Il aurait disaparu dans léopard ?
Remplacé par un « machin » ?
FiLH qui a des infos... parcelaires...
--
Le fondement du constat bourgeois, c'est le bon sens, c'est-à-dire
une vérité qui s'arrête sur l'ordre arbitraire de celui qui la parle.
Roland Barthes.
http://www.filh.org
AMHA, le changement de firewall a bien plus à voir avec le fait d'éviter que l'utilisateur doivent se soucier des numéros de port à autoriser...
Est-ce que tous les ports sont ouverts pour une application autorisée ?
-- I'm using an evaluation license of nemo since 74 days. You should really try it! http://www.malcom-mac.com/nemo
Nicolas-MICHEL'_remove_'
Patrick Stadelmann wrote:
En plus, c'est plus logique de lier l'autorisation à une application qu'à un port.
Tout le monde ici connais mon niveau rase-motte en matière de sécurité, mais je vais quand-même donner ma vision des choses.
Firewall par port ou firewall applicatif sont 2 trucs différents et complémentaires.
Les firewall par port, tel que iptables ou ipfw, bouffent très peu de resources. C'est indispensables pour contrôler les connexions sur un serveur, c'est à dire une machine qui a des services (ftp, afp, ...) Surtout si ce serveur est accessible sur le grand ternet. La sécurisation du serveur implique de contrôler les ports utilisés. (netstat -a |grep LISTEN pour les voir) La règle la plus fréquente est probablement Chain INPUT (policy DROP) Chain OUTPUT (policy ACCEPT) plus quelques restrictions en output et quelques exceptions en input. Dans de nombreux cas tu vas spécifier des plages d'IP authorisées et interdire tout le reste. On peut également interdire des trucs spécifiques comme la fragmentation des paquets, le IP spoofing, mettre des forward ... On ne peut pas remplacer ce firewall ci par un firewall applicatif parce que sur un serveur, tu n'est pas connecté dessus en permanence pour accepter ou refuser une connexion. Dans un parc de nombreuses machines, l'admin peut facilement déployer des règles firewall par port, ce qui est plus délicat avec un firewall applicatif.
Un firewall applicatif bouffe plein de resources. Son utilité n'est pas à mon sens de contrôler ce qui est déjà installé et qu'on connais, mais de nous indiquer les surprises. Par exemple quand tu installes un freeware genre bonzy-buddy qui est sensé être un singe marrant qui sautille sur l'écran, et que ton firewall applicatif te dit "bonzy buddy tente de se connecter à internet" bin tu es sensé te demander pourquoi et en conclure, après recherche, que c'est un spyware. Il peut très bien utiliser le port 80 pour se connecter, port que tu as besoins d'ouvrir en sortie, donc un firewall par port n'est pas approprié ici.
Bref j'espère qu'on peut encore installer un filtrage des ports sur 10.5 et sur 10.4 je mets little snitch comme firewall applicatif. Les 2 sont utiles.
-- Nicolas - MICHEL at bluewin point ch AIM : michelnicolas
Patrick Stadelmann <Patrick.Stadelmann@unine.ch> wrote:
En plus, c'est plus logique de lier l'autorisation à une
application qu'à un port.
Tout le monde ici connais mon niveau rase-motte en matière de sécurité,
mais je vais quand-même donner ma vision des choses.
Firewall par port ou firewall applicatif sont 2 trucs différents et
complémentaires.
Les firewall par port, tel que iptables ou ipfw, bouffent très peu de
resources. C'est indispensables pour contrôler les connexions sur un
serveur, c'est à dire une machine qui a des services (ftp, afp, ...)
Surtout si ce serveur est accessible sur le grand ternet.
La sécurisation du serveur implique de contrôler les ports utilisés.
(netstat -a |grep LISTEN pour les voir)
La règle la plus fréquente est probablement
Chain INPUT (policy DROP)
Chain OUTPUT (policy ACCEPT)
plus quelques restrictions en output et quelques exceptions en input.
Dans de nombreux cas tu vas spécifier des plages d'IP authorisées et
interdire tout le reste. On peut également interdire des trucs
spécifiques comme la fragmentation des paquets, le IP spoofing, mettre
des forward ...
On ne peut pas remplacer ce firewall ci par un firewall applicatif parce
que sur un serveur, tu n'est pas connecté dessus en permanence pour
accepter ou refuser une connexion. Dans un parc de nombreuses machines,
l'admin peut facilement déployer des règles firewall par port, ce qui
est plus délicat avec un firewall applicatif.
Un firewall applicatif bouffe plein de resources.
Son utilité n'est pas à mon sens de contrôler ce qui est déjà installé
et qu'on connais, mais de nous indiquer les surprises.
Par exemple quand tu installes un freeware genre bonzy-buddy qui est
sensé être un singe marrant qui sautille sur l'écran, et que ton
firewall applicatif te dit "bonzy buddy tente de se connecter à
internet" bin tu es sensé te demander pourquoi et en conclure, après
recherche, que c'est un spyware. Il peut très bien utiliser le port 80
pour se connecter, port que tu as besoins d'ouvrir en sortie, donc un
firewall par port n'est pas approprié ici.
Bref j'espère qu'on peut encore installer un filtrage des ports sur 10.5
et sur 10.4 je mets little snitch comme firewall applicatif. Les 2 sont
utiles.
--
Nicolas - MICHEL at bluewin point ch
AIM : michelnicolas
En plus, c'est plus logique de lier l'autorisation à une application qu'à un port.
Tout le monde ici connais mon niveau rase-motte en matière de sécurité, mais je vais quand-même donner ma vision des choses.
Firewall par port ou firewall applicatif sont 2 trucs différents et complémentaires.
Les firewall par port, tel que iptables ou ipfw, bouffent très peu de resources. C'est indispensables pour contrôler les connexions sur un serveur, c'est à dire une machine qui a des services (ftp, afp, ...) Surtout si ce serveur est accessible sur le grand ternet. La sécurisation du serveur implique de contrôler les ports utilisés. (netstat -a |grep LISTEN pour les voir) La règle la plus fréquente est probablement Chain INPUT (policy DROP) Chain OUTPUT (policy ACCEPT) plus quelques restrictions en output et quelques exceptions en input. Dans de nombreux cas tu vas spécifier des plages d'IP authorisées et interdire tout le reste. On peut également interdire des trucs spécifiques comme la fragmentation des paquets, le IP spoofing, mettre des forward ... On ne peut pas remplacer ce firewall ci par un firewall applicatif parce que sur un serveur, tu n'est pas connecté dessus en permanence pour accepter ou refuser une connexion. Dans un parc de nombreuses machines, l'admin peut facilement déployer des règles firewall par port, ce qui est plus délicat avec un firewall applicatif.
Un firewall applicatif bouffe plein de resources. Son utilité n'est pas à mon sens de contrôler ce qui est déjà installé et qu'on connais, mais de nous indiquer les surprises. Par exemple quand tu installes un freeware genre bonzy-buddy qui est sensé être un singe marrant qui sautille sur l'écran, et que ton firewall applicatif te dit "bonzy buddy tente de se connecter à internet" bin tu es sensé te demander pourquoi et en conclure, après recherche, que c'est un spyware. Il peut très bien utiliser le port 80 pour se connecter, port que tu as besoins d'ouvrir en sortie, donc un firewall par port n'est pas approprié ici.
Bref j'espère qu'on peut encore installer un filtrage des ports sur 10.5 et sur 10.4 je mets little snitch comme firewall applicatif. Les 2 sont utiles.
-- Nicolas - MICHEL at bluewin point ch AIM : michelnicolas
sebastienmarty
Nicolas MICHEL <Nicolas-MICHEL'_remove_'@bluewin.ch> wrote:
Bref j'espère qu'on peut encore installer un filtrage des ports sur 10.5 et sur 10.4 je mets little snitch comme firewall applicatif. Les 2 sont utiles.
J'avoue que j'ai pas tout suivi depuis le début, mais tu sembles donc dire que Little Snitch n'est plus utile avec Leopard ? Le système fait lui-même le "gendarme" en sortie ?
-- [SbM] <http://sebastienmarty.free.fr> - <http://tradintosh.free.fr> <http://sbm.ordinotheque.free.fr> - <http://palmiciel.free.fr> "If the French were really intelligent, they'd speak English" (W. Sheed)
Nicolas MICHEL <Nicolas-MICHEL'_remove_'@bluewin.ch> wrote:
Bref j'espère qu'on peut encore installer un filtrage des ports sur 10.5
et sur 10.4 je mets little snitch comme firewall applicatif. Les 2 sont
utiles.
J'avoue que j'ai pas tout suivi depuis le début, mais tu sembles donc
dire que Little Snitch n'est plus utile avec Leopard ? Le système fait
lui-même le "gendarme" en sortie ?
--
[SbM]
<http://sebastienmarty.free.fr> - <http://tradintosh.free.fr>
<http://sbm.ordinotheque.free.fr> - <http://palmiciel.free.fr>
"If the French were really intelligent, they'd speak English" (W. Sheed)
Nicolas MICHEL <Nicolas-MICHEL'_remove_'@bluewin.ch> wrote:
Bref j'espère qu'on peut encore installer un filtrage des ports sur 10.5 et sur 10.4 je mets little snitch comme firewall applicatif. Les 2 sont utiles.
J'avoue que j'ai pas tout suivi depuis le début, mais tu sembles donc dire que Little Snitch n'est plus utile avec Leopard ? Le système fait lui-même le "gendarme" en sortie ?
-- [SbM] <http://sebastienmarty.free.fr> - <http://tradintosh.free.fr> <http://sbm.ordinotheque.free.fr> - <http://palmiciel.free.fr> "If the French were really intelligent, they'd speak English" (W. Sheed)
Nina Popravka
On Fri, 2 Nov 2007 16:29:25 +0100, (SbM) wrote:
J'avoue que j'ai pas tout suivi depuis le début, mais tu sembles donc dire que Little Snitch n'est plus utile avec Leopard ? Le système fait lui-même le "gendarme" en sortie ?
Non. -- Nina
On Fri, 2 Nov 2007 16:29:25 +0100, sebastienmarty@yahoo.fr (SbM)
wrote:
J'avoue que j'ai pas tout suivi depuis le début, mais tu sembles donc
dire que Little Snitch n'est plus utile avec Leopard ? Le système fait
lui-même le "gendarme" en sortie ?
J'avoue que j'ai pas tout suivi depuis le début, mais tu sembles donc dire que Little Snitch n'est plus utile avec Leopard ? Le système fait lui-même le "gendarme" en sortie ?
Non. -- Nina
Erwan David
Patrick Stadelmann écrivait :
In article , Erwan David wrote:
Parceque "une application" c'est bien trop flou comme définition, et qu'en plus l'utilisateur de base n'a AUCUNE compétence pour savoir ce qui est dangereux ou pas.
Il sait tout de même s'il a envie ou pas que Skype qu'il vient de télécharger, installer et lancer, fonctionne correctement. Il sait aussi que si le système l'avertit du comportement suspect d'une application qu'il ne connaît pas, il a intérêt à refuser la demande.
Mais il ne sait pas que s'il a autorsié quicktime à se connecter, le nouveau codec de la mort qui tue qu'il a ramené pour mater des films de cul enverra son numéro de carte bleue en Russie sans que rien ne lui soit notifié, puisqu'iul a autorisé quicktime à se connecter...
Tout ça pour vendre des "services" qui sont déjà des trrous de sécurité énormes (vos donnés sur .mac vous pouvez considérer qu'elles ont une protection NULLE, et que pas mal de monde les voit déjà).
AMHA, le changement de firewall a bien plus à voir avec le fait d'éviter que l'utilisateur doivent se soucier des numéros de port à autoriser...
La sécurité c'est compliqué, supprimons la sécurité.
-- Erwan
Patrick Stadelmann <Patrick.Stadelmann@unine.ch> écrivait :
In article <m2sl3phd95.fsf@ratagaz.depot.rail.eu.org>,
Erwan David <erwan@rail.eu.org> wrote:
Parceque "une application" c'est bien trop flou comme définition, et
qu'en plus l'utilisateur de base n'a AUCUNE compétence pour savoir ce
qui est dangereux ou pas.
Il sait tout de même s'il a envie ou pas que Skype qu'il vient de
télécharger, installer et lancer, fonctionne correctement. Il sait aussi
que si le système l'avertit du comportement suspect d'une application
qu'il ne connaît pas, il a intérêt à refuser la demande.
Mais il ne sait pas que s'il a autorsié quicktime à se connecter, le
nouveau codec de la mort qui tue qu'il a ramené pour mater des films de
cul enverra son numéro de carte bleue en Russie sans que rien ne lui
soit notifié, puisqu'iul a autorisé quicktime à se connecter...
Tout ça pour vendre des "services" qui sont déjà des trrous de sécurité
énormes (vos donnés sur .mac vous pouvez considérer qu'elles ont une
protection NULLE, et que pas mal de monde les voit déjà).
AMHA, le changement de firewall a bien plus à voir avec le fait d'éviter
que l'utilisateur doivent se soucier des numéros de port à autoriser...
La sécurité c'est compliqué, supprimons la sécurité.
Parceque "une application" c'est bien trop flou comme définition, et qu'en plus l'utilisateur de base n'a AUCUNE compétence pour savoir ce qui est dangereux ou pas.
Il sait tout de même s'il a envie ou pas que Skype qu'il vient de télécharger, installer et lancer, fonctionne correctement. Il sait aussi que si le système l'avertit du comportement suspect d'une application qu'il ne connaît pas, il a intérêt à refuser la demande.
Mais il ne sait pas que s'il a autorsié quicktime à se connecter, le nouveau codec de la mort qui tue qu'il a ramené pour mater des films de cul enverra son numéro de carte bleue en Russie sans que rien ne lui soit notifié, puisqu'iul a autorisé quicktime à se connecter...
Tout ça pour vendre des "services" qui sont déjà des trrous de sécurité énormes (vos donnés sur .mac vous pouvez considérer qu'elles ont une protection NULLE, et que pas mal de monde les voit déjà).
AMHA, le changement de firewall a bien plus à voir avec le fait d'éviter que l'utilisateur doivent se soucier des numéros de port à autoriser...
La sécurité c'est compliqué, supprimons la sécurité.
-- Erwan
Erwan David
Matt écrivait :
On Thu, 01 Nov 2007 22:35:45 +0100, Patrick Stadelmann wrote:
Avec le firewall de Tiger, oui, car la règle reste valable. Alors que dans Leopard, si j'ai bien compris, le port n'est ouvert que quand une application autorisée en fait la demande.
Oui car d'après les lectures c'est un firewall applicatif. C'est une bonne chose.
Non c'est pas suffisant.
On va donc dire que maintenant on n'a plus besoin de little snitch, mais il va falloir se trouver un vrai firewall en vitesse...
Au fait je suppose que iTunes et autres sont automatiquement autorisés, c'ets facile de leur virer l'accès réseau ?
-- Erwan
Matt <ebbgjrvyre93@gmail.com.invalid> écrivait :
On Thu, 01 Nov 2007 22:35:45 +0100,
Patrick Stadelmann <Patrick.Stadelmann@unine.ch> wrote:
Avec le firewall de Tiger, oui, car la règle reste valable. Alors que
dans Leopard, si j'ai bien compris, le port n'est ouvert que quand une
application autorisée en fait la demande.
Oui car d'après les lectures c'est un firewall applicatif. C'est une bonne
chose.
Non c'est pas suffisant.
On va donc dire que maintenant on n'a plus besoin de little snitch, mais
il va falloir se trouver un vrai firewall en vitesse...
Au fait je suppose que iTunes et autres sont automatiquement autorisés,
c'ets facile de leur virer l'accès réseau ?
On Thu, 01 Nov 2007 22:35:45 +0100, Patrick Stadelmann wrote:
Avec le firewall de Tiger, oui, car la règle reste valable. Alors que dans Leopard, si j'ai bien compris, le port n'est ouvert que quand une application autorisée en fait la demande.
Oui car d'après les lectures c'est un firewall applicatif. C'est une bonne chose.
Non c'est pas suffisant.
On va donc dire que maintenant on n'a plus besoin de little snitch, mais il va falloir se trouver un vrai firewall en vitesse...
Au fait je suppose que iTunes et autres sont automatiquement autorisés, c'ets facile de leur virer l'accès réseau ?
-- Erwan
Nicolas-MICHEL'_remove_'
Nina Popravka wrote:
On Fri, 2 Nov 2007 16:29:25 +0100, (SbM) wrote:
J'avoue que j'ai pas tout suivi depuis le début, mais tu sembles donc dire que Little Snitch n'est plus utile avec Leopard ? Le système fait lui-même le "gendarme" en sortie ?
Non.
Ah ? Bon, faudra que je test ce 10.5, moi. Pas le temps avant fevrier, ... tant pis.
-- Nicolas - MICHEL at bluewin point ch AIM : michelnicolas
Nina Popravka <Nina@nospam.invalid> wrote:
On Fri, 2 Nov 2007 16:29:25 +0100, sebastienmarty@yahoo.fr (SbM)
wrote:
J'avoue que j'ai pas tout suivi depuis le début, mais tu sembles donc
dire que Little Snitch n'est plus utile avec Leopard ? Le système fait
lui-même le "gendarme" en sortie ?
Non.
Ah ?
Bon, faudra que je test ce 10.5, moi.
Pas le temps avant fevrier, ... tant pis.
--
Nicolas - MICHEL at bluewin point ch
AIM : michelnicolas
J'avoue que j'ai pas tout suivi depuis le début, mais tu sembles donc dire que Little Snitch n'est plus utile avec Leopard ? Le système fait lui-même le "gendarme" en sortie ?
Non.
Ah ? Bon, faudra que je test ce 10.5, moi. Pas le temps avant fevrier, ... tant pis.
-- Nicolas - MICHEL at bluewin point ch AIM : michelnicolas
Erwan David
Nina Popravka écrivait :
On Fri, 2 Nov 2007 16:29:25 +0100, (SbM) wrote:
J'avoue que j'ai pas tout suivi depuis le début, mais tu sembles donc dire que Little Snitch n'est plus utile avec Leopard ? Le système fait lui-même le "gendarme" en sortie ?
Non.
EUh, alors c'est quoi le machin qui remplace ipfw ?
C'est pas un firewall applicatif ?
-- Erwan
Nina Popravka <Nina@nospam.invalid> écrivait :
On Fri, 2 Nov 2007 16:29:25 +0100, sebastienmarty@yahoo.fr (SbM)
wrote:
J'avoue que j'ai pas tout suivi depuis le début, mais tu sembles donc
dire que Little Snitch n'est plus utile avec Leopard ? Le système fait
lui-même le "gendarme" en sortie ?
Non.
EUh, alors c'est quoi le machin qui remplace ipfw ?
J'avoue que j'ai pas tout suivi depuis le début, mais tu sembles donc dire que Little Snitch n'est plus utile avec Leopard ? Le système fait lui-même le "gendarme" en sortie ?
Non.
EUh, alors c'est quoi le machin qui remplace ipfw ?
C'est pas un firewall applicatif ?
-- Erwan
Patrick Stadelmann
In article , Erwan David wrote:
Nina Popravka écrivait :
On Fri, 2 Nov 2007 16:29:25 +0100, (SbM) wrote:
J'avoue que j'ai pas tout suivi depuis le début, mais tu sembles donc dire que Little Snitch n'est plus utile avec Leopard ? Le système fait lui-même le "gendarme" en sortie ?
Non.
EUh, alors c'est quoi le machin qui remplace ipfw ?
C'est pas un firewall applicatif ?
Si, mais il ne contrôle que les entrées.
Patrick -- Patrick Stadelmann
In article <87zlxwpr9o.fsf@nez-casse.depot.rail.eu.org>,
Erwan David <erwan@rail.eu.org> wrote:
Nina Popravka <Nina@nospam.invalid> écrivait :
On Fri, 2 Nov 2007 16:29:25 +0100, sebastienmarty@yahoo.fr (SbM)
wrote:
J'avoue que j'ai pas tout suivi depuis le début, mais tu sembles donc
dire que Little Snitch n'est plus utile avec Leopard ? Le système fait
lui-même le "gendarme" en sortie ?
Non.
EUh, alors c'est quoi le machin qui remplace ipfw ?
C'est pas un firewall applicatif ?
Si, mais il ne contrôle que les entrées.
Patrick
--
Patrick Stadelmann <Patrick.Stadelmann@unine.ch>
J'avoue que j'ai pas tout suivi depuis le début, mais tu sembles donc dire que Little Snitch n'est plus utile avec Leopard ? Le système fait lui-même le "gendarme" en sortie ?
Non.
EUh, alors c'est quoi le machin qui remplace ipfw ?
C'est pas un firewall applicatif ?
Si, mais il ne contrôle que les entrées.
Patrick -- Patrick Stadelmann
Patrick Stadelmann
In article , Erwan David wrote:
Mais il ne sait pas que s'il a autorsié quicktime à se connecter, le nouveau codec de la mort qui tue qu'il a ramené pour mater des films de cul enverra son numéro de carte bleue en Russie sans que rien ne lui soit notifié, puisqu'iul a autorisé quicktime à se connecter...
En l'occurrence, la faille de sécurité est plutôt celle qui a permis à un codec d'avoir accès au numéro de la carte...
Patrick -- Patrick Stadelmann
In article <878x5gr6md.fsf@nez-casse.depot.rail.eu.org>,
Erwan David <erwan@rail.eu.org> wrote:
Mais il ne sait pas que s'il a autorsié quicktime à se connecter, le
nouveau codec de la mort qui tue qu'il a ramené pour mater des films de
cul enverra son numéro de carte bleue en Russie sans que rien ne lui
soit notifié, puisqu'iul a autorisé quicktime à se connecter...
En l'occurrence, la faille de sécurité est plutôt celle qui a permis à
un codec d'avoir accès au numéro de la carte...
Patrick
--
Patrick Stadelmann <Patrick.Stadelmann@unine.ch>
Mais il ne sait pas que s'il a autorsié quicktime à se connecter, le nouveau codec de la mort qui tue qu'il a ramené pour mater des films de cul enverra son numéro de carte bleue en Russie sans que rien ne lui soit notifié, puisqu'iul a autorisé quicktime à se connecter...
En l'occurrence, la faille de sécurité est plutôt celle qui a permis à un codec d'avoir accès au numéro de la carte...
