comparatif

LaDDL wrote:
Windows Firewall sous XP SP2 ne filtre pas le traffic sortant. Donc si
un
utilisateur ne dispose pas d'un antivirus à jour sur sa machine il peut
être
victime d'un cheval de troie.

Hmmm, on peut aussi être victime d'un cheval de Troie avec un antivirus
parfaitement à jour.

Bien sûr et ça dépend de beaucoup de paramètres...

Mais un utilisateur lambda équipé d'un bon AV + Windows Firewall XP SP2
d'activé + bloqueur + SE/OS à jour + sensibilisé aux risques sur les
réseaux pourra limiter sérieusement l'impact d'une attaque ou la
progression d'un attaquant (même si ce dernier arrivait à bypasser le FW
et killer l'AV).

Et si j'ai bien compris la page, et les réponses obtenues, le cheval de
Troie
peut ensuite tranquillement ouvrir des ports entrants aussi? C'est
intéressant.

Encore faut-il arriver à rentrer...

Mais il est clair qu'un utilisateur lambda sous XP SP2 avec pour seule
protection Windows Firewall d'activé est vulnérable à ce type d'attaque
comme à de nombreuses autres!

Windows Firewall sous XP SP2 offre la possibilité de définir des zones
de
confiance pour les applications si l'on a tous les droits sur la
machine.

Finalement, c'est la partie surveillance applicative qui semble le plus
fonctionnelle, d'après ce que j'en lis.

Oui mais il y a aussi plein d'autres choses intéressantes...

Un bon antivirus à jour plus une solution logicielle bloquant les
évènements
malveillants et Windows Firewall sous XP SP2 bien configuré offre à
l'utilisateur un bon niveau de protection.

Par curiosité, quel est le coût annuel d'une telle sécurité (màj OS tous
les 2/3
ans, màj annuelle AV, màj annelle FW, ...), avec des licences pour un
particulier?

Une nouvelle version d'un OS MS (Apple ou MS) et sa MAJ faut compter entre
150 et 250 euros.
Une license d'un an pour un AV effectuant des MAJ quotidiennes (critère de
choix indispensable de nos jours) et non hebdomadaires ou mensuelles il
faut compter entre 30 et 60 euros.
Une license pour un FW personnel il faut compter entre 30 et 50 euros.
Une license pour un bloqueur il faut compter 30 à 50 euros.
Pour les autres tools (antispyware, scanner, etc) je suggère les solutions
gratuites et libres.

Je ne connais plus tellement les ordres de prix des licences dans
le monde Windows.

Voilà ce que c'est de se couper de la réalité. ;p

Pour ma part j'utilise :
MS avec des licenses pour certains produits et du LL pour d'autres
Apple qu'avec du LL sauf pour certaines applications de graphisme et vidéo
Sous les *NIX des licenses et du LL

Curieusement, les gens que je connais qui se servent des ces produits ont
tendance à utiliser des générateurs de clefs, et ne peuvent donc pas me
renseigner.

Amha c'est complétement idiot, quand on a pas les moyens ou parce que pour
je ne sais quelles raisons on ne veut pas acheter une license il y a plein
d'alternatives libres et gratuites!
Tu peux par exemple avoir un OS MS (ici dans notre discussion un XP SP2)
et l'équiper uniquement d'applications libres et gratuites! Si si c'est
possible ;)


--
We have no control over the length of Our lives but We can control the
width and depth of Our lives.

On Fri, 06 May 2005 16:25:48 +0000, LaDDL wrote:

Mais il est clair qu'un utilisateur lambda sous XP SP2 avec pour seule
protection Windows Firewall d'activé est vulnérable à ce type d'attaque
comme à de nombreuses autres!

Comme par exemple l'accès par toute personne présente sur le même LAN
aux ports UDP/137 et UDP/138 de la machine protégée, et cela en raison
de la gestion des états (au sens "stateful") des sessions UDP.

Comme quoi WinXP SP2 n'est pas la panacée :-(


Nicob

LaDDL wrote:

Mais un utilisateur lambda équipé d'un bon AV + Windows Firewall XP SP2
d'activé + bloqueur + SE/OS à jour + sensibilisé aux risques sur les
réseaux pourra limiter sérieusement l'impact d'une attaque ou la
progression d'un attaquant (même si ce dernier arrivait à bypasser le
FW et killer l'AV).

J'aimerais bien connaître cet utilisateur lambda. Je n'en ai jamais rencontré
personnellement. Tout ceux que je connais non [sys|win]admins, ie, en partant de
développeurs jusqu'au particulier, en passant par utilisateur, ne se posent
absolument pas ce genre de question.

Encore faut-il arriver à rentrer...

Mais il est clair qu'un utilisateur lambda sous XP SP2 avec pour seule
protection Windows Firewall d'activé est vulnérable à ce type d'attaque
comme à de nombreuses autres!

Oui, le «arriver à rentrer» n'est pas vraiment la partie difficile, n'est ce
pas? Les lambdas que moi je connais double-cliquent sur tout ce qui arrivent
dans leur boîte au lettre ou leur MI, sans souci. Ou leurs gamins, dont le rôle
dans la sécurité est sûrement sous-estimé :-)

Une nouvelle version d'un OS MS (Apple ou MS) et sa MAJ faut compter
entre 150 et 250 euros.
Une license d'un an pour un AV effectuant des MAJ quotidiennes (critère
de choix indispensable de nos jours) et non hebdomadaires ou mensuelles
il faut compter entre 30 et 60 euros.
Une license pour un FW personnel il faut compter entre 30 et 50 euros.
Une license pour un bloqueur il faut compter 30 à 50 euros.
Pour les autres tools (antispyware, scanner, etc) je suggère les
solutions gratuites et libres.

Merci.

Amha c'est complétement idiot, quand on a pas les moyens ou parce que
pour je ne sais quelles raisons on ne veut pas acheter une license il y
a plein d'alternatives libres et gratuites!

Et alors? Pourquoi les djeunz veulent des Nike (ou quelle que soit la mode
actuellement, je ne suis pas dans cette réalité là non plus, désolé) alors que
des mêmes usines sortent des choses sans marque?
Il ne faut pas négliger cet aspect purement social: on pirate le truc à la mode,
pas le truc dont on a besoin.

Tu peux par exemple avoir un OS MS (ici dans notre discussion un XP
SP2) et l'équiper uniquement d'applications libres et gratuites! Si si
c'est possible ;)

Plus simple: le XP sur le portable de ma femme (je sais plus s'il a un SP ou
pas, et je m'en fous), n'a pas de réseau; pas de firewall, pas de problème.
C'est pas qu'elle aime s'en servir, mais il n'y a pas le choix pour le foutu
scanner.

Laurent

On Fri, 06 May 2005 18:00:00 +0200, Cedric Blancher
<blancher@cartel-securite.fr> > wrote:

Le Fri, 06 May 2005 13:49:08 +0000, LaDDL a écrit :
En bref, en ayant une approche multi-niveaux :

Est-ce que c'est Mme Michu compliant comme approche ?

J'ai précisé "en bref" i.e ce n'est pas un howto. ;p
Mais c'est amha une bonne façon d'envisager la sécurisation d'un poste de
travail aujourd'hui. Simplement parce qu'un FW et un AV sont largement
insuffisants (depuis déjà un bail) pour contrer tous les types
d'attaques/intrusions (injection de code malveillant notamment)

Parce que c'est les
Michu & Co qui ont leur PC pleins de spywares et autres saloperies

Y a autant de particuliers que d'entreprises et d'entités publiques
victimes des malwares et attaques/intrusions en tout genre.

Maintenant si on prend une catégorie parmi tous ces risques, par exemple
les spywares, on constate/observe depuis qq tps déjà (depuis 2000) que les
auteurs et attaquants font du ciblage et profilage pour atteindre leurs
objectifs.

et que
ça ne dérange pas à plus de 60% (j'ai plus l'URL de l'étude sous la
main)...

Si ton étude est sérieuse ça m'interesse (on entend dire et on lit
tellement de conneries sur le sujet!). Est-elle récente? Dans quelle
langue?

Sur ce sujet comme sur d'autres d'ailleurs, je me base sur nos expériences
& observations ainsi que celles de mes confrères.


--
We have no control over the length of Our lives but We can control the
width and depth of Our lives.

On Fri, 06 May 2005 18:57:46 +0200, Nicob <nicob@I.hate.spammers.com>
wrote:

On Fri, 06 May 2005 16:25:48 +0000, LaDDL wrote:
Mais il est clair qu'un utilisateur lambda sous XP SP2 avec pour seule
protection Windows Firewall d'activé est vulnérable à ce type d'attaque
comme à de nombreuses autres!

Comme par exemple l'accès par toute personne présente sur le même LAN
aux ports UDP/137 et UDP/138 de la machine protégée, et cela en raison
de la gestion des états (au sens "stateful") des sessions UDP.

Sur un domaine c'est clair qu'il y a des ports a laissé obligatoirement
ouvert sur le FW. Mais un contrôle au niveau du réseau & du système pour
chaque machine limite les risques.

Comme quoi WinXP SP2 n'est pas la panacée :-(

Drôle de conclusion?! Pourquoi?

Perso j'aime bien XP comme d'autres OS d'ailleurs qu'ils soient libres ou
propriétaires car je ne suis pas un intégriste mais un pragmatique. A
chaque usage une solution adaptée et spécifique.

XP est pour moi le premier OS de MS que je trouve enfin solide et stable
avec lequel on peut réaliser énormément de choses en admin.

Tout dépend du niveau de sécurité et confiance que l'on désire sur son
domaine mais plus on sécurise plus la qualité de service se dégrade.


--
We have no control over the length of Our lives but We can control the
width and depth of Our lives.

Salut,

Mais il est clair qu'un utilisateur lambda sous XP SP2 avec pour seule
protection Windows Firewall d'activé est vulnérable à ce type d'attaque
comme à de nombreuses autres!

Comme par exemple l'accès par toute personne présente sur le même LAN
aux ports UDP/137 et UDP/138 de la machine protégée, et cela en raison
de la gestion des états (au sens "stateful") des sessions UDP.

Tu pourrais expliquer en quoi la gestion des états UDP entraîne une
absence de protection de ces ports ?

En même temps, sur un réseau local "non sûr", je ne vois pas l'intérêt de
laisser SMB/Netbios et compagnie activés. Cela concerne notamment les
accès internet par Freebox en mode standard (non routeur) et par câble
DHCP qui sont vues comme des connexion LAN.

On Fri, 06 May 2005 23:11:20 +0200, Laurent Blume
<laurent_news200504@elanor.org> > wrote:

LaDDL wrote:
Mais un utilisateur lambda équipé d'un bon AV + Windows Firewall XP SP2
d'activé + bloqueur + SE/OS à jour + sensibilisé aux risques sur les
réseaux pourra limiter sérieusement l'impact d'une attaque ou la
progression d'un attaquant (même si ce dernier arrivait à bypasser le
FW et killer l'AV).

J'aimerais bien connaître cet utilisateur lambda. Je n'en ai jamais
rencontré
personnellement.

Pourtant il y a de nombreux contributeurs ici sur Usenet et ailleurs qui
sont des utilisateurs lambda. Enfin bref...

Tout ceux que je connais non [sys|win]admins, ie, en partant de
développeurs jusqu'au particulier, en passant par utilisateur, ne se
posent
absolument pas ce genre de question.

C'est normal, depuis bientôt dix ans, les services communication et
marketing des poids lourds du secteur ne cessent de vanter les vertus des
AV et FW pour sécuriser un poste de travail alors qu'ils sont largement
insuffisants!

Ensuite l'utilisateur en général n'est pas ou peu formé et encore moins
sensibilisé aux menaces & risques en informatique.

Résultat comme tu le soulignes tout le monde s'en fout...

Encore faut-il arriver à rentrer...

Mais il est clair qu'un utilisateur lambda sous XP SP2 avec pour seule
protection Windows Firewall d'activé est vulnérable à ce type d'attaque
comme à de nombreuses autres!

Oui, le «arriver à rentrer» n'est pas vraiment la partie difficile,
n'est ce
pas? Les lambdas que moi je connais double-cliquent sur tout ce qui
arrivent
dans leur boîte au lettre ou leur MI, sans souci. Ou leurs gamins, dont
le rôle
dans la sécurité est sûrement sous-estimé :-)

Ils agissent ainsi parce qu'on ne leur a pas appris, expliqué comment
utiliser leur environnement. Ces comportements sont normaux.

[...]

Amha c'est complétement idiot, quand on a pas les moyens ou parce que
pour je ne sais quelles raisons on ne veut pas acheter une license il y
a plein d'alternatives libres et gratuites!

Et alors? Pourquoi les djeunz veulent des Nike (ou quelle que soit la
mode
actuellement, je ne suis pas dans cette réalité là non plus, désolé)
alors que
des mêmes usines sortent des choses sans marque?
Il ne faut pas négliger cet aspect purement social: on pirate le truc à
la mode,
pas le truc dont on a besoin.

Je partage aussi ton point vue.
Mais je me demande pourquoi certains utilisent qqch qu'il dénigrent
constamment. Sans doute une posture qui fait branché de nos jours. Bref un
comportement nouveau dans la société que je ne comprends pas.

A l'époque on hackait, on hacke aujourd'hui et on hackera demain mais la
scène et les acteurs ont bien changé on trouve une population très
hétérogène avec des enjeux et objectifs très différents.

Tu peux par exemple avoir un OS MS (ici dans notre discussion un XP
SP2) et l'équiper uniquement d'applications libres et gratuites! Si si
c'est possible ;)

Plus simple: le XP sur le portable de ma femme (je sais plus s'il a un
SP ou
pas, et je m'en fous), n'a pas de réseau; pas de firewall, pas de
problème.

Lol là c'est radical oui.

C'est pas qu'elle aime s'en servir, mais il n'y a pas le choix pour le
foutu
scanner.

Hein ?!
C'est quoi le scanner en question qui t'oblige à tout désactiver/fermer ?


--
We have no control over the length of Our lives but We can control the
width and depth of Our lives.

On Sun, 08 May 2005 15:36:18 +0000, LaDDL wrote:

Comme quoi WinXP SP2 n'est pas la panacée :-(

Drôle de conclusion?! Pourquoi?

Ben parceque le firewall de Windows XP :
- ne filtre que les flux entrants
- peut voir sa config modifiée via l'API sans warning utilisateur
- a une gestion des états UDP complètement bidon

A part ça, bon produit ;-)


Nicob

On Sun, 08 May 2005 15:36:18 +0000, Pascal@plouf wrote:

Tu pourrais expliquer en quoi la gestion des états UDP entraîne une
absence de protection de ces ports ?

Ce n'est pas une absence absolue de protection. Juste une gestion pourrie
des broadcasts UDP, couplée à l'habituel bruit de fond généré par
Windows sur un réseau local :

http://www.eeye.com/html/resources/newsletters/vice/VI20050504.html#qa1


Nicob

On Sun, 08 May 2005 19:04:39 +0200, Nicob <nicob@I.hate.spammers.com>
wrote:

On Sun, 08 May 2005 15:36:18 +0000, LaDDL wrote:
Drôle de conclusion?! Pourquoi?

Ben parceque le firewall de Windows XP :
- ne filtre que les flux entrants

C'est déjà pas mal. Au moins il protège les PC contre un certain nombre
d'attaques et tous les ports sont stealthed.

Mais le problème principal et on est bien d'accord sur ce point est qu'il
ne filtre pas les flux sortants.

- peut voir sa config modifiée via l'API sans warning utilisateur

Oui et c'est pourquoi il faut configurer Windows Firewall. (cf Exceptions)

- a une gestion des états UDP complètement bidon

Certains services ont besoin d'utiliser certains ports UDP sur un domaine
donc il suffit de mettre en place une politique de gestion du traffic IP
soit analyser les paquets UDP.

Avec Windows Firewall il suffit de configurer des exceptions pour le(s)
port(s) UDP pour le service en question ou l'application.

A part ça, bon produit ;-)

Il apporte une protection qui permet de lutter contre un certain nombre
d'attaques (cf leaktests). Mais comme il ne filtre pas le traffic sortant
il est insuffisant pour toutes les raisons évoquées précédement.

Solutions :
1/ on conserve Windows Firewall et on installe en plus un bloqueur pour
contrôler tout ce qui peut être exécuté sur son système :
- exemples de bloqueurs pour les particuliers : ProcessGuard ou SSM
- exemple de bloqueur pour les professionnels : Stormshield par Skyrecon
2/ on désactive Windows Firewall et on installe un FW personnel par
exemples Sygate ou LookNStop ou ZA ou etc.


--
We have no control over the length of Our lives but We can control the
width and depth of Our lives.