Ubuntu-fr

BlackCornichon

Pourquoi faut-il bloquer les ports ?

Bonjour,

Ma question peux vous paraître un peu bête si vous vous y connaissez, mais moi je n'y connais rien en réseaux et ça m'intrigue.

En fait je viens d'installer pour la première fois ubuntu server sur un VPN ovh pour héberger une petite application utilisant php et nodejs que j'ai créer.

Je me suis renseigné sur comment sécuriser un serveur et ce qui revient tout le temps c'est qu'il faut utiliser un pare-feu pour bloquer tous les ports inutilisés sous peine de se voir hacker.... mais si vous chercher le pourquoi du comment on ne trouve rien !

À partir d'un port ouvert comment quelqu'un peux pirater un serveur ?

J'aimerais juste comprendre car je n'aime pas faire les choses bêtement sans me poser de questions.

Merci

erresse

Re : Pourquoi faut-il bloquer les ports ?

Bonjour,
Il y a eu déjà bon nombre de discussions sur le sujet et tiramiseb et pires, notamment, mais ils ne sont pas les seuls, ont expliqué qu'un pare-feu ne sert à rien si aucune application n'est à l'écoute d'un port "ouvert".
Par ailleurs, sous Ubuntu, tous les ports sont "fermés" par défaut...
Tu pourrais faire une petite recherche des discussions dans la section "sécurité" où tu en apprendras sûrement pas mal.

---

Plus de 50 ans d'informatique, ça en fait des lignes de commandes en console, mais on n'avait pas le choix...
Excellente raison pour, aujourd'hui qu'on le peut, utiliser au maximum les INTERFACES GRAPHIQUES !
Important : Une fois le problème solutionné, pensez à clore votre sujet en ajoutant [Résolu] devant le titre du 1er message, et un bref récapitulatif de la solution à la fin de celui-ci. Merci.

mazarini

Re : Pourquoi faut-il bloquer les ports ?

Je ne sais pas si c'est réellement utile, mais je bloque la connexion ssh en dehors de l'ip de mon domicile et de celle de mon boulot.

Normalement, on fait en sorte que les services soient bien paramétrés et écoutent "ce qui faut" ce qui rend le blocage de port inutile quand on est compétent (ce qui n'est pas encore mon cas).

---

S'il existait une école de la politique, les locaux devraient être édifiés rue de la Santé. Les élèves pourraient s'habituer. (Pierre Dac)

Kerrigan

Re : Pourquoi faut-il bloquer les ports ?

Quand on utilise SSH en passant par internet, le mieux au niveau sécurité c'est surtout de mettre une identification par un système de clé privé/clé publique elle même protégé par un mdp pour décrypter la clé.

HPIR40

Re : Pourquoi faut-il bloquer les ports ?

et pour le ssh de ne pas le mettre sur le port 22 mais sur un autre port au choix en dehors des ports generalement utilisés.

bruno

Re : Pourquoi faut-il bloquer les ports ?

Le changement de port n'apporte aucun gain de sécurité. Cela évite juste de loguer les robots qui tentent des attaques en force brute…

HPIR40

Re : Pourquoi faut-il bloquer les ports ?

exactement

Compte anonymisé

Re : Pourquoi faut-il bloquer les ports ?

Le changement de port n'apporte aucun gain de sécurité. Cela évite juste de loguer les robots qui tentent des attaques en force brute…

Ou de renseigner le pas bô qu'un service SSH tourne, il n'ira pas plus loin dans sa recherche pour approfondir si une faille existe sur la machine, donc dépendant d'un OS.
Ou un scan de port lançé sur un range d'IP par un méchant/robot pour trouver une liste de machine qui répond au port sélectionné par le méchant/robot. Filtré se port reprensente peu d'interêt à mon sens, celui-ci apparaitra comme «filtered» (apparait comme tel avec Nmap) dans la liste de résultats, indication qui permet de savoir qu'un service SSH tourne derrière un pare-feu, tout simplement.
Changer le port 22 pour un autre n'est pas de la sécurité par de l'obscurantisme mais est un arsenal supplémentaire pour maximiser sa sécurité, c'est une sorte de furtivité pour déjouer les bots qui scan un port précis. Après, si l'attaquant scan tous les ports d'une machine, là effectivement, la «furtivité» n'est plus...

Dernière modification par Compte anonymisé (Le 28/01/2016, à 16:08)

bruno

Re : Pourquoi faut-il bloquer les ports ?

Changer le port 22 pour un autre n'est pas de la sécurité par de l'obscurantisme mais est un arsenal supplémentaire pour maximiser sa sécurité, c'est une sorte de furtivité pour déjouer les bots qui scan un port précis. Après, si l'attaquant scan tous les ports d'une machine, là effectivement, la «furtivité» n'est plus...

Sécurité par l'obscurité, pas par l'obscurantisme
Si le serveur SSH est sensible aux robots qui tentent des attaques par force brute, alors il n'est pas sécurisé, quel que soit le port utilisé. Le changement du port par défaut oblige à mémoriser le numéro de port choisi est à l'indiquer dans toutes ses commandes et ses scripts. Et cela peut vite devenir pénible…

JohnBaboyle

Re : Pourquoi faut-il bloquer les ports ?

Salut, pour te donner une idée du trafique qu'il y a en continue sur une simple connexion j'ai fait un petit test
Tu peux aller voir sur mon site http://baboule.tk tous les personnes en temps réel qui tentent d'etablir une connexion sur le port 22 de mon serveur, ce sont pour la plupart des Bots
Donc avant d'ouvrir des ports assure toi que tu utilises les dernières versions de programmes, et que tu as établie des règles dans ta config/firewall pour éviter le spam sur ton serveur

Rufus T. Firefly

Re : Pourquoi faut-il bloquer les ports ?

J'ai vu un 127.0.0.1 dans ta liste de connards. C'est normal, ça ?

---

La provocation est une façon de remettre la réalité sur ses pieds. (Bertolt Brecht)
Il n'y a pas de route royale pour la science et ceux-là seulement ont chance d'arriver à ses sommets lumineux qui ne craignent pas de se fatiguer à gravir ses sentiers escarpés. (Karl Marx)
Il est devenu plus facile de penser la fin du monde que la fin du capitalisme

bobe

Re : Pourquoi faut-il bloquer les ports ?

Si vous avez une connectivité ipv6 côté client et serveur, dire au serveur ssh de n'écouter qu'en ipv6 apporte une certaine tranquillité aussi

Dernière modification par bobe (Le 16/03/2016, à 01:31)

mazarini

Re : Pourquoi faut-il bloquer les ports ?

Pour les flux entrants, le plus simple est de voir quelle sont les ports qui répondent (nmap par exemple) et de paramétrer correctement (et non pas de bloquer) pour que ca ne réponde pas si ce n'est pas nécessaire.
Par exemple pour ssh, on peut choisir quel réseau écouter et en particulier écouter uniquement IPv6 ou IPv4 ou un réseau local. De même pour ftp, on peut écouter uniquement 127.0.0.1 pour permettre par exemple de faire les maj Wordpress sans pour autant permettre la connexion de l'extérieur.

Pour les flux sortant, la nécessite de les bloquer est moins évidente. Ca sous-entend que quelqu'un est déjà dans la machine ou que l'on a installé un programme malicieux. C'est malheureusement déjà trop tard ; à part compliquer un peu la tache du pirate, ca ne sert à rien.

A noter : le programme knockd permet avec des ports bloqués de les ouvrir à la demande en envoyant une séquence port+protocole ; en fait on peut associer une séquence à une commande.

---

S'il existait une école de la politique, les locaux devraient être édifiés rue de la Santé. Les élèves pourraient s'habituer. (Pierre Dac)

JohnBaboyle

Re : Pourquoi faut-il bloquer les ports ?

J'ai vu un 127.0.0.1 dans ta liste de connards. C'est normal, ça ?

Lol x) C'etait un simple test, comme tu peux le voir mon serveur se fait inonder d'IP inconnues alors qu'il tourne que depuis 1 jour

pires57

Re : Pourquoi faut-il bloquer les ports ?

Hello,

Quelques points (en vrac) :
- un port avec aucun service en écoute est fermé, un firewall sur un port fermé est inutile.
- La configuration de SSH peut être fait pour n'écouter que certaines IP, iptables est donc inutile si SSH est bien configuré.
- Le système de clé privé / public pour SSH c'est bien, pour rajouter une sécurité on peut également utiliser des token (google authenticator par exemple) en complément.
- Changer le port SSH n'apporte aucun gain de sécurité.

---

Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

mazarini

Re : Pourquoi faut-il bloquer les ports ?

mon serveur se fait inonder d'IP inconnues alors qu'il tourne que depuis 1 jour

Comme tous les serveurs. Il y a encore plus de requêtes http que l'on retrouve par exemple dans la liste des erreurs 404 (phpmyadmin, setup, login....).

Il y a un outils pour ca : fail2ban. Il permet de bannir des IP pour une durée plus ou moins longue à partir d'analyse de log. Le classique est un ban de l'IP après 6 tentatives de connexion ssh.

J'utilise également logwatch qui m'envoie tous les jours un mail avec les créations de users, les erreurs 404, les installations/maj de paquets, les connexions ssh (réussies ou pas).

---

S'il existait une école de la politique, les locaux devraient être édifiés rue de la Santé. Les élèves pourraient s'habituer. (Pierre Dac)

jean-luc5629

Re : Pourquoi faut-il bloquer les ports ?

Tu peux aller voir sur mon site http://baboule.tk tous les personnes en temps réel qui tentent d'etablir une connexion sur le port 22 de mon serveur, ce sont pour la plupart des Bots

Mets toi en connexion/clefs exclusivement et interdit la connexion par mot de passe dans ton sshd_config...
Même des clefs en 2048, sont restées inviolées à l'heure actuelle, alors si t'es un peu parano, t'en génères en 4096...

A partir de là, tes bots tu peux les laisser sonner à ta porte du 22 
C'est comme ça que je pratique sur mon serveur (et même pas de règles iptables de drop de ports..), et les logs ça ne m'a jamais empêché de dormir...tant que ça ne peut pas rentrer, les logs là dessus, on s'en fout un peu, non !!!

Dernière modification par jean-luc5629 (Le 16/03/2016, à 22:35)