Forum Clubic

Sécurité - Linux

Salut,

nb : beaucoup semblent dire qu’un antivirus est inutile sous Linux, or je vois aussi des choses style avast sur Linux… Or, un ami développeur m’a dis que sans détection je ne peut avori connaissance de l’intrusion, d’où l’intérêt de l’antivirus etc… d’où questions sur les intrusions éventuelles

ma question :
ce qui m’intéresse ce sont les principes, pas mon cas perso :

avec uniquement l’ip de visible : quelle prise d’entrée pour les pirates ? (je dis pas c’est possible, ne remet pas en cause la sécurité sur Linux etc… , je me renseigne sur les portes d’entrées éventuelles, sur le principe. )

l’ip étant visible : est ce utilisable par des pirates potentiels ?
si oui, alors comment ? (par voie détournée y compris)

et en ce cas peut t’on avancer en ip masquée? (les techniques existantes) …quel intérêt?

(je sais que l’ip existe, ca commence par un i, ca finit par un p, ca sert sur le worldwide web, pour connecter son micro odinateur dessus… big_smile big_smile
tout ca tout ca… wink, là n’est pas la question )

donc finalement :
> faut t’il des outils de protection?
> lesquels (hormis le pare feu de base)

Les intrusions c’est pas vraiment l’antivirus qui va les détecté, mais plutot le parefeu.
L’antiirus te permettra juste de voir la présence de fichiers/processus malintentionnées et peut etre de les stopper, mais cela a lieu une fois qu’ils sont présents sur ta machine. Si tu bloques tout avec ton firewall, alors normalement tu n’auras comme virus que ce que tu auras télécharger volontairement. C’est la même chose sous windows.

Bref, le firewall est nécessaire, mais sous linux l’antivirus ne l’est pas encore.

  1. “avec uniquement l’ip de visible : quelle prise d’entrée pour les pirates ?” => les failles potentielles des services qui ecoutent sur l’interface reseau (serveurs), un mot de passe ssh trop simple, …

  2. “l’ip étant visible : est ce utilisable par des pirates potentiels ?” <= ben oui, ça commence par un scan des ports, detection de versions, tentative d’intrusion, …

  3. “et en ce cas peut t’on avancer en ip masquée? (les techniques existantes) …quel intérêt?” => impossible, tu peut seulement brouiller les pistes en utilisant des reseaux de proxy.
    à quoi ça sert ? nourrir ta parano :slight_smile:

> faut t’il des outils de protection? => pas utile pour un ordinateur personnel
> lesquels (hormis le pare feu de base) => maintenir les services reseau à jour, les configurer correctement, bien regler le firewall, eventuellement chiffrement des données, detecteur d’intrusion (NIDS), pot de miel, redondance, etc etc…

Bon, déjà les intrusions ce ne sont pas des virus et ça ne se combat pas avec des anti virus.

Avec simplement une ip et une machine bien configurée (et à jour, sans faille de sécurité) le firewall n’est pas utile non plus. Sauf qu’il y a des choses difficiles à mettre en oeuvre d’un point de vue réseau sans firewall … et qu’il vaut mieux éviter de prendre des risques.

Sur internet, il n’y a qu’une façon de masquer son ip, débrancher le réseau. Mais du coup, on a quelques difficultés à surfer. On peut parcontre donner du fil à retordre aux pirates.

là tu confirmes pour pour un particulier, même en réseau local (3 ordi, 2 pc, 1 mac)
pas besoin de tout ca ?

si tu peut expliquer plus stp :
services réseau ?
configurer le parefeu?
chiffrement données?
NIDS?
pot de miel (Nutella ca marche ? :smiley: ) ?
redondance ?

débrancher le réseau concrètement c’est quoi ? débrancher la prise ethernet de la freebox? (dans mon cas)

là tu confirmes pour pour un particulier, même en réseau local (3 ordi, 2 pc, 1 mac)
pas besoin de tout ca ? => un routeur configuré correctement suffit

si tu peut expliquer plus stp :
services réseau ? => serveurs web, ftp, ssh, …
configurer le parefeu? => ben quoi ?
chiffrement données? => crytographie, ssl, ssh, …
NIDS? => Network Intrusion Detection System, un logiciel qui sniff tout ce qu’il se passe sur ton reseau et signal les activités anormales (scans, paquets mal formés, …).
pot de miel (Nutella ca marche ? biggrin.gif ) ? => une technique consistant à leurrer le pirate en simulant des failles sur une machine dédiée qui ne contient pas de données importantes ou des données factices, enfin il existe differente methodes, celle-ci, la simulation d’un reseau entier creant un labyrinte, l’effet mirroir (il se pirate lui-même sans s’en rendre compte), etc…
redondance ? => multiplication des equipements pour prevenir les pannes ou les denis de service

Oui, concrètement ça consiste à débrancher la freebox, mais après, tu ne peux plus aller sur internet :ane:.

Dis nous plutôt ce que tu veux faire (quel réseau, quelle criticité) et on te donnera les outils à mettre en oeuvre.

ça a l’air marrant, ça, c’est dur à mettre en oeuvre ?

d9pouces :
Bah oui, tu mets un ftp non sécurisé sur une machine dédiée, et tu fais ton traffic important par ssh sur une autre machine :slight_smile:

va voir le projet honeynet http://www.honeynet.org/ c’est assez delire. Toute la problematique consiste a faire croire au pirate que ton serveur important c’est le honeypot. Car si le pirate va voir autre chose que ton honeypot, y’a pas d’interet.

Effectivement, le honeypot le plus basique est un service “classique” mal configure place dans un coin et barde d’outil de detection et de monitoring (bien entendu, il ne faut que ton honeypot soit bien controle car sinon le pirate peut s’en servir pour attaquer d’autres machines). Mais il existe des honeypot plus evolue qui simulent un OS complet et ses failles. Bien entendu, l’interet d’un outil comme celui la n’est pas de coincer un pirate mais d’etuder sa maniere de faire. Ca n’a pas un interet vraiment direct en terme de securite.