Alors, on garde Kerio 2.1.5 alors..??

On 24 May 2005 07:22:59 GMT, LaDDL <bounce@localhost.fr>:

Sur mon PC, Firefox a le droit de se connecter au port 80 de n'importe
quel serveur.
Ai-je la possibilité, avec Net Firewall, d'empêcher IE, ou un troyen,
de faire de même ?

Oui en créant des règles.

Bon, ça y est, j'ai un Windows 2000 avec Net Firewall installé, et
toujours aucune idée de son utilisation.
Pourrais-tu m'indiquer la/les règle(s) à rajouter pour que Firefox
puisse accéder au port 80 de n'importe quel serveur/site web, tout en
empêchant IE de faire de même ?

Le Tue, 24 May 2005 07:36:32 +0000, Cedric Blancher a écrit :

[1] Je sais, il manque les vérifs d'interfaces, la loopback, l'ICMP, le
café chaud etc mais je veux rester hyper basique :)

Les vérifications d'interface, c'est super important, en particulier sur
un poste de travail. Le simple fait de pouvoir différencier une interface
WiFi d'une interface filaire au niveau des règles est amha essentiel.

Yep, c'est clair.
Mais ici je veux vraiment essayer de rester sur le fond et éviter que les
réponses ne se fassent sur la forme.

En plus a poster sans avoir dormi on raconte des conneries :-(
Je voulais parler de fw perso[1] avec éventuellement du proxiing et non
pas simplement de "fw applicatif" pour bloquer les trojans [2]

Donc "Si ce n'est pas un fw applicatif c'est à mon avis un manque
important pour le mettre sur le poste de M. Michu." devient
"Si ce n'est pas un fw perso [1] c'est à mon avis un manque important
pour le mettre sur le poste de M. Michu." Et le reste du poste à
l'avenant. Désolé.

Donc basiquement le fond est : sans fw perso qui vérifie quelle appli
est lancée et eventuellement *en plus* un proxy qui peut -peu- limiter la
casse on l'a dans l'os pour les trojans.

Les remarques sur le fw statefull qui ne risque pas de savoir qui fait
quoi restent.

Eric

[1] Dans le sens vérification de l'appli sortante et de ses droits.
[2] Parce que sur de l'applicatif le trojan peut aussi passer, s'il
demande ses ordres par une requète http bien formée sur du 80/TCP où
c'est autorisé par exemple.

On Tue, 24 May 2005 09:25:36 +0200, Eric Razny <news_01@razny.net> wrote:

Le Mon, 23 May 2005 12:13:31 +0000, LaDDL a écrit :
En d'autres termes, cela permet d'associer que tel client vers tel
serveur
est en train de faire telle chose.

Ah bon?

Oui.

Si je vais du SMTP ou du POP sur du 80/TCP ton fw reseau (non applicatif)
stateful il en sait quoi?

Ca dépend de ta configuration et du paramétrage des règles du FW.

[...]

Ce type de FW permet d'empêcher certaines attaques réseaux (i.e. par
cheval de troie).

C'est nouveau, ça vient de sortir? (c).

Lol non.

Toutes les attaques par chevaux de troie "classiques" peuvent être
empêchées (i.e. avec une bonne configuration de l'environnement).

Mais pour empêcher ce type d'attaques, les limiter cela passe par une
sécurisation du poste à plusieurs niveaux (i.e. le filtrage ici en est un)

Prenons un netfilter avec les règles les plus basiques :
POLICY INPUT et FORWARD sur DROP, OUTPUT sur ACCEPT et une règle à la
con en INPUT du type -m state --state ESTABLISHED,RELATED -j ACCEPT [1]

Bloquer les nouvelles connections intérieur vers extérieur, ça me paraît
tellement évident. Bref...

[peut-on rester sur le sujet initial stp sinon ça va devenir difficile de
se comprendre... nan ?]

C'est un fw stateful qui me laisse sortir, récupérer les réponses à
mes demande et empêche l'établissement de connexion entrante.

Ok.

Comment ce fw va-t-il savoir que la sortie en TCP/80 est le virus
duschmoll qui va prendre ses ordres chez tartempion?

Ca c'est ton antivirus qui pourra te le signaler (i.e. si tu disposes d'un
bon AV à jour et efficace en détection) ou ton bloqueur (i.e. il surveille
et empêche exécution/injection de code)

Il empèche certes certaines attaques réseau mais *justement pas* celles
des trojans.

Je pense que Fabien a saisi mon propos.

Je ne suis pas en train de dire qu'un FW ou celui-là (i.e. Net Firewall)
bloque/empéche toutes les formes d'attaques par trojans.

Pour lutter contre les trojans cela passe par plusieurs mesures et contre
mesures de sécurité et le FW en fait parti. Après c'est toujours une
histoire de configuration & paramétrage...

Tu es sur de ne pas avoir intervertit statefull et applicatif dans ta
réponse?

Nan nan.

Un FW peut combiner plusieurs techniques de filtrage dont le stateful et
le filtrage applicatif, etc.

Ca reste un débat,

Vivi et on va éviter le troll, nan ? ;p

il y a certaines personnes(dont moi) qui préfère
rester sur la dénomination originale (fw=reseau, couche 2 à 4 on va dire
-même si pour du statefull on tape un peu plus loin-) et proxy pour les
fw applicatifs (même si en principe on peux filtrer le flux au fil de
l'eau, dans la pratique c'est plutôt casse bonbon et on passe plutôt par
un proxy).

Pareil.
Je ne suis pas un fervent pratiquant du tout en un.

Et a l'arrivée on te vend une applicance qui fait
fw/proxy/av/picsou-surtout/andco.
Pas taper, c'est l'idée qui compte :)

Certes.
Mais faut penser aux budgets consacrés à la sécurité informatique des
particuliers et TPE/PME/PME, c'est pourquoi ce type de solutions packagées
existent.

Ici, Net Firewall ne fait que du stateful.

Admettons (je ne l'ai pas testé)

Je réaffirme qu'il est bien stateful.

Net Firewall a-t-il un avantage par rapport à un firewall matériel
(Linux box ou autre) ?

Pour un poste client isolé ou en réseau sous Windows, Net Firewall est
amha une très bonne solution.

Si ce n'est pas un fw applicatif c'est à mon avis un manque important
pour le mettre sur le poste de M. Michu.

Je n'ai pas dit que ce FW remplaçait tout voyons !!!

Pour filtrer un réseau, je privilégierai un FW sur une *NIX dédiée.

Le fw sur le poste client servant aussi pour les attaques venant du lan.
Mais si tu te contente de non applicatif sur le poste client tu l'as dans
l'os pour ce qui est des trojans.

On est bien d'accord.
Je n'ai pas présenté ce FW comme un remplaçant ou la solution miracle à
tous les problèmes réseaux. Simplement il fait très bien son boulot. C'est
tout ce que j'attends d'un logiciel.


--
We have no control over the length of Our lives but We can control the
width and depth of Our lives.

On Tue, 24 May 2005 13:05:11 +0200, Fabien LE LEZ
<gramster@gramster.com>wrote:
Sur mon PC, Firefox a le droit de se connecter au port 80 de n'importe
quel serveur.
Ai-je la possibilité, avec Net Firewall, d'empêcher IE, ou un troyen,
de faire de même ?

Oui en créant des règles.

Bon, ça y est, j'ai un Windows 2000 avec Net Firewall installé,

Ouf !!! T'as été long à la détente ;)

et
toujours aucune idée de son utilisation.

T'es sérieux ?!

Pourrais-tu m'indiquer la/les règle(s) à rajouter pour que Firefox
puisse accéder au port 80 de n'importe quel serveur/site web, tout en
empêchant IE de faire de même ?

Pour faire simple mais sincèrement je vois pas où c'est compliqué pour
toi. Enfin bref :
tu vas dans Actives connections
puis tu sélectionnes le process pour FF (ou IE, tu commences par celui
que tu veux)
tu fais un clic droit sur le process sélectionné
tu cliques sur Create new rule
une boîte de dialogue s'ouvre avec trois onglets Common ; Source ;
Destination
Dans le premier (Common) définis les règles que tu veux
Dans le second (Source) définis l'origine des adresses IP et ports
Dans le troisième (Destination) définis la destination des adresses IP et
ports

Bon courage et test.


--
We have no control over the length of Our lives but We can control the
width and depth of Our lives.

On 25 May 2005 09:03:15 GMT, LaDDL <bounce@localhost.fr>:

Pour lutter contre les trojans cela passe par plusieurs mesures et contre
mesures de sécurité et le FW en fait parti.

Mais quid des troyens installé d'office avec Windows XP ? Comment les
bloquer ?

D'autre part, j'utilise IE pour tester mes sites en local, mais je
n'ai pas les compétences requises pour pouvoir le laisser se connecter
à Internet. D'autant que je suis sous Windows 2000 et que même
Microsoft affirme que toutes les versions disponibles pour cet OS sont
trouées. Comment puis-je m'en sortir ?

Le Wed, 25 May 2005 09:03:15 +0000, LaDDL a écrit :

Si je vais du SMTP ou du POP sur du 80/TCP ton fw reseau (non
applicatif) stateful il en sait quoi?

Ca dépend de ta configuration et du paramétrage des règles du FW.

J'insiste (si si :) ) :
*comment* un fw *réseau* [1](ie non applicatif et pas perso -il ne sait
pas quelle application envois les paquets-) peut être paramètré pour
savoir que je fais du SMTP et pas du http sur du 80/TCP.

Est-il besoin de préciser que :
HELO machin@truc.tld
mail form:<devine@quiviensdiner.com>
etc.

est parfaitement légitime sur la page d'un site (text/plain reprenant un
échange smtp pour montrer comment ça marche).

Accessoirement à une époque où IE permettait joyeusement de sortir sur
du 25 il y avait l'inverse : la possibilité de tenter d'envoyer un email
avec un formulaire via un serveur du lan en profitant que le MTA envoyait
un message d'erreur sur les lignes qui n'étaient pas syntaxiquement
correctes sans pour autant stopper après "trop" d'erreur.

Ce type de FW permet d'empêcher certaines attaques réseaux (i.e. par
cheval de troie).

Toutes les attaques par chevaux de troie "classiques" peuvent être
empêchées (i.e. avec une bonne configuration de l'environnement).

Oui merci je suis (mais alors à peine) au courant :-/
*Tu* indique que *Ce type de FW permet*. Donc on parle bien du fw, par
d'un autre bidule, paramètrage etc.

Donc pourrais tu préciser comment tu empêche un trojan de sortir avec ce
genre de fw?

Mais pour empêcher ce type d'attaques, les limiter cela passe par une
sécurisation du poste à plusieurs niveaux (i.e. le filtrage ici en est
un)

Ta réponse portait sur le fw. Merci de m'apprendre que la sécu n'est pas
qu'une question de fw :-/

Prenons un netfilter avec les règles les plus basiques : POLICY INPUT
et FORWARD sur DROP, OUTPUT sur ACCEPT et une règle à la con en INPUT
du type -m state --state ESTABLISHED,RELATED -j ACCEPT [1]

Bloquer les nouvelles connections intérieur vers extérieur, ça me
paraît tellement évident. Bref...

Ben non pas bref. C'est précisement ici que se pose le problème soulevé
par Fabien. Ton fw non applicatif et qui ne connait pas les applis qui
sortent à quand même pas mal de chance de permettre du 80/TCP et 53/UDP
(et TCP mais bon) en sortie. Et dans ce cas l'équidé ne va pas se gêner
pour aller ballader en passant par ce boulevard.

[peut-on rester sur le sujet initial stp sinon ça va devenir difficile de
se comprendre... nan ?]

On y est en plein. Si c'est plus simple pour toi rappartons sur la demande
de Fabien (<29m391hconbtbjo62hr2sadrn98op5fita@4ax.com>) : "Sur
mon PC, Firefox a le droit de se connecter au port 80 de n'importe quel
serveur. Ai-je la possibilité, avec Net Firewall, d'empêcher IE, ou un
troyen, de faire de même ?".

Tu réponds joyeusement oui, sans détail (ce qui te vaut d'ailleurs une
demande de précision dans le post qui suit ta "réponse".

Pourtant quand je vais sur http://www.ntkernel.com/w&p.php?id je trouve :

"NeT Firewal is a comprehensive stateful firewall solution built to
protect Windows-based systems not currently protected by a firewall"[2]
Donc qui se présente comme étant efficace en tant que fw sans autre fw
installé (normal)

puis : "NeT Firewall is more secure than application-based personal
firewalls" ce qui semble confirmer l'impression de Fabien que ce fw n'est
pas application-based (aucune référence sur le site comme quoi ce serait
le cas et qu'en plus il serait statefull etc...)

Comment ce fw va-t-il savoir que la sortie en TCP/80 est le virus
duschmoll qui va prendre ses ordres chez tartempion?

Ca c'est ton antivirus qui pourra te le signaler (i.e. si tu disposes
d'un bon AV à jour et efficace en détection) ou ton bloqueur (i.e. il
surveille et empêche exécution/injection de code)

Ok au moins j'arrête ici de suite.
Je quote quelque ligne de ton post :

======== > Si je vais du SMTP ou du POP sur du 80/TCP ton fw reseau (non

applicatif) stateful il en sait quoi?

Ca dépend de ta configuration et du paramétrage des règles du FW.
======= Ben *non* justement, ça ne depend pas, il faut quelque chose en plus.
CQFD.

Et justement l'interêt d'avoir sur le poste client, en plus d'un
éventuelle "fw reseau" à la sortie du LAN, un fw perso qui sait quelle
application est lancée (avec un minimum de contrôle de l'appli, genre
sha1 du binaire et des dll) est qu'on va détecter une tentative de sortie
illégitime [3], genre IE par 80/TCP alors que firefox a le droit mais pas
IE.
Accessoirement ça permet aussi d'empêcher un MUA de sortir sur autre
chose que 25,110, 995, 465 etc /TCP pour éviter -entre autre- les liens
sur des images externes qui permettent de savoir quand et d'où l'email a
été ouvert.

Il empèche certes certaines attaques réseau mais *justement pas*
celles des trojans.

Je pense que Fabien a saisi mon propos.

Au point de te dire qu'il a mis le fw en place et qu'il attend ta config.
Je suis au moins d'accord avec toi : je pense que Fabien a très bien
saisi ton propos :)

Je ne suis pas en train de dire qu'un FW ou celui-là (i.e. Net
Firewall) bloque/empéche toutes les formes d'attaques par trojans.

Si ce n'est pas un fw applicatif c'est à mon avis un manque important
pour le mettre sur le poste de M. Michu.

Je n'ai pas dit que ce FW remplaçait tout voyons !!!

Certes. Mais amha il est tout simplement insuffisant, *surtout pour un Mme
Michu* s'il ne contrôle pas quelle appli communique (avec la possibilité
de blocage bien sur! :) ).

On est bien d'accord.
Je n'ai pas présenté ce FW comme un remplaçant ou la solution miracle
à tous les problèmes réseaux. Simplement il fait très bien son
boulot. C'est tout ce que j'attends d'un logiciel.

Pour moi il fait peut être (non tester) très bien ce qu'il annonce, mais
ce qu'il annonce est clairement insuffisant pour un fw perso (workstation)

Eric.

[1] voir <ri1091dpv40erinmevdg632feev4vpocnc@4ax.com>
où Fabien indique :
"J'ai l'impression qu'il ne filtre pas par application, et donc est
équivalent à un firewall qui tourne sur un routeur". (C'est d'ailleurs
mon cerveau ensommeillé qui a confondu le sens 'par application' (qui
envoit) avec 'applicatif' (utilisation d'un proxy par exemple qui permet
de s'assurer que ce qui passe sur du 80/TCP est bien du http).

[2] Net Firewall est un fw statefull complet destiner à protéger les
systemes windows qui ne sont pas actuellement protégés par un fw

On 25 May 2005 10:56:51 GMT, LaDDL <bounce@localhost.fr>:

Bon, ça y est, j'ai un Windows 2000 avec Net Firewall installé,

Ouf !!! T'as été long à la détente ;)

En fait, je l'avais déjà installé avant, mais l'avais désinstallé.

et toujours aucune idée de son utilisation.

T'es sérieux ?!

Oui. Ou plus exactement, j'ai compris comment filtrer les connexions
d'après l'adresse IP, le port et le protocole, mais pas d'après
l'application qui crée la connexion.

Pourrais-tu m'indiquer la/les règle(s) à rajouter pour que Firefox
puisse accéder au port 80 de n'importe quel serveur/site web, tout en
empêchant IE de faire de même ?

Pour faire simple mais sincèrement je vois pas où c'est compliqué pour
toi. Enfin bref :
tu vas dans Actives connections
puis tu sélectionnes le process pour FF (ou IE, tu commences par celui
que tu veux)

On ne doit pas avoir la même version, alors. J'ai bien la liste des
connexions, mais pas le processus associé.

tu fais un clic droit sur le process sélectionné

Bon, à défaut du processus, j'arrive à trouver la connexion
correspondante. Et je viens de comprendre à quoi servent les
connexions "persistantes" du protocole HTTP. Comment on fait pour
UDP ?

tu cliques sur Create new rule
une boîte de dialogue s'ouvre avec trois onglets Common ; Source ;
Destination
Dans le premier (Common) définis les règles que tu veux

OK

Dans le second (Source) définis l'origine des adresses IP et ports

J'imagine que je suis obligé d'autoriser tous les ports (au moins à
partir de 1024), vu que je ne sais pas quel port local Firefox
utilisera la prochaine fois...

Dans le troisième (Destination) définis la destination des adresses IP et
ports

OK

Bon courage et test.

Le test est sans appel : la version
<http://www.ntkernel.com/downloads/ntkernelfw_trial.zip> que j'ai
téléchargée sur <http://www.ntkernel.com/w&p.php?id> est
manifestement incapable de faire la différence entre Firefox et un
troyen.

On Wed, 25 May 2005 12:56:52 +0200, Fabien LE LEZ
<gramster@gramster.com> wrote:

On 25 May 2005 09:03:15 GMT, LaDDL <bounce@localhost.fr>:
Pour lutter contre les trojans cela passe par plusieurs mesures et
contre
mesures de sécurité et le FW en fait parti.

Mais quid des troyens installé d'office avec Windows XP ?

Tu veux plutôt parler des spywares & co, nan ?
Si oui faut mettre les mains dans la BDR.
Sinon y a qq tools (avec code source) qui offre la possibilité de modifier
directement la BDR si tu n'es pas à l'aise avec. (pour ce tool fais-moi un
petit mail)

Comment les
bloquer ?

En optimisant l'OS comme je te le précisais ci-haut au niveau de la BDR.

D'autre part, j'utilise IE pour tester mes sites en local, mais je
n'ai pas les compétences requises pour pouvoir le laisser se connecter
à Internet.

Durcis-le :
http://msdn.microsoft.com/workshop/security/szone/overview/esc_changes.asp
Personnellement IE durcis c'est invivable en utilisation normale et je ne
te parle même pas pour le user lambda.

Y a une solution que j'aime bien c'est Quik Fix de PivX (bien connu pour
leur excellent travail sur les failles dans IE). J'ai uniquement testé
cette solution sur une machine mais jamais déployée ni mise en
exploitation/production.

Sinon t'as aussi le choix entre un IPS ou un Squid derrière ton FW par
exemple.

D'autant que je suis sous Windows 2000 et que même
Microsoft affirme que toutes les versions disponibles pour cet OS sont
trouées.

Juste entre nous quel OS n'est pas vulnérable hein ? ;)
Si tu peux pas encore migrer Win2k vers WinXP tu peux quand même limiter
les risques.

Comment puis-je m'en sortir ?

Une bonne solution amha FW iptables + Proxy Squid + IE optimisé sur ton
Win2k.

Si tu as un peu de budget installes Net Firewall + un IPS (e.g.
Stormshield) + optimises Win2k et IE.

Avec ça tu peux sortir "tranquille" et éviter les injections de code
malveillantes.
(N.B. un bon AV sur ta machine aussi n'est pas une mauvaise idée
personnellement c'est KAV ou NOD32)

Y a bien entendu plein d'autres possibilités...


--
We have no control over the length of Our lives but We can control the
width and depth of Our lives.

On Wed, 25 May 2005 15:10:54 +0200, Fabien LE LEZ
<gramster@gramster.com>wrote:
Bon, ça y est, j'ai un Windows 2000 avec Net Firewall installé,

Ouf !!! T'as été long à la détente ;)
En fait, je l'avais déjà installé avant, mais l'avais désinstallé.

Ok.

et toujours aucune idée de son utilisation.

T'es sérieux ?!

Oui. Ou plus exactement, j'ai compris comment filtrer les connexions
d'après l'adresse IP, le port et le protocole, mais pas d'après
l'application qui crée la connexion.

Je te le répéte à nouveau afin d'éviter tout malentendu, Net Firewall ne
fait que du filtrage de paquets ; i.e. il filtre tous les paquets sur
toutes tes cartes réseaux. That's all.

Pourrais-tu m'indiquer la/les règle(s) à rajouter pour que Firefox
puisse accéder au port 80 de n'importe quel serveur/site web, tout en
empêchant IE de faire de même ?

Pour faire simple mais sincèrement je vois pas où c'est compliqué pour
toi. Enfin bref :
tu vas dans Actives connections
puis tu sélectionnes le process pour FF (ou IE, tu commences par celui
que tu veux)

On ne doit pas avoir la même version, alors. J'ai bien la liste des
connexions, mais pas le processus associé.

Version 2.3.0 et dans Active connections je vois bien : le process ; etc.

Si tu ne veux pas lancer IE ou FF et créer à partir de là tes règles comme
je te l'ai expliqué précédemment tu peux aussi directement aller dans le
menu Rules et cliquer ensuite sur New Rule. Là, tu retrouves la même boîte
de dialogue avec les onglets Common ; Source et Destination pour définir
ta règle.

tu fais un clic droit sur le process sélectionné

Bon, à défaut du processus, j'arrive à trouver la connexion
correspondante. Et je viens de comprendre à quoi servent les
connexions "persistantes" du protocole HTTP. Comment on fait pour
UDP ?

Tu définis déjà le niveau de sécurité sur ta carte réseau (i.e. Network
Interfaces)
Personnellement, je me mets en High Level (i.e. je bloque tout) et ensuite
je définis ce que j'autorise ou pas.

Pour UDP c'est comme pour TCP.
Amha je te recommande de créer ta règle à partir d'un process ouvert. Si
tu as ouvert IE par exemple tu cliques droit sur le process ieplorer.exe
après tu cliques sur Create new rule ensuite tu définis tes règles en
fonction de la configuration de ton environnement.

tu cliques sur Create new rule
une boîte de dialogue s'ouvre avec trois onglets Common ; Source ;
Destination
Dans le premier (Common) définis les règles que tu veux

OK

Dans le second (Source) définis l'origine des adresses IP et ports

J'imagine que je suis obligé d'autoriser tous les ports (au moins à
partir de 1024), vu que je ne sais pas quel port local Firefox
utilisera la prochaine fois...

Pourquoi autoriser tous les ports ? Définis une range, nan ?

Tu devrais pourtant connaître le port local utilisé par FF, nan ?

Dans le troisième (Destination) définis la destination des adresses IP
et
ports

OK

Bon courage et test.

Le test est sans appel : la version
<http://www.ntkernel.com/downloads/ntkernelfw_trial.zip> que j'ai
téléchargée sur <http://www.ntkernel.com/w&p.php?id> est
manifestement incapable de faire la différence entre Firefox et un
troyen.

Bah vu que t'as pas configuré le niveau de sécurité de ta carte réseau et
définis qq règles c'est sûr que ton test ne va pas s'avérer probant ! :(

Je rappelle une nouvelle fois que Net Firewall ne dispose pas d'un module
de filtrage applicatif pour contrôler l'exécution/injection de code, le
lancement illégitime/légitime d'une application. Pour réaliser cela il
faut disposer par exemple d'un bloqueur (dont je t'ai parlé dans un autre
thread).


--
We have no control over the length of Our lives but We can control the
width and depth of Our lives.

[En préambule, merci pour ta longue réponse (mais stp mets tes notes à la
suite la prochaine fois car c'est pas agréable de faire des A/R). Je vais
essayer de répondre à toutes tes questions. Let's go...]

On Wed, 25 May 2005 15:10:54 +0200, Eric Razny <news_01@razny.net>
wrote:
Si je vais du SMTP ou du POP sur du 80/TCP ton fw reseau (non
applicatif) stateful il en sait quoi?

Ca dépend de ta configuration et du paramétrage des règles du FW.

J'insiste (si si :) ) :
*comment* un fw *réseau* [1](ie non applicatif et pas perso -il ne sait
pas quelle application envois les paquets-) peut être paramètré pour
savoir que je fais du SMTP et pas du http sur du 80/TCP.

Amha c'est qu'une question de règles. Et avec ce FW je sais qui fait quoi.
N'oublies pas qu'il y a aussi la MMC qui permet de gèrer ton environnement.

Sinon on est bien d'accord il ne fait pas de filtrage applicatif.

Est-il besoin de préciser que :
HELO machin@truc.tld
mail form:<devine@quiviensdiner.com>
etc.

est parfaitement légitime sur la page d'un site (text/plain reprenant un
échange smtp pour montrer comment ça marche).

Accessoirement à une époque où IE permettait joyeusement de sortir sur
du 25 il y avait l'inverse : la possibilité de tenter d'envoyer un email
avec un formulaire via un serveur du lan en profitant que le MTA envoyait
un message d'erreur sur les lignes qui n'étaient pas syntaxiquement
correctes sans pour autant stopper après "trop" d'erreur.

Ce type de FW permet d'empêcher certaines attaques réseaux (i.e. par
cheval de troie).

Toutes les attaques par chevaux de troie "classiques" peuvent être
empêchées (i.e. avec une bonne configuration de l'environnement).

Oui merci je suis (mais alors à peine) au courant :-/

Je n'en doutais pas une seconde.

*Tu* indique que *Ce type de FW permet*. Donc on parle bien du fw, par
d'un autre bidule, paramètrage etc.

Il offre la possibilité de tout bloquer et d'autoriser uniquement ce que
l'on veut. Maintenant c'est le "ce que l'on veut" qui expose le user à des
risques (injection de code malveillant par exemple) et c'est pourquoi il
faut bien entendu prévoir autre chose (bloqueur ou IPS ou proxy par
exemple).

Donc pourrais tu préciser comment tu empêche un trojan de sortir avec ce
genre de fw?

Je vais te donner la config sécurité logicielle d'une de mes machines ss
WinXP SP2 équipée de Net Firewall :

Net Firewall avec règles et blocage de tout le traffic sur les cartes (je
n'autorise que ce que je veux)plus politique de groupe avec la MMC
Bloqueur Stormshield
AV NOD32
IE optimisé et sécurisé
OS optimisé et sécurisé
Applications optimisées

Avec cette configuration et sur cette machine on a limité toutes les
formes de menaces que je qualifierai de classiques.

Mais pour empêcher ce type d'attaques, les limiter cela passe par une
sécurisation du poste à plusieurs niveaux (i.e. le filtrage ici en est
un)

Ta réponse portait sur le fw.

Bah oui avec des régles définies, un niveau de blocage du traffic élevé
sur la carte et une politique de groupe stricte avec la MMC tu peux gèrer
très correctement les attaques classiques par trojan.

Merci de m'apprendre que la sécu n'est pas
qu'une question de fw :-/

Ne le prends pas comme ça. Je me doute bien que tu le sais voyons.

Prenons un netfilter avec les règles les plus basiques : POLICY INPUT
et FORWARD sur DROP, OUTPUT sur ACCEPT et une règle à la con en INPUT
du type -m state --state ESTABLISHED,RELATED -j ACCEPT [1]

Bloquer les nouvelles connections intérieur vers extérieur, ça me
paraît tellement évident. Bref...

Ben non pas bref.

Si tu veux ;)

C'est précisement ici que se pose le problème soulevé
par Fabien. Ton fw non applicatif et qui ne connait pas les applis qui
sortent à quand même pas mal de chance de permettre du 80/TCP et 53/UDP
(et TCP mais bon) en sortie.

Certes il ne fait pas du filtrage applicatif mais il offre un contrôle
efficace de tout le traffic. Et pour contrôler ce qui est exécuté et lancé
n'oublies pas qu'il y a la MMC et que j'ai en plus sur la machine un
bloqueur. So les risques sont quand même "limités".

Et dans ce cas l'équidé ne va pas se gêner
pour aller ballader en passant par ce boulevard.

Sans contrôle de ce qui est exécuté, injecté, lancé oui je partage ton
point de vue. Mais avec ce FW tu peux pousser amha le contrôle à un niveau
optimum (i.e. satisfaisant).

[peut-on rester sur le sujet initial stp sinon ça va devenir difficile
de
se comprendre... nan ?]

On y est en plein. Si c'est plus simple pour toi rappartons sur la
demande
de Fabien (<29m391hconbtbjo62hr2sadrn98op5fita@4ax.com>) : "Sur
mon PC, Firefox a le droit de se connecter au port 80 de n'importe quel
serveur. Ai-je la possibilité, avec Net Firewall, d'empêcher IE, ou un
troyen, de faire de même ?".

Je ne suis pas contre de poursuivre sur Netfilter (je suis user) mais bon
ne mélangeons pas tout. Ca facilite le dialogue. C'est pourquoi je préfére
rester dans le même contexte.

Tu réponds joyeusement oui,

Y a de la joie ! ;)

sans détail (ce qui te vaut d'ailleurs une
demande de précision dans le post qui suit ta "réponse".

Yep. Et j'espère à présent l'avoir "éclairé".

Pourtant quand je vais sur http://www.ntkernel.com/w&p.php?id je
trouve :

"NeT Firewal is a comprehensive stateful firewall solution built to
protect Windows-based systems not currently protected by a firewall"[2]
Donc qui se présente comme étant efficace en tant que fw sans autre fw
installé (normal)

puis : "NeT Firewall is more secure than application-based personal
firewalls" ce qui semble confirmer l'impression de Fabien que ce fw n'est
pas application-based (aucune référence sur le site comme quoi ce serait
le cas et qu'en plus il serait statefull etc...)

Amha dl le et installes le et on en reparle ensuite.

Relis bien la page de présentation il y a un certain nombre d'informations
pertinentes (dont l'utilisation de la MMC)

Comment ce fw va-t-il savoir que la sortie en TCP/80 est le virus
duschmoll qui va prendre ses ordres chez tartempion?

Ca c'est ton antivirus qui pourra te le signaler (i.e. si tu disposes
d'un bon AV à jour et efficace en détection) ou ton bloqueur (i.e. il
surveille et empêche exécution/injection de code)

Ok au moins j'arrête ici de suite.
Je quote quelque ligne de ton post :

======== >> Si je vais du SMTP ou du POP sur du 80/TCP ton fw reseau (non

applicatif) stateful il en sait quoi?

Ca dépend de ta configuration et du paramétrage des règles du FW.
======= > Ben *non* justement, ça ne depend pas, il faut quelque chose en plus.
CQFD.

Il me semble avoir précisé plus haut tous les éléments important.
Si ce n'est pas le cas précises le moi.

Et justement l'interêt d'avoir sur le poste client, en plus d'un
éventuelle "fw reseau" à la sortie du LAN, un fw perso qui sait quelle
application est lancée (avec un minimum de contrôle de l'appli, genre
sha1 du binaire et des dll) est qu'on va détecter une tentative de sortie
illégitime [3], genre IE par 80/TCP alors que firefox a le droit mais pas
IE.

Je suis d'accord avec toi. Je n'ai pas remis cela en question.

Mais observes bien comment fonctionne ce FW et tu verras qu'il peut
remplacer un FW perso.

Accessoirement ça permet aussi d'empêcher un MUA de sortir sur autre
chose que 25,110, 995, 465 etc /TCP pour éviter -entre autre- les liens
sur des images externes qui permettent de savoir quand et d'où l'email a
été ouvert.

Exact.

Il empèche certes certaines attaques réseau mais *justement pas*
celles des trojans.

Je pense que Fabien a saisi mon propos.

Au point de te dire qu'il a mis le fw en place et qu'il attend ta config.

Ce FW se configure en fonction de SON propre environnement.

Je suis au moins d'accord avec toi : je pense que Fabien a très bien
saisi ton propos :)

Je verrai dans la suite de nos échanges...

Je ne suis pas en train de dire qu'un FW ou celui-là (i.e. Net
Firewall) bloque/empéche toutes les formes d'attaques par trojans.

Si ce n'est pas un fw applicatif c'est à mon avis un manque important
pour le mettre sur le poste de M. Michu.

Je n'ai pas dit que ce FW remplaçait tout voyons !!!

Certes. Mais amha il est tout simplement insuffisant, *surtout pour un
Mme
Michu* s'il ne contrôle pas quelle appli communique (avec la possibilité
de blocage bien sur! :) ).

Je te rappelle que tu peux définir avec la MMC une politique de groupe et
que tu peux contrôler tout le traffic. Maintenant même si je le trouve
efficace et suffisant pour remplir cette fonction, je n'ai pas confiance
en une seule solution donc j'ai un bloqueur pour contrôler tout ce qui est
exécuté ou lancé.

On est bien d'accord.
Je n'ai pas présenté ce FW comme un remplaçant ou la solution miracle
à tous les problèmes réseaux. Simplement il fait très bien son
boulot. C'est tout ce que j'attends d'un logiciel.

Pour moi il fait peut être (non tester) très bien ce qu'il annonce, mais
ce qu'il annonce est clairement insuffisant pour un fw perso
(workstation)

Amha non mais j'attends tes commentaires après ton test.

(je laisse tes notes pour la bonne compréhension de notre échange)

Eric.

[1] voir <ri1091dpv40erinmevdg632feev4vpocnc@4ax.com>
où Fabien indique :
"J'ai l'impression qu'il ne filtre pas par application, et donc est
équivalent à un firewall qui tourne sur un routeur". (C'est d'ailleurs
mon cerveau ensommeillé qui a confondu le sens 'par application' (qui
envoit) avec 'applicatif' (utilisation d'un proxy par exemple qui permet
de s'assurer que ce qui passe sur du 80/TCP est bien du http).

[2] Net Firewall est un fw statefull complet destiner à protéger les
systemes windows qui ne sont pas actuellement protégés par un fw

--
We have no control over the length of Our lives but We can control the
width and depth of Our lives.