Alors, on garde Kerio 2.1.5 alors..??

On Sat, 21 May 2005 21:15:01 +0200, Fabien LE LEZ
<gramster@gramster.com> wrote:

On 20 May 2005 08:43:53 GMT, LaDDL <bounce@localhost.fr>:
Pour réaliser des tests de configuration, paramétrages etc... sans
prendre
de risques avec ton environnement, tu peux utiliser VMWare par exemple.

Ou acheter un PC d'occasion, si on n'a pas le budget pour acheter
VMWare...

C'est une bonne alternative. ;)

Le truc que je fais c'est de conserver qq vieux PC pour m'en servir comme
machine de test ça évite d'acheter.


--
We have no control over the length of Our lives but We can control the
width and depth of Our lives.

Le 22 mai 2005 à 09:29, Cedric Blancher nous disait :

Le Sun, 22 May 2005 07:24:03 +0000, Ninou a écrit :

Que penser de zigstack v5
http://xaitax.de/stuff.html
pour complémenter kerio 2.15 et lutter contre la faille ?

J'ai du mal à comprendre en quoi cet outil va empêcher les fragments que
devrait filtrer Kerio d'arriver jusqu'aux applications...

Question de béotien : j'utilise Kerio 2.1.5 derrière un routeur
possédant son propre firewall. Suis-je malgré tout vulnérable à la
faille des paquets fragmentés ? Y'a-t-il un moyen de m'en assurer ?

--
Cordialement

On 22 May 2005 14:36:29 GMT, LaDDL <bounce@localhost.fr>:

Net Firewall : http://www.ntkernel.com/w&p.php?id

J'ai l'impression qu'il ne filtre pas par application,

Il ne fait pas du filtrage applicatif.

Donc, inutile contre les troyens ?

C'est un FW stateful

Un filtrage applicatif peut être stateful, non ?

et donc est
équivalent à un firewall qui tourne sur un routeur (style Freebox).

Il n'a amha rien à voir avec le routeur de la Freebox.

Bon, l'exemple est mal choisi.

Net Firewall a-t-il un avantage par rapport à un firewall matériel
(Linux box ou autre) ?

--
Le grand site de la philosophie animale : <http://perso.edulang.com/philo/>

On 22 May 2005 21:26:49 GMT, Eric <ericb33+spam@alussinan.org>:

Question de béotien :

Question posée trois fois par semaine, surtout.

j'utilise Kerio 2.1.5 derrière un routeur
possédant son propre firewall. Suis-je malgré tout vulnérable à la
faille des paquets fragmentés ?

En théorie, oui. Le principe, c'est qu'un troyen bien programmé peut
agir comme si Kerio n'était pas installé.
Cf aussi <http://www.google.com/advanced_group_search>.

--
Le grand site de la philosophie animale : <http://perso.edulang.com/philo/>

On Mon, 23 May 2005 07:25:51 +0200, Fabien LE LEZ
<gramster@gramster.com> wrote:

On 22 May 2005 14:36:29 GMT, LaDDL <bounce@localhost.fr>:
Net Firewall : http://www.ntkernel.com/w&p.php?id

J'ai l'impression qu'il ne filtre pas par application,

Il ne fait pas du filtrage applicatif.

Donc, inutile contre les troyens ?

Le stateful permet d'assurer le suivi du début de chaque connexion. Si des
paquets de données non sollicités (correspondant aux règles du pare-feu)
ne peuvent pas être rattachés au début d'une connexion enregistrée
précédemment, le pare-feu les rejette.

En d'autres termes, cela permet d'associer que tel client vers tel serveur
est en train de faire telle chose.

Ce type de FW permet d'empêcher certaines attaques réseaux (i.e. par
cheval de troie).

C'est un FW stateful

Un filtrage applicatif peut être stateful, non ?

Un FW peut combiner plusieurs techniques de filtrage dont le stateful et
le filtrage applicatif, etc.

Ici, Net Firewall ne fait que du stateful.

et donc est
équivalent à un firewall qui tourne sur un routeur (style Freebox).

Il n'a amha rien à voir avec le routeur de la Freebox.

Bon, l'exemple est mal choisi.

Net Firewall a-t-il un avantage par rapport à un firewall matériel
(Linux box ou autre) ?

Pour un poste client isolé ou en réseau sous Windows, Net Firewall est
amha une très bonne solution.

Pour filtrer un réseau, je privilégierai un FW sur une *NIX dédiée.

N.B. j'ai par exemple un serveur Win2K3 avec Net Firewall, très efficace.


--
We have no control over the length of Our lives but We can control the
width and depth of Our lives.

On 23 May 2005 12:13:31 GMT, LaDDL <bounce@localhost.fr>:

Net Firewall : http://www.ntkernel.com/w&p.php?id

Donc, inutile contre les troyens ?

Le stateful permet d'assurer le suivi du début de chaque connexion.

OK.
Sur mon PC, Firefox a le droit de se connecter au port 80 de n'importe
quel serveur.
Ai-je la possibilité, avec Net Firewall, d'empêcher IE, ou un troyen,
de faire de même ?

Ce type de FW permet d'empêcher certaines attaques réseaux (i.e. par
cheval de troie).

J'ai du mal à comprendre comment, s'il n'est pas capable de savoir
quelle application initie une connexion (par exemple, vers le port 80
d'un serveur quelconque).

Net Firewall a-t-il un avantage par rapport à un firewall matériel
(Linux box ou autre) ?

Pour un poste client isolé ou en réseau sous Windows, Net Firewall est
amha une très bonne solution.

Je ne vois toujours pas comment il peut suffire.

Le 23 mai 2005 à 07:25, Fabien LE LEZ nous disait :

On 22 May 2005 21:26:49 GMT, Eric <ericb33+spam@alussinan.org>:

Question de béotien :

Question posée trois fois par semaine, surtout.

C'est vrai, je n'ai pas bien cherché... Désolé.

j'utilise Kerio 2.1.5 derrière un routeur
possédant son propre firewall. Suis-je malgré tout vulnérable à la
faille des paquets fragmentés ?

En théorie, oui. Le principe, c'est qu'un troyen bien programmé peut
agir comme si Kerio n'était pas installé.
Cf aussi <http://www.google.com/advanced_group_search>.

En ce qui concerne les troyens et autres bestioles, j'ai un comportement
prudent et j'utilise des outils réputés sûrs. En revanche, j'ai un
serveur ftp. Pourrait-il constituer une porte d'entrée pour ces fameux
paquets fragmentés ?

--
Cordialement

On Mon, 23 May 2005 16:30:07 +0200, Fabien LE LEZ
<gramster@gramster.com> wrote:

On 23 May 2005 12:13:31 GMT, LaDDL <bounce@localhost.fr>:
Le stateful permet d'assurer le suivi du début de chaque connexion.

OK.
Sur mon PC, Firefox a le droit de se connecter au port 80 de n'importe
quel serveur.
Ai-je la possibilité, avec Net Firewall, d'empêcher IE, ou un troyen,
de faire de même ?

Oui en créant des règles.

Ce type de FW permet d'empêcher certaines attaques réseaux (i.e. par
cheval de troie).

J'ai du mal à comprendre comment, s'il n'est pas capable de savoir
quelle application initie une connexion (par exemple, vers le port 80
d'un serveur quelconque).

Mais si il peut le faire, c'est ce que je t'ai expliqué précédemment
voyons.
Je disais dans mon post précédent : "En d'autres termes, cela permet
d'associer que tel client vers tel serveur est en train de faire telle
chose."

Net Firewall a-t-il un avantage par rapport à un firewall matériel
(Linux box ou autre) ?

Pour un poste client isolé ou en réseau sous Windows, Net Firewall est
amha une très bonne solution.

Je ne vois toujours pas comment il peut suffire.

Le plus simple télécharges la version d'essai, testes-la et on en reparle
après si tu veux.


--
We have no control over the length of Our lives but We can control the
width and depth of Our lives.

Le Mon, 23 May 2005 12:13:31 +0000, LaDDL a écrit :

J'ai l'impression qu'il ne filtre pas par application,

Il ne fait pas du filtrage applicatif.

Donc, inutile contre les troyens ?

Le stateful permet d'assurer le suivi du début de chaque connexion. Si
des paquets de données non sollicités (correspondant aux règles du
pare-feu) ne peuvent pas être rattachés au début d'une connexion
enregistrée précédemment, le pare-feu les rejette.

Ok.

En d'autres termes, cela permet d'associer que tel client vers tel serveur
est en train de faire telle chose.

Ah bon?
Si je vais du SMTP ou du POP sur du 80/TCP ton fw reseau (non applicatif)
stateful il en sait quoi?

Pour être plus précis il y a parfois une incursion dans le protocole
applicatif (ex ftp, dans la commande PORT) au dessus de la couche 4 mais
c'est uniquement pour les protocoles à la con de ce type.

Ce type de FW permet d'empêcher certaines attaques réseaux (i.e. par
cheval de troie).

C'est nouveau, ça vient de sortir? (c).
Prenons un netfilter avec les règles les plus basiques :
POLICY INPUT et FORWARD sur DROP, OUTPUT sur ACCEPT et une règle à la
con en INPUT du type -m state --state ESTABLISHED,RELATED -j ACCEPT [1]

C'est un fw stateful qui me laisse sortir, récupérer les réponses à
mes demande et empêche l'établissement de connexion entrante.

Comment ce fw va-t-il savoir que la sortie en TCP/80 est le virus
duschmoll qui va prendre ses ordres chez tartempion?

Il empèche certes certaines attaques réseau mais *justement pas* celles
des trojans.

Tu es sur de ne pas avoir intervertit statefull et applicatif dans ta
réponse?

Un FW peut combiner plusieurs techniques de filtrage dont le stateful et
le filtrage applicatif, etc.

Ca reste un débat, il y a certaines personnes(dont moi) qui préfère
rester sur la dénomination originale (fw=reseau, couche 2 à 4 on va dire
-même si pour du statefull on tape un peu plus loin-) et proxy pour les
fw applicatifs (même si en principe on peux filtrer le flux au fil de
l'eau, dans la pratique c'est plutôt casse bonbon et on passe plutôt par
un proxy).
Et a l'arrivée on te vend une applicance qui fait
fw/proxy/av/picsou-surtout/andco.
Pas taper, c'est l'idée qui compte :)

Ici, Net Firewall ne fait que du stateful.

Admettons (je ne l'ai pas testé)

Net Firewall a-t-il un avantage par rapport à un firewall matériel
(Linux box ou autre) ?

Pour un poste client isolé ou en réseau sous Windows, Net Firewall est
amha une très bonne solution.

Si ce n'est pas un fw applicatif c'est à mon avis un manque important
pour le mettre sur le poste de M. Michu.

Pour filtrer un réseau, je privilégierai un FW sur une *NIX dédiée.

Le fw sur le poste client servant aussi pour les attaques venant du lan.
Mais si tu te contente de non applicatif sur le poste client tu l'as dans
l'os pour ce qui est des trojans.

Eric

[1] Je sais, il manque les vérifs d'interfaces, la loopback, l'ICMP, le
café chaud etc mais je veux rester hyper basique :)

Le Tue, 24 May 2005 07:25:36 +0000, Eric Razny a écrit :

Pour être plus précis il y a parfois une incursion dans le protocole
applicatif (ex ftp, dans la commande PORT) au dessus de la couche 4 mais
c'est uniquement pour les protocoles à la con de ce type.

Et ça n'empêche pas d'utiliser le port de base pour autre chose. La
plupart des modules de suivi de protocole à la con marchent par pattern
matching dans les trames...

[1] Je sais, il manque les vérifs d'interfaces, la loopback, l'ICMP, le
café chaud etc mais je veux rester hyper basique :)

Les vérifications d'interface, c'est super important, en particulier sur
un poste de travail. Le simple fait de pouvoir différencier une interface
WiFi d'une interface filaire au niveau des règles est amha essentiel.


--
BOFH excuse #446:

Mailer-daemon is busy burning your message in hell.