ipfw

Le
filh
Bonjour,

Il aurait disaparu dans léopard ?
Remplacé par un « machin » ?

FiLH qui a des infos parcelaires

--
Le fondement du constat bourgeois, c'est le bon sens, c'est-à-dire
une vérité qui s'arrête sur l'ordre arbitraire de celui qui la parle.
Roland Barthes.
http://www.filh.org
Vos réponses Page 4 / 6
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
netoo92
Le #2805141
In article
Stadelmann
AMHA, le changement de firewall a bien plus à voir avec le fait
d'éviter que l'utilisateur doivent se soucier des numéros de port à
autoriser...


Est-ce que tous les ports sont ouverts pour une application autorisée ?

--
I'm using an evaluation license of nemo since 74 days.
You should really try it!
http://www.malcom-mac.com/nemo

Nicolas-MICHEL'_remove_'
Le #2797461
Patrick Stadelmann

En plus, c'est plus logique de lier l'autorisation à une
application qu'à un port.


Tout le monde ici connais mon niveau rase-motte en matière de sécurité,
mais je vais quand-même donner ma vision des choses.

Firewall par port ou firewall applicatif sont 2 trucs différents et
complémentaires.

Les firewall par port, tel que iptables ou ipfw, bouffent très peu de
resources. C'est indispensables pour contrôler les connexions sur un
serveur, c'est à dire une machine qui a des services (ftp, afp, ...)
Surtout si ce serveur est accessible sur le grand ternet.
La sécurisation du serveur implique de contrôler les ports utilisés.
(netstat -a |grep LISTEN pour les voir)
La règle la plus fréquente est probablement
Chain INPUT (policy DROP)
Chain OUTPUT (policy ACCEPT)
plus quelques restrictions en output et quelques exceptions en input.
Dans de nombreux cas tu vas spécifier des plages d'IP authorisées et
interdire tout le reste. On peut également interdire des trucs
spécifiques comme la fragmentation des paquets, le IP spoofing, mettre
des forward ...
On ne peut pas remplacer ce firewall ci par un firewall applicatif parce
que sur un serveur, tu n'est pas connecté dessus en permanence pour
accepter ou refuser une connexion. Dans un parc de nombreuses machines,
l'admin peut facilement déployer des règles firewall par port, ce qui
est plus délicat avec un firewall applicatif.

Un firewall applicatif bouffe plein de resources.
Son utilité n'est pas à mon sens de contrôler ce qui est déjà installé
et qu'on connais, mais de nous indiquer les surprises.
Par exemple quand tu installes un freeware genre bonzy-buddy qui est
sensé être un singe marrant qui sautille sur l'écran, et que ton
firewall applicatif te dit "bonzy buddy tente de se connecter à
internet" bin tu es sensé te demander pourquoi et en conclure, après
recherche, que c'est un spyware. Il peut très bien utiliser le port 80
pour se connecter, port que tu as besoins d'ouvrir en sortie, donc un
firewall par port n'est pas approprié ici.

Bref j'espère qu'on peut encore installer un filtrage des ports sur 10.5
et sur 10.4 je mets little snitch comme firewall applicatif. Les 2 sont
utiles.

--
Nicolas - MICHEL at bluewin point ch
AIM : michelnicolas

sebastienmarty
Le #2797381
Nicolas MICHEL
Bref j'espère qu'on peut encore installer un filtrage des ports sur 10.5
et sur 10.4 je mets little snitch comme firewall applicatif. Les 2 sont
utiles.


J'avoue que j'ai pas tout suivi depuis le début, mais tu sembles donc
dire que Little Snitch n'est plus utile avec Leopard ? Le système fait
lui-même le "gendarme" en sortie ?

--
[SbM]
"If the French were really intelligent, they'd speak English" (W. Sheed)

Nina Popravka
Le #2796961
On Fri, 2 Nov 2007 16:29:25 +0100, (SbM)
wrote:

J'avoue que j'ai pas tout suivi depuis le début, mais tu sembles donc
dire que Little Snitch n'est plus utile avec Leopard ? Le système fait
lui-même le "gendarme" en sortie ?


Non.
--
Nina

Erwan David
Le #2796931
Patrick Stadelmann
In article Erwan David
Parceque "une application" c'est bien trop flou comme définition, et
qu'en plus l'utilisateur de base n'a AUCUNE compétence pour savoir ce
qui est dangereux ou pas.


Il sait tout de même s'il a envie ou pas que Skype qu'il vient de
télécharger, installer et lancer, fonctionne correctement. Il sait aussi
que si le système l'avertit du comportement suspect d'une application
qu'il ne connaît pas, il a intérêt à refuser la demande.


Mais il ne sait pas que s'il a autorsié quicktime à se connecter, le
nouveau codec de la mort qui tue qu'il a ramené pour mater des films de
cul enverra son numéro de carte bleue en Russie sans que rien ne lui
soit notifié, puisqu'iul a autorisé quicktime à se connecter...

Tout ça pour vendre des "services" qui sont déjà des trrous de sécurité
énormes (vos donnés sur .mac vous pouvez considérer qu'elles ont une
protection NULLE, et que pas mal de monde les voit déjà).


AMHA, le changement de firewall a bien plus à voir avec le fait d'éviter
que l'utilisateur doivent se soucier des numéros de port à autoriser...


La sécurité c'est compliqué, supprimons la sécurité.


--
Erwan


Erwan David
Le #2796921
Matt
On Thu, 01 Nov 2007 22:35:45 +0100,
Patrick Stadelmann
Avec le firewall de Tiger, oui, car la règle reste valable. Alors que
dans Leopard, si j'ai bien compris, le port n'est ouvert que quand une
application autorisée en fait la demande.


Oui car d'après les lectures c'est un firewall applicatif. C'est une bonne
chose.


Non c'est pas suffisant.

On va donc dire que maintenant on n'a plus besoin de little snitch, mais
il va falloir se trouver un vrai firewall en vitesse...

Au fait je suppose que iTunes et autres sont automatiquement autorisés,
c'ets facile de leur virer l'accès réseau ?

--
Erwan


Nicolas-MICHEL'_remove_'
Le #2796911
Nina Popravka
On Fri, 2 Nov 2007 16:29:25 +0100, (SbM)
wrote:

J'avoue que j'ai pas tout suivi depuis le début, mais tu sembles donc
dire que Little Snitch n'est plus utile avec Leopard ? Le système fait
lui-même le "gendarme" en sortie ?


Non.


Ah ?
Bon, faudra que je test ce 10.5, moi.
Pas le temps avant fevrier, ... tant pis.

--
Nicolas - MICHEL at bluewin point ch
AIM : michelnicolas


Erwan David
Le #2796881
Nina Popravka
On Fri, 2 Nov 2007 16:29:25 +0100, (SbM)
wrote:

J'avoue que j'ai pas tout suivi depuis le début, mais tu sembles donc
dire que Little Snitch n'est plus utile avec Leopard ? Le système fait
lui-même le "gendarme" en sortie ?


Non.


EUh, alors c'est quoi le machin qui remplace ipfw ?

C'est pas un firewall applicatif ?

--
Erwan


Patrick Stadelmann
Le #2804951
In article Erwan David
Nina Popravka
On Fri, 2 Nov 2007 16:29:25 +0100, (SbM)
wrote:

J'avoue que j'ai pas tout suivi depuis le début, mais tu sembles donc
dire que Little Snitch n'est plus utile avec Leopard ? Le système fait
lui-même le "gendarme" en sortie ?


Non.


EUh, alors c'est quoi le machin qui remplace ipfw ?

C'est pas un firewall applicatif ?


Si, mais il ne contrôle que les entrées.

Patrick
--
Patrick Stadelmann


Patrick Stadelmann
Le #2804941
In article Erwan David
Mais il ne sait pas que s'il a autorsié quicktime à se connecter, le
nouveau codec de la mort qui tue qu'il a ramené pour mater des films de
cul enverra son numéro de carte bleue en Russie sans que rien ne lui
soit notifié, puisqu'iul a autorisé quicktime à se connecter...


En l'occurrence, la faille de sécurité est plutôt celle qui a permis à
un codec d'avoir accès au numéro de la carte...

Patrick
--
Patrick Stadelmann
Publicité
Poster une réponse
Anonyme