Utilite d'un pare-feu sous Linux ?

Le
Jean-Pierre Mauvert
Bonjour,

Certains linuxiens que je connais me disent que ça ne sert à rien
d'utiliser un pare-feu lorsqu'on a Linux comme OS.

D'autres me disent que c'est une folie que de ne pas en installer un,
car le fait qu'on ait pas trouvé encore, en 30 ans, de virus linuxien ne
signifie pas que quelqu'un n'en trouvera pas un jour.

Comptant passer sous linux cet été, j'aimerais savoir si je dois ou non
prévoir un pare-feu ? Lequel prendre ? Sont-ils aussi bien que le pare
feu ionclus dans Windows XP.

Merci de vos conseils.
Vos réponses Page 1 / 5
Trier par : date / pertinence
Cedric Blancher
Le #240447
Le Thu, 29 Jul 2004 20:18:51 +0000, Jean-Pierre Mauvert a écrit :
Certains linuxiens que je connais me disent que ça ne sert à rien
d'utiliser un pare-feu lorsqu'on a Linux comme OS.


L'excès de confiance est un énorme défaut. L'histoire de la sécurité
informatique est truffée de systèmes invulnérables :)

Un pare-feu permet de limiter l'accès aux services qui tournent sur ta
machine, et c'est extrêmement important. Moins tu as de services
accessibles, moins tu as de chances de te faire pirater. C'est comme une
cible : plus elle est petite, plus elle est difficile à toucher. Même si
ce raccourci ne reflète pas à 100% la réalité en sécurité
informatique, c'est déjà un grand pas en avant.

Personnellement, je ne bosse _que_ sous Linux, depuis pas mal de
temps. Je sais limiter l'accès à mes services, en faire tourner le moins
possible, les sécuriser, etc. Mais il ne me viendrait jamais à l'idée
de me connecter à un réseau non maîtrisé (Internet, hotspot WiFi,
etc.) sans activer un firewalling drastique.

D'autres me disent que c'est une folie que de ne pas en installer un,
car le fait qu'on ait pas trouvé encore, en 30 ans, de virus linuxien ne
signifie pas que quelqu'un n'en trouvera pas un jour.


La rapport entre firewall et virus me semble un peu incongru. Si tu
reçois ton virus par email, ton firewall n'y pourra rien. De plus, on
connaît pas mal de vers qui ont touché Linux (Ramen, Lion, etc.). Tes
amis devraient réviser leurs classiques.

Linux n'est pas à l'abri des virus, loin de là, et le premier ver de
l'histoire a été créé et diffusé sous Unix. Pour le moment, ce qui
sauve Linux de la catastrophe, c'est d'abord une faible part du marché
qui ne le rend pas attractif pour des codeurs en mal de reconnaissance,
c'est ensuite sa grande hétérogénéité et c'est enfin la relative
sensibilisation de ses utilisateurs qui dans leur grande majorité sont
nettement plus au fait des soucis de sécurité que la plupart des
utilisateurs de Windows.
Je sais que la généralisation est facile, mais elle me semble refléter
une grande partie de la réalité.

Ceci dit, personnellement, ce ne sont pas les virus qui me turlupinent le
plus, mais plutôt me faire ramasser par un script kiddy ou quelqu'un d'un
peu plus touchy via un service vulnérable ou mal configuré, ou je ne
sais quoi. Et face à ça, moins t'en laisse, mieux c'est. Et ta première
barrière, c'est ton firewall (même s'il ne fait pas tout).

Comptant passer sous linux cet été, j'aimerais savoir si je dois ou non
prévoir un pare-feu ?


Oui.

Lequel prendre ?


Il n'y en a qu'un, il s'appelle Netfilter. Tu prends ta distribution, et
tu installes le package iptables. C'est l'outil qui permet de configurer
Netfilter qui doit être inclus dans le noyau de ton système.

Sont-ils aussi bien que le pare feu ionclus dans Windows XP.


Il sait faire exactement ce que fait la case à cocher de WinXP :

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Et hop (ne pas oublier le petit modprobe ip_conntrack_ftp).

Maintenant, il sait faire aussi beaucoup plus de choses, mais je t'invite
à aller lire de la documentation pour t'en rendre compte, à commencer
par ça :

http://iptables-tutorial.frozentux.net/


--
Qui peut m'expliquer comment fonctionne le fusible thermique sur les
processeurs. Est ce que cela peut se configurer ?
-+- DA in :
Viniil
Le #240444
Cedric Blancher wrote:

Le Thu, 29 Jul 2004 20:18:51 +0000, Jean-Pierre Mauvert a écrit :
Certains linuxiens que je connais me disent que ça ne sert à rien
d'utiliser un pare-feu lorsqu'on a Linux comme OS.


L'excès de confiance est un énorme défaut. L'histoire de la sécurité
informatique est truffée de systèmes invulnérables :)

Un pare-feu permet de limiter l'accès aux services qui tournent sur ta
machine, et c'est extrêmement important. Moins tu as de services
accessibles, moins tu as de chances de te faire pirater. C'est comme une
cible : plus elle est petite, plus elle est difficile à toucher. Même si
ce raccourci ne reflète pas à 100% la réalité en sécurité
informatique, c'est déjà un grand pas en avant.

Personnellement, je ne bosse _que_ sous Linux, depuis pas mal de
temps. Je sais limiter l'accès à mes services, en faire tourner le moins
possible, les sécuriser, etc. Mais il ne me viendrait jamais à l'idée
de me connecter à un réseau non maîtrisé (Internet, hotspot WiFi,
etc.) sans activer un firewalling drastique.

D'autres me disent que c'est une folie que de ne pas en installer un,
car le fait qu'on ait pas trouvé encore, en 30 ans, de virus linuxien ne
signifie pas que quelqu'un n'en trouvera pas un jour.


La rapport entre firewall et virus me semble un peu incongru. Si tu
reçois ton virus par email, ton firewall n'y pourra rien. De plus, on
connaît pas mal de vers qui ont touché Linux (Ramen, Lion, etc.). Tes
amis devraient réviser leurs classiques.

Linux n'est pas à l'abri des virus, loin de là, et le premier ver de
l'histoire a été créé et diffusé sous Unix. Pour le moment, ce qui
sauve Linux de la catastrophe, c'est d'abord une faible part du marché
qui ne le rend pas attractif pour des codeurs en mal de reconnaissance,
c'est ensuite sa grande hétérogénéité et c'est enfin la relative
sensibilisation de ses utilisateurs qui dans leur grande majorité sont
nettement plus au fait des soucis de sécurité que la plupart des
utilisateurs de Windows.
Je sais que la généralisation est facile, mais elle me semble refléter
une grande partie de la réalité.

Ceci dit, personnellement, ce ne sont pas les virus qui me turlupinent le
plus, mais plutôt me faire ramasser par un script kiddy ou quelqu'un d'un
peu plus touchy via un service vulnérable ou mal configuré, ou je ne
sais quoi. Et face à ça, moins t'en laisse, mieux c'est. Et ta première
barrière, c'est ton firewall (même s'il ne fait pas tout).

Comptant passer sous linux cet été, j'aimerais savoir si je dois ou non
prévoir un pare-feu ?


Oui.

Lequel prendre ?


Il n'y en a qu'un, il s'appelle Netfilter. Tu prends ta distribution, et
tu installes le package iptables. C'est l'outil qui permet de configurer
Netfilter qui doit être inclus dans le noyau de ton système.

Sont-ils aussi bien que le pare feu ionclus dans Windows XP.


Il sait faire exactement ce que fait la case à cocher de WinXP :

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Et hop (ne pas oublier le petit modprobe ip_conntrack_ftp).

Maintenant, il sait faire aussi beaucoup plus de choses, mais je t'invite
à aller lire de la documentation pour t'en rendre compte, à commencer
par ça :

http://iptables-tutorial.frozentux.net/




Je ne suis pas sûr que pour un utilisateur novice en linux l'utilisation
d'iptables soit approprié, personnellement je ne connais pas de firewall
sous linux qui soit simple d'utilisation (plus simple qu'iptables) si ce
n'est shorewall qui n'est qu'un dérivé d'iptables donc bon ... peut être
existe-t-il des interfaces graphiques permettant de configurer son iptables
facilement. A voir...


Cedric Blancher
Le #240443
Le Thu, 29 Jul 2004 22:34:02 +0000, Viniil a écrit :
http://iptables-tutorial.frozentux.net/
Je ne suis pas sûr que pour un utilisateur novice en linux l'utilisation

d'iptables soit approprié,


Ce n'est pas en refusant d'utiliser des outils réputés un peu plus
compliqués que la moyenne qu'on sort de la catégorie "novice". Et ce
n'est sûrement pas comme ça qu'on arrive à faire ce qu'on veut faire
efficacement.

personnellement je ne connais pas de firewall sous linux qui soit
simple d'utilisation (plus simple qu'iptables) si ce n'est shorewall qui
n'est qu'un dérivé d'iptables donc bon ...


Déjà, iptables n'est pas un firewall. Iptables est un outil pour
configurer Netfilter qui est le firewall des Linux 2.4/2.6 sur lequel
s'appuient tous les frontends et autres outils libres de filtrage de
paquets (sauf produits propriétaires très commerciaux spécifiques). De
fait, si on ne comprend pas un peu petit peu comment fonctionne Netfilter,
l'outil utilisé pourra être simplissime au possible, il n'en restera pas
moins peu efficace parce que mal utilisé.

peut être existe-t-il des interfaces graphiques permettant de
configurer son iptables facilement. A voir...


Oui il en existe pas mal. La plus sympa à mon sens étant fwbuilder. Le
problème avec les interfaces, c'est qui si tu ne sais pas comment ça
fonctionne dessous, tu as du mal, et ce quel que soit l'outil utilisé.

Dans le cas présent, il s'agit de protéger un poste de travail, et
j'ai fourni les règles qui permettent de le faire.

En outre, le tutoriel d'Oskar Andreasson est extrêmement bien fait,
précis et relativement simple à comprendre, parce que reposant sur un
cheminement que je trouve excellent. En outre, il est truffé d'exemples.

Maintenant, dire "ouais, mais iptables c'est trop compliqué pour les
gens", c'est peut être aussi leur dire "Linux est trop compliqué pour
vous, retournez sous Windows". Je pas préfère leur donner les clés pour
avancer et se rendre compte par eux-même que de décider à leur place ce
qui est bon pour eux. Jean-Pierre va essayer. Il a déjà décidé de se
mettre à Linux, ce qui va lui demander (et il doit le savoir) de
s'investir un peu, en lecture de documentation en particulier. Passer un
peu de ce temps sur Netfilter ne me semble pas du temps perdu s'il compte
rester sous Linux ou l'utiliser de manière plus régulière.

C'est toute la différence entre donner du poisson à quelqu'un pour
qu'il puisse manger, et lui apprendre à pêcher.


--
RJ> j'ai eu des cookies sur mon HD et j'ai un peu peur des représailles
Il faut reformater ton disque dur et le jetter depuis le 3e étage de la
tour Eiffel pour le détruire irrémédiablement sans laisser de traces.
-+- LP in

Corsica
Le #240409
Cedric Blancher wrote:
C'est toute la différence entre donner du poisson à quelqu'un pour
qu'il puisse manger, et lui apprendre à pêcher.



Bonjour
Je suis d'accord avec vous sur le fond, mais un novice qui se lance dans
Linux ne sais pas forcement créer des règles correctes. Pour débuter,
Guarddog, ou Shorewall sont pas trop mal, quitte ensuite à se plonger
dans les docs.
Si vous avez faim et que l'on vous apprend à pecher, vous risquer
d'avoir faim le temps d'apprendre......

A+ et Bien le Bonjour de Corse



--
-----------------------------------
Mandrake 10.0 - Kernel 2.6.3.14
Firefox 0.9.1 - Thunderbird 0.7.1
Adresse Jabber :

Wald Sebastien
Le #240369
Bonjour,
Personnellement, je pense qu'on oublie un peu trop vite l'architecture
de linux basé sur Unix. Si Linux est si peu vulnérable, ce n'est pas
parce qu'il n' y a pas d'utilisateurs sur ce système (sinon comment
expliquer les virus sur Windows 64?). Il est avant tout robuste de part
son héritage unix.
D'accord, il ne faut pas oublier les règles élémentaires de sécurité.
Cependant, je doute de voir un jour un blaster, sasser et autre netsky
arrivé en masse sur cette os et ce même si 90 % de la population
l'utiliserait...
D'ailleurs même si c'est peu recommandable, j'aimerais connaître les cas
de piratages / contaminations sur des pc linux configuré uniquement en
client...

A bon entendeur...

Cordialement, Wald Sébastien.
VANHULLEBUS Yvan
Le #240262
Wald Sebastien
Bonjour,
Personnellement, je pense qu'on oublie un peu trop vite l'architecture
de linux basé sur Unix. Si Linux est si peu vulnérable, ce n'est pas
parce qu'il n' y a pas d'utilisateurs sur ce système (sinon comment
expliquer les virus sur Windows 64?). Il est avant tout robuste de
part son héritage unix.


On parle bien du meme unix qui a connu plein de failles de securite,
avec sendmail, bind, par exemple, pour ne citer qu'eux ? Ou meme des
services plus "simples", comme les implementations Perl de fingerd qui
permettaient de faire du remote acces (voire du remote root direct, si
c'etait mal configure) ?

Ou de ce meme unix, dont plein de variantes ont connu divers failles
qui permettaient a n'importe quel utilisateur de devenir root sur sa
machine ?


D'accord, il ne faut pas oublier les règles élémentaires de
sécurité.


Bah les regles elementaires de securite, c'est avant tout "si je
compte trop sur la securite intrinseque de mes programmes, j'ai deja
perdu".


Cependant, je doute de voir un jour un blaster, sasser et
autre netsky arrivé en masse sur cette os et ce même si 90 % de la
population l'utiliserait...


Si 90% de la population passe sous des redhat/mandrakes/autres avec
KDE, KMail, des kernels pas patches, des "features" pour ouvrir
automatiquement n'importe quel type de fichier depuis le client mail,
le tout sur des installs ou on a mis un Apache, un Sendmail, un Bind
et plein d'autres demons, parcequ'ils sont coches par defaut et que
les gens ne cherchent pas a comprendre, bah on aura des systemes au
moins autant vulnerables aux vers qu'un windows !


D'ailleurs même si c'est peu recommandable, j'aimerais connaître les
cas de piratages / contaminations sur des pc linux configuré
uniquement en client...


Bah dans "configure uniquement en client", normalement, il y a entre
autres "avec un firewall qui bloque toutes les sessions
entrantes".....



A +

VANHU.

Sebastien Reister
Le #240261
Cedric Blancher wrote:

Certains linuxiens que je connais me disent que ça ne sert à rien
d'utiliser un pare-feu lorsqu'on a Linux comme OS.



L'excès de confiance est un énorme défaut. L'histoire de la sécurité
informatique est truffée de systèmes invulnérables :)




Je me permet quand meme de faire une remarque, si on oublie la
problematique du end user.

Mais regardons coté serveur.

Dans le cadre d'une utilisation de linux par une personne competente.

On peut placer une machine fesant tourner un serveur web et ce sans
firewall tous en ayant quasiment les meme risques.

Si je sait exactement ce que j'installe sur mon linux (et cela est
possible), si je sait exactement ce que j'installe avec mon apache, et
si je sait bien le configurer, que je rajoute l'ensemble des securité au
niveau process sous linux, je peux dire que ma machine est securisé de
maniere satisfaisante sans avoir de firewall.

Cedric je suis sur que tu est capble de monter un linux qui ne fasse
tourner qu'un apache et strictement cela vu de l'exterieur, et ce sans
trop de probleme.

La ou se fait la difference c'est que si la machine se fait trouer (ce
qui reste du domaine du possible), le hacker a le champs libre pour
rebondir comme il veut.

Alors qu'avec un firwall il est obligé d'initier ses conenctions depuis
un port connu (80 ou 443) ce qui le ralenti pas tant que ça.

Malgré tous on peut utiliser un systeme sur internet sans firewall a
condition de bien configurer ça a la base.

Cordialement.


FAb
Le #240259
VANHULLEBUS Yvan
Wald Sebastien
expliquer les virus sur Windows 64?). Il est avant tout robuste de
part son héritage unix.


On parle bien du meme unix qui a connu plein de failles de securite,
avec sendmail, bind, par exemple, pour ne citer qu'eux ? Ou meme des


Non il parlait de l'héritage d'Unix... Tu sais bien... le premier OS à peu près
répandu qui a connu les premiers vers célèbres !

Et oui les premiers vers sont associés à Unix.

FAb


VANHULLEBUS Yvan
Le #240260
Sebastien Reister
[....]
Mais regardons coté serveur.

Dans le cadre d'une utilisation de linux par une personne competente.

On peut placer une machine fesant tourner un serveur web et ce sans
firewall tous en ayant quasiment les meme risques.

Si je sait exactement ce que j'installe sur mon linux (et cela est
possible), si je sait exactement ce que j'installe avec mon apache, et
si je sait bien le configurer, que je rajoute l'ensemble des securité
au niveau process sous linux, je peux dire que ma machine est securisé
de maniere satisfaisante sans avoir de firewall.


Dans un cadre serveur, puisqu'on a au moins un service d'ouvert, et
puisqu'on voudra probablement repondre aux pings (quoique),
probablement....

Mais bon, meme si on suppose qu'on peut maitriser son install a ce
point, ceinture ET bretelles !


[....]
La ou se fait la difference c'est que si la machine se fait trouer (ce
qui reste du domaine du possible), le hacker a le champs libre pour
rebondir comme il veut.

Alors qu'avec un firwall il est obligé d'initier ses conenctions
depuis un port connu (80 ou 443) ce qui le ralenti pas tant que ça.


?????

Euh, si le gars a pris la main sur la machine, il va probablement
chercher a passer root en premier (ne serait-ce que pour pouvoir
nettoyer toute trace de son passage), et une fois qu'il est root, s'il
a besoin d'initier des sessions vers l'exterieur, il pourra facilement
binder un port privilegier, comme il pourra aussi facilement modifier
la politique de filtrage pour ne pas avoir a se preoccuper de ca !


Malgré tous on peut utiliser un systeme sur internet sans firewall a
condition de bien configurer ça a la base.


Et quel est l'interet ?



A +

VANHU.

Fabien LE LEZ
Le #240258
On 02 Aug 2004 08:28:15 GMT, Sebastien Reister

Dans le cadre d'une utilisation de linux par une personne competente.


Ne pas confondre "compétent" et "infaillible".
Il y a toujours le risque de se tromper quelque part, d'oublier un
petit détail, etc.


--
;-)

Publicité
Poster une réponse
Anonyme