Dans la cadre de la sécurisation des postes clients, je trouve dommageable qu’aucun pare-feu ne soit activé lors de l’installation de la distribution Ubuntu dans sa version Desktop.
L’utilisateur final n’étant pas forcement au courant de la présence ou non d’un logiciel de type pare-feu sur son poste, celui-ci ignore la plupart du temps à quoi sert celui-ci.
Il me semble donc judicieux de proposer lors de l’installation d’une distribution, l’activation d’un pare-feu avec une configuration de base relativement simple ainsi qu’une explication sur l’utilité de cet élément.
Je met ici à votre disposition un sondage afin de connaître la part d’utilisateur souhaitant la possibilité d’activation d’un pare-feu lors de l’installation.
[poll id= »5″]
Merci de laisser vos avis sur la question en commentaire.
#1 par coldroom à 6 septembre 2010 - 10 h 46 min
C’est à mon sens une aberation pour plusieurs raisons :
– 1) un cauchemard pour l’admin sys/réseau qui, en plus de devoir gérer le fw principal va devoir également jongler avec les règles de chaque poste..
– 2) plus une source de problèmes et d’incompréhesions qu’autre chose pour le enduser. Dans l’industrie, la notion de fw n’est pas locale au poste, mais générale.
– 3) un fw local est inutile si le fw général est bien configuré.
#2 par coldroom à 6 septembre 2010 - 10 h 56 min
Et j’ajoute que pour l’utilisateur lambda (hors entreprise donc), ça n’a pas plus de sens non plus..
Le FW est intégré 99.9% des cas dans une box, et sauf erreur, 99,9% des gens utilisent à présent une box pour se connecter.
Par ailleurs, avant de vouloir jouer avec les règles iptables, il me semble utile de bien maitriser les règles du FW de sa box. Et généralement, une fois que cette partie est faite, on se rend compte que le parefeu local est inutile.
Je pars du principe (idéaliste peut-être) que si on maîtrise le contenu de sa machine, de ses services réseaux, le fw local est inutile.. Avant de vouloir mettre en place l’iptable, il me semble judicieux de désactiver les services réseau inutilisés et de bien maintenir à jour ceux qui sont utilisés. Après ça, je ne comprends encore pas bien l’intérêt du parefeu.
Si, à la limite c’est utile pour celui qui ne maîtrise pas du tout l’architecture de son système, qui installe tout et n’importe quoi, qui active des services à la volée sans le savoir et sans les maintenir.. Là oui, le FW est utile, mais il sert plus de cache misère à une très mauvaise administration qu’à un besoin réel et étudité de sécurité.
#3 par julien à 6 septembre 2010 - 10 h 59 min
Remarque d’un utilisateur lambda (moi) : depuis que j’utilise Ubuntu (2008) j’ai toujours été persuadé que le pare-feu d’Ubuntu était actif par défaut, que l’interface graphique ne servait qu’à le configurer finement mais que c’était inutile.
C’est dailleurs ce qu’il me semblait avoir lu à droite à gauche sur les forums…
On m’aurait menti ?
#4 par dafatfab à 6 septembre 2010 - 11 h 02 min
De plus, un « FW » est déjà présent et actif dans le kernel : il s’agit d’Iptables.
Pingback: Tweets that mention Intégration d’un pare-feu lors de l’installation d’Ubuntu « Libre-Astux.info -- Topsy.com
#5 par fuzz à 6 septembre 2010 - 11 h 18 min
Il ne faut pas qu’elle soit présente par défaut (et sur aucun systeme, ça n’est le cas) : elle peut etre proposée lors de l’installation.
#6 par Bartouf à 6 septembre 2010 - 11 h 31 min
Ce n’est pas une bonne idée à mon avis. Si tu met un pare feu sur un systeme de base, c’est que tu ne lui fais pas confiance, qu’il y a des services de lancer dès le début. Tu agis en somme sur les conséquences.
J’ai l’impression que c’est très ‘Windowsien’ ça. Tu install un système alors il faut absolument un firewall et antivirus.
Et d’ailleurs tu veux mettre un pare-feu pour te proteger contre quoi ? Y-a t il des services ouvrant des ports qui sont lancés sur ta machine ? Il me semble pas qu’il y ai de serveur d’apache sur une install de base par exemple
En gros, installer un pare-feu pour installer un pare-feu, pas pour moi
#7 par Markhor à 6 septembre 2010 - 11 h 34 min
oui à condition que ce soit basé sur iptable !
#8 par manatlan à 6 septembre 2010 - 11 h 40 min
Complètement inutile.
– La majorité des gens sont protégés par leur box.
– Le gars qui màj son système régulièrement a très très peu de chance d’être embêter par quoi que ce soit.
– ça va générer bien plus de soucis dans les mailingliste/forums/bugtrackers du genre « ça marche pas chez moi »
Mais je peux comprendre que ça rassure (inutilement) les anciens windowsiens 😉
#9 par Christophe à 6 septembre 2010 - 11 h 58 min
Pour toutes les raisons évoquées ci dessus, et vu le positionnement plutôt « home user » d’Ubuntu, je n’en vois pas l’utilité.
Proposer un logiciel de contrôle parental type Nanny aurait plus de sens, par contre.
#10 par kON!c à 6 septembre 2010 - 12 h 21 min
+1
J’ai les mêmes info en tête !
#11 par alfred à 6 septembre 2010 - 12 h 40 min
J’ai voté oui mais en lisant les commentaires il est vrai que les raisons évoquées sont beaucoup plus importantes. Mon vote se transforme en non.
#12 par pywy à 6 septembre 2010 - 13 h 48 min
Complètement Inutiile pour moultes raisons, dont certain citées plus hat.
Pitié, ne faites pas ca !
#13 par Oscarius à 6 septembre 2010 - 14 h 06 min
+2
Moi aussi, ça me dit quelque chose :
« Par défaut, Ubuntu inclut un logiciel de pare-feu, nommé Uncomplicated FireWall (UFW). » Source : http://doc.ubuntu-fr.org/pare-feu
#14 par alex à 6 septembre 2010 - 14 h 07 min
Je pense qu’il y a des mecs qui se torturent le ciboulot à simplifier l’installation, ce n’est pas pour ajouter une étape en parlant de quelque chose d’obscur pour l’utilisateur moyen.
Je réfute cependant l’argument qui dit qu’aujourd’hui tout le monde est derrière une box, que le firewall est intégré à la box… Ca c’est vrai en france, et pour l’IPv4 seulement. En IPv6, ou dans des pays où on utilise un simple modem pour se connecter, point de part feu pour le foyer.
De toute manière, avec un installation fraiche d’ubuntu, y a t il des ports ouverts par défaut ?
#15 par FUN à 6 septembre 2010 - 14 h 13 min
+1 Moi aussi j’y croyais
#16 par HacKurx à 6 septembre 2010 - 14 h 19 min
ufw (qui simplifie iptable) est inclut maintenant par défaut dans ubuntu sauf qu’il n’est pas actif (il suffit de faire un sudo ufw enable pour cela).
Par contre il est peut-être plus simple pour les utilisateurs lambda d’ajouter sa gui (gufw) afin de l’activer et le modifier simplement ^^
#17 par eagle à 6 septembre 2010 - 14 h 25 min
Bonjour,
J’installe depuis un certain temps maintenant (+ de 2ans) Ubuntu chez mes oncles et tantes et après un certains nombres d’amélioration graphique (accès aux FileSystem, barre d’applications) et ils ont encore quelques problèmes pour utiliser des logiciels utilisant le net, rejetant la faute sur Ubuntu dès que possible…
Le Pare-feu « Iptables » n’est, à mon sens, pas assez interactif pour le grand public et ne dispose pas d’interfaces facilitant sa compréhension (Firestarter, gufw).
Donc pas assez mûr pour être proposé par défaut pour la majorité des utilisateurs Ubuntu!
#18 par luc à 6 septembre 2010 - 15 h 02 min
Efectivamente, pienso que ya fue de primera vez. bref se sera utile je pense car j’ai toujours pensé qu’il l’était déja par défault
#19 par Philippe à 6 septembre 2010 - 15 h 12 min
Est-ce que par default tous les ports ne sont pas ferme sur la version Desktop?
et c’est pour ca que le firewall n’est pas necessaire?
maintenant c’est sur que si ce n’est pas le cas un firewall est peu-etre utile 🙂
En meme temps mon routeur est le firewall principale…j’ai vote non!
#20 par gaara à 6 septembre 2010 - 15 h 36 min
Comme Julien, on m’a toujours dit que pare-feu était activé par défaut, mais sans interface graphique.
On m’aurait mentit ??
#21 par Franck à 6 septembre 2010 - 17 h 07 min
Le noyau linux dispose des fonctions de firewall, mais par défaut, aucune règle n’est définie. Il n’est pas « actif ».
#22 par Frédéric à 6 septembre 2010 - 17 h 13 min
Je suis au regret de vous annoncer que par défaut aucune règle iptables n’est active sur Ubuntu après l’installation, ce qui signifie que le FW est pas actif, un simple
sudo iptables -L
vous le prouvera.
De plus j’ai un gros doute sur la présence d’unn FW sur les BOX … en tout cas c’est sur qu’il n’y a rien sur les FreeBox (merci de ne pas confondre Routeur et FW)
#23 par André à 6 septembre 2010 - 17 h 33 min
On va dire qu’avec le NAT, les postes clients sont moins touchés que les serveurs.
Ce qui serait sympa s’est d’installer une interface graphique de configuration d’iptables.
Genre une fois installé, au premier démarrage, il propose d’instaurer les règles de firewall (avec des preset compréhensible par tout le monde) ou bien de sauter l’étape pour ceux qui ont déjà leur bashscript iptables (comme moi).
Ne pas oublier de configurer ip6tables en même temps qu’iptables.
En effet, le noyau supporte ipv6 et les nouveaux fournisseurs peuvent faire passer les paquets ipv6 a travers les nat.
#24 par makidoko à 6 septembre 2010 - 18 h 37 min
Je vote non pour la demande d’activation à l’installation, ça n’est pas souhaitable. Par contre il est souhaitable de laisser à disposition dans l’install de base une solution efficace officiellement supportée, de façon à ne pas avoir à chercher partout comment protéger son poste si on souhaite le faire selon ses propres règles.
La solution officielle, Gufw est abominable, et, en plus, non installée par défaut (si je ne m’abuse). Elle ne permet aucun monitoring des accès, sauf à lister les fichier .log, et une règle établie n’est pas modifiable, donc son recours obligatoire à la ligne de commande, rend cette GUI totalement inutile. Firestarter me paraissait beaucoup plus efficace.
#25 par Frédéric S. à 6 septembre 2010 - 18 h 48 min
Mauvaise idée, c’est complètement inutile. De plus au moindre problème, et il y en aura, par exemple pour le streaming sur free (mafreebox.freebox.fr), la personne va ouvrir plein de ports, et du coup elle se croit toujours protégée alors qu’elle ne l’est plus, et c’est pire (attention un gruyère n’a pas de trous, c’est l’emmental qui en a).
#26 par yannoslemanos à 6 septembre 2010 - 19 h 57 min
J’ai voté oui sans réfléchir en pensant a l’utilisateur lambda mais en fait c’est bien non en lisant tous les commentaires. Une simple page de formation en expliquant le principe du firewall doit etre suffisant apres a chacun de choisir, innutil de surcharger un systeme qui n’en a pas besoin
#27 par Ju. à 6 septembre 2010 - 20 h 04 min
Inutile, a ma connaissance par defaut il n’y a aucun port ouvert sur 0.0.0.0 (acceptant le traffic autre qu’emanant de localhost).
Le firewall, pour troller un peu, c’est une passion d’utilisateur de windows, ou il faut se battre contre son propre systeme : beaucoup trop laxiste.
#28 par mikedafunk à 6 septembre 2010 - 21 h 05 min
Il me semble que cela fait pas très longtemps que le parfeu n’est plus activé par défaut dans Ubuntu.
J’ai souvenir d’anciennes versions où il fallait installer firestarter pour désactiver facilement le parfeu (sans quoi on était très limité dans amule & co… )
#29 par mydjey à 6 septembre 2010 - 22 h 05 min
Au vu de ce que je lis souvent sur les forums et même ici dans les commentaires, je crois qu’il est bon de rappeler qu’Ubuntu dispose d’un parfeu par défaut (iptables) que celui-ci n’as pas d’interface graphique (par défaut) et que par défaut il laisse tout passer (pas activé).
Pour ma part je pense qu’une interface graphique devrait être disponible par défaut pour gérer le part-feu.
Celle-ci devrais être le plus simple possible pour le novice (je pense notamment à Gufw) et il devrais être ouvert par défaut. (voir pourquoi dans les premiers commentaires). Un simple clic permettrait au débutant de l’activer si il le souhaite.
Ouf ça en fait des par défaut. 🙂
#30 par Zelgolhal à 7 septembre 2010 - 7 h 31 min
Exact, la question ne se pose donc même pas pour les utilisateurs lambda qu’ils soient en entreprise ou non.
#31 par Jo à 7 septembre 2010 - 8 h 19 min
On risque quoi sans pare-feu concrètement?
#32 par nattyebola à 7 septembre 2010 - 10 h 42 min
Salut,
Il suffi de lire les commentaires plus haut pour s’apercevoir qu’un tas de gens ne savent pas à quoi sers un firewall (Google est ton ami),
Toutes les box sont bien équipées d’un firewall ou l’on peu ajouter des règles simples mais bien suffisantes (c’est bien souvent ouvrir un port pour tel logiciel de Peer 2 peer ou tel serveur de jeux pour le plus grand nombre d’entre nous)
Le principal a retenir, c’est que pour chaque port ouvert, il faut qu’il soit bien redirigé (NAT) vers l’ip adéquate ou tourne le logiciel.
chaque port ouvert dans le vent et une porte béante.
Donc, pour ne pas embrouiller les utilisateurs lambda je dirais :
-une firewall simple a utiliser (pas iptable, ou un gui qui tabasse) installé par défault mais non activé
– une demande d’activation par le system si l’utilisateur se connecte directemnt avec un modem
#33 par regala à 7 septembre 2010 - 11 h 36 min
@jo: tu risques d’attraper l’ubuntite !
plus sérieusement, cette histoire est ridicule (tout comme ce cher Frédéric qui nous dit qu’il n’y a pas iptables sur une FreeBox, les redirections, les règles de nat, et le blocage de tous les ports par défaut en entrée de la box, c’est pas iptables, c’est un mur en titane soigneusement posé entre les cables réseaux et le cerveau des clients…)
votre histoire de firewall configurable, c’est juste une histoire de plus pour « se la rac avec sa 10.04 ». ça ne sert quasiment à rien comme 80% du travail accompli à grand renfort de com bling-bling, ça occupe le cerveau des masses néo-libresques qui sont tombées dans le libre tout comme ils étaient tombés dans les forums windows/pc-hard/… tout en criant « kikoo-looooooooooooool ». Bref, c’est ni utile, ni inutile, c’est à côté de la plaque.
#34 par Kagou à 7 septembre 2010 - 15 h 54 min
Un firewall **configuré** et **activé**, installé par défaut, ne sert à rien puisqu’il n’y a pas de ports ni de services installés, par défaut, à bloquer/sécuriser.
Après un firewall installé il y en a un, c’est iptables. Il est installé mais, par défaut, pas configuré (il laisse tout passer dans tous les sens. Essayez : sudo iptables -L
Dès lors qu’on est assez bon pour installer/configurer/ouvrir/proposer un service sur son pc alors on se doit de se poser les questions concernant un firewall et les règles qui vont avec.
#35 par Ner0lph à 7 septembre 2010 - 18 h 05 min
C’est Netfilter le pare-feu du noyau Linux, pas iptables qui n’est qu’une IHM permettant de le configurer.
#36 par Piscator à 7 septembre 2010 - 19 h 45 min
A mon avis celui de windows est une aberration alors que linux est trop efficace l’utilisateur final ne va rien comprendre en plus tous les modems récents sont équipés d’un pare feu plus ou moins correct …
#37 par Nico à 21 septembre 2010 - 15 h 31 min
Dire qu’utiliser FireWall est un comportement typiquement Windowsien est une pure connerie !
100% des serveurs sous Linux ont un FireWall, les serveurs qui n’en ont pas se font bouffer des ressources pendant un temps puis massacrer.
Rétrolien: modem netgear