J'ai un petit cubieboard sur lequel tourne une Debian Jessie.
J'ai r=C3=A9cemment souscrit =C3=A0 un abo VPN pour, notamment, avoir une I=
P fixe.
Mais avant de me brancher sur le net pour de vrai, je pense que la mise en =
place d'un pare-feu pourrait s'av=C3=A9rer utile.
Je me suis donc lancer dans la lecture de quelques articles donc un chapitr=
e du bouquin =C2=ABLe cahier de l'administrateur Debian=C2=BB traitant du s=
ujet et dans lequel les auteurs conseillent fwbuilder (https://packages.deb=
ian.org/jessie/fwbuilder).
J'ai donc installer fwbuilder et, de prime abord, il a l'air simple =C3=A0 =
utiliser, propose des config' sur base de templates, ...
Mais lorsque j'ai jet=C3=A9 un =C5=93il sur le script g=C3=A9n=C3=A9r=C3=A9=
, j'ai eu quelques surprises (pas de prise en compte de l'IPv6 alors que la=
d=C3=A9finition de mes interfaces comportait aussi de l'IPv6, pas de r=C3=
=A8gles de prise en charge d'une interface rajout=C3=A9e apr=C3=A8s la conf=
ig' de d=C3=A9part, ...).
Bref, comme je n'ai pas trop de temps =C3=A0 passer pour ma=C3=AEtriser fwb=
uilder, je pense me rabattre sur un set de r=C3=A8gles simple comme d=C3=A9=
crit sur le wiki Debian ici : https://wiki.debian.org/iptables
Ma config' l'est aussi : une interface eth0 connect=C3=A9e sur mon r=C3=A9s=
eau local et sur le switch de mon FAI et une interface tun0 cr=C3=A9=C3=A9e=
via openvpn et connect=C3=A9e au net avec IP fixe pour laquelle je veux fi=
ltrer le trafic.
Ma question : pensez-vous que les r=C3=A8gles de l'article du wiki suffisen=
t ?
Je pense simplement y ajouter la r=C3=A8gle suivante pour autoriser le traf=
ic de mon r=C3=A9seau local :
-A INPUT -i eth0 -d 192.168.1.0/24 -j ACCEPT
Merci d'avance pour vos retours.
Et bonne soir=C3=A9e =C3=A0 tous qui me liront jusqu'ici.
Je me glisse dans ce fil, car je me demandais si c'est bien sécurisé d'utiliser mon ordinateur portable dans les réseaux Wifi non sécurisés(bar, bibliothèques).
Si je comprend bien : si aucun service tourne ni n'est installé (CD net install + Lxde task) je ne risque rien ?
Bien sûr que si. Il reste les éventuelles failles du noyau et ses pilotes, des démons réseau (WPA, DHCP, Zeroconf...) des applications communicantes (web, mail...) et de l'utilisateur.
Il y a quand même le serveur X11 et d'autres, mais je suppose que dans leur config par défaut, ils ne sont pas "visibles" ?
Lorsque le portmapper RPC (portmap ou rpcbind) est installé (dépendance de nfs-common, présent dans une installation standard), par défaut il écoute sur toutes les interfaces.
Jusqu'à la lecture de ce post j'utilisais une Debian live sur USB avec persistance(garde la config du clavier, etc), pour surfer sur les wifi non sécurisés. Ce n'est donc pas nécessaire ?
Ce n'est surtout pas suffisant. Outre qu'un système live peut être moins facile à personnaliser et donc à sécuriser s'il ne l'est pas par défaut, le fait qu'il soit persistant et stocké sur un support en lecture-écriture le rend aussi vulnérable qu'un système normal en cas d'attaque réussie.
Benoit B a écrit :
Je me glisse dans ce fil, car je me demandais si c'est bien sécurisé
d'utiliser mon ordinateur portable dans les réseaux Wifi non sécurisés(bar,
bibliothèques).
Si je comprend bien : si aucun service tourne ni n'est installé (CD net
install + Lxde task) je ne risque rien ?
Bien sûr que si. Il reste les éventuelles failles du noyau et ses
pilotes, des démons réseau (WPA, DHCP, Zeroconf...) des applications
communicantes (web, mail...) et de l'utilisateur.
Il y a quand même le serveur X11 et d'autres, mais je suppose que dans leur
config par défaut, ils ne sont pas "visibles" ?
Lorsque le portmapper RPC (portmap ou rpcbind) est installé (dépendance
de nfs-common, présent dans une installation standard), par défaut il
écoute sur toutes les interfaces.
Jusqu'à la lecture de ce post j'utilisais une Debian live sur USB avec
persistance(garde la config du clavier, etc), pour surfer sur les wifi non
sécurisés. Ce n'est donc pas nécessaire ?
Ce n'est surtout pas suffisant. Outre qu'un système live peut être moins
facile à personnaliser et donc à sécuriser s'il ne l'est pas par défaut,
le fait qu'il soit persistant et stocké sur un support en
lecture-écriture le rend aussi vulnérable qu'un système normal en cas
d'attaque réussie.
Je me glisse dans ce fil, car je me demandais si c'est bien sécurisé d'utiliser mon ordinateur portable dans les réseaux Wifi non sécurisés(bar, bibliothèques).
Si je comprend bien : si aucun service tourne ni n'est installé (CD net install + Lxde task) je ne risque rien ?
Bien sûr que si. Il reste les éventuelles failles du noyau et ses pilotes, des démons réseau (WPA, DHCP, Zeroconf...) des applications communicantes (web, mail...) et de l'utilisateur.
Il y a quand même le serveur X11 et d'autres, mais je suppose que dans leur config par défaut, ils ne sont pas "visibles" ?
Lorsque le portmapper RPC (portmap ou rpcbind) est installé (dépendance de nfs-common, présent dans une installation standard), par défaut il écoute sur toutes les interfaces.
Jusqu'à la lecture de ce post j'utilisais une Debian live sur USB avec persistance(garde la config du clavier, etc), pour surfer sur les wifi non sécurisés. Ce n'est donc pas nécessaire ?
Ce n'est surtout pas suffisant. Outre qu'un système live peut être moins facile à personnaliser et donc à sécuriser s'il ne l'est pas par défaut, le fait qu'il soit persistant et stocké sur un support en lecture-écriture le rend aussi vulnérable qu'un système normal en cas d'attaque réussie.
daniel huhardeaux
Le 11/12/2015 09:37, Pascal Hambourg a écrit :
Benoit B a écrit :
Je me glisse dans ce fil, car je me demandais si c'est bien sécurisé d'utiliser mon ordinateur portable dans les réseaux Wifi non sécurisés(bar, bibliothèques).
Si je comprend bien : si aucun service tourne ni n'est installé (CD net install + Lxde task) je ne risque rien ?
Bien sûr que si. Il reste les éventuelles failles du noyau et ses pilotes,
D'accord
des démons réseau (WPA, DHCP, Zeroconf...) des applications communicantes (web, mail...)
L'OP a dit _aucun service_. La liste donnée ci dessus sont des services.
et de l'utilisateur.
S'il n'y a pas de services sur la machine, il ne devrait pas non plus y avoir d'utilisateur ...
Il y a quand même le serveur X11 et d'autres, mais je suppose que dans leur config par défaut, ils ne sont pas "visibles" ?
Lorsque le portmapper RPC (portmap ou rpcbind) est installé (dépendance de nfs-common, présent dans une installation standard), par défaut il écoute sur toutes les interfaces.
Jusqu'à la lecture de ce post j'utilisais une Debian live sur USB avec persistance(garde la config du clavier, etc), pour surfer sur les wifi non sécurisés. Ce n'est donc pas nécessaire ?
Ce n'est surtout pas suffisant. Outre qu'un système live peut être moins facile à personnaliser et donc à sécuriser s'il ne l'est pas par défaut, le fait qu'il soit persistant et stocké sur un support en lecture-écriture le rend aussi vulnérable qu'un système normal en cas d'attaque réussie.
-- Daniel
Le 11/12/2015 09:37, Pascal Hambourg a écrit :
Benoit B a écrit :
Je me glisse dans ce fil, car je me demandais si c'est bien sécurisé
d'utiliser mon ordinateur portable dans les réseaux Wifi non sécurisés(bar,
bibliothèques).
Si je comprend bien : si aucun service tourne ni n'est installé (CD net
install + Lxde task) je ne risque rien ?
Bien sûr que si. Il reste les éventuelles failles du noyau et ses
pilotes,
D'accord
des démons réseau (WPA, DHCP, Zeroconf...) des applications
communicantes (web, mail...)
L'OP a dit _aucun service_. La liste donnée ci dessus sont des services.
et de l'utilisateur.
S'il n'y a pas de services sur la machine, il ne devrait pas non plus y
avoir d'utilisateur ...
Il y a quand même le serveur X11 et d'autres, mais je suppose que dans leur
config par défaut, ils ne sont pas "visibles" ?
Lorsque le portmapper RPC (portmap ou rpcbind) est installé (dépendance
de nfs-common, présent dans une installation standard), par défaut il
écoute sur toutes les interfaces.
Jusqu'à la lecture de ce post j'utilisais une Debian live sur USB avec
persistance(garde la config du clavier, etc), pour surfer sur les wifi non
sécurisés. Ce n'est donc pas nécessaire ?
Ce n'est surtout pas suffisant. Outre qu'un système live peut être moins
facile à personnaliser et donc à sécuriser s'il ne l'est pas par défaut,
le fait qu'il soit persistant et stocké sur un support en
lecture-écriture le rend aussi vulnérable qu'un système normal en cas
d'attaque réussie.
Je me glisse dans ce fil, car je me demandais si c'est bien sécurisé d'utiliser mon ordinateur portable dans les réseaux Wifi non sécurisés(bar, bibliothèques).
Si je comprend bien : si aucun service tourne ni n'est installé (CD net install + Lxde task) je ne risque rien ?
Bien sûr que si. Il reste les éventuelles failles du noyau et ses pilotes,
D'accord
des démons réseau (WPA, DHCP, Zeroconf...) des applications communicantes (web, mail...)
L'OP a dit _aucun service_. La liste donnée ci dessus sont des services.
et de l'utilisateur.
S'il n'y a pas de services sur la machine, il ne devrait pas non plus y avoir d'utilisateur ...
Il y a quand même le serveur X11 et d'autres, mais je suppose que dans leur config par défaut, ils ne sont pas "visibles" ?
Lorsque le portmapper RPC (portmap ou rpcbind) est installé (dépendance de nfs-common, présent dans une installation standard), par défaut il écoute sur toutes les interfaces.
Jusqu'à la lecture de ce post j'utilisais une Debian live sur USB avec persistance(garde la config du clavier, etc), pour surfer sur les wifi non sécurisés. Ce n'est donc pas nécessaire ?
Ce n'est surtout pas suffisant. Outre qu'un système live peut être moins facile à personnaliser et donc à sécuriser s'il ne l'est pas par défaut, le fait qu'il soit persistant et stocké sur un support en lecture-écriture le rend aussi vulnérable qu'un système normal en cas d'attaque réussie.
-- Daniel
Pascal Hambourg
daniel huhardeaux a écrit :
Le 11/12/2015 09:37, Pascal Hambourg a écrit :
Benoit B a écrit :
Si je comprend bien : si aucun service tourne ni n'est installé (CD net install + Lxde task) je ne risque rien ?
Bien sûr que si. Il reste les éventuelles failles du noyau et ses pilotes,
D'accord
des démons réseau (WPA, DHCP, Zeroconf...) des applications communicantes (web, mail...)
L'OP a dit _aucun service_.
Il y a toujours des services système. Pour se connecter à un hotspot, on a généralement besoin d'un client DHCP.
La liste donnée ci dessus sont des services.
Un service suppose un client. Je parlais des applications clientes comme les navigateurs web dont les failles sont nombreuses et régulières.
et de l'utilisateur.
S'il n'y a pas de services sur la machine, il ne devrait pas non plus y avoir d'utilisateur ...
Monsieur fait de l'humour. Je confirme : une machine sur laquelle aucun système ni logiciel n'est installé, éteinte et déconnectée ne risque pas grand-chose.
daniel huhardeaux a écrit :
Le 11/12/2015 09:37, Pascal Hambourg a écrit :
Benoit B a écrit :
Si je comprend bien : si aucun service tourne ni n'est installé (CD net
install + Lxde task) je ne risque rien ?
Bien sûr que si. Il reste les éventuelles failles du noyau et ses
pilotes,
D'accord
des démons réseau (WPA, DHCP, Zeroconf...) des applications
communicantes (web, mail...)
L'OP a dit _aucun service_.
Il y a toujours des services système. Pour se connecter à un hotspot, on
a généralement besoin d'un client DHCP.
La liste donnée ci dessus sont des services.
Un service suppose un client. Je parlais des applications clientes comme
les navigateurs web dont les failles sont nombreuses et régulières.
et de l'utilisateur.
S'il n'y a pas de services sur la machine, il ne devrait pas non plus y
avoir d'utilisateur ...
Monsieur fait de l'humour. Je confirme : une machine sur laquelle aucun
système ni logiciel n'est installé, éteinte et déconnectée ne risque pas
grand-chose.
Si je comprend bien : si aucun service tourne ni n'est installé (CD net install + Lxde task) je ne risque rien ?
Bien sûr que si. Il reste les éventuelles failles du noyau et ses pilotes,
D'accord
des démons réseau (WPA, DHCP, Zeroconf...) des applications communicantes (web, mail...)
L'OP a dit _aucun service_.
Il y a toujours des services système. Pour se connecter à un hotspot, on a généralement besoin d'un client DHCP.
La liste donnée ci dessus sont des services.
Un service suppose un client. Je parlais des applications clientes comme les navigateurs web dont les failles sont nombreuses et régulières.
et de l'utilisateur.
S'il n'y a pas de services sur la machine, il ne devrait pas non plus y avoir d'utilisateur ...
Monsieur fait de l'humour. Je confirme : une machine sur laquelle aucun système ni logiciel n'est installé, éteinte et déconnectée ne risque pas grand-chose.
steve
Le 10-12-2015, à 19:30:14 +0100, Benoit B a écrit :
Jusqu'à la lecture de ce post j'utilisais une Debian live sur USB avec persistance(garde la config du clavier, etc), pour surfer sur les wifi non sécurisés. Ce n'est donc pas nécessaire ?
La question n'est pas facile. Tails¹ est une réponse possible.
¹ https://tails.boum.org/
Le 10-12-2015, à 19:30:14 +0100, Benoit B a écrit :
Jusqu'à la lecture de ce post j'utilisais une Debian live sur USB avec
persistance(garde la config du clavier, etc), pour surfer sur les wifi non
sécurisés. Ce n'est donc pas nécessaire ?
La question n'est pas facile. Tails¹ est une réponse possible.
Le 10-12-2015, à 19:30:14 +0100, Benoit B a écrit :
Jusqu'à la lecture de ce post j'utilisais une Debian live sur USB avec persistance(garde la config du clavier, etc), pour surfer sur les wifi non sécurisés. Ce n'est donc pas nécessaire ?
La question n'est pas facile. Tails¹ est une réponse possible.
Le samedi 12 décembre 2015 à 17:29, Benoit B a écrit :
Y a-t-il des configurations de base à effectuer pour sécuriser(sécurité de base) un système (installation par défaut + lxdeTask et quelques logiciels )?
Tout dépend de ce que tu entends par « sécuriser ».
Protéger ton système des intrusions ?
Une configuration iptables fera l'affaire. Soit directement avec un script à toi qui met en place les règles, soit en utilisant un outil un peu plus haut niveau (pour ma part j'utilise Shorewall).
Anonymiser tes connexions ?
Une solution type TOR ou VPN.
Sébastien
Bonjour,
Le samedi 12 décembre 2015 à 17:29, Benoit B a écrit :
Y a-t-il des configurations de base à effectuer pour sécuriser(sécurité de
base) un système (installation par défaut + lxdeTask et quelques logiciels
)?
Tout dépend de ce que tu entends par « sécuriser ».
Protéger ton système des intrusions ?
Une configuration iptables fera l'affaire. Soit directement avec un script à
toi qui met en place les règles, soit en utilisant un outil un peu plus haut
niveau (pour ma part j'utilise Shorewall).
Le samedi 12 décembre 2015 à 17:29, Benoit B a écrit :
Y a-t-il des configurations de base à effectuer pour sécuriser(sécurité de base) un système (installation par défaut + lxdeTask et quelques logiciels )?
Tout dépend de ce que tu entends par « sécuriser ».
Protéger ton système des intrusions ?
Une configuration iptables fera l'affaire. Soit directement avec un script à toi qui met en place les règles, soit en utilisant un outil un peu plus haut niveau (pour ma part j'utilise Shorewall).