PDA

Afficher la version complète : Pas de Firewall : Quels risques



alexmic
29/11/2004, 18h11
J'ai trouvé le mail de jacqueline très interessant (sur ses packets bizaroides)...

Moi perso (pour ceux qui suivent l'histoire) j'ai pas installé de firewall, pcq j'ai pas encore réussi à configuer yast avec une carte ndiswrapper (il la trouve bien mais n'arrive pas afaire le setup de la connexion).

Guard Dog m'a posé également des pb, et donc j'ai décidé de laisser tomber mon fire wall pour le moment.

Ma question : cmpte tenu du fait que je ne me logue jamais en root
(je fais du kdesu) et que les quelques virus linux ont une porté limitée,
Estce vraiment dangereux de ne pas avoir de firewall?
Qu'est ce que je risque concrêtement?

C'est une sorte de micro trotoir... A vous les studios http://www.alionet.org/style_emoticons/<#EMO_DIR#>/tongue.gif

EDIT : En gros mon attitude a ce niveau était très proche de mon avatar : (je veux rien voir rien entendre rien dire http://www.alionet.org/style_emoticons/<#EMO_DIR#>/biggrin.gif)

lucienmathieu
29/11/2004, 18h13
Super dangereux... mais ce n'est que mon opinion... j'ai un firewall, et j'ai déjà du mal à configurer le reject de certains packets et je peux dire que c'est déjà un stress...

ilka
29/11/2004, 19h48
Effectivement ça reste dangereux, et pour s'en convaincre, une fois ton firewall activé, il suffit de faire en root :

$ cat /var/log/messages

et tu verras le nombre de tentatives d'intrusions dont ton adresse ip fait l'objet en une journée, c'est effarrant !
Evidemment il y a tout et n'importe quoi : entre le type qui fait un simple ping, celui qui teste des commandes comme nmap ou traceroute, les ordures qui font tourner les daemons des virus, et ceux qui tentent véritablement une intrusion, il y a de la marge.
Mais comme on a la chance sous linux d'avoir de bons firewalls (contrairement à celui d'XP), assez facilement paramétrables dans la majorité des cas, c'est dommage de s'en passer !

En plus le firewall de suse reste correct, et c'est un des rares qui soient relativement intuitifs, contrairement à Shorewall qui nécessite de jeter un oeil dans les fichiers .conf (mais c'est pas
compliqué non plus).

Je ne sais pas ce que ça vaut réellement, mais tu peux tester la sécurité de ton poste :

http://check.sdv.fr/

alexmic
29/11/2004, 22h04
Bon j'utilise guarddog, et j'ai plus que 1% de ports ouverts et aucun critique...
Bon y'a deux pépins quand meme mais bon c'est clair qu'il fallait que j'y passe:
- chaque changement de config implique un redémarrage (la connexion plante)
- j'ai l'impression que ma connexion est plus lente
- j'arrive plus avec imageshack mais je pense que c'est le site qui plante

jacqueline
30/11/2004, 04h54
Mon but n'était pas de foutre la panique, même si les attaques sur le net sont une réalité, mais si on configure son Susefirewall avec Yast, en suivant les conseils donnés sur ce site.. (je n'ai pas fait autre chose pour l'instant ) on a esquivé 99,999 % des attaques potentielles. Tout dégage à la poubelle, sauf qu'avec ethereal on voit tout ce qui passe par le modem.

La preuve est que je suis obligée de repasser sous windows, pour voir ce qui pourrait se passer, si j'étais en permanence sous windows, et si on on m'avait refilé un trojean à la con... ou si on m'envoyait un "exploit " ( exploitation des failles de sécurités connues, différentes entre windows et linux...), et si ma tante avait des roulettes !!!!.

Mais ça ne m'empêche pas de chercher à comprendre.... sur des cas bien réels.

Pour l'instant, je suis restée trente secondes sous Xp sans firewall : pas le temps d'identifier une boucle automatisée de requêtes et de choper une éventuelle réponse plus complète à une demande de connection. Merci les filtres d'ethereal pour ne pas avoir à lire 172 000 trames et trouver la "période ", et avec le numéro de la carte ethernet toujours le même, même avec une Ip mobile, sur un domaine restreint... on cible vachement précis..

Jacqueline

alexmic
30/11/2004, 10h26
Originally posted by jacqueline@Tue 30 Nov 2004 03:54
Mon but n'était pas de foutre la panique,

Mais bien sur que non mais comme je l'ai dit lus haut je me voilais la face avant....
Sur XP j'avais un firewall dur un soft + antivirus + anti spyware + anti spam + etc... c'est juste que là je suis oplus obsédé par mon GTK2 qui foire (conf forum atp4rpm) que par la sécurité, mais bon voià une petite heure et y'a plus de soucis. http://www.alionet.org/style_emoticons/<#EMO_DIR#>/happy.gif

Originally posted by jacqueline@Tue 30 Nov 2004 03:54
et si ma tante avait des roulettes !!!!.... on aimerai bien voire ça
http://www.alionet.org/style_emoticons/<#EMO_DIR#>/thumbup.gif

devloop
30/11/2004, 13h14
un linux peut très bien tourner sans firewall sur Internet.
90% du traffic est dû à des vers windows
9% pour des scans "horizontaux" (des personnes qui scannent une plage d'ips sur un certain port)
1% sont la suite d'un scan horizontal qui s'est avéré positif

les attaques qui peuvent tomber sur un Linux sont assez classiques :
- un ftp "ouvert" qui sera utilisé par une équipe de warez (si vous voyez fleurir des divx sur votre disque, ce n'est pas le père noël http://www.alionet.org/style_emoticons/<#EMO_DIR#>/laugh.gif )
- un smtp "ouvert" qui sera très massivement utilisé par des spammers (là c'est sûr c'est pas le père noël)
- un serveur NFS ou Samba assez... partagé (donc là les scans destinés à windows peuvent vous tomber dessus)
- un scan de serveur HTTP que le pirate ne trouvera intéressant que s'il sans qu'un nom DNS y est rataché (histoire de modifier la page et de faire le kéké devant ses copains)
- un scan de serveurs X (port 6000 ou 7000 je sais plus) mais ça fait un certain temps que X n'ouvre heureusement plus de ports tcp, donc dangereux seulement pour les vieux linux

sinon je crois avoir fait plus où moins le tour...
il existe quelques vers Linux mais on les compte sur le doigts d'une main (on va dire une main et demi http://www.alionet.org/style_emoticons/<#EMO_DIR#>/tongue.gif)

il faut comprendre que dans la plupart des cas un pirate ne s'intéressera pas à un ordinateur qui a une ip dynamique... ça sert à rien de poser 3Go de DivX sur un pc si c'est pour le perdre après (à part si c'est vraiment le père noël http://www.alionet.org/style_emoticons/<#EMO_DIR#>/laugh.gif )
seuls les spammers veront une utilité à votre ordinateur... ils utiliseront votre serveur smtp au maximum jusqu'à ce que vous soyez déconnecté ou que votre ip soit blacklisté http://www.alionet.org/style_emoticons/<#EMO_DIR#>/sad.gif

jacqueline
30/11/2004, 17h10
Originally posted by devloop@Tuesday 30 November 2004 à 12:14
un linux peut très bien tourner sans firewall sur Internet.
90% du traffic est dû à des vers windows
9% pour des scans "horizontaux" (des personnes qui scannent une plage d'ips sur un certain port)
1% sont la suite d'un scan horizontal qui s'est avéré positif

C'est bien ça en fait...



Originally posted by devloop+Tuesday 30 November 2004 à 12:14--><div class='quotetop'>Citation (devloop @ Tuesday 30 November 2004 à 12:14)</div>
il faut comprendre que dans la plupart des cas un pirate ne s'intéressera pas à un ordinateur qui a une ip dynamique...[/b]

C'est encore le cas, et pour tous les abonnés de Numéricable je suppose.


<!--QuoteBegin-devloop@Tuesday 30 November 2004 à 12:14
ça sert à rien de poser 3Go de DivX sur un pc si c'est pour le perdre après (à part si c'est vraiment le père noël http://www.alionet.org/style_emoticons/<#EMO_DIR#>/laugh.gif )

Je n'ai pas compris, il y a des gens qui te prennent pour un hébergeur.. en plus je ne sais pas ce que c'est un DivX avec mes connaissances nulles en multimédia.

Jacqueline

boliv@r
30/11/2004, 17h18
<div class='quotetop'>Citation </div>
en plus je ne sais pas ce que c'est un DivX[/b]

Ca doit être un film de fesse ! Non ? http://www.alionet.org/style_emoticons/<#EMO_DIR#>/blushing.gif

jacqueline
30/11/2004, 17h20
Excellent Boliv@r , je n'y avais pas pensé ..

Jacqueline

alexmic
01/12/2004, 23h14
http://img103.exs.cx/img103/7197/secured.png
Voili http://www.alionet.org/style_emoticons/<#EMO_DIR#>/smile.gif

jacqueline
02/12/2004, 04h06
Pour moi, la confirmation de ce genre de tests très ( ou trop ) simplement colorée, est de lancer ethereal juste avant de faire le test. On voit passer tout le scan du site de test. Et s'il n'y a aucune trame de réponse à ce scan, c'est que le firewall est bien configuré : tout va à la poubelle, comme si l'IP n'existait pas. Un excellent moyen de ne pas se faire repérer avec des rejets de trames, surtout avec une IP fixe .

Etrhereal c'est la preuve absolue : on voit tout ce qui rentre et tout ce qui sort par le modem... il est en tête de ligne et rien ne lui échappe : pas une seule trame sur le net ne peut passer à travers, comme si on mettait un analyseur de protocoles hard, sur la ligne ( mais c'est beaucoup moins cher et plus pratique pour l'analyse . Version hard ça vaut le prix d'une Porsche et c'est plus compliqué à utiliser).

Avec leurs couleurs et leurs commentaires je n'ai rien compris, ça m'inquiétait, mais tant que mon micro ne répond pas à tous leurs tests , je suis rassurée : qu'ils affichent du vert du jaune , du bleu, du rouge... ou du rose si ça leur chante... ! De toutes façons on ne comprend rien à leurs interprétations, et encore ces tests sont du simple scan.


Ils m'ont félicitée d'avoir un port fermé alors qu'ils ne peuvent même pas le savoir : lorsqu'ils passent dessus, la trame part à la poubelle comme les autres, aussi bien sur les pings , que sur le reste... Il n'ont pas plus de réponse qu'avec les autres ports avec la même requête sur ce port. lol ! " No estoy connectada ! Todo en el cubo ! Adios, a la proxima ! y tomas por c... "

Faites le test sur ces sites conjointement avec ethereal , ne serait-ce que pour comprendre ou voir conctètement ce qui se passe sur un scan, au moins vous saurez . J'ai un peu perdu confiance en leurs tests, qui font plus paniquer qu'autre chose.

Sur le test du browser , à les écouter c'est la cata...mais avec ethereal, je vois ce qu'il répond, à l'octet près, à la demande d'identification : un peu trop à mon goût mais ça ne va pas durer.... ils pourront toujours m'afficher les couleurs qu'ils veulent, je vérifierais ce qui sort.

En plus ils te conseillent de configurer ton firewall pour limiter les dégats, alors que c'est du ressort d'un proxy... c'est bon ! ( ce n'est pas avec un firewall que je vais squizzer une partie de la trame d'identification de mon navigateur , parce qu'une partie est utile ( encodage, langage, ... ) et le reste pour les trop curieux :

D'accord, c'est un bon test, rapide, efficace, mais je n'ai pas confiance à leur interprétation. Il faut regarder ce qui sort par le modem avec ethereal. Vous l'avez tous dans votre distrib !

Jacqueline

galagann
02/12/2004, 10h54
alexmic, quel beau tableau, c'est un Robins ?

alexmic
02/12/2004, 11h10
Galagann > En tous cas c'est du cubisme http://www.alionet.org/style_emoticons/<#EMO_DIR#>/wink.gif

Jacqueline > merci pour ces précisions, j'avoue que j'ai un peu lu en biais, parce que pour l'instant j'ai un firewall et c'est déjà mieux que rien...
En revanche je vais revenir le lire avec attention ce week end depuis ma box, Ethaereal installé et configuré correctement, et je te dirai alors si le test est selon moi fiable ou pas: c'est à dire si sur le ports rouges mon ordi répond et laisse oasser, et si sur les bleus il n'y a personne.

okparanoid
02/12/2004, 22h12
Bon il y a un truc que je pige pas trop en securite reseau...

Ok c'est pas bien de laisser des ports ouverts. Mais.

Quel est vraiment le risque puisque ces ports ouverts n'aboutissent a aucun logiciel qui l'utilisent sur la machine, comment un pirate peut-il les exploiter, est-ce que quelqu'un pourrait nous en donner un exemple concret d'exploitation d'un de ces ports ouverts (via quel commande) que ce soit sur linux ou sur windows d'ailleurs.

Pour exploiter un port il faut qu'un logiciel soit installe sur la machine et utilise ce port. Comment le pirate s'y prend il pour installer un logiciel a partir de rien ?

jacqueline
03/12/2004, 02h05
Boli

Tout vert ! Tu ne crains rien, ton micro ne répond pas , protégé par le firewall ( vu de l'extérieur , que ce port soit ouvert ou fermé )

Bleu : le port est fermé.. mais c'est le firewall qui répond et le dit...

J'ai trouvé la ligne.. dans la conf du firewall , et j'ai vu passer la réponse par le modem.

( sans cette ligne , ce port aurait éte fermé mais "vert" ! ( invisible de l'extérieur ) ça doit être la hiérarchie des règles, mais je me demande pourquoi j'ai cette ligne pour ce seul port "ident" : 113 )

Rouge : il est ouvert ( non j'ai pas dit : tout vert ! http://www.alionet.org/style_emoticons/<#EMO_DIR#>/bleh.gif http://www.alionet.org/style_emoticons/<#EMO_DIR#>/bleh.gif http://www.alionet.org/style_emoticons/<#EMO_DIR#>/bleh.gif http://www.alionet.org/style_emoticons/<#EMO_DIR#>/bleh.gif )

Comment on l'ouvre, comment on le ferme ? That's the question !

Apparemment s'il est ouvert c'est qu'il y a un prog ou un service qui tourne sur ce port... Et les autres questions qui te viennent tout de suite à l'esprit , je n'en doute pas : : Lequel ? et a quoi sert ce service ? est ce que j'en ai besoin ? ( est ce que j'en ai besoin en permanence , aussi ? ).

( s'il est ouvert au moment du test, c'est qu'il y a un prog qui l'utilise à ce moment ... et demain ça peut changer ...http://www.alionet.org/style_emoticons/<#EMO_DIR#>/bang.gif http://www.alionet.org/style_emoticons/<#EMO_DIR#>/bang.gif http://www.alionet.org/style_emoticons/<#EMO_DIR#>/bang.gif http://www.alionet.org/style_emoticons/<#EMO_DIR#>/bang.gif non ? )


et puis ....

- A-t-on besoin de ce service en permanence , et en interne seulement ?

- si oui faut le laisser ouvert et laisser tourner l'application qui l'utilise. Le firewall doit alors le protéger et il apparait en vert pour les autres au lieu d'apparaître en rouge alors que pour toi en local il est ouvert ( si tu fais un nmap !) Ca me rappelle l'avatar de lucien, lol !

- sinon......


Une réponse là ! http://www.alionet.org/style_emoticons/<#EMO_DIR#>/bestbook.gif http://www.alionet.org/style_emoticons/<#EMO_DIR#>/bestbook.gif http://www.alionet.org/style_emoticons/<#EMO_DIR#>/bestbook.gif

Fermer les ports .. oui mais comment ? (http://olivieraj.free.fr/fr/linux/information/firewall/fw-02-05.html)

(pas mal, sur ce tuto : l'exemple des immeubles de la "cité", et des fenêtres pour illustrer les ports de communication .. quelques pages plus avant ... Il fallait le trouver ! )

Euhhh , ma réponse n'est pas un tuto , j'essaye de comprendre... http://www.alionet.org/style_emoticons/<#EMO_DIR#>/cray.gif http://www.alionet.org/style_emoticons/<#EMO_DIR#>/cray.gif http://www.alionet.org/style_emoticons/<#EMO_DIR#>/cray.gif

Jacqueline. http://www.alionet.org/style_emoticons/<#EMO_DIR#>/coffee.gif

boliv@r
03/12/2004, 17h07
Vous pouvez me dire ce qu'il fout ce carré bleu tout seul comme ça au beau milieu de tout ce vert, hein ??? http://www.alionet.org/style_emoticons/<#EMO_DIR#>/blink.gif

http://img24.exs.cx/img24/6448/snapshot3.jpg

jacqueline
03/12/2004, 17h40
Bin , c'est le port 113, et lui il a une ligne à part ( avec un REJECT ) dans la conf de BASE , par defaut, du firewall de Suse, alors que les autres un un DROP. ( je n'ai encore rien touché là dedans ). Dans les commentaires ils donnent une explication.. avec time out, je n'y comprends rien pour l'instant, mais je leur fais confiance.

/etc/sysconfig/susefirewall2 :

<div class='quotetop'>Citation </div>
## Type: string
## Default: 0/0,tcp,113
#
# Packets to silently reject without log message. Common usage is
# TCP port 113 which if dropped would cause long timeouts when
# sending mail or connecting to IRC servers.
#
# Format: space separated list of net,protocol[,port]
# Example: "0/0,tcp,113"
#
FW_SERVICES_REJECT_EXT="0/0,tcp,113"[/b]

C'est la seule explication que j'ai trouvée en regardant un peu dans la conf, parce que ça m'inquiétait aussi.

Les spécialistes , nous répondront surement ...

Je pense que si l'application Linux qui utilise ce port, se met en service, il sera ouvert, mais vu comme fermé pour l'extérieur à cause du REJECT dans cette ligne du firewall.

Jacqueline

devloop
03/12/2004, 18h07
Le port tcp 113 correspond (de mémoire pour celui là http://www.alionet.org/style_emoticons/<#EMO_DIR#>/tongue.gif ) au service identd
en fait le principe est le suivant :
en se connectant au service identd on peut savoir que service est utilisé par tel port si une connexion est établie

par exemple si je sais que A s'est connecté sur le port 21 de B et que A fait cela à partir de son port 5269 on peut envoyer au serveur identd les données :
21,5269
et le serveur nous répondra par (en résumant)
FTP

le service identd n'est quasiment plus utilisé.
quand il a été crée on était encore dans l'optique "on partage nous, on ne cache rien"
Ce service permettait donc à une personne d'obtenir des infos sur ce que faisait tourner un serveur... c'est pour ça qu'il n'est plus sur Linux par défaut

PAR CONTRE (tadam !) il est encore utilisé par le protocole IRC qui s'en sert pour obtenir vos identités IRC.
mais il ne s'agit généralement pas du service identd comme il existait mais d'une version allégée qui est lancée par le client IRC

jacqueline
03/12/2004, 18h13
Merci develoop, parce que ce n'est pas évident de savoir à quoi servent les ports , tout du moins les services qui les uilisent.

Là ça nous donne le pourquoi de ce traitement de faveur pour ce port dans la conf std du firewall.

Jacqueline

boliv@r
03/12/2004, 19h12
Marci ! http://www.alionet.org/style_emoticons/<#EMO_DIR#>/wink.gif

Neolinux
04/12/2004, 12h08
Salux !

En réponse à Okparanoid, un pirate a la possibilité d'installer un backdoor sur un port à partir de rien. C'est une porte dérobée que même un firewall ne peut détecter, généralement.

Ceci dit, il faut qu'il y ait quelque chose d'intéressant pour lui sur le PC et s'il cherche un PC pour faire des diversions, il choisira généralement ceux qui ont une IP statique.

Desteros
04/12/2004, 12h26
Salut tout le monde, je me permets de vous conseiller un exellent site en anglais mais tres intuitif pour vérifier si vous avez bien paramétrer votre firewall, voici le lien ici (http://www.pcflank.com/)