firewall ...

firewall ... - Linux et OS Alternatifs

Marsh Posté le 20-12-2001 à 13:56:21    

salut la compagnie, je poste ici un message sur les firewalls, il n'y a pas beaucoup de rapport avec les os alternatif mais je penses qu'ici pas mal de personne s'y connaisse.
 
M'a grande question c'est a quoi c'a sert un firewall.
Si j'ai bien compris, un firewall bloque l'accé a certains port tcp et ainsi empeche de faire certaine attaque. Est ce bien ca?
 
Si c'est bien ca je ne vois pas l'interet. Il me semble qu'un port tcp est soit utilisé pas un socket et est donc utilisé par un processus. Si quelque fait une attaque sur ce port c'est au processus de gerer tout ces paquets foireux. Si un port n'est pas utilisé pourquoi le bloquet puisque aucun processus ne lui est associé. C'est a la pile tcp/ip de gerer les paquets foireux.
 
Ma seconde grande question est : est ce qu'en fait un firewall n'est pas un programme sensé proteger l'ordi car la pile tcp/ip est foireuse?
 
bref je penses ne pas savoir grand chose sur les firewall mais je suis avide de comprendre...

Reply

Marsh Posté le 20-12-2001 à 13:56:21   

Reply

Marsh Posté le 20-12-2001 à 14:03:16    

la pile tcp/ip n'est pas foisruese (en tout cas pas sous linux) mais les port par default sont ouvert (les autre etat sont fermes ou caches). un firewall les ferme ou les cache.

Reply

Marsh Posté le 20-12-2001 à 14:03:49    

je crois qu'un port peut etre occupe aussi. :??:

Reply

Marsh Posté le 20-12-2001 à 14:11:02    

Avoir un port occupe ne protege en rien ta machine. Le fait, pour un port, d'etre occupe ou non n'a rien a voir avec la securite, puisque c'est ta machine qui gere cela, et empeche eventuellement a des appli _locales_ d'acceder aux ports occupes.
 
Le danger vient de l'exterieur. Un port, occupe ou non, peut presenter un danger s'il est ouvert a l'exterieur. La solution de securite ultime serait de fermer tous les ports, mais ca n'est pas possible car alors ton ordi ne peut plus communiquer du tout et tu ne peux plus rien faire sur le Net.
 
Le firewall te permet donc d'avoir les ports dont tu as besoin ouverts, tout en garantissant la securite de ta machine en en restreignant l'acces (en fonction de regles que tu defini toi meme), et de fermer les ports dont tu ne te sers pas
 
Quant a ta remarque comme quoi chaque appli devrait gerer independamment les differentes attaques possibles, ca ne serait pas une tres bonne solution car cela consisterait a avoir autant de firewalls que tu as d'appli. De plus ca ne protegerait que les ports utilises, alors que d'autres ports non utilises peuvent etre laisses ouverts par ton systeme
 
Le firewall permet donc d'avoir une protection globale de ton systeme et independante de tes applis
 
Enfin concernant la pile TCP/IP, je ne pense pas que ce soit elle qui soit defaillante, mais son implementation dans certains programme qui laisse des failles pouvant etre exploitees pour attaquer le systeme.

 

[edtdd]--Message édité par pipomolo--[/edtdd]

Reply

Marsh Posté le 22-12-2001 à 19:00:26    

Je ne suis pqs sur d'avoir bien compris. Comment un port si il n'est associé a aucun processus peut il presenter un quelquonque probleme de securité? Lorsque un port est associé a un processus il peut y avoir des problemes de secu mais le bloqué serais aberan car le processus ne pourais plus communiqué.

Reply

Marsh Posté le 22-12-2001 à 19:11:58    

le truc c que il ne faut pas que l'attraquant soit en mesure de savoir quels ports sont ouverts ou fermés sur ta machine.
dès qu'il sait qu'un port est ouvert (disons le 21 par exemple) ben il va tout faire pour essayer de savoir quel est le service qui tourne derriere. si il trouve que c'est un serveur ftp par exemple comme proftpd, il va tenter de trouver la version et ensuite d'exploiter un des exploits existant sur cette version pour gagner un accès root sur la machine.
La politique conseillée est de fermer tous les ports de la machine que l'on n'utilise pas.
un firewall par exemple n'a pas de port ouvert. il ne fait en général qu'office de protection. Aucun service ne devrait théoriquement tourner dessus.
Un firewall sert aussi a "masquer" l'existence des autres machines du réseau qui se trouvent "derriere". Dans le cas d'une entreprise, ca sert a assurer la confidentialité des données. Si une entreprise concurente arrive a mettre la main sur des fichiers critiques, cela peut mettre en danger la santé de la boite et nuire a sa compétitivité sur le marché. Voilà en gros. pour le coup de la pile tcp/ip, entre windows 2000, XP et linux/unix, la pile tcp/ip est devenue très fiable et assez performante. Le FW ne sert aucunement a protéger des bugs dans celle ci.

Reply

Marsh Posté le 22-12-2001 à 19:14:55    

avec un bon firewall qui drop toutes les requetes de connnexion et qui ne répond pas au ping, on est théoriquement transparent sur internet. sur un scan de plages IPs, on ne répond pas et on est invisible.Moins de gens étant au courant de ton existence, plus tu sera en sécurité.

Reply

Marsh Posté le 22-12-2001 à 20:06:03    

ouaip  
 
en fait si tu n'as aucun service qui tourne sur ta machine un firewall n'est pas vraiment nécessaire hormis le fait de ne pas pouvoir être pingé...
 
Par contre il devent intéressant d'en avoir un dès que tu as un services genre ftp, samba (voisinage réseau sous win), ... et que tu ne veux l'offir qu'a ton réseau interne.
 
Tu me diras "oui, ok, mais le voisinage réseau peut être limité du moins sous linux à certaines interfaces" (donc à certaines range d'ip, ex uniquement permise aux machines 192.168.0.x).
Ou par exemple configurer un serveur ftp pour qu'il ne réponde qu'aux adresses du réseau interne.
 
Mais, il existe bcp de technique différente pour entrer sur un réseau. Une de celle-ci consiste à faire croire à la machine connetée sur internet que l'on fait partie du réseau interne (l'ip spoofing si tu en as déjà entendu parlé).  Donc ta protection par le configuration du logiciel n'est pas du tout efficace.
 
Le protocole tcp/ip n'est pas du tout sûr.  Tu peux te faire un logiciel toi même en c qui va créer des paquets tcp-ip erronés pour tromper ou exploiter un bug du logiciel serveur qui tourne derrière.
Le firewall permet de jeter ces paquets erronés sur base de critères de sélection de façon à ne pas mettre en danger le logiciel.

Reply

Marsh Posté le 22-12-2001 à 20:27:52    

Comment le FW va t'il ne pas se faire tromper par le spoofing ? (quelques exemples svp ;)).


---------------
Vidéo Concorde Air France | www.kiva.org
Reply

Marsh Posté le 22-12-2001 à 21:00:24    

tout simplement en lui disant que si un paquet arrive sur l'interface du modem et que s'il trouve dans les infos du paquet que l'ip source est du genre 192.168.0.0/255.255.0.0 ce n'est pas normal.  Donc il doit la loguer et la jeter.
 
c'est logique comment veux-tu que qq sur le net qui se connecte à ta machine ait une ip de réseau interne ?
 
en concret :
iptables -A INPUT -i ppp0 -s 10.0.0.0/8 -j DROP #classe A
iptables -A INPUT -i ppp0 -s 172.16.0.0/12 -j DROP #classe B
iptables -A INPUT -i ppp0 -s 192.168.0.0/16 -j DROP #classe C
 
tu peux aussi veiller à ce que le paquet ne contient pas l'ip externe de ta machine puisque à un moment t ton ip est unique sur internet.
iptables -A INPUT -i ppp0 -s $MON_IP_EXT -j DROP  
 
...

 

[edtdd]--Message édité par ethernal--[/edtdd]

Reply

Marsh Posté le 22-12-2001 à 21:00:24   

Reply

Marsh Posté le 22-12-2001 à 21:09:48    

Oui, je sais que c'est logique, et que 2 Ip ne peuvent etre identique sur le même réseau. Je ne savais pas que ct géré par interface. Le FW aurait très bien pu se faire tromper comme les softs.
 
Merci pour les explications  :jap: (de nouveau ;))


---------------
Vidéo Concorde Air France | www.kiva.org
Reply

Marsh Posté le 22-12-2001 à 21:19:41    

c'était un plaisir ;)
 
sous win aussi tu sais gérer ce genre de choses non ?

Reply

Marsh Posté le 22-12-2001 à 22:50:29    

en fonction des FW..
Tu créés tes règles, proto, ports locaux/distants, IP, etc.
Avec certains, comme Firewall-1 tu dois pouvoir gérer les interfaces.
Avec soft de NAT, WinRoute Pro, tu gère les interfaces, filtrage de paquet (jamais utilisé), port mapping (j'utilise now, très simple), + d'autres features genre DHCP, etC..
 
Un exemple de gestion de rules sous tiny Personnal Firewall :
http://groody.free.fr/temp/tiny.jpg

 

[edtdd]--Message édité par Groody--[/edtdd]


---------------
Vidéo Concorde Air France | www.kiva.org
Reply

Marsh Posté le 22-12-2001 à 22:54:42    

désolé pour la lourdeur de l'image, je l'avais enregistré y'a lgtps en JPG, et si je la remet en PNG ou GIF y'a pas de gain. Je ne peux refaire de SS, je n'utilise plus ce soft.


---------------
Vidéo Concorde Air France | www.kiva.org
Reply

Marsh Posté le 23-12-2001 à 00:04:02    

pas mal :)
 
c qd même plus graphique que sous linux :lol:

Reply

Marsh Posté le 23-12-2001 à 00:05:27    

un peu :D
 
si tu voyais un écran sous Firewall-1, avec des tas de règles, c'est :  :pt1cable:  
 
Tiens, je pense que c qu'un mec qui me scan, mais si t'as le tps :
http://forum.hardware.fr/forum2.ph [...] &owntopic=


---------------
Vidéo Concorde Air France | www.kiva.org
Reply

Marsh Posté le 23-12-2001 à 00:06:41    

j'avais oublié de le préciser tout à l'heure, pour la copie d'écran de Tiny, OUI les règles sont merdiques, surtout à la fin. Je les rajoutais une par une, et ensuite je traitais, jaisais le ménage. Là ct au début..


---------------
Vidéo Concorde Air France | www.kiva.org
Reply

Marsh Posté le 23-12-2001 à 12:34:11    

moi aussi faut que je refasse mon firewall la ...  
c devenu un vrai bordel mon truc  ...
je reste sous ipchains pour rester en patato  
 
ps : appremment c juste des scans rien de mechant ...  
faut qu eje vire les logs aussi car ca gonfle enormement  
et un bon conseille vire le ping parceque bon ce prendre un ping massif ds la tete c pas tres drole

Reply

Marsh Posté le 23-12-2001 à 12:36:00    

ah j ai une question aussi :  
j ai tout reinstaller en stable donc j ai une vielle version de proftpd ou je ne peux pas definir les ports a utiliser en passifs  
 
faut faire comment ? ouvirir tout les ports de 1024 a 65535 ?

Reply

Marsh Posté le 23-12-2001 à 13:50:30    

y a pleins de bugs de sécu dans proftpd, alors prends au moins la dernière version, sinon passe à pureftpd qui semble plus robuste.
 
Désactive le mode passif, il suffit de dire à tes clients de le désactiver dans leur config du client.

Reply

Marsh Posté le 23-12-2001 à 14:09:09    

j ai des clients qui sont avec une passerelle  
l ip_masq_ftp il fait l actif  aussi ?
 
pour la derniere version faut que je passe en instable bof ...
je peux compiler a partir des sources aussi ...

 

[edtdd]--Message édité par GUG--[/edtdd]

Reply

Marsh Posté le 23-12-2001 à 15:12:26    

GUG a écrit a écrit :

j ai des clients qui sont avec une passerelle  
l ip_masq_ftp il fait l actif  aussi ?




 
je comprends pas trop bien et je suis plus trop sur de l'utilisation de ip_masq_ftp :(
 
ton réseau -> ton serveur ftp :
si des pcs à toi sont dans un réseau interne et qu'ils veulent accéder à ta passerelle qui fait serveur ftp, il y a pas besoin de ip_masq_ftp.
 
client interne -> passerelle -> net -> ton serveur ftp:
si des clients sont derrières une passerelle de l'autre côté d'internet et que ton ftp est sur la machine connectée au net, c'est à eux de gérer leurs connexions vers l'extérieur.
 
client -> net -> ta passerelle -> ton serveur ftp :
Si des clients se connectent à partir du net sur ta passerelle et que ton ftp est dans ton réseau interne, alors ip_masq_ftp est peut-être utile.
 
tes pcs -> ta passerelle -> net -> un serveur ftp :
si tes pcs internes accè!dent à un serveur ftp sur le net par l'intermédiaire de ta passerelle alors ip_masq_ftp est important.

Reply

Marsh Posté le 23-12-2001 à 15:35:28    

Question :
Sur une machine qui fait tourner un serveur web, un serveur ftp et qui à des règles ipchains de filtrage.
Est ce que ipchains passe toujours en premier pour appliquer ces filtres ?

Reply

Marsh Posté le 23-12-2001 à 15:38:24    

ca dépend de tes règles mais normalement oui

Reply

Marsh Posté le 23-12-2001 à 16:17:14    

Ou trouver une bonne documentation traitant des règles de filtrage en français ?

Reply

Marsh Posté le 23-12-2001 à 16:24:39    

client interne -> passerelle -> net -> ton serveur ftp:
si des clients sont derrières une passerelle de l'autre côté d'internet et que ton ftp est sur la machine connectée au net, c'est à eux de gérer leurs connexions vers l'extérieur.
 
tes pcs -> ta passerelle -> net -> un serveur ftp :
si tes pcs internes accè!dent à un serveur ftp sur le net par l'intermédiaire de ta passerelle alors ip_masq_ftp est important
 
c 2 cas la

Reply

Marsh Posté le 24-12-2001 à 01:58:07    

tenebrax a écrit a écrit :

Question :
Sur une machine qui fait tourner un serveur web, un serveur ftp et qui à des règles ipchains de filtrage.
Est ce que ipchains passe toujours en premier pour appliquer ces filtres ?  




 
en premier ce sont les règles du kernel
en second les règles ipchains ou iptables

Reply

Marsh Posté le 27-12-2001 à 15:01:32    

merci les gars, je commnce a mieu comprendre les mysteres des FW.
Une autre question:
J'entend souvent parler de logiciel NAT. Je crois que cela sert entre autre a partager une adresse IP entre plusieurs machine en utilisant des tables de ports TCP(c'est tres mal dit je sais).
Nat est un type de logiciel comme on dirais un client FTP ou est ce bien un logiciel unique?

Reply

Marsh Posté le 27-12-2001 à 16:03:49    

Allez j'y retourne ... !!! :D
 
NAT, Network Address Translation, soit Translation d'adresses "IP".
 
Tu mets ça sur la machine qui accède au net. Si le systeme est bon, tel WinRoute Pro, il se place au dessus de la couche IP. Chaque connexion lancée par un PC du LAN est enregistré dans la tbale de NAT. Une fois les données de retour du NET (site web, etC..), le soft de NAT vérifié si il y a des entrés dans la table de NAT, si oui (demande de connexion d'un PC du LAN vers telle IP, tel port) il sait qu'il peut laisser passer les données car quelqu'un les a bien demandé.
 
Si personne ne demande rien, et que quelqu'un essaye de se connecter à ta machine, BOUM, le mur  :crazy:  
 
Je l'utilise chez moi, et je suis complètement invisible depuis le net, pas le moindre port qui répond.

Reply

Marsh Posté le 27-12-2001 à 16:09:35    

Je rajoute :
 
Exemple, tu rajoutes dans la conf TCP/IP du LAN de chaqque PC l'IP du LAN de la machine partageant le NET par le NAT (ce qu'on appelle une passerelle) dans l'onglet PASSERELLE.
 
Dès qu'un soft ne trouve pas l'IP avec qui il veut communiquer en local par exemple, il passe par la ou les passerelles. Pas besoin de reconfigurer tous les softs (IE, etc..).
 
Tu peux avoir des 10aines, 100aines de PC sur le LAN qui utiliseront l'accès. La limite, le débit de la ligne, et le N° de connexion simultanées gérés par le softr de NAT.

Reply

Marsh Posté le 31-12-2001 à 15:21:20    

merci pour les infos!  
et bonne année!!

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed