessibles que depuis le système local et on peut alors les mettre à l'écoute sur la boucle locale (127.0.0.1) pour ne pas les exposer.

La seule utilisation du parefeu (en dehors des logs évoqués plus haut et des cas exposés ci-dessus) qui me paraît potentiellement utile, même si ça reste limité/insuffisant, serait d'empêcher toute connexion vers l'extérieur vers des ports qui ne sont pas répertoriés pour être utilisés (80, 443, 25, 110) et on peut éventuellement affiner en limitant à certaines IPs cible selon le protocole.

Sur un serveur on peut ainsi facilement bloquer les ports HTTP/HTTPS en sortie car dans le cas général le serveur n'a pas besoin de se connecter à d'autres sites pour son fonctionnement (à l'exception des mises à jour des paquets installés depuis les dépots).
Par contre dans le cas d'une machine avec un usager qui navigue sur le web il est impossible de gérer les IPs de tous les serveurs auxquels on se connecte au quotidien et le filtrage se fait plus communément dans le navigateur avec un bloqueur genre noscript.

Dernière modification par anonyme (29-08-2022 00:56:14)

totoZero7 · 29-08-2022 00:23:14

Si je comprends bien,
- un Firewall a un intérêt pour bloquer un ou des ports qui contiennent une application qui est en fonction, pas sur des ports vides ?
- un attaquant pour entrer, doit connaître: le port où il y a cette application, le nom de cette application et son éventuelle faille pour pouvoir pénétrer dedans afin de remonter ensuite vers le contenu du PC/serveur. C'est bien ça ?

Dernière modification par totoZero7 (29-08-2022 01:32:22)

anonyme · 29-08-2022 01:14:03

totoZero7 a écrit :

un Firewall à un intérêt pour bloquer un ou des ports qui contiennent une application qui est en fonction, pas sur des ports vide ?

On peut envisager de l'exprimer ainsi mais je préfère rester sur ma formulation. Un serveur est en effet une application (un programme), mais toute application n'est pas un serveur. Un programme service/serveur fonctionne en continu, il attend des requêtes de la part de clients qui peuvent survenir n'importe quand, donc il doit toujours être en service. Par extention un serveur physique est une machine qui tourne elle aussi en continu, par opposition à nos machines et applications d'usage personnel qui ne fonctionnent généralement que de façon discontinue et n'ouvrent - en général - pas de ports pour se mettre à l'écoute.

totoZero7 a écrit :

un attaquant pour entrer, doit connaître: le port où il y a cette application, le nom de cette application et son éventuelle faille pour pouvoir pénétrer dedans

Si tu ne sais pas sur quel port joindre le service, tu n'as aucun moyen d'interagir avec.
Plus que le nom, la version, les éventuels modules additionnels, la configuration précise du service sont autant d'éléments utiles à un attaquant. Il existe même des logiciels libres pour automatiser toutes ces recherches, y compris lister les failles potentielles et proposer des exploits "clé en main". Tu peux trouver tout ça sur une distribution Kali Linux (dérivée de Debian).

totoZero7 a écrit :

afin de remonter ensuite vers le contenu du PC/serveur. C'est bien ça ?

Ce qui est recherché c'est généralement l'élévation de privilèges (devenir maitre du serveur web, du gestionnaire de bases de donnés, ou obtenir un shell root )

Dernière modification par anonyme (29-08-2022 01:18:51)

totoZero7 · 29-08-2022 01:29:29

Et quant est-il de la box internet, qui est un routeur, donc qui attend des requêtes. Est-ce une possible source de nuisance ?

bendia · 29-08-2022 07:25:19

totoZero7 a écrit :

Et quant est-il de la box internet, qui est un routeur, donc qui attend des requêtes. Est-ce une possible source de nuisance ?

Oui, comme n'importe quel système. Il a en plus le désavantage d'être très utilisé et tu n'as pas la main dessus pour déployer des mises à jour de sécurité par exemple.

totoZero7 · 29-08-2022 10:49:38

Je suis un peu perdu.
On n'a pas besoin de pare-feu de ce que j'ai compris néanmoins il y a une brèche potentielle avec la box internet...
Du coup, faut quand même un pare-feu ou pas ?

anonyme · 29-08-2022 11:31:59

Un routeur route (transfère) des paquets entre des réseaux distincts. Il n'attend ni ne répond à des requêtes sur un port particulier comme le fait un serveur.
Cela ne l'empêche pas d'être faillible, on peut par exemple tenter de lui faire avaler des paquets malformés pour le rendre inopérant.
Si le routeur dispose d'un accès par IP pour sa gestion (interface web, connexion SSH) un parefeu sur l'IP/port en question pour limiter les accès peut être une bonne idée.

Dernière modification par anonyme (29-08-2022 11:43:08)

--gilles-- · 29-08-2022 11:50:52

bendia a écrit :

totoZero7 a écrit :
Et quant est-il de la box internet, qui est un routeur, donc qui attend des requêtes. Est-ce une possible source de nuisance ?
Oui, comme n'importe quel système. Il a en plus le désavantage d'être très utilisé et tu n'as pas la main dessus pour déployer des mises à jour de sécurité par exemple.

Oui, mais les fournisseurs d'accès à Internet ont la main et peuvent y déploient des mises à jour, en tout cas le logiciel de mon modem-box et le progiciel du téléphone OVH sont mis à jour automatiquement. Je ne vois pas l'intérêt d'un pare-feu dans mon cas.

Dernière modification par --gilles-- (29-08-2022 11:52:24)

bendia · 29-08-2022 12:02:11

totoZero7 a écrit :

Du coup, faut quand même un pare-feu ou pas ?

En fait, je pense qu'il manque un morceau à la question : pour me proteger de telle menace ?

Avoir un pare-feu n'est pas le problème, il est intégré de base dans le noyau linux.

La probleme est plus de savoir quoi en faire, donc, de faire la liste de tous les telles du complément de ta question

Il y a probablement une majorité de cas où le pare-feu sera de peu d'utilité, voire inutile pour s'en protéger, la.configuration des tes applications sera nettement plus efficace.

Debian-facile

#1 27-08-2022 05:04:21

Sécurité sur internet - pare-feu utile ?

#2 27-08-2022 12:54:10

Re : Sécurité sur internet - pare-feu utile ?

#3 27-08-2022 15:09:50

Re : Sécurité sur internet - pare-feu utile ?

#4 28-08-2022 02:40:05

Re : Sécurité sur internet - pare-feu utile ?

#5 28-08-2022 07:48:20

Re : Sécurité sur internet - pare-feu utile ?

#6 28-08-2022 08:45:18

Re : Sécurité sur internet - pare-feu utile ?

#7 28-08-2022 13:12:41

Re : Sécurité sur internet - pare-feu utile ?

#8 28-08-2022 13:52:49

Re : Sécurité sur internet - pare-feu utile ?

#9 28-08-2022 14:25:28

Re : Sécurité sur internet - pare-feu utile ?

#10 28-08-2022 15:29:11

Re : Sécurité sur internet - pare-feu utile ?

#11 28-08-2022 19:15:53

Re : Sécurité sur internet - pare-feu utile ?

#12 28-08-2022 20:05:08

Re : Sécurité sur internet - pare-feu utile ?

#13 28-08-2022 20:18:35

Re : Sécurité sur internet - pare-feu utile ?

#14 28-08-2022 20:28:00

Re : Sécurité sur internet - pare-feu utile ?

#15 28-08-2022 20:45:36

Re : Sécurité sur internet - pare-feu utile ?

#16 28-08-2022 20:49:36

Re : Sécurité sur internet - pare-feu utile ?

#17 28-08-2022 22:25:57

Re : Sécurité sur internet - pare-feu utile ?

#18 29-08-2022 00:23:14

Re : Sécurité sur internet - pare-feu utile ?

#19 29-08-2022 01:14:03

Re : Sécurité sur internet - pare-feu utile ?

#20 29-08-2022 01:29:29

Re : Sécurité sur internet - pare-feu utile ?

#21 29-08-2022 07:25:19

Re : Sécurité sur internet - pare-feu utile ?

#22 29-08-2022 10:49:38

Re : Sécurité sur internet - pare-feu utile ?

#23 29-08-2022 11:31:59

Re : Sécurité sur internet - pare-feu utile ?

#24 29-08-2022 11:50:52

Re : Sécurité sur internet - pare-feu utile ?

#25 29-08-2022 12:02:11

Re : Sécurité sur internet - pare-feu utile ?

Pied de page des forums