[Léopard] Sécurite et Firewall

Le
netoo92
En parcourant le net à propos de Léopard, je suis tombé sur plusieurs
articles critiquant les choix d'implémentation d'Apple au niveau de
lasécurité , notamment, l'article suivant
<http://www.heise-security.co.uk/articles/98120.>

Points négatifs cités sur la sécurité :

1) L'installation de Léopard désactiverait le firewall.

2) Au niveau du firewall, on ne pourrait plus préciser quel port
onouvre ou pas, les règles seraient uniquement par applications.

Actuellement, avec Tiger, on définit dans l'onglet firewall des
nouveaux services et on autorise le trafic réseau UDP/TCP entrant sur
des ports. Par exemple, pour recevoir la télé par ADSL, j'ai ouvert un
port spécifique qui est utilisé par le lecteur multimédia VLC. Avec
Léopard, comment ça marche ? Devrait-on ouvrir tous les ports pour VLC
?

3) Il existerait une option dans le firewall de Leopard qui
permettrait le blocage de toutes les connexions entrantes.
L'activation de cette option n’empêcherait pas certains services
internes d’être toujours accessibles depuis Internet : les
protocolesNetBIOS, IPP, Bonjour et NTP sont cités.

Actuellement, avec Tiger, on accède aux services et on a la
possibilité via le firewall d'activer ou de désactiver les règles
concernant ces services, par exemple la règle concernant
lasynchronisation d'horloge ( ouverture de port UDP 123 pour le
protocole NTP) est bien affichée.

4) Le concept de « sandbox » (exécution en mode protégé) ne serait pas
présent pour tous les logiciels intégrés dans Léopard, en particulier
Safari, Mail et iChat. Pourtant, ces logiciels sont, a priori, les
plussusceptibles de faire office de vecteur d'attaque.

5) Autre fonctionnalité dont l’intégration n’aurait pas été
pousséejusqu'au bout : l’ASLR (Address Space Layout Randomization).
Est-ce
que quelqu'un a plus de détails sur ce point ?

Point positif sur la sécurité :

Les applications fournies d'office avec Léopard sont signées
numériquement afin de vérifier qu'elles n'ont pas été modifiées depuis
leur création (une signature également possible pour des
applicationstierces).

Si tout cela se confirme, le firewall de Léopard serait en retrait par
rapport à Tiger. A noter qu'il n'est, bien sur, pas indispensable de
passer par l'interface de firewall de Léopard pour configurer les
ports d'ipfw. Pour les plus courageux, ipfw est configurable en ligne
decommande. Il y a sûrement d'autres interfaces graphiques de
paramétrage d'ipfw. Des idées ?




--

I'm using an evaluation license of nemo since 74 days.
You should really try it!
http://www.malcom-mac.com/nemo
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
netoo92
Le #2805151
In article netoo92
En parcourant le net à propos de Léopard, je suis tombé sur
plusieurs articles critiquant les choix d'implémentation d'Apple au
niveau delasécurité , notamment, l'article suivant


Désolé pour cette mise en forme plus qu'approximative de mon post. Je
ne maîtrise pas encore cet outil Nemo très prometteur. Vivement
laversion 1.




--
I'm using an evaluation license of nemo since 74 days.
You should really try it!
http://www.malcom-mac.com/nemo

listes2
Le #2805101
netoo92
A noter qu'il n'est, bien sur, pas indispensable de
passer par l'interface de firewall de Léopard pour configurer les
ports d'ipfw. Pour les plus courageux, ipfw est configurable en ligne
decommande. Il y a sûrement d'autres interfaces graphiques de
paramétrage d'ipfw. Des idées ?


Je n'ai pas encore Léopard et ne peux donc pas te répondre, mais je dois
dire que je trouve l'interface GUI proposée pour réglée l'ipfw des Mac
OS X précédents particulièrement inepte.
On ne peut à peu près rien faire, et ce qu'on sait faire est très
approximatif, je trouve.

--
Olivier Goldberg

Pour le courrier personnel, écrire à: olivier (at) ogoldberg (point) net
Mon blog: http://blog.ogoldberg.net

Gerald
Le #2804331
netoo92
Si tout cela se confirme, le firewall de Léopard serait en retrait par
rapport à Tiger. A noter qu'il n'est, bien sur, pas indispensable de
passer par l'interface de firewall de Léopard pour configurer les
ports d'ipfw. Pour les plus courageux, ipfw est configurable en ligne
decommande. Il y a sûrement d'autres interfaces graphiques de
paramétrage d'ipfw. Des idées ?


pas concernant le paramétrage d'ipfw en gui qui, pour l'instant, semble
ne pas exister sous Mac OS X (mais j'intuite que ça ne saurait durer !).

Par contre, concernant le sujet du fil, que faut-il penser des résultats
fournis par les sites de "test" en ligne comme :

y en a-t-il de plus fiables ? Le fait d'être derrière une livebox ou
équivalent modifie-t-il la donne ? (fw intégré)
pourquoi symantec et check me signalent-ils un port web ouvert alors que
mon partage web n'est pas activé ?

merci à ceux qui savent

--
Gérald

Nina Popravka
Le #2804311
On Sat, 3 Nov 2007 12:19:43 +0100, (Gerald)
wrote:

y en a-t-il de plus fiables ? Le fait d'être derrière une livebox ou
équivalent modifie-t-il la donne ? (fw intégré)
Evidemment, c'est la Livebox qui est vue.


pourquoi symantec et check me signalent-ils un port web ouvert alors que
mon partage web n'est pas activé ?
Parce que un jour tu as redirigé le port 80 vers une machine

quelconque du LAN.
--
Nina

Gerald
Le #2803971
Nina Popravka
Parce que un jour tu as redirigé le port 80 vers une machine
quelconque du LAN.


'ffectivement ! pour faire joujou avec le serveur web personnel. En fait
quel genre de risque cela représente-t-il quand on a des mots de passe
solides ?

--
Gérald

Nina Popravka
Le #2803901
On Sat, 3 Nov 2007 15:39:49 +0100, (Gerald)
wrote:

'ffectivement ! pour faire joujou avec le serveur web personnel. En fait
quel genre de risque cela représente-t-il quand on a des mots de passe
solides ?


Sur un serveur web, les risques sont plutôt liés aux failles du
serveur lui-même (Apache 2.2.6 pour Leopard) et des gadgets PHPesques
et autres que tu y rajoutes.
--
Nina

Gérald Niel
Le #2819181
Le Samedi 03 novembre 2007 à 14:39 UTC, Gerald écrivait sur
fr.comp.os.mac-os.x :

'ffectivement ! pour faire joujou avec le serveur web personnel. En fait
quel genre de risque cela représente-t-il quand on a des mots de passe
solides ?


Absolument aucun si il n'y a rien qui répond derrière. Sinon comme ça
a été dit, le risque viendra du logiciel serveur et des éventuels
scripts.

@+
--
Gérald Niel

Publicité
Poster une réponse
Anonyme