Discussion :

[Kuma25]

Bonjour à tous,

J'utilise le partage de fichier d'un NAS sur le port 5000.

Or le resp. informatique d'une boite dans laquelle un des employés doit se connecter refuse d'ouvrir le port 5000 en sortie chez eux sous prétexte qu'un minimum de sécurité exige que seul les ports 80 et 443 soit ouvert en sortie pour les utilisateurs.

Je suis donc tombé de ma chaise! Je reste persuadé que concernant les ports le seul risque est de les ouvrir en entrée et seulement si un service est à l'écoute sur ce port et que ce service souffre d'une faille de sécurité...
Pourquoi l'adresse www.toto.fr:5000 serait elle plus dangereuse que www.toto.fr:80?

J'ai cherché de la doc sur la dangerosité de l'ouverture des port en sortie, mais rien... toutes mes recherches m’amène à la dangerosité de l’ouverture des ports en entrée...

Difficile de réponde à ses affirmations seulement avec mes certitudes.... avis contre avis, c'est lui qui gagne, il est l'admin là-bas.

Ai je raison? ai-je tord? un mélange des deux?
Je serais ravie d'en débattre!!!

Merci d'avance!

[BufferBob]

salut,

le resp. informatique (...) refuse d'ouvrir le port 5000 en sortie chez eux sous prétexte qu'un minimum de sécurité exige que seul les ports 80 et 443 soit ouvert en sortie pour les utilisateurs.

c'est du vent. mais l'argument parano-sécuritaire ça marche tellement bien depuis 10 ans...

Je reste persuadé que concernant les ports le seul risque est de les ouvrir en entrée et seulement si un service est à l'écoute sur ce port et que ce service souffre d'une faille de sécurité...

c'est très exactement ça. si sur le port 80 tu fais tourner un apache vieillissant ou un IIS 5.0, laisser les ports 80 et 443 (par défaut) ouverts représente un risque majeur, et si tu fais tourner ton vieil apache sur le port 5000, ben c'est le port 5000 qui est impacté, à l'inverse si tu fais tourner un service à jour et sans vulnérabilité connue, peu importe le port ça ne risque "à peu près rien" (oui, faut mettre entre guillemets sinon on va voir pop un truc genre "faux ! la sécurité absolue n'existe pas blablabla" bref...)

en clair ce n'est pas tant le numéro du port que le service qu'il y a derrière qui peut être à l'origine d'un risque de sécurité, et si le service en question est à jour, connu et reconnu pour n'avoir pas de bug de sécurité, il n'y a pas de raison de ne pas le publier

la question donc pour parler sécurité aurait dû être "quel service vous voulez accéder à travers ce port 5000 qui n'est à priori pas standard ? un serveur NFS ? SSH ? CIFS ?"

et si on veut chipoter bêtement on pourrait arguer qu'un service qui tourne sur le port 80 s'exécute forcément en root, tandis qu'un service qui s'exécute sur le port 5000 peut éventuellement s'exécuter en utilisateur non-privilégié, ce qu'on peut considérer comme plus safe, mais par expérience, ces responsables informatique improvisés qui ne connaissent pas grand chose à la sécurité et affirment sans vergogne sont souvent les pires car très sûrs de leur fait et difficiles à faire changer d'avis...

[Kuma25]

Merci de me conforter dans mon idée...

Surtout que dans son cas, il s'agit d'ouvrir le port 5000 en sortie!
C'est moi qui héberge le service sur le port 5000 et qui en gère la sécurité j'espère...

Maintenant il ne me reste plus qu'à trouver comment formuler ma réponse pour le convaincre sans lui faire perdre la face. Mon but étant qu'il coopère...
Art délicat!

[BufferBob]

Surtout que dans son cas, il s'agit d'ouvrir le port 5000 en sortie!
C'est moi qui héberge le service sur le port 5000 et qui en gère la sécurité j'espère...

ah ok, encore mieux

donc là faut plutôt l'appréhender sous l'angle "y'a moins de risques à venir sur mon IP unique sur le port 5000 qu'à surfer sur 150.000 sites web inconnus (non-partenaires ) sur le port 80, si jamais il devait y avoir un souci de sécurité chez vous à cause du port 5000 vous saurez forcément que ça vient de chez moi, alors que si le problème vient du port 80 (oui on prend des raccourcis à ce stade mais au flair ça doit pas déranger des masses) vous ne savez pas de quel site il s'agit"

par ailleurs tu peux évoquer la possibilité de restreindre l'accès sur le port 5000 à ta seule IP/plage d'IP au besoin

et puis tu peux également lui dire que ton service ne peut pas être accessible par le port 80 ou 443, pour la bonne et simple raison que tu ne proposes pas un site web mais un partage de fichiers (...) et que ça n'est pas censé être accessible par un navigateur

[dahtah]

Salut,

Je serais plus nuance que vous sur le sujet, pas tellement pour une question de ports, mais d'inspection du traffic (DPI).

Certaines boites filtrent les paquets en sortie en inspectant les protocoles, c'est a dire que, par example, tout traffic sortant sur 80 doit etre du http. Le firewall verifie la conformite du protocole et pas seulement le port de destination. Ca evite par example qu'un employe mettent un serveur SSH qui ecoute sur le port 80, et puissent "rebondir" hors de la boite ainsi.

C'est possible que l'admin utilise de tels mecanismes et que du coup l'ouverture de ton port 5000 "bypass" les mecanismes d'inspection, vu que ton protocole n'est pas inspectable. Comme l's dit BufferBob, si t'as une IP fixe, ou une @ DNS, tu peux lui demander de mettre une ACL restrictive sur le port 5000 a destination de ton IP/domaine.

Bon courage