Kreuzn1

Inscrit(e) : 02 déc. 2014
Hors-ligne Dernière activité : 31 janv. 2015 11:12

Trouver mon contenu

Community Stats

Groupe : Zimien
Messages : 23
Visualisations : 18 357
Titre : Voyageur de l'espace
Âge : Âge inconnu
Anniversaire : Anniversaire inconnu
Gender
Non spécifié

Amis

Kreuzn1 n'a pas encore ajouté d'amis.

Derniers visiteurs

vigen
08 févr. 2016 - 18:47
loumax
07 févr. 2015 - 15:53
Neuromancien
31 janv. 2015 - 18:03
Darksky
31 janv. 2015 - 14:14
Txon
30 déc. 2014 - 11:34

Sujets que j'ai initié

Spécialiste(s) Linux

28 janvier 2015 - 05:42

http://www.dedoimedo...r_software.html

Un vrai spécialiste, les difficultés rencontrées sont décrites en détail, une note générale est donnée à la fin de l'étude.

Un pare feu avec Ubuntu

23 décembre 2014 - 12:18

Un pare feu sous Ubuntu ?

Peut être ne l'avez vous jamais remarqué, mais si vous n'activez aucun logiciel sous Ubuntu, il n'y a aucun service ouvert, à part parfois de façon très furtive, vous tapez top dans le terminal,

PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 2056

bob 20 0 1276580 76856 39388 S 5,6 1,9 0:12.30 compiz 1123

root 20 0 228416 31516 15616 S 5,0 0,8 0:13.72 Xorg 2470 bob 20 0 650352 22440 12812 S 3,7 0,6 0:02.83 gnome-terminal 7

root 20 0 0 0 0 R 0,3 0,0 0:00.50 rcu_sched 37 root 20 0 0 0 0 S 0,3 0,0 0:00.58 kworker/1:1 41

root 39 19 0 0 0 S 0,3 0,0 0:00.05 khugepaged 136

root 20 0 0 0 0 S 0,3 0,0 0:00.12 usb-storage

Pas de service ouvert .

Ce qui veut dire que s'il n'y a pas de service ouvert, qu'un port soit ouvert, fermé, ou furtif, ça ne change pas grand-chose, on ne peut pas pénétrer votre système.

Il est par contre beaucoup plus utile, si on veut s'épargner un piratage réseau, de bien configurer le pare feu de sa box ou de son routeur : activation, pas de DMZ, de règles NAT, d'UPnP pour un usage basique, éviter si possible le wifi, ou au moins ne pas activer le pearing, sans oublier la clé WPA.

Dans ces conditions, même sans pare feu sur votre PC, dans un réseau familial un hacker aura beaucoup de mal pour arriver à ses fins, il lui faudra vous inciter à « cliquer », ce qui est un autre sujet.

Mais la sécurité, ou le sentiment d'être en sécurité sur internet, ça incite légitimement à multiplier les couches de protection, surtout dans un réseau local important.

Sous Fedora il y a un bon pare feu, Firewalld (limité à Fedora), il peut s'utiliser comme tel, on peut peut être modifier, en passant dans le « mode courant », les réglages ICMP (ne garder que destination inaccessible et temps dépassé) et passer en mode public, puis redémarrer.

Sous Mageia il y a Shorewall, là aussi on peut affiner de la même façon, mais pour avoir Shorewall sous Ubuntu ce n'est pas très aisé, vous téléchargez les paquets ça ne marche pas, manque l'interface graphique, il faut lancer dans le terminal, les modes opératoires sont rares et pas à jour, bref çe n'est pas idéal.

Ces deux outils sont des déclinaisons d'Iptables évidemment, alors faut il absolument apprendre la ligne de commandes pour gérer un pare feu sous Ubuntu ? Heureusement non, il y a Gufw,

http://doc.ubuntu-fr.org/gufw

Vous le trouverez dans la logithèque Ubuntu, il faut l'activer en donnant les droits root et le paramétrer par défaut « entrant refuser et sortant autoriser ».

Gufw peut être mis en mode public, le mode public sous Windows vous isole des PC voisins (pas de partage ni de recherche réseau), sous Ubuntu on ne sait pas trop… vous pouvez laisser en mode « home » et ajouter quelques règles avec le mode « préconfigurée » : refuser – entrée – all ou network/réseau – services, afin de vous isoler, désactiver Samba en particulier (c'est le partage de fichiers et d'imprimantes), ainsi que FTP, SSH et l'activation à distance.

En sortie vous pouvez aussi rétrécir les vannes, utile ? En fait pas trop, mais pourquoi pas, pour le surf se limiter au 53 en UDP, au 80 et 443 en TCP.

Si vous avez un besoin particulier vous faites un netstat -uta dans le terminal pour déterminer le port à autoriser.

Les autres outils réseau chez Linux ? Porsentry, Fail2ban ? Si vous n'avez pas de serveur aucune utilité, il faut déjà que ça marche, les tutoriels sont anciens, et ce n'est pas suffisant pour arrêter un Ddos ou autre.

Snort en mode client ? Il va utiliser ses propres règles Iptables, redondance avec Gufw ? Possible, moi j'évite ce risque.

Filtrer en sortie

23 décembre 2014 - 09:06

Filtrer en sortie…

Vous n'êtes pas sans avoir remarqué que le pare feu de Windows ne filtre pas par défaut en sortie, pour corriger ce qui peut paraître comme une erreur vous avez intégré depuis longtemps que Comodo, Outpost etc... sont les meilleurs firewalls, et qu'ils sont indispensables, et pourtant.

Le but du filtrage.

Sauf si vous avez installé malgré vous un malware, rien de dangereux ne sortira de votre ordinateur vers internet, rien d'indiscret ? Peut être pas, mais là c'est le navigateur et ses addons qu'il faut voir. Donc si en surfant ou en consultant vos mails vous dites « non » à chaque invite de l'UAC, vous n'aurez jamais besoin de filtrer en sortie.

La difficulté de bien filtrer.

Si vous avez installé un malware, ou êtes en train de l'installer, le filtrage en sortie (bien fait) peut vous sauver la mise, en effet le dropper a besoin d'une sortie pour installer le payload, ou le troyen en a besoin aussi pour fournir des informations, mais vous devez avoir déjà de sérieuses connaissances en réseau pour le faire, ce qui est très rare, pour un navigateur il est assez facile de se rappeler qu'il faut autoriser les ports 53 (UDP), 80 et 443 en TCP, mais pour les autres innombrables processus…

Une difficulté supplémentaire existe par l'attitude de certains malwares qui utilisent des techniques de fuite, heureusement très rares car la plupart des gens utilisant le pare feu Windows elles sont pratiquement sans utilité, le cas le plus courant est celui d'un malware se faisant passer pour explorer.exe par exemple, votre beau pare feu filtrant en sortie risque d'autoriser s'il n'étudie pas en détail le chemin du processus à filtrer.

Les solutions proposées.

On vous a abreuvé depuis longtemps avec du filtrage de fuite à grands coups de HIPS, sans toujours vous expliquer qu'il faut d'abord bien filtrer en entrée.

La plupart des suites antivirus ou pare feu tiers (Comodo, Outpost etc..), activés par défaut, sont des produits « grand public », qui filtrent très large pour ne pas poser de questions très difficiles, et ne filtreront finement (s'ils le peuvent) que si vous passez au mode dit « avancé » ou « parano », qui filtre régulièrement sur ce mode ? Personne, ou presque, ou alors il ne faut pas examiner le jeu de règles…

Le problème majeur est celui ci.

Aucun pare feu actuel (sauf pour XP) ne crochète le noyau pour bloquer un flux sortant, c'est impossible à cause du patchguard sur un système en 64 bits, tous les pare feu proactifs « sandboxent » temporairement le trafic afin de l'étudier et de l'autoriser ou on, s'ils savent bien le faire…

L'ennui c'est que vos antivirus (les bons) font la même chose, d'où les conflits possibles, donc si vous avez Bitdefender ou Eset antivirus avec Comodo ou Outpost, même en bricolant dans les exceptions ça va mal se passer, consultez donc les forums pour le vérifier.

L'antimalwares de Windows peut convenir avec Outpost ou autre, c'est un choix à faire si vous avez des connaissances en réseau, pas de conflit possible puisque que le blocage comportemental est assuré par l'UAC, le scrutin de liste et l'heuristique statistique de Windows Defender ne peuvent pas entrer en conflit avec l'heuristique dynamique des pare feu proactifs.

Mais si vous voulez un antivirus performant il va falloir vous contenter du pare feu par défaut de Windows, qui lui est excellent pour le filtrage entrant, son seul problème ?… les gens qui disent « oui » quand il y a une invite de l' UAC, ne l'oubliez pas.