Sécurité : demande de conseil

[tony]

hello !

sans tomber dans la psychose sécuritaire j'aimerais avoir un ou des avis sur ce que j'utilise pour garantir une sécurité minimale des 3 postes que j'ai installés à la maison .

• Le 1er rempart est le parefeu de la Livebox d'Orange : réglé sur le niveau de protection maximal il me permet une navigation très suffisante

• pour mon poste personnel aucun paquet de type ssh* n'est installé ce qui devrait empêcher toute connexion utilisant ce protocole à mon portable ( enfin j'espère ) . Seul openssh-client l'est

• la sécurité du protocole ssh qui me permet de me connecter aux 2 autres appareils utilise une authentification par clés

Ça me semble suffisant et même si je pourrais ajouter une protection basée sur l'utilisation de iptables qui limiterait la plage des IP acceptables à la plage des IP de la Livebox je ne suis pas sûr que ça améliorerait la protection : ça me paraît être redondant , non ? Le paramètre "comportement des utilisateurs" me semble bien plus important à "configurer" pour limiter les risques .

ps : même si je viens de lire que le parefeu iptables va être remplacé par nftables c'est celui qui est installé par défaut sur mes appareils ( 3 x Debian 11 ) .

[vv222]

Sur un poste utilisateur classique derrière une box d’un FAI commercial, je ne prends jamais la peine de configurer un pare-feu.

D’ailleurs je ne le fais généralement pas plus sur une machine accessible via une IP publique.

Comme toi, je considère qu’il y a beaucoup plus à gagner côté sécurité par des comportements réfléchis plutôt qu’en empilant des couches logicielles à l’utilité mal définie.

[piratebab]

Perso, je ne fais pas confiance aux box des FAI. J'ai la mienne en bridge, avec derrière un vrai routeur dont je peux régler le pare-feux.
Sur les machines dont 1 des port est accessible depuis internet, j'ai fail to ban.
Une seule machine à ssh ouvert sur sur internet, et uniquement pour un utilisateur dédié. A partir de là, je peux faire ce que je veux sur l'ensemble du LAN (par rebond).
je préfère un truc simple que je maîtrise, que des trucs compliqués dont une petite erreur de config met à mal la sécurité.
Il faut aussi faire attention à la sécurité du wifi, souvent négligée. En plus de la méthode de chiffrement, j'ai ajouté une autorisation par adresse MAC (que je vais devoir abandonner avec mon nouveau routeur qui n'a pas cette option, mais il permet de faire du VPN).

[Grhim]

Je suis plutôt comme Piratbab sur ce coup, mais un ipfire ça fait du bien
Ensuite pour ssh c'est sympa d'utiliser ce que j'ai découvert par L0L avec le ssh honeypot

[tony]

Comme je n'ai jamais configuré "iptables" je vais m'y essayer , au moins à titre d'exercice et en restant simple . J'ai déjà trouvé un bon tuto sur le sujet . Quant à la wifi à laquelle je n'avais pas pensé je vais me renseigner sur le sujet .

Merci pour vos réponses .

[lol]

Salut,
Oui, il ne faut pas tomber dans la psychose.
Si il n'y a pas de règles NAT sur la passerelle le seul danger, comme dit précédemment, c'est le Wifi.
Si la connexion par mot de passe est désactivée sur les machines dans le LAN, le risque est tout de même pas loin de 0...
Il faut surveiller le WIFI, c'est le point d'entrée dans 99% des cas.

[vv222]

Comme je n'ai jamais configuré "iptables" je vais m'y essayer

Si tu veux te lancer dans ce genre de chose, ne t’embête pas avec iptables qui est obsolète : privilégie plutôt nftables.

[tony]

Il faut surveiller le WIFI, c'est le point d'entrée dans 99% des cas.

• pour tenir compte de cette remarque j'ai donc , comme le suggérait @piratebab , ajouté une autorisation de connexion wifi par adresse MAC . Seuls les appareils "domestiques" auront donc l'autorisation de se connecter . Ne sachant pas trop ce qui est le mieux question cryptage je laisse la Livebox décider avec ( WPA/WPA2 mixed )

• quant à l'utilisation de iptables ou de nftables si le principe est simple = tout fermer et ouvrir au compte-gouttes , la réalisation pratique me semble liée à , au minimum , à une bonne connaissance de son système . En attendant d'être plus informé sur le sujet je me suis contenté de passer la chaîne FORWARD en DROP , et dans la chaîne INPUT de bloquer le port 22 ( ssh ) et de passer les paquets INVALID en DROP .

[piratebab]

Le filtrage par adresse MAC n'est pas incompatible avec un systeme d'autorisation/chiffrement, c'est son interet.
Il peut étre contraignant si tu as régukièrement des invités qui veulent se connecter à ton wifi. La plupard des routeurs proposent pour cela un réseau invité.

[zargos]

En fait ne pas utiliser de parefeu est un risque même à l'intérieur d'un réseau local.
La première raison, c'est qu'il ne faut en aucun cas faire confiance aux box des FAI.
Ensuite, les malwares (plus que les virus sur Linux, mais à ne pas oublier non plus) peuvent eux même passer d'une machine à une autre. Il y a de nombreux exploits qui peuvent profiter du fait de l'absence de parefeu.

Par ailleurs, à moins de maitriser parfaitement toutes les applications d'une machine, il y a toujours un risque qu'un port soit ouvert sans que vous ne le sachiez.

Le fait que le ssh soit installé n'implique pas qu'il soit actif. S'il n'a pas d'utilité, effectivement ca ne sert à rien. Mais sinon, il suffit de changer le port 22 par un autre, d'utiliser des clefs et dans le parefeu d'avoir une policy correcte de connexion (n'autoriser que le LAN).

Pour les DHCP, il suffit de n'y mettre que les machines connues par leur adresse ethernet, ça limite les risques mais pas seulement car il y a toujours moyen d'usurper une adresse ethernet. Aujourd'hui on peut le faire avec n'importe quel matériel (mon téléphone génère une adresse MAC random à chacune de ses connexions).

Les comportements sont un complément mais pas un remplacement. Les attaques sont d'une telle virulence que le temps de réaction d'un quidam moyen est d'une extrême lenteur (pour en plus ne pas savoir quoi faire ensuite).

Le parefeu d'une machine est simple a mettre en place: Tout ce qui veut entrer est interdit et on autorise tout ce qui sort (c'est un minimum). Pour faire ça facilement j'utilise Shorewall. Ca prend 15mn maxi et encore.

D’ailleurs je ne le fais généralement pas plus sur une machine accessible via une IP publique.

Comme toi, je considère qu’il y a beaucoup plus à gagner côté sécurité par des comportements réfléchis plutôt qu’en empilant des couches logicielles à l’utilité mal définie.

Sur une machine relié sur un réseau publique il faut toujours un parefeu. Ces réseaux sont en général très vérolés.
Pour un parefeu il n'y a pas 50 couches logicielles.

Pour info sur Debian, il me semble, iptables en fait utilise nftables à moins d'avoir configuré en legacy.

Un parefeu ca permet aussi de se protéger de simples erreurs ou, à minima, de les rendre visible.

Sur les douze derniers mois, j'ai passé un temps de dingue à rétablir des systèmes compromis à cause de ce genre de politique (que ce soit chez des particuliers comme chez des entreprises).

@piratebab a raison de préciser de différencier le wifi avec un réseau invité. Là aussi ça limite le risque et donne de la souplesse en même temps.
Personnellement je ne le fait pas, mais c'est pareceque j'utilise un système de détection d'intrusion sur mon routeur (j'ai remplacé la livebox par une OPNsense, normallement cet année remplacé par une Debian, la livebox est dans un tiroir).

[piratebab]

Si il y avait qu'un seul conseil à donner: ne pas faire confiance à la "box" du FAI. L'utiliser comme un simple modem, et utiliser un routeur indépendant qui offre de bien meilleures possibilité d'application de politique de sécurité sur le LAN.
Perso j'ai découvert les produit gl-inet, sous openwrt.
GL-INET a développé une interface de configuration simple qui offre par défaut un bon niveau de sécurité pour le LAN, et ést simple à configurer. Mais un utilisateur avancé peux se connecter directement à l'interface LUCI de openwrt, et a accès à l'intégralité des paramètres.

Le revers de la médaille de cette approche, c'est lorsque vous appelez votre FAI suite à un problème coté internet. Leur première réponse est généralement: "votre box était en mode bridge, je l'ai passée en mode routeur, ça devrait fonctionner maintenant"

[tony]

Je ne suis pas encore en mesure de me passer de la livebox , tant pis si c'est une passoire . Financièrement j'ai probablement tort car avec une location de 36€ / an j'aurais depuis longtemps amorti un achat .... mais j'aurais probablement eu quelques soucis avec les services technique et commercial . Mieux vaut être techniquement au point pour se concocter une installation personnalisée .

Ceci étant , j'ai enregistré les règles ci-dessous ( j'ai trouvé un modèle auquel j'ai ajouté la ligne concernant le port 631 ) :

Code : Tout sélectionner

# Generated by iptables-save v1.8.7 on Thu Aug 31 15:13:30 2023 
*filter 
:INPUT DROP [50:2229] 
:FORWARD DROP [0:0] 
:OUTPUT ACCEPT [1237921:406495412] 
-A INPUT -i lo -j ACCEPT 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 631 -j ACCEPT 
COMMIT 

• remarque 1 :

la ligne "-A INPUT -i lo -j ACCEPT" n'apparaît pas sous cette forme dans la sortie de la commande "iptables -L" , elle devient :

Code : Tout sélectionner

~# iptables -L --line-numbers
Chain INPUT (policy DROP)
num  target     prot opt source               destination         
1    ACCEPT     all  --  anywhere             anywhere    

j'espère juste que c'est bien la même chose .

[piratebab]

L'objectif n'est pas de se passer de la box, mais de la passer en mode bridge, de couper son wifi, et d'utiliser son propre routeur derrière.
Tu devrais en trouver sur le bon coin pour vraiment pas cher (je viens d'en voir un à 15€, un netgear, une bonne marque)

[vv222]

Sur une machine relié sur un réseau publique il faut toujours un parefeu. Ces réseaux sont en général très vérolés.

Mon serveur est accessible publiquement depuis les IP 89.234.186.75, 2a00:5884:8300::1, 2a00:5884:8300:1::3, et 2a00:5884:8300:1::4.

Je t‘invite à mettre en avant les risques auxquels il est actuellement exposé et qui seraient évités par la mise en place d’un pare-feu.

[lol]

Sur une machine relié sur un réseau publique il faut toujours un parefeu. Ces réseaux sont en général très vérolés.

Mon serveur est accessible publiquement depuis les IP 89.234.186.75, 2a00:5884:8300::1, 2a00:5884:8300:1::3, et 2a00:5884:8300:1::4.

Je t‘invite à mettre en avant les risques auxquels il est actuellement exposé et qui seraient évités par la mise en place d’un pare-feu.

Code : Tout sélectionner

$ ping 89.234.186.75
PING 89.234.186.75 (89.234.186.75) 56(84) bytes of data.
64 bytes from 89.234.186.75: icmp_seq=1 ttl=51 time=224 ms
64 bytes from 89.234.186.75: icmp_seq=2 ttl=51 time=222 ms
64 bytes from 89.234.186.75: icmp_seq=3 ttl=51 time=222 ms
^C
--- 89.234.186.75 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 222.053/222.824/224.349/1.078 ms

Quoi, tu réponds au PING, mais n'es-tu pas fou...

[piratebab]

Il est juste poli !
Mais la politesse ne serait elle pas une forme de folie ?

[vv222]

Quoi, tu réponds au PING, mais n'es-tu pas fou...

Je ne compte plus le nombre de fois où j’ai vu l’absence de réponse aux requêtes ICMP présentée comme une mesure de sécurité "de base"… Un peu comme la mise en place d’un pare-feu, ou le déplacement du démon SSH sur un autre port que le 22.

[tony]

je vois que la question de l'utilité d'un parefeu pour un pc domestique ne fait pas l'unanimité , comme sur la toile où il y a quasiment autant d'avis que d'intervenants .

En raisonnant intuitivement je me dis que l'important est de contrôler ce qui sort de mon pc qui se comporte alors comme un serveur et donc si je ne sais pas écrire des règles efficaces pour le filtre "output" mon parefeu verra son efficacité supposée grandement diminuée . Et comme "output" est réglé à "accept" faute de savoir comment concevoir des règles efficaces et pas trop contraignantes pour une utilisation fluide de mon installation je ne compte plus que sur un genre d'effet placebo tranquillisant pour les utilisateurs . Peut-être que la seule chose utile que j'ai mise en place est la restriction de l'utilisation d'une connexion ssh à mes 2 autres portables aux 2 interfaces réseau de mon propre portable . Peut-être .

Ceci dit j'étais parti dans l'idée d'apprendre les bases de ip/nft/tables : cet objectif est , au moins basiquement , atteint et quand je verrai apparaître des discussions à propos de Netfilter et de ses outils de configuration je saurai au moins de quoi on parle .

[lol]

Salut,

C'est simple:
Si tu souhaites te border, c'est REJECT pour INPUT sauf les services autorisés ET/OU sauf aux IP autorisées.
Ne pas oublier d'accepter les paquets dont l'état est ESTABLISHED et RELATED (Ce qui permet aux services autorisés de répondre) et bien sur d'autoriser le trafic sur localhost...
Puis c'est REJECT pour FORWARD et REJECT pour OUTPUT.

Un pare-feu ne te protègera pas d'attaques sur les applicatifs.
Un CMS un peu pourri ou pas à jour sur le port 80/443 suffit à se faire pirater malgré un pare-feu en béton.

[piratebab]

Tout comme dans les manuels militaires, la règle de base est la protection en profondeur. Le parefeu n'est qu'une ligne de défense parmi d'autres. il est important d'avoir une vision globale de son système de protection, afin que chaque barrière soit complémentaire des autres.
Il est aussi important de raisonner en risque de propagation. il faut cloisonner son LAN si on a plusieurs machines dessus. La compromission d'une machine, ou d'un compte, ne doit pas permettre de prendre le contrôle d'une autre machine, ou d'un autre compte.
C'est par exemple l'interet des réseaux wifi "invités" sur les routeurs domestiques.
Il est fini le temps ou on mettait des barrières périphériques, et tout ce qui était à l'intérieur était considéré comme "sûr". Maintenant c'est le "zéro trust", plus aucun service ne fait confiance aveuglément à un autre, y compris sur le même réseau.