Je veux m'assurer que toute requête de MSIE vers l'extérieur de mon
LAN sera bloquée. Avec un firewall personnel (comme chez moi) c'est
possible, mais est-ce possible avec un firewall "classique" (i.e. qui
a priori ne peut pas savoir quel exécutable fait la requête) ?
Je veux m'assurer que toute requête de MSIE vers l'extérieur de mon LAN sera bloquée. Avec un firewall personnel (comme chez moi) c'est possible, mais est-ce possible avec un firewall "classique" (i.e. qui a priori ne peut pas savoir quel exécutable fait la requête) ?
Oui et non. En mode firewall normal ce n'est pas possible à priori (je ne connais pas de fw qui filtre sur la couche appli - mais après tout..)
Par contre comme solution éventuelle il y a le proxy transparent ; càd la redirection de flux TCP vers une adresse donnée (exemple: routeur sous Linux et iproute/iptables) avec Squid en mode transparent itou, et des ACL pour refuser toute requête avec "User-agent: .*Internet Explorer.*" dedans.
Fabien LE LEZ wrote:
Je veux m'assurer que toute requête de MSIE vers l'extérieur de mon
LAN sera bloquée. Avec un firewall personnel (comme chez moi) c'est
possible, mais est-ce possible avec un firewall "classique" (i.e. qui
a priori ne peut pas savoir quel exécutable fait la requête) ?
Oui et non. En mode firewall normal ce n'est pas possible à priori (je
ne connais pas de fw qui filtre sur la couche appli - mais après tout..)
Par contre comme solution éventuelle il y a le proxy transparent ; càd
la redirection de flux TCP vers une adresse donnée (exemple: routeur
sous Linux et iproute/iptables) avec Squid en mode transparent itou, et
des ACL pour refuser toute requête avec "User-agent: .*Internet
Explorer.*" dedans.
Je veux m'assurer que toute requête de MSIE vers l'extérieur de mon LAN sera bloquée. Avec un firewall personnel (comme chez moi) c'est possible, mais est-ce possible avec un firewall "classique" (i.e. qui a priori ne peut pas savoir quel exécutable fait la requête) ?
Oui et non. En mode firewall normal ce n'est pas possible à priori (je ne connais pas de fw qui filtre sur la couche appli - mais après tout..)
Par contre comme solution éventuelle il y a le proxy transparent ; càd la redirection de flux TCP vers une adresse donnée (exemple: routeur sous Linux et iproute/iptables) avec Squid en mode transparent itou, et des ACL pour refuser toute requête avec "User-agent: .*Internet Explorer.*" dedans.
Stephane Sales
Fabien LE LEZ wrote:
Bonjour, bonjour,
Je veux m'assurer que toute requête de MSIE vers l'extérieur de mon LAN sera bloquée. Avec un firewall personnel (comme chez moi) c'est possible, Je ne connais pas ce genre de bête, mais je suis curieux de savoir
comment elle peut savoir quel binaire à initié une connection (à moins que la bête en question soit installée sur toutes les machines du LAN).
mais est-ce possible avec un firewall "classique" ? Peut-etre est-ce possible avec un proxy, qui filtrerait sur le
user-agent(pour du http,https) mais je doute que cela puisse etre fiable.
-- "Nous devons apprendre a vivre ensemble comme des freres, sinon nous allons mourir tous ensemble comme des idiots." [ Martin Luther King ]
Fabien LE LEZ wrote:
Bonjour,
bonjour,
Je veux m'assurer que toute requête de MSIE vers l'extérieur de mon
LAN sera bloquée. Avec un firewall personnel (comme chez moi) c'est
possible,
Je ne connais pas ce genre de bête, mais je suis curieux de savoir
comment elle peut savoir quel binaire à initié une connection
(à moins que la bête en question soit installée sur toutes les machines
du LAN).
mais est-ce possible avec un firewall "classique" ?
Peut-etre est-ce possible avec un proxy, qui filtrerait sur le
user-agent(pour du http,https) mais je doute que cela puisse etre
fiable.
--
"Nous devons apprendre a vivre ensemble comme des freres,
sinon nous allons mourir tous ensemble comme des idiots."
[ Martin Luther King ]
Je veux m'assurer que toute requête de MSIE vers l'extérieur de mon LAN sera bloquée. Avec un firewall personnel (comme chez moi) c'est possible, Je ne connais pas ce genre de bête, mais je suis curieux de savoir
comment elle peut savoir quel binaire à initié une connection (à moins que la bête en question soit installée sur toutes les machines du LAN).
mais est-ce possible avec un firewall "classique" ? Peut-etre est-ce possible avec un proxy, qui filtrerait sur le
user-agent(pour du http,https) mais je doute que cela puisse etre fiable.
-- "Nous devons apprendre a vivre ensemble comme des freres, sinon nous allons mourir tous ensemble comme des idiots." [ Martin Luther King ]
Sebastien Bricout
On 23 Oct 2003 09:31:22 GMT, Fabien LE LEZ wrote:
Je veux m'assurer que toute requête de MSIE vers l'extérieur de mon LAN sera bloquée. Avec un firewall personnel (comme chez moi) c'est possible, mais est-ce possible avec un firewall "classique" (i.e. qui a priori ne peut pas savoir quel exécutable fait la requête) ?
Salut,
Si le firewall est sur le routeur, il ne peut effectivement pas savoir quel soft a lancé la requête! Je vois 2 solutions à ton problème: 1) Installer un proxy HTTP sur le routeur, et s'arranger pour qu'il jette si il voit que c'est IE qui demande la connexion. 2) Installer un proxy HTTP sur le routeur, et ne pas configurer le proxy dans les clients IE.
-- Sebastien Bricout
Les deux mots les plus brefs et les plus anciens, oui et non, sont ceux qui exigent le plus de réflexion. -+- Pythagore (Mathématicien et philosophe grec) -+-
On 23 Oct 2003 09:31:22 GMT, Fabien LE LEZ <gramster@gramster.com>
wrote:
Je veux m'assurer que toute requête de MSIE vers l'extérieur de mon
LAN sera bloquée. Avec un firewall personnel (comme chez moi) c'est
possible, mais est-ce possible avec un firewall "classique" (i.e. qui
a priori ne peut pas savoir quel exécutable fait la requête) ?
Salut,
Si le firewall est sur le routeur, il ne peut effectivement pas savoir
quel soft a lancé la requête!
Je vois 2 solutions à ton problème:
1) Installer un proxy HTTP sur le routeur, et s'arranger pour qu'il
jette si il voit que c'est IE qui demande la connexion.
2) Installer un proxy HTTP sur le routeur, et ne pas configurer le
proxy dans les clients IE.
--
Sebastien Bricout
Les deux mots les plus brefs et les plus anciens, oui et non,
sont ceux qui exigent le plus de réflexion.
-+- Pythagore (Mathématicien et philosophe grec) -+-
Je veux m'assurer que toute requête de MSIE vers l'extérieur de mon LAN sera bloquée. Avec un firewall personnel (comme chez moi) c'est possible, mais est-ce possible avec un firewall "classique" (i.e. qui a priori ne peut pas savoir quel exécutable fait la requête) ?
Salut,
Si le firewall est sur le routeur, il ne peut effectivement pas savoir quel soft a lancé la requête! Je vois 2 solutions à ton problème: 1) Installer un proxy HTTP sur le routeur, et s'arranger pour qu'il jette si il voit que c'est IE qui demande la connexion. 2) Installer un proxy HTTP sur le routeur, et ne pas configurer le proxy dans les clients IE.
-- Sebastien Bricout
Les deux mots les plus brefs et les plus anciens, oui et non, sont ceux qui exigent le plus de réflexion. -+- Pythagore (Mathématicien et philosophe grec) -+-
Fabien LE LEZ
On 23 Oct 2003 14:17:44 GMT, Stephane Sales wrote:
Avec un firewall personnel (comme chez moi) c'est
possible, Je ne connais pas ce genre de bête, mais je suis curieux de savoir
comment elle peut savoir quel binaire à initié une connection (à moins que la bête en question soit installée sur toutes les machines du LAN).
Ben oui, c'est ça qu'on appelle un firewall personnel.
Oui et non. En mode firewall normal ce n'est pas possible à priori (je ne connais pas de fw qui filtre sur la couche appli - mais après tout..)
J'avais pensé à un filtre qui dès qu'il voit "User-Agent: Mozilla/[0-9.]+ (compatible; MSIE [0-9.]+; Windows NT [0-9.]+)" dans un paquet, coupe la connexion concernée, mais : - est-ce possible ? - si c'est un troyen qui utilise IE pour sortir, le header "User-Agent" est-il le même ?
On 23 Oct 2003 14:17:44 GMT, Xavier Roche
<xroche@free.fr.NOSPAM.invalid> wrote:
Oui et non. En mode firewall normal ce n'est pas possible à priori (je
ne connais pas de fw qui filtre sur la couche appli - mais après tout..)
J'avais pensé à un filtre qui dès qu'il voit "User-Agent:
Mozilla/[0-9.]+ (compatible; MSIE [0-9.]+; Windows NT [0-9.]+)" dans
un paquet, coupe la connexion concernée, mais :
- est-ce possible ?
- si c'est un troyen qui utilise IE pour sortir, le header
"User-Agent" est-il le même ?
Oui et non. En mode firewall normal ce n'est pas possible à priori (je ne connais pas de fw qui filtre sur la couche appli - mais après tout..)
J'avais pensé à un filtre qui dès qu'il voit "User-Agent: Mozilla/[0-9.]+ (compatible; MSIE [0-9.]+; Windows NT [0-9.]+)" dans un paquet, coupe la connexion concernée, mais : - est-ce possible ? - si c'est un troyen qui utilise IE pour sortir, le header "User-Agent" est-il le même ?
On Thu, 23 Oct 2003 20:08:34 +0000, Fabien LE LEZ wrote:
J'avais pensé à un filtre qui dès qu'il voit [...] dans un paquet, coupe la connexion concernée, mais : - est-ce possible ?
Oui. IPtables me semble avoir dans le patchomatic un module de recherche de texte dans les paquets (que je n'ai pas testé). Sinon, avec "ngrep" (recherche de pattern dans un flux réseau) et "couic" (coupure de session TCP avec des RST), ça doit être possible.
- si c'est un troyen qui utilise IE pour sortir, le header "User-Agent" est-il le même ?
Si tu parles d'un soft comme JAB, oui.
Nicob
On Thu, 23 Oct 2003 20:08:34 +0000, Fabien LE LEZ wrote:
J'avais pensé à un filtre qui dès qu'il voit [...] dans un
paquet, coupe la connexion concernée, mais :
- est-ce possible ?
Oui. IPtables me semble avoir dans le patchomatic un module de recherche
de texte dans les paquets (que je n'ai pas testé). Sinon, avec "ngrep"
(recherche de pattern dans un flux réseau) et "couic" (coupure de session
TCP avec des RST), ça doit être possible.
- si c'est un troyen qui utilise IE pour sortir, le header
"User-Agent" est-il le même ?
On Thu, 23 Oct 2003 20:08:34 +0000, Fabien LE LEZ wrote:
J'avais pensé à un filtre qui dès qu'il voit [...] dans un paquet, coupe la connexion concernée, mais : - est-ce possible ?
Oui. IPtables me semble avoir dans le patchomatic un module de recherche de texte dans les paquets (que je n'ai pas testé). Sinon, avec "ngrep" (recherche de pattern dans un flux réseau) et "couic" (coupure de session TCP avec des RST), ça doit être possible.
- si c'est un troyen qui utilise IE pour sortir, le header "User-Agent" est-il le même ?
Si tu parles d'un soft comme JAB, oui.
Nicob
YanneZ
Fabien LE LEZ wrote:
On 23 Oct 2003 14:17:44 GMT, Xavier Roche wrote:
Oui et non. En mode firewall normal ce n'est pas possible à priori (je ne connais pas de fw qui filtre sur la couche appli - mais après tout..)
J'avais pensé à un filtre qui dès qu'il voit "User-Agent: Mozilla/[0-9.]+ (compatible; MSIE [0-9.]+; Windows NT [0-9.]+)" dans un paquet, coupe la connexion concernée, mais : - est-ce possible ? - si c'est un troyen qui utilise IE pour sortir, le header "User-Agent" est-il le même ?
Bonjour,
je tien juste à préciser que l'on peut modifier facilement son user-agent ( mozilla + prefbar par exemple ) donc le filtre sur le user-agent n'en est que plus aléatoire sur son efficacité
-- Free Ur Mind, Be Linux
Fabien LE LEZ wrote:
On 23 Oct 2003 14:17:44 GMT, Xavier Roche
<xroche@free.fr.NOSPAM.invalid> wrote:
Oui et non. En mode firewall normal ce n'est pas possible à priori (je
ne connais pas de fw qui filtre sur la couche appli - mais après tout..)
J'avais pensé à un filtre qui dès qu'il voit "User-Agent:
Mozilla/[0-9.]+ (compatible; MSIE [0-9.]+; Windows NT [0-9.]+)" dans
un paquet, coupe la connexion concernée, mais :
- est-ce possible ?
- si c'est un troyen qui utilise IE pour sortir, le header
"User-Agent" est-il le même ?
Bonjour,
je tien juste à préciser que l'on peut modifier facilement son
user-agent ( mozilla + prefbar par exemple )
donc le filtre sur le user-agent n'en est que plus aléatoire sur son
efficacité
Oui et non. En mode firewall normal ce n'est pas possible à priori (je ne connais pas de fw qui filtre sur la couche appli - mais après tout..)
J'avais pensé à un filtre qui dès qu'il voit "User-Agent: Mozilla/[0-9.]+ (compatible; MSIE [0-9.]+; Windows NT [0-9.]+)" dans un paquet, coupe la connexion concernée, mais : - est-ce possible ? - si c'est un troyen qui utilise IE pour sortir, le header "User-Agent" est-il le même ?
Bonjour,
je tien juste à préciser que l'on peut modifier facilement son user-agent ( mozilla + prefbar par exemple ) donc le filtre sur le user-agent n'en est que plus aléatoire sur son efficacité
-- Free Ur Mind, Be Linux
Fabien LE LEZ
On 24 Oct 2003 11:09:29 GMT, YanneZ wrote:
je tien juste à préciser que l'on peut modifier facilement son user-agent
Avec IE ?
-- ;-)
On 24 Oct 2003 11:09:29 GMT, YanneZ <yannez@NOSPAM.chez.com> wrote:
je tien juste à préciser que l'on peut modifier facilement son
user-agent
je tien juste à préciser que l'on peut modifier facilement son user-agent
Avec IE ?
Y'a des clé dans la BDR censées le faire...
-- Thierry
Stephane Sales
Thierry wrote:
je tien juste à préciser que l'on peut modifier facilement son user-agent Avec IE ?
Y'a des clé dans la BDR censées le faire... de toute facon vous basé sur une information "coté client" est un
non-sens. Dites vous bien, que si vous n'avez pas communiquez/expliquez à vos utilisateurs pourquoi vous imposer cette restriction, le jour où l'un d'entre eux trouve la méthode pour "bypasser" cette restriction, cette information passera de cette utilisateur aux autres à une vitesse qui ferait rager bien des conseillers en communication. -- Je repose une question qui était restée sans réponse (qui sait, l'espèce humaine évoluant sans cesse, peut-être que quelqu'un aura la réponse maintenant) -+- JG in Debian-french: "" -+-
Thierry wrote:
je tien juste à préciser que l'on peut modifier facilement son
user-agent
Avec IE ?
Y'a des clé dans la BDR censées le faire...
de toute facon vous basé sur une information "coté client" est un
non-sens.
Dites vous bien, que si vous n'avez pas communiquez/expliquez à vos
utilisateurs pourquoi vous imposer cette restriction, le jour où l'un
d'entre eux trouve la méthode pour "bypasser" cette restriction, cette
information passera de cette utilisateur aux autres à une vitesse qui
ferait rager bien des conseillers en communication.
--
Je repose une question qui était restée sans réponse (qui sait,
l'espèce humaine évoluant sans cesse, peut-être que quelqu'un aura la
réponse maintenant)
-+- JG in Debian-french: "" -+-
je tien juste à préciser que l'on peut modifier facilement son user-agent Avec IE ?
Y'a des clé dans la BDR censées le faire... de toute facon vous basé sur une information "coté client" est un
non-sens. Dites vous bien, que si vous n'avez pas communiquez/expliquez à vos utilisateurs pourquoi vous imposer cette restriction, le jour où l'un d'entre eux trouve la méthode pour "bypasser" cette restriction, cette information passera de cette utilisateur aux autres à une vitesse qui ferait rager bien des conseillers en communication. -- Je repose une question qui était restée sans réponse (qui sait, l'espèce humaine évoluant sans cesse, peut-être que quelqu'un aura la réponse maintenant) -+- JG in Debian-french: "" -+-
