Sécurité Linux

jcpconsult3 · Février 20, 2016, 5:43pm

Bonjour à tous,
je suis un utilisateur de Debian comme distribution pour les serveurs, depuis pas mal de temps.
Je crée des solutions réseaux pour des clients et j’utilise le firewall netfilter et les iptables.

Je suis indépendant, mais aujourd’hui j’ai rencontré des gens pour un boulot en salarié, dont un responsable technique qui se disait expert en sécurité. Ce n’est pas ma prétention.
Il m’a posé une question quand je lui ai décrit ce que je met en place pour mes clients.

La question est la suivante : “Pensez vous qu’iptables est suffisamment robuste en terme de sécurité”.

Y-t-il quelqu’un sur ce forum qui serait au courant de cette rumeur, si cela en est une ? ou y-a-t-il une partie de vérité dans cette question?

Royal_Kebab · Février 20, 2016, 5:43pm

AHAHAHAHHAHHAHHA expert en sécu le mec ! LOL
Encore un click,click la souris Windobe.
C clair ke si tu lui montre tes rêgles d’iptables sa fait peur. Mais sache que la plupart des Appliance Firewall du marché de type Esafe,Checkpoint etc… utilisent NetFilter nativement.
C clair que c’est robuste Iptables. Tout dépend de l’admin qui crée les régles.
Et le rôle d’un FW c’est Open/Close, Nat,Forward des port c’est tout. Je pige pas son terme Robuste ??
A+

MisterFreez · Février 20, 2016, 5:43pm

dans l’univers Dieu fit 2 firwall netfilter et packetfilter, ils étaient les plus puissants qui soit

fran.b · Février 20, 2016, 5:43pm

Tu peux lui répondre qu’iptables est intégré au niveau du noyau. Les parefeux sous windows ont (semble-t-il) été développé après et sont moins intégré au noyau (ça doit être vérifé et relativé: je crois que le noyau windows est du type micro noyau ce qui fait que ça ne serait pas un inconvénient). Mais indépendament de cela, je ne crois pas avoir vu un jour des contournements de règles de parefeu (en tout cas jamais sous linux). Les intrusions passent en général par des règles mal faites (donc le parefeu n’est pas en cause) ou par un service ouvert (que le parefeu doit laisser passer donc) mais présentant une faille (IE, serveur Web, etc). Bref, sa question n’a guère de sens, les parefeux sont surs, c’est leur configuration qui ne l’est pas. Sous Windows, la configuration est automatisée au maximum donc soit comporte des trous, soit ça devient pénible pour l’utilisateur. iptables a une configuration à faire d’emblée nécessitant un travail en amont nécessaire de toute façon à mon avis si on veut être sérieux.

themorice · Février 20, 2016, 5:43pm

[quote=“jcpconsult3”]
La question est la suivante : “Pensez vous qu’iptables est suffisamment robuste en terme de sécurité”.
/quote]

Tout dépends par rapport à quoi ^^.

ReNzO_08 · Février 20, 2016, 5:43pm

Que netfilter soit intégré dans l’espace noyau c’est déjà une preuve de sécurité, il ne peut pas être désactivé par un malware en espace utilisateur comme ça semblerait être le cas sous d’autres environnement dont la sécurité a été mise plus ou moins de côté (ex: le parefeu de windows tourne en service en espace utilisateur il peut donc être très facilement arrêté, en outre ce dernier ne filtre qu’en entrée).

Sinon pour la question y a une confusion entre netfilter qui est le parefeu et iptables qui est la commande pour créér ses règles

Ludo · Février 20, 2016, 5:44pm

Tu devrait répondre ceci: “Je dirais oui mais cela dépend qui va configurer iptables. J’ai plus confiance en iptables qu’en l’être humain qui le configure. Par contre il ne faut surtout pas baser sa sécurité sur une seule méthode mais les multiplier pour être protéger au maximum si l’une d’elle devait présenter un défaut de configuration ou une faiblesse découverte par la suite.” Et hop t’es engagés. :smt003

jcpconsult3 · Février 20, 2016, 5:44pm

Merci à tous d’avoir répondu.
Je vais essayer de faire une synthèse des points qui m’ont semblé m’apporter des arguments.

Si d’autres ont des idées sur la question, qu’ils n’hésitent pas à apporter leur pierre à l’édifice.
Je pense à un brainstorming sur le sujet. Cela pourrait permettre de construire un argumentaire, par exemple pour contrer la force marketing de Microsoft (je suis un peu ambitieux!!! lol)

D’abord, j’aimerai qu’on ne compare pas avec Windows, car on sait bien que nous les Linuxiens, on n’est pas forcément objectifs et malheureusement cela nous décrédibilise.

Et cela revient à la question de Themorice : "Tout dépend par rapport à quoi ?"
Il faut donc revenir à ce qu’on attend d’un parefeu et comment un code malveillant peut le détourner.

Et oui, car des arguments comme “C’est le meilleur donc il est robuste”, cela ne convainc personne.

C’est sur que si des éditeurs d’appliance utilisent Netfilter comme brique de base, c’est plutôt bon signe mais techniquement cela ne prouve rien.

ricardo · Février 20, 2016, 5:44pm

[quote=“Royal_Kebab”]AHAHAHAHHAHHAHHA expert en sécu le mec ! LOL
Encore un click,click la souris Windobe.
C clair ke si tu lui montre tes rêgles d’iptables sa fait peur. Mais sache que la plupart des Appliance Firewall du marché de type Esafe,Checkpoint etc… utilisent NetFilter nativement.
C clair que c’est robuste Iptables. Tout dépend de l’admin qui crée les régles.
Et le rôle d’un FW c’est Open/Close, Nat,Forward des port c’est tout. Je pige pas son terme Robuste ??
A+[/quote]Pas de mode ‘sms’ s’il te plait.
Tu n’as pas dû lire les post-it mais je te pardonne car tu es nouveau.

MisterFreez · Février 20, 2016, 5:44pm

Quoi si c’est un déiste ça peut marcher

Plus sérieusement je ne m’y connaît pas assez sur le sujet. Mais tu peut simplement regarder comment on fait tel ou tel chose avec l’un ou avec l’autre. Tu peut aussi regarder ce qui peut être fais en espace utilisateur via des ajout comme NuFW.

rodmov · Février 20, 2016, 5:44pm

tu veux des infos, regardes ma signature :smt002

themorice · Février 20, 2016, 5:44pm

[quote=“jcpconsult3”] Cela pourrait permettre de construire un argumentaire, par exemple pour contrer la force marketing de Microsoft (je suis un peu ambitieux!!! lol)

D’abord, j’aimerai qu’on ne compare pas avec Windows, car on sait bien que nous les Linuxiens, on n’est pas forcément objectifs et malheureusement cela nous décrédibilise.
[/quote]

Perso je connais bien ISA server (le produit firewall de microsoft).

Le produit est assez limité à mon avis et est beaucoup moins flexible qu’iptables.

Moi je comparerai avec un firewall style Paquet Filter (le firewall de BSD il me semble). Après contre à un firewall matériel style cisco pix / asa je ne sais pas.

Mais c’est pareil, il faut que le mec qui configure tout ça soit vraiment bon et fasse une conf en béton armé pour qu’on puisse juger des réelles performances de ses firewalls.

Exemple : avec IPTABLES tu peux faire du filtrage au niveau 7 sur les signatures applicatives. et bien avec un ISA server, tu ne peux pas . Et c’est déjà un niveau de firewall bien bourrin ça (il faut être un peu bourrin pour le mettre en oeuvre aussi).

MisterFreez · Février 20, 2016, 5:44pm

Dans le noyau OpenBSD principalement puis dans FreeBSD, dans NetCSD je sais plus.