Je viens d'installer le pack 2 de windows XP et je me pose cette question :
entre le pare feu de Bill et Sygate : comment faire pour bien choisir ? 8-o
Merci
On Wed, 04 May 2005 16:48:38 +0000, Cedric Blancher wrote:
Le Tue, 03 May 2005 09:34:08 +0000, Florent Clairambault a écrit :
Maximiser la protection des antivirus ne sert à rien, tant qu'on protège l'execution des executables et la vérification des fichiers écrits c'est bon.
Je t'arrête tout de suite. Ce n'est clairement pas suffisant.
Tiens, ça me rappelle le fonctionnement d'un certain AV, ça ... Bon OK, j'arrête ;-)
Plus sérieusement : il existe déjà certains virus/vers "in the wild" qui n'ont pas besoin d'un accès au disque et du lancement d'un programme externe pour réaliser leur tâche.
Prenons le cas de Slammer, dont la description technique de l'attaque contient seulement 4 étapes : - envoyer un paquet UDP vers le port 1434 (MSSQL) - exploiter un buffer overflow afin de prendre le contrôle du processus - faire un appel à GetTickCount() pour avoir une "seed" pseudo-aléatoire - tenter de se reproduire (envoi massif de paquets UDP) http://securityresponse.symantec.com/avcenter/venc/data/w32.sqlexp.worm.html
Pas d'accès au disque, pas d'exécution de binaire "étranger". Mais bon, là, c'est pas l'AV qui pourra beaucoup aider. Vaut mieux partir su de l'audit de code ...
Nicob
On Wed, 04 May 2005 16:48:38 +0000, Cedric Blancher wrote:
Le Tue, 03 May 2005 09:34:08 +0000, Florent Clairambault a écrit :
Maximiser la protection des antivirus ne sert à rien, tant qu'on
protège l'execution des executables et la vérification des fichiers
écrits c'est bon.
Je t'arrête tout de suite. Ce n'est clairement pas suffisant.
Tiens, ça me rappelle le fonctionnement d'un certain AV, ça ...
Bon OK, j'arrête ;-)
Plus sérieusement : il existe déjà certains virus/vers "in the wild" qui
n'ont pas besoin d'un accès au disque et du lancement d'un programme
externe pour réaliser leur tâche.
Prenons le cas de Slammer, dont la description technique de l'attaque
contient seulement 4 étapes :
- envoyer un paquet UDP vers le port 1434 (MSSQL)
- exploiter un buffer overflow afin de prendre le contrôle du processus
- faire un appel à GetTickCount() pour avoir une "seed" pseudo-aléatoire
- tenter de se reproduire (envoi massif de paquets UDP)
http://securityresponse.symantec.com/avcenter/venc/data/w32.sqlexp.worm.html
Pas d'accès au disque, pas d'exécution de binaire "étranger". Mais bon,
là, c'est pas l'AV qui pourra beaucoup aider. Vaut mieux partir su de
l'audit de code ...
On Wed, 04 May 2005 16:48:38 +0000, Cedric Blancher wrote:
Le Tue, 03 May 2005 09:34:08 +0000, Florent Clairambault a écrit :
Maximiser la protection des antivirus ne sert à rien, tant qu'on protège l'execution des executables et la vérification des fichiers écrits c'est bon.
Je t'arrête tout de suite. Ce n'est clairement pas suffisant.
Tiens, ça me rappelle le fonctionnement d'un certain AV, ça ... Bon OK, j'arrête ;-)
Plus sérieusement : il existe déjà certains virus/vers "in the wild" qui n'ont pas besoin d'un accès au disque et du lancement d'un programme externe pour réaliser leur tâche.
Prenons le cas de Slammer, dont la description technique de l'attaque contient seulement 4 étapes : - envoyer un paquet UDP vers le port 1434 (MSSQL) - exploiter un buffer overflow afin de prendre le contrôle du processus - faire un appel à GetTickCount() pour avoir une "seed" pseudo-aléatoire - tenter de se reproduire (envoi massif de paquets UDP) http://securityresponse.symantec.com/avcenter/venc/data/w32.sqlexp.worm.html
Pas d'accès au disque, pas d'exécution de binaire "étranger". Mais bon, là, c'est pas l'AV qui pourra beaucoup aider. Vaut mieux partir su de l'audit de code ...
Nicob
Nicob
On Thu, 05 May 2005 15:52:11 +0000, Laurent Blume wrote:
Est-ce que cela signifie que n'importe quelle application peut modifier les règles sans prévenir?
D'après la FAQ d'eMule, cela est possible sans problème sous WinXP SP1 ou inférieur. Par contre, je ne sais pas s'il y une astuce de ce type pour WinXP SP2 ...
On Thu, 05 May 2005 15:52:11 +0000, Laurent Blume wrote:
Est-ce que cela signifie que n'importe quelle application peut modifier
les règles sans prévenir?
D'après la FAQ d'eMule, cela est possible sans problème sous WinXP SP1
ou inférieur. Par contre, je ne sais pas s'il y une astuce de ce type
pour WinXP SP2 ...
On Thu, 05 May 2005 15:52:11 +0000, Laurent Blume wrote:
Est-ce que cela signifie que n'importe quelle application peut modifier les règles sans prévenir?
D'après la FAQ d'eMule, cela est possible sans problème sous WinXP SP1 ou inférieur. Par contre, je ne sais pas s'il y une astuce de ce type pour WinXP SP2 ...
http://www.microsoft.com/technet/community/columns/cableguy/cg0204.mspx Applications can use Windows Firewall application programming interface (API) function calls to automatically add exceptions. [...]
Wow... Alors là, je ne comprends pas : c'est bien le site de Microsoft, et on n'est pas le 1er avril.
En fait si, je crois comprendre : Windows est parfait et incorruptible, les troyens n'existent pas, et tout code qui est exécuté l'est forcément avec l'aval de l'utilisateur ou de Microsoft.
Enfin bon, ça devrait rassurer les éditeurs de firewalls personnels sur leur avenir...
-- Le grand site de la philosophie animale : <http://perso.edulang.com/philo/>
On 05 May 2005 15:52:11 GMT, Laurent Blume
<laurent_news200504@elanor.org>:
http://www.microsoft.com/technet/community/columns/cableguy/cg0204.mspx
Applications can use Windows Firewall application programming interface (API)
function calls to automatically add exceptions. [...]
Wow... Alors là, je ne comprends pas : c'est bien le site de
Microsoft, et on n'est pas le 1er avril.
En fait si, je crois comprendre : Windows est parfait et
incorruptible, les troyens n'existent pas, et tout code qui est
exécuté l'est forcément avec l'aval de l'utilisateur ou de Microsoft.
Enfin bon, ça devrait rassurer les éditeurs de firewalls personnels
sur leur avenir...
--
Le grand site de la philosophie animale : <http://perso.edulang.com/philo/>
http://www.microsoft.com/technet/community/columns/cableguy/cg0204.mspx Applications can use Windows Firewall application programming interface (API) function calls to automatically add exceptions. [...]
Wow... Alors là, je ne comprends pas : c'est bien le site de Microsoft, et on n'est pas le 1er avril.
En fait si, je crois comprendre : Windows est parfait et incorruptible, les troyens n'existent pas, et tout code qui est exécuté l'est forcément avec l'aval de l'utilisateur ou de Microsoft.
Enfin bon, ça devrait rassurer les éditeurs de firewalls personnels sur leur avenir...
-- Le grand site de la philosophie animale : <http://perso.edulang.com/philo/>
Cedric Blancher
Le Thu, 05 May 2005 21:16:22 +0000, Fabien LE LEZ a écrit :
En fait si, je crois comprendre : Windows est parfait et incorruptible, les troyens n'existent pas, et tout code qui est exécuté l'est forcément avec l'aval de l'utilisateur ou de Microsoft.
Essayons avec un autre truc qu'aiment bien les gens de Redmond : UPnP.
Donc pour le moment, ta backdoor, pourvu que l'utilisateur qui l'exécute ait assez de droits pour modifier la configuration du firewall, est capable de se coller en écoute sur un port quelconque de ton XP en demandant juste au firewall de la laisser faire. Soit. Mais si le gars est derrière un routeur qui NAT, tu ne peux pas y accéder sauf si...
Sauf si ce routeur est UPnP compliant, pardi ! La backdoor dispose alors d'une interface très sympathique pour demander gentillement (évidemment) au routeur de mettre en place une redirection de port temporaire, comme le font certains logiciels P2P ou des trucs comme Skype.
Scary isn't it ? :)
--
Ouais, y m'faut un autocollant "Les debianistes sont sympas". Avec une photo de barbu trahissant une surcharge pondérale, transpirant
dans son marcel, les mains sur le volant de son 30 tonn^W^Wemacs. -+- LR in GFA : "Ça roule ma poule" -+-
Le Thu, 05 May 2005 21:16:22 +0000, Fabien LE LEZ a écrit :
En fait si, je crois comprendre : Windows est parfait et
incorruptible, les troyens n'existent pas, et tout code qui est
exécuté l'est forcément avec l'aval de l'utilisateur ou de Microsoft.
Essayons avec un autre truc qu'aiment bien les gens de Redmond : UPnP.
Donc pour le moment, ta backdoor, pourvu que l'utilisateur qui l'exécute
ait assez de droits pour modifier la configuration du firewall, est
capable de se coller en écoute sur un port quelconque de ton XP en
demandant juste au firewall de la laisser faire. Soit. Mais si le gars est
derrière un routeur qui NAT, tu ne peux pas y accéder sauf si...
Sauf si ce routeur est UPnP compliant, pardi ! La backdoor dispose alors
d'une interface très sympathique pour demander gentillement (évidemment)
au routeur de mettre en place une redirection de port temporaire, comme le
font certains logiciels P2P ou des trucs comme Skype.
Scary isn't it ? :)
--
Ouais, y m'faut un autocollant "Les debianistes sont sympas".
Avec une photo de barbu trahissant une surcharge pondérale, transpirant
dans son marcel, les mains sur le volant de son 30 tonn^W^Wemacs.
-+- LR in GFA : "Ça roule ma poule" -+-
Le Thu, 05 May 2005 21:16:22 +0000, Fabien LE LEZ a écrit :
En fait si, je crois comprendre : Windows est parfait et incorruptible, les troyens n'existent pas, et tout code qui est exécuté l'est forcément avec l'aval de l'utilisateur ou de Microsoft.
Essayons avec un autre truc qu'aiment bien les gens de Redmond : UPnP.
Donc pour le moment, ta backdoor, pourvu que l'utilisateur qui l'exécute ait assez de droits pour modifier la configuration du firewall, est capable de se coller en écoute sur un port quelconque de ton XP en demandant juste au firewall de la laisser faire. Soit. Mais si le gars est derrière un routeur qui NAT, tu ne peux pas y accéder sauf si...
Sauf si ce routeur est UPnP compliant, pardi ! La backdoor dispose alors d'une interface très sympathique pour demander gentillement (évidemment) au routeur de mettre en place une redirection de port temporaire, comme le font certains logiciels P2P ou des trucs comme Skype.
Scary isn't it ? :)
--
Ouais, y m'faut un autocollant "Les debianistes sont sympas". Avec une photo de barbu trahissant une surcharge pondérale, transpirant
dans son marcel, les mains sur le volant de son 30 tonn^W^Wemacs. -+- LR in GFA : "Ça roule ma poule" -+-
Fabien LE LEZ
On 05 May 2005 15:52:11 GMT, Laurent Blume :
Est-ce que cela signifie que n'importe quelle application peut modifier les règles sans prévenir?
À bien y réfléchir, est-ce vraiment gênant ? Le firewall de XPSP2 est fait dans l'optique que les troyens n'existent pas ; du coup, il ne filtre pas en sortie. Alors, permettre aux applications d'ouvrir des ports en entrée n'est pas franchement choquant.
Du coup, de deux choses l'une : soit on est 100 % sûr qu'aucun troyen ne se trouve(ra) sur la machine, et dans ce cas ce firewall convient, soit on n'en est pas sûr, et dans ce cas il ne convient pas.
L'utilisation normale d'une station de travail correspond au deuxième cas, mais en se creusant un peu la tête, on doit pouvoir trouver des exemples pour le premier cas.
-- Le grand site de la philosophie animale : <http://perso.edulang.com/philo/>
On 05 May 2005 15:52:11 GMT, Laurent Blume
<laurent_news200504@elanor.org>:
Est-ce que cela signifie que n'importe quelle application peut modifier les
règles sans prévenir?
À bien y réfléchir, est-ce vraiment gênant ?
Le firewall de XPSP2 est fait dans l'optique que les troyens
n'existent pas ; du coup, il ne filtre pas en sortie. Alors, permettre
aux applications d'ouvrir des ports en entrée n'est pas franchement
choquant.
Du coup, de deux choses l'une : soit on est 100 % sûr qu'aucun troyen
ne se trouve(ra) sur la machine, et dans ce cas ce firewall convient,
soit on n'en est pas sûr, et dans ce cas il ne convient pas.
L'utilisation normale d'une station de travail correspond au deuxième
cas, mais en se creusant un peu la tête, on doit pouvoir trouver des
exemples pour le premier cas.
--
Le grand site de la philosophie animale : <http://perso.edulang.com/philo/>
Est-ce que cela signifie que n'importe quelle application peut modifier les règles sans prévenir?
À bien y réfléchir, est-ce vraiment gênant ? Le firewall de XPSP2 est fait dans l'optique que les troyens n'existent pas ; du coup, il ne filtre pas en sortie. Alors, permettre aux applications d'ouvrir des ports en entrée n'est pas franchement choquant.
Du coup, de deux choses l'une : soit on est 100 % sûr qu'aucun troyen ne se trouve(ra) sur la machine, et dans ce cas ce firewall convient, soit on n'en est pas sûr, et dans ce cas il ne convient pas.
L'utilisation normale d'une station de travail correspond au deuxième cas, mais en se creusant un peu la tête, on doit pouvoir trouver des exemples pour le premier cas.
-- Le grand site de la philosophie animale : <http://perso.edulang.com/philo/>
LaDDL
On Thu, 05 May 2005 17:52:11 +0200, Laurent Blume wrote: Est-ce que cela signifie que n'importe quelle application peut modifier les règles sans prévenir?
Windows Firewall sous XP SP2 ne filtre pas le traffic sortant. Donc si un utilisateur ne dispose pas d'un antivirus à jour sur sa machine il peut être victime d'un cheval de troie.
Windows Firewall sous XP SP2 offre la possibilité de définir des zones de confiance pour les applications si l'on a tous les droits sur la machine.
Si oui, quelles sont les protections?
Un bon antivirus à jour plus une solution logicielle bloquant les évènements malveillants et Windows Firewall sous XP SP2 bien configuré offre à l'utilisateur un bon niveau de protection.
-- We have no control over the length of Our lives but We can control the width and depth of Our lives.
On Thu, 05 May 2005 17:52:11 +0200, Laurent Blume
<laurent_news200504@elanor.org> wrote:
Est-ce que cela signifie que n'importe quelle application peut modifier
les règles sans prévenir?
Windows Firewall sous XP SP2 ne filtre pas le traffic sortant. Donc si un
utilisateur ne dispose pas d'un antivirus à jour sur sa machine il peut
être
victime d'un cheval de troie.
Windows Firewall sous XP SP2 offre la possibilité de définir des zones de
confiance pour les applications si l'on a tous les droits sur la machine.
Si oui, quelles sont les protections?
Un bon antivirus à jour plus une solution logicielle bloquant les
évènements malveillants
et Windows Firewall sous XP SP2 bien configuré offre à l'utilisateur un
bon niveau de protection.
--
We have no control over the length of Our lives but We can control the
width and depth of Our lives.
On Thu, 05 May 2005 17:52:11 +0200, Laurent Blume wrote: Est-ce que cela signifie que n'importe quelle application peut modifier les règles sans prévenir?
Windows Firewall sous XP SP2 ne filtre pas le traffic sortant. Donc si un utilisateur ne dispose pas d'un antivirus à jour sur sa machine il peut être victime d'un cheval de troie.
Windows Firewall sous XP SP2 offre la possibilité de définir des zones de confiance pour les applications si l'on a tous les droits sur la machine.
Si oui, quelles sont les protections?
Un bon antivirus à jour plus une solution logicielle bloquant les évènements malveillants et Windows Firewall sous XP SP2 bien configuré offre à l'utilisateur un bon niveau de protection.
-- We have no control over the length of Our lives but We can control the width and depth of Our lives.
Fabien LE LEZ
On 06 May 2005 08:32:25 GMT, LaDDL :
Donc si un utilisateur ne dispose pas d'un antivirus à jour sur sa machine il peut être victime d'un cheval de troie.
Et même s'il dispose d'un antivirus à jour sur sa machine, mais que le troyen est sufisamment nouveau/peu répandu.
Si oui, quelles sont les protections?
Un bon antivirus à jour
plus une solution logicielle bloquant les évènements malveillants
Ça s'appelle un firewall personnel, ça, non ? On retombe sur la question initiale : peut-on sérieusement envisager d'avoir une machine avec aucun autre firewall que celui de Windows XP (SP2) ? Et si on est obligé d'avoir un autre firewall, à quoi sert le firewall de Windows XP ?
-- Le grand site de la philosophie animale : <http://perso.edulang.com/philo/>
On 06 May 2005 08:32:25 GMT, LaDDL <bounce@localhost.fr>:
Donc si un
utilisateur ne dispose pas d'un antivirus à jour sur sa machine il peut
être
victime d'un cheval de troie.
Et même s'il dispose d'un antivirus à jour sur sa machine, mais que le
troyen est sufisamment nouveau/peu répandu.
Si oui, quelles sont les protections?
Un bon antivirus à jour
plus une solution logicielle bloquant les évènements malveillants
Ça s'appelle un firewall personnel, ça, non ?
On retombe sur la question initiale : peut-on sérieusement envisager
d'avoir une machine avec aucun autre firewall que celui de
Windows XP (SP2) ?
Et si on est obligé d'avoir un autre firewall, à quoi sert le firewall
de Windows XP ?
--
Le grand site de la philosophie animale : <http://perso.edulang.com/philo/>
Donc si un utilisateur ne dispose pas d'un antivirus à jour sur sa machine il peut être victime d'un cheval de troie.
Et même s'il dispose d'un antivirus à jour sur sa machine, mais que le troyen est sufisamment nouveau/peu répandu.
Si oui, quelles sont les protections?
Un bon antivirus à jour
plus une solution logicielle bloquant les évènements malveillants
Ça s'appelle un firewall personnel, ça, non ? On retombe sur la question initiale : peut-on sérieusement envisager d'avoir une machine avec aucun autre firewall que celui de Windows XP (SP2) ? Et si on est obligé d'avoir un autre firewall, à quoi sert le firewall de Windows XP ?
-- Le grand site de la philosophie animale : <http://perso.edulang.com/philo/>
Laurent Blume
LaDDL wrote:
Windows Firewall sous XP SP2 ne filtre pas le traffic sortant. Donc si un utilisateur ne dispose pas d'un antivirus à jour sur sa machine il peut être victime d'un cheval de troie.
Hmmm, on peut aussi être victime d'un cheval de Troie avec un antivirus parfaitement à jour. Et si j'ai bien compris la page, et les réponses obtenues, le cheval de Troie peut ensuite tranquillement ouvrir des ports entrants aussi? C'est intéressant.
Windows Firewall sous XP SP2 offre la possibilité de définir des zones de confiance pour les applications si l'on a tous les droits sur la machine.
Finalement, c'est la partie surveillance applicative qui semble le plus fonctionnelle, d'après ce que j'en lis.
Un bon antivirus à jour plus une solution logicielle bloquant les évènements malveillants et Windows Firewall sous XP SP2 bien configuré offre à l'utilisateur un bon niveau de protection.
Par curiosité, quel est le coût annuel d'une telle sécurité (màj OS tous les 2/3 ans, màj annuelle AV, màj annelle FW, ...), avec des licences pour un particulier? Je ne connais plus tellement les ordres de prix des licences dans le monde Windows. Curieusement, les gens que je connais qui se servent des ces produits ont tendance à utiliser des générateurs de clefs, et ne peuvent donc pas me renseigner.
Laurent
LaDDL wrote:
Windows Firewall sous XP SP2 ne filtre pas le traffic sortant. Donc si un
utilisateur ne dispose pas d'un antivirus à jour sur sa machine il peut être
victime d'un cheval de troie.
Hmmm, on peut aussi être victime d'un cheval de Troie avec un antivirus
parfaitement à jour.
Et si j'ai bien compris la page, et les réponses obtenues, le cheval de Troie
peut ensuite tranquillement ouvrir des ports entrants aussi? C'est intéressant.
Windows Firewall sous XP SP2 offre la possibilité de définir des zones de
confiance pour les applications si l'on a tous les droits sur la machine.
Finalement, c'est la partie surveillance applicative qui semble le plus
fonctionnelle, d'après ce que j'en lis.
Un bon antivirus à jour plus une solution logicielle bloquant les évènements
malveillants et Windows Firewall sous XP SP2 bien configuré offre à
l'utilisateur un bon niveau de protection.
Par curiosité, quel est le coût annuel d'une telle sécurité (màj OS tous les 2/3
ans, màj annuelle AV, màj annelle FW, ...), avec des licences pour un
particulier? Je ne connais plus tellement les ordres de prix des licences dans
le monde Windows.
Curieusement, les gens que je connais qui se servent des ces produits ont
tendance à utiliser des générateurs de clefs, et ne peuvent donc pas me renseigner.
Windows Firewall sous XP SP2 ne filtre pas le traffic sortant. Donc si un utilisateur ne dispose pas d'un antivirus à jour sur sa machine il peut être victime d'un cheval de troie.
Hmmm, on peut aussi être victime d'un cheval de Troie avec un antivirus parfaitement à jour. Et si j'ai bien compris la page, et les réponses obtenues, le cheval de Troie peut ensuite tranquillement ouvrir des ports entrants aussi? C'est intéressant.
Windows Firewall sous XP SP2 offre la possibilité de définir des zones de confiance pour les applications si l'on a tous les droits sur la machine.
Finalement, c'est la partie surveillance applicative qui semble le plus fonctionnelle, d'après ce que j'en lis.
Un bon antivirus à jour plus une solution logicielle bloquant les évènements malveillants et Windows Firewall sous XP SP2 bien configuré offre à l'utilisateur un bon niveau de protection.
Par curiosité, quel est le coût annuel d'une telle sécurité (màj OS tous les 2/3 ans, màj annuelle AV, màj annelle FW, ...), avec des licences pour un particulier? Je ne connais plus tellement les ordres de prix des licences dans le monde Windows. Curieusement, les gens que je connais qui se servent des ces produits ont tendance à utiliser des générateurs de clefs, et ne peuvent donc pas me renseigner.
Laurent
LaDDL
On Fri, 06 May 2005 13:46:54 +0200, Fabien LE LEZ wrote:
On 06 May 2005 08:32:25 GMT, LaDDL :
Donc si un utilisateur ne dispose pas d'un antivirus à jour sur sa machine il peut être victime d'un cheval de troie.
Et même s'il dispose d'un antivirus à jour sur sa machine, mais que le troyen est sufisamment nouveau/peu répandu.
Mettons-nous dans le contexte d'un particulier disposant d'un PC isolé connecté à Internet en haut débit sous XP SP2. Comment peut-il aujourd'hui se protéger contre toutes les formes d'attaques/intrusions y compris chevaux de troie et autres malwares?
En bref, en ayant une approche multi-niveaux :
1/ Il doit installer un antivirus i.e. disposant d'un très bon moteur d'analyse heuristique en plus des autres mécanismes de détection.
2/ Il doit configurer & optimiser Windows Firewall.
3/ Si toutefois ces deux premières contre-mesures de sécurité étaient bypassées un bloqueur empêcherait l'injection de code et d'autres malveillances. Donc en ajoutant un contrôle au niveau des applications, du système l'utilisateur limites les risques. Exemple de bloqueurs efficaces pour les particuliers : ProcessGuard : http://www.diamondcs.com.au/processguard/ SSM : http://maxcomputing.narod.ru/ssme.html?lang=en
4/ Il est aussi vivement recommandé d'optimiser : son SE/OS ses applications
5/ Maintenir à jour son environnement
Si oui, quelles sont les protections?
Un bon antivirus à jour
plus une solution logicielle bloquant les évènements malveillants
Ça s'appelle un firewall personnel, ça, non ?
Non un bloqueur autrement dit un système d'analyse comportementale. Cf ci-haut les deux solutions proposées.
On retombe sur la question initiale : peut-on sérieusement envisager d'avoir une machine avec aucun autre firewall que celui de Windows XP (SP2) ?
Oui si l'on applique un certain nombre de contre-mesures (celles citées plus haut), que l'on maintient son environnement à jour, que l'on optimise son SE/OS et ses applications, etc.
Et si on est obligé d'avoir un autre firewall, à quoi sert le firewall de Windows XP ?
Je conseille de le désactiver si l'on souhaite installer un autre FW sur sa machine. En clair on ferme le service.
Encore une fois un FW nécessite d'être bien configuré pour être efficace. Cela demande d'avoir amha qq connaissances en réseau et protocoles pour pouvoir définir des règles de filtrage ou des zones de confiance.
-- We have no control over the length of Our lives but We can control the width and depth of Our lives.
On Fri, 06 May 2005 13:46:54 +0200, Fabien LE LEZ <gramster@gramster.com>
wrote:
On 06 May 2005 08:32:25 GMT, LaDDL <bounce@localhost.fr>:
Donc si un
utilisateur ne dispose pas d'un antivirus à jour sur sa machine il peut
être
victime d'un cheval de troie.
Et même s'il dispose d'un antivirus à jour sur sa machine, mais que le
troyen est sufisamment nouveau/peu répandu.
Mettons-nous dans le contexte d'un particulier disposant d'un PC isolé
connecté à Internet en haut débit sous XP SP2. Comment peut-il aujourd'hui
se protéger contre toutes les formes d'attaques/intrusions y compris
chevaux de troie et autres malwares?
En bref, en ayant une approche multi-niveaux :
1/ Il doit installer un antivirus i.e. disposant d'un très bon moteur
d'analyse heuristique en plus des autres mécanismes de détection.
2/ Il doit configurer & optimiser Windows Firewall.
3/ Si toutefois ces deux premières contre-mesures de sécurité étaient
bypassées un bloqueur empêcherait l'injection de code et d'autres
malveillances. Donc en ajoutant un contrôle au niveau des applications, du
système l'utilisateur limites les risques. Exemple de bloqueurs efficaces
pour les particuliers :
ProcessGuard : http://www.diamondcs.com.au/processguard/
SSM : http://maxcomputing.narod.ru/ssme.html?lang=en
4/ Il est aussi vivement recommandé d'optimiser :
son SE/OS
ses applications
5/ Maintenir à jour son environnement
Si oui, quelles sont les protections?
Un bon antivirus à jour
plus une solution logicielle bloquant les évènements malveillants
Ça s'appelle un firewall personnel, ça, non ?
Non un bloqueur autrement dit un système d'analyse comportementale. Cf
ci-haut les deux solutions proposées.
On retombe sur la question initiale : peut-on sérieusement envisager
d'avoir une machine avec aucun autre firewall que celui de
Windows XP (SP2) ?
Oui si l'on applique un certain nombre de contre-mesures (celles citées
plus haut), que l'on maintient son environnement à jour, que l'on optimise
son SE/OS et ses applications, etc.
Et si on est obligé d'avoir un autre firewall, à quoi sert le firewall
de Windows XP ?
Je conseille de le désactiver si l'on souhaite installer un autre FW sur
sa machine. En clair on ferme le service.
Encore une fois un FW nécessite d'être bien configuré pour être efficace.
Cela demande d'avoir amha qq connaissances en réseau et protocoles pour
pouvoir définir des règles de filtrage ou des zones de confiance.
--
We have no control over the length of Our lives but We can control the
width and depth of Our lives.
On Fri, 06 May 2005 13:46:54 +0200, Fabien LE LEZ wrote:
On 06 May 2005 08:32:25 GMT, LaDDL :
Donc si un utilisateur ne dispose pas d'un antivirus à jour sur sa machine il peut être victime d'un cheval de troie.
Et même s'il dispose d'un antivirus à jour sur sa machine, mais que le troyen est sufisamment nouveau/peu répandu.
Mettons-nous dans le contexte d'un particulier disposant d'un PC isolé connecté à Internet en haut débit sous XP SP2. Comment peut-il aujourd'hui se protéger contre toutes les formes d'attaques/intrusions y compris chevaux de troie et autres malwares?
En bref, en ayant une approche multi-niveaux :
1/ Il doit installer un antivirus i.e. disposant d'un très bon moteur d'analyse heuristique en plus des autres mécanismes de détection.
2/ Il doit configurer & optimiser Windows Firewall.
3/ Si toutefois ces deux premières contre-mesures de sécurité étaient bypassées un bloqueur empêcherait l'injection de code et d'autres malveillances. Donc en ajoutant un contrôle au niveau des applications, du système l'utilisateur limites les risques. Exemple de bloqueurs efficaces pour les particuliers : ProcessGuard : http://www.diamondcs.com.au/processguard/ SSM : http://maxcomputing.narod.ru/ssme.html?lang=en
4/ Il est aussi vivement recommandé d'optimiser : son SE/OS ses applications
5/ Maintenir à jour son environnement
Si oui, quelles sont les protections?
Un bon antivirus à jour
plus une solution logicielle bloquant les évènements malveillants
Ça s'appelle un firewall personnel, ça, non ?
Non un bloqueur autrement dit un système d'analyse comportementale. Cf ci-haut les deux solutions proposées.
On retombe sur la question initiale : peut-on sérieusement envisager d'avoir une machine avec aucun autre firewall que celui de Windows XP (SP2) ?
Oui si l'on applique un certain nombre de contre-mesures (celles citées plus haut), que l'on maintient son environnement à jour, que l'on optimise son SE/OS et ses applications, etc.
Et si on est obligé d'avoir un autre firewall, à quoi sert le firewall de Windows XP ?
Je conseille de le désactiver si l'on souhaite installer un autre FW sur sa machine. En clair on ferme le service.
Encore une fois un FW nécessite d'être bien configuré pour être efficace. Cela demande d'avoir amha qq connaissances en réseau et protocoles pour pouvoir définir des règles de filtrage ou des zones de confiance.
-- We have no control over the length of Our lives but We can control the width and depth of Our lives.
Cedric Blancher
Le Fri, 06 May 2005 13:49:08 +0000, LaDDL a écrit :
En bref, en ayant une approche multi-niveaux :
Est-ce que c'est Mme Michu compliant comme approche ? Parce que c'est les Michu & Co qui ont leur PC pleins de spywares et autres saloperies et que ça ne dérange pas à plus de 60% (j'ai plus l'URL de l'étude sous la main)...
--
Il [e2fsck] a bien démarré, mais il m'a rendu la main aussitot en me disant "houlala, c'est pas beau à voir votre truc, je préfèrerai que vous teniez vous même la tronçonneuse" (traduction libre) NC in Guide du linuxien pervers : "Bien configurer sa tronçonneuse."
Le Fri, 06 May 2005 13:49:08 +0000, LaDDL a écrit :
En bref, en ayant une approche multi-niveaux :
Est-ce que c'est Mme Michu compliant comme approche ? Parce que c'est les
Michu & Co qui ont leur PC pleins de spywares et autres saloperies et que
ça ne dérange pas à plus de 60% (j'ai plus l'URL de l'étude sous la
main)...
--
Il [e2fsck] a bien démarré, mais il m'a rendu la main aussitot en me
disant "houlala, c'est pas beau à voir votre truc, je préfèrerai que
vous teniez vous même la tronçonneuse" (traduction libre)
NC in Guide du linuxien pervers : "Bien configurer sa tronçonneuse."
Le Fri, 06 May 2005 13:49:08 +0000, LaDDL a écrit :
En bref, en ayant une approche multi-niveaux :
Est-ce que c'est Mme Michu compliant comme approche ? Parce que c'est les Michu & Co qui ont leur PC pleins de spywares et autres saloperies et que ça ne dérange pas à plus de 60% (j'ai plus l'URL de l'étude sous la main)...
--
Il [e2fsck] a bien démarré, mais il m'a rendu la main aussitot en me disant "houlala, c'est pas beau à voir votre truc, je préfèrerai que vous teniez vous même la tronçonneuse" (traduction libre) NC in Guide du linuxien pervers : "Bien configurer sa tronçonneuse."
