[gull] Modem ADSL et firewall [Was : Modem ADSL ]

Félix Hauri felix at f-hauri.ch
Sat Jan 30 23:24:15 CET 2010 

On Sat, Jan 30, 2010 at 06:46:11PM +0100, Sebastien Chassot wrote:
> Le vendredi 29 janvier 2010 à 22:52 +0100, Anne Possoz a écrit :
> 
> > Le firewall au niveau du réseau privé, c'est une bonne idée. Je le
> > fais au niveau du routeur de mon subnet, protégeant mon réseau local.
> > Je l'utilise aussi pour aiguiller quelques ports en entrée.
> 
> Chaque heure j'ai quand même une centaine de packets bloqués. La plupart
> sont des virus windows (d'après les ports) mais il y a aussi des
> services plus sensibles. Je ne sais pas comment réagirait linux s'il
> recevait ces packets ?
``Linux'' ne reçoit *rien* s'il n'en est pas instruit...

Par defaut, aucun port n'est ecouté.

Ce sont les ``services'' assumées par une machine qui font la sensibilité
aux ports:

 - Si tu installe un serveur SSH, le port 22 sera écouté,
 - si tu installe un serveur web, le port 80 sera écoute, avec
   évent le 443 pour un serveur SSL,

 - si tu active un partage fichiers à-la-windows, tu activera une
   écoute sur les ports de Windows, etc...

De là, ces services sont à priori sûres, (pour autant que tu n'utilises
pas des mots de passes évantés) et les failles sont régulièrement colmatées.

> Petite question subsidiaire à propos de firefox que je me pose depuis
> très longtemps. J'utilise la mémorisation des mots de passe mais je n'ai
> aucune idée de la qualité de la protection de ces données par firefox.
Dans l'absolu, celui qui a accès à ton dossier perso a accès et tes accès...

> C'est le même système que /etc/shadow ou c'est un autre système ?
C'est un autre système, car le navigateur *doit* pouvoir envoyer ton
mot de passe en clair* au site demandant une identification.

* ou crypté selon une méthode envoyée au coup par coup ou encore via SSL.

> J'ai souvent des backups qui trainent sur le disque et ils contiennent tous
> le dossier .mozilla sans droits particulier. C'est facile à lire et je
> me demande si c'est pas comme avoir une porte blindée et laisser la
> fenêtre entrouverte ?
Oui :->>

Pour éviter ce problème, deux solutions:
 - utiliser un système de fichier personnel crypté par l'utilisateur,
   de préférence avec une clef bien choisie et changée régulièrement.
   Sans oublier que si l'utilisateur est loggué et à donné la clef,
   le Root aurra accès à ses données en tapant: ``su - username'',
   mais cela protège (relativement) efficacement un disque dans un tiroir.
   (A condition de ne pas coller les mots de passes dessus;)
 - Changer régulièrement *tous* les mots de passes sensibles.
et bien entendu, éviter les mots de passes trop courts, simples,
facile à deviner etc...

> > Sous Linux, avec les différents espaces de travails bien cloisonnés,
> > j'ai même des utilisateurs différents, celui qui ne navigue que
> > sur des sites raisonnables, celui qui peut tout faire mais n'a pas
> > de données précieuses dans son espace et celui qui ne fait qu'aller
> > à la banque, vidant le cache à la fin de chaque utilisation.
Si celui qui peut ``tout faire'' ne prends *jamais* aucun risque, alors
c'est un excellent début.

> 
> Ça j'avais commencé mais il faut être rigoureux et j'ai pas tenu dans le
> temps...
``rm -fR .mozilla*'' voire ``deluser --remove-all-files'', puis ``adduser''.

> > Il est surprenant que des personnes répondent encore à des messages
> > non sollicités leur demandant un login et un mot de passe. Cela,
> > aucun outil de protection ne pourra l'en protéger.
Tous les jours, il y a des nouveaux venus, inexpérimentés voire naifs...
Le problème tient du nombre et donc, de la portée...
L'ignorance n'est pas une tare, mais bientôt on devra faire passer un
permi aux nouveaux internautes, pour leur donner un minimum de formation...

> J'avais entendu l'histoire de quelqu'un qui s'était fait voler son
> portemonnaie. La police l'appel (c'est en fait le voleur qui a trouvé le
> nom/tél dans le portemonnaie) lui expliquant qu'il doit immédiatement
> téléphoner à sa banque (numéro que le faux policier à la gentillesse de
> lui donner) et quand il appel cette banque, le faux banquier lui demande
> de bien vouloir confirmer son identité en donnant son code de carte.
> 
> C'est très gros mais c'est quand même suffisamment malin pour berner
> quelqu'un qui est sous le coup d'un choc émotionnel.
Oui, simple et facile à mettre en oeuvre, le seul risque serait que le
pigeon ait le reflexe de communiquer le nro a la vraie police, avant
de le composer (voire de laisser des officiers appeler et se faire passer
pour le pigeon... le gag de l'aroseur arosé...)

> Aujourd'hui, tu veux consulter un message sur un forum il te faut un
> login, tu veux consulter un site de vente en ligne il te faut un login,
> consulter un petite annonce...login,... On te demande un login/pwd pour
> tout et n'importe quoi, c'est pas étonnant que les utilisateurs prennent
> l'habitude de le donner facilement et ne fassent pas la différence avec
> un login sensible il y en a tellement d'inutiles.
Ce qui rend l'accès à $HOME/.mozilla sensible!

--
 Félix Hauri  -  <felix at f-hauri.ch>  -  http://www.f-hauri.ch

More information about the gull mailing list