est ce que le firewall de winXP est assez efficace pour bloquer des
attaques d'intrusions ? je me pose la question car du coup je ne vois
plus l'utilité d'installer zonealarm ou autre firewall si l'on active
celui de winxp.
j'aimerai avoir votre avis sur ce sujet svp pour savoir ce que je vais
utiliser par la suite, car j'ai une petite config. donc peux de
ressources à gaspiller si je veux que tout fonctionne convenablement.
est ce que le firewall de winXP est assez efficace pour bloquer des attaques d'intrusions ? Oui.
-- Nina
WinTerMiNator
Ricardo wrote:
Bonjour,
est ce que le firewall de winXP est assez efficace pour bloquer des attaques d'intrusions ? je me pose la question car du coup je ne vois plus l'utilité d'installer zonealarm ou autre firewall si l'on active celui de winxp. j'aimerai avoir votre avis sur ce sujet svp pour savoir ce que je vais utiliser par la suite, car j'ai une petite config. donc peux de ressources à gaspiller si je veux que tout fonctionne convenablement.
Merci de vos avis Richard
Bon,
- Pour une réponse simple, voir la réponse de Nina! - Je vais essayer la réponse compliquée:
1) ce qu'il sait faire: il bloque les tentatives de connexion entrantes, avec "stateful inspection" des paquets (il sait distinguer si un paquet va de A vers B ou de B vers A et ne se laisse pas leurrer).
2) ce qu'il ne sait pas faire: filtrer les connexions sortantes; ce point est sujet à polémique: même les logiciels qui revendiquent le faire le font mal et un logiciel tournant sur un PC arrivera toujours à en sortir, malgré un firewall filtrant, s'il est programmé pour.
3) son *ENORME* faille: un logiciel peut modifier silencieusement, à l'insu de l'utilisateur, la liste des exceptions (programmes autorisés à accepter des connexions entrantes). Ce mécanisme est utilisé par divers logiciels antivirus, ou par Skype (par exemple). Et, ce que des programmes légitimes peuvent faire, un malware / virus / ver etc peut le faire aussi...
Donc, *NON*, on ne peut pas compter sur le parefeu intégré de XP!
Que faut-il utiliser?
J'utilise personnellement:
- Sygate Personal Firewall 5.5 build 2710 (version freeware) que malheureusement Symantec a retiré du marché; j'utilise ce parefeu surtout comme filtre sortant (avec le bémol que c ene peut pas être parfait) et pour avoir des jeux de règles fins (tranches d'adresses IP interdites, portocoles autorisés etc.)
- Couplé au parefeu intégré à mon modem-routeur (US Robotics 9108). C'est là le véritable outil anti-intrusion, qui bloque les paquets non désirés *avant* qu'ils atteignent mon PC. Nota: de tesl parefeux sont souvent intégrés dans des "box" (Freebox, Livebox, modem-routeur Hitachi de Club-Internet...) et ne demandent quà être activés.
Cordialement,
-- Michel Nallino aka WinTerMiNator http://anonapps.samizdat.net (Anonymat sur Internet) Adresse e-mail invalide; pour me contacter: http://www.cerbermail.com/?vdU5HHs5WG
Ricardo wrote:
Bonjour,
est ce que le firewall de winXP est assez efficace pour bloquer des
attaques d'intrusions ? je me pose la question car du coup je ne vois
plus l'utilité d'installer zonealarm ou autre firewall si l'on active
celui de winxp.
j'aimerai avoir votre avis sur ce sujet svp pour savoir ce que je vais
utiliser par la suite, car j'ai une petite config. donc peux de
ressources à gaspiller si je veux que tout fonctionne convenablement.
Merci de vos avis
Richard
Bon,
- Pour une réponse simple, voir la réponse de Nina!
- Je vais essayer la réponse compliquée:
1) ce qu'il sait faire:
il bloque les tentatives de connexion entrantes, avec "stateful inspection"
des paquets (il sait distinguer si un paquet va de A vers B ou de B vers A
et ne se laisse pas leurrer).
2) ce qu'il ne sait pas faire:
filtrer les connexions sortantes; ce point est sujet à polémique: même les
logiciels qui revendiquent le faire le font mal et un logiciel tournant sur
un PC arrivera toujours à en sortir, malgré un firewall filtrant, s'il est
programmé pour.
3) son *ENORME* faille:
un logiciel peut modifier silencieusement, à l'insu de l'utilisateur, la
liste des exceptions (programmes autorisés à accepter des connexions
entrantes). Ce mécanisme est utilisé par divers logiciels antivirus, ou par
Skype (par exemple). Et, ce que des programmes légitimes peuvent faire, un
malware / virus / ver etc peut le faire aussi...
Donc, *NON*, on ne peut pas compter sur le parefeu intégré de XP!
Que faut-il utiliser?
J'utilise personnellement:
- Sygate Personal Firewall 5.5 build 2710 (version freeware) que
malheureusement Symantec a retiré du marché; j'utilise ce parefeu surtout
comme filtre sortant (avec le bémol que c ene peut pas être parfait) et pour
avoir des jeux de règles fins (tranches d'adresses IP interdites, portocoles
autorisés etc.)
- Couplé au parefeu intégré à mon modem-routeur (US Robotics 9108). C'est là
le véritable outil anti-intrusion, qui bloque les paquets non désirés
*avant* qu'ils atteignent mon PC. Nota: de tesl parefeux sont souvent
intégrés dans des "box" (Freebox, Livebox, modem-routeur Hitachi de
Club-Internet...) et ne demandent quà être activés.
Cordialement,
--
Michel Nallino aka WinTerMiNator
http://anonapps.samizdat.net (Anonymat sur Internet)
Adresse e-mail invalide; pour me contacter:
http://www.cerbermail.com/?vdU5HHs5WG
est ce que le firewall de winXP est assez efficace pour bloquer des attaques d'intrusions ? je me pose la question car du coup je ne vois plus l'utilité d'installer zonealarm ou autre firewall si l'on active celui de winxp. j'aimerai avoir votre avis sur ce sujet svp pour savoir ce que je vais utiliser par la suite, car j'ai une petite config. donc peux de ressources à gaspiller si je veux que tout fonctionne convenablement.
Merci de vos avis Richard
Bon,
- Pour une réponse simple, voir la réponse de Nina! - Je vais essayer la réponse compliquée:
1) ce qu'il sait faire: il bloque les tentatives de connexion entrantes, avec "stateful inspection" des paquets (il sait distinguer si un paquet va de A vers B ou de B vers A et ne se laisse pas leurrer).
2) ce qu'il ne sait pas faire: filtrer les connexions sortantes; ce point est sujet à polémique: même les logiciels qui revendiquent le faire le font mal et un logiciel tournant sur un PC arrivera toujours à en sortir, malgré un firewall filtrant, s'il est programmé pour.
3) son *ENORME* faille: un logiciel peut modifier silencieusement, à l'insu de l'utilisateur, la liste des exceptions (programmes autorisés à accepter des connexions entrantes). Ce mécanisme est utilisé par divers logiciels antivirus, ou par Skype (par exemple). Et, ce que des programmes légitimes peuvent faire, un malware / virus / ver etc peut le faire aussi...
Donc, *NON*, on ne peut pas compter sur le parefeu intégré de XP!
Que faut-il utiliser?
J'utilise personnellement:
- Sygate Personal Firewall 5.5 build 2710 (version freeware) que malheureusement Symantec a retiré du marché; j'utilise ce parefeu surtout comme filtre sortant (avec le bémol que c ene peut pas être parfait) et pour avoir des jeux de règles fins (tranches d'adresses IP interdites, portocoles autorisés etc.)
- Couplé au parefeu intégré à mon modem-routeur (US Robotics 9108). C'est là le véritable outil anti-intrusion, qui bloque les paquets non désirés *avant* qu'ils atteignent mon PC. Nota: de tesl parefeux sont souvent intégrés dans des "box" (Freebox, Livebox, modem-routeur Hitachi de Club-Internet...) et ne demandent quà être activés.
Cordialement,
-- Michel Nallino aka WinTerMiNator http://anonapps.samizdat.net (Anonymat sur Internet) Adresse e-mail invalide; pour me contacter: http://www.cerbermail.com/?vdU5HHs5WG
ZikZak
Bonjour,
est ce que le firewall de winXP est assez efficace pour bloquer des attaques d'intrusions ? je me pose la question car du coup je ne vois plus l'utilité d'installer zonealarm ou autre firewall si l'on active celui de winxp. j'aimerai avoir votre avis sur ce sujet svp pour savoir ce que je vais utiliser par la suite, car j'ai une petite config. donc peux de ressources à gaspiller si je veux que tout fonctionne convenablement.
Merci de vos avis Richard
Non.
De plus son administration est laborieuse, il est préférable de passer par un produit mieux fini si on veut vraiment avoir un minimum l'esprit tranquille sous Windows XP.
Bonjour,
est ce que le firewall de winXP est assez efficace pour bloquer des
attaques d'intrusions ? je me pose la question car du coup je ne vois
plus l'utilité d'installer zonealarm ou autre firewall si l'on active
celui de winxp.
j'aimerai avoir votre avis sur ce sujet svp pour savoir ce que je vais
utiliser par la suite, car j'ai une petite config. donc peux de
ressources à gaspiller si je veux que tout fonctionne convenablement.
Merci de vos avis
Richard
Non.
De plus son administration est laborieuse, il est préférable de passer
par un produit mieux fini si on veut vraiment avoir un minimum l'esprit
tranquille sous Windows XP.
est ce que le firewall de winXP est assez efficace pour bloquer des attaques d'intrusions ? je me pose la question car du coup je ne vois plus l'utilité d'installer zonealarm ou autre firewall si l'on active celui de winxp. j'aimerai avoir votre avis sur ce sujet svp pour savoir ce que je vais utiliser par la suite, car j'ai une petite config. donc peux de ressources à gaspiller si je veux que tout fonctionne convenablement.
Merci de vos avis Richard
Non.
De plus son administration est laborieuse, il est préférable de passer par un produit mieux fini si on veut vraiment avoir un minimum l'esprit tranquille sous Windows XP.
ernest
"Ricardo" a écrit dans le message de news: 450fe2ac$0$11810$ | Bonjour, | | est ce que le firewall de winXP est assez efficace pour bloquer des | attaques d'intrusions ? je me pose la question car du coup je ne vois | plus l'utilité d'installer zonealarm ou autre firewall si l'on active | celui de winxp.
Le firewall de XP et ZoneAlarm ou autre ne jouent pas du tout le même rôle ! la question a déjà été abordée ici maintes fois ( l'un, XP, ne filtre que les connections entrantes, il est donc inefficace contre un espiogiciel qui lui, une fois installé, va chercher à se connecter )
Ern
"Ricardo" <ricardo.mail@club.fr> a écrit dans le message de news: 450fe2ac$0$11810$636a55ce@news.free.fr...
| Bonjour,
|
| est ce que le firewall de winXP est assez efficace pour bloquer des
| attaques d'intrusions ? je me pose la question car du coup je ne vois
| plus l'utilité d'installer zonealarm ou autre firewall si l'on active
| celui de winxp.
Le firewall de XP et ZoneAlarm ou autre ne jouent pas du tout le même
rôle ! la question a déjà été abordée ici maintes fois ( l'un, XP, ne filtre
que les connections entrantes, il est donc inefficace contre un espiogiciel
qui lui, une fois installé, va chercher à se connecter )
"Ricardo" a écrit dans le message de news: 450fe2ac$0$11810$ | Bonjour, | | est ce que le firewall de winXP est assez efficace pour bloquer des | attaques d'intrusions ? je me pose la question car du coup je ne vois | plus l'utilité d'installer zonealarm ou autre firewall si l'on active | celui de winxp.
Le firewall de XP et ZoneAlarm ou autre ne jouent pas du tout le même rôle ! la question a déjà été abordée ici maintes fois ( l'un, XP, ne filtre que les connections entrantes, il est donc inefficace contre un espiogiciel qui lui, une fois installé, va chercher à se connecter )
Ern
Fabien LE LEZ
On 20 Sep 2006 02:20:30 GMT, "WinTerMiNator" :
3) son *ENORME* faille: un logiciel peut modifier silencieusement, à l'insu de l'utilisateur, la liste des exceptions
C'est effectivement assez ridicule pour un firewall, mais typique de Microsoft.
Toutefois, est-ce bien un problème ? Si un troyen s'installe sur ton PC, il a le choix entre : - ouvrir une connexion sortante - demander à XP de lui ouvrir un port en entrée, puis attendre une connexion entrante
Il me semble qu'un firewall qui ne surveille pas les connexions sortantes part de toutes façons du principe que tout exécutable lancé sur la machine est légitime. Donc, le laisser ouvrir ce qu'il veut n'est pas choquant.
En pratique, je le trouve inutile pour des PC fixes, qui sont derrière un routeur. Par contre, il peut s'avérer utile pour un portable, amené à se connecter directement à Internet, et/ou à des LAN peu sûrs.
On 20 Sep 2006 02:20:30 GMT, "WinTerMiNator" <me@privacy.net>:
3) son *ENORME* faille:
un logiciel peut modifier silencieusement, à l'insu de l'utilisateur, la
liste des exceptions
C'est effectivement assez ridicule pour un firewall, mais typique de
Microsoft.
Toutefois, est-ce bien un problème ?
Si un troyen s'installe sur ton PC, il a le choix entre :
- ouvrir une connexion sortante
- demander à XP de lui ouvrir un port en entrée, puis attendre
une connexion entrante
Il me semble qu'un firewall qui ne surveille pas les connexions
sortantes part de toutes façons du principe que tout exécutable lancé
sur la machine est légitime. Donc, le laisser ouvrir ce qu'il veut
n'est pas choquant.
En pratique, je le trouve inutile pour des PC fixes, qui sont derrière
un routeur. Par contre, il peut s'avérer utile pour un portable, amené
à se connecter directement à Internet, et/ou à des LAN peu sûrs.
3) son *ENORME* faille: un logiciel peut modifier silencieusement, à l'insu de l'utilisateur, la liste des exceptions
C'est effectivement assez ridicule pour un firewall, mais typique de Microsoft.
Toutefois, est-ce bien un problème ? Si un troyen s'installe sur ton PC, il a le choix entre : - ouvrir une connexion sortante - demander à XP de lui ouvrir un port en entrée, puis attendre une connexion entrante
Il me semble qu'un firewall qui ne surveille pas les connexions sortantes part de toutes façons du principe que tout exécutable lancé sur la machine est légitime. Donc, le laisser ouvrir ce qu'il veut n'est pas choquant.
En pratique, je le trouve inutile pour des PC fixes, qui sont derrière un routeur. Par contre, il peut s'avérer utile pour un portable, amené à se connecter directement à Internet, et/ou à des LAN peu sûrs.
Guillaume
Bonjour,
Fabien LE LEZ a wroté :
3) son *ENORME* faille: un logiciel peut modifier silencieusement, à l'insu de l'utilisateur, la liste des exceptions
C'est effectivement assez ridicule pour un firewall, mais typique de Microsoft.
Toutefois, est-ce bien un problème ? Si un troyen s'installe sur ton PC, il a le choix entre : - ouvrir une connexion sortante - demander à XP de lui ouvrir un port en entrée, puis attendre une connexion entrante
C'est vrai dans le cas d'un troyen. En revanche la protection est inexistante dans le cas d'un spyware, qui une fois installé enverra ses données à la maison-mère sans être gêné le moins du monde. A la lumière de ce qui est typique de Microsoft, on peut se demander si ce fonctionnement n'est pas voulu, pour laisser les coudées franches à des produits tels que Windows Media Player par exemple.
-- Guillaume
Bonjour,
Fabien LE LEZ a wroté :
3) son *ENORME* faille:
un logiciel peut modifier silencieusement, à l'insu de l'utilisateur, la
liste des exceptions
C'est effectivement assez ridicule pour un firewall, mais typique de
Microsoft.
Toutefois, est-ce bien un problème ?
Si un troyen s'installe sur ton PC, il a le choix entre :
- ouvrir une connexion sortante
- demander à XP de lui ouvrir un port en entrée, puis attendre
une connexion entrante
C'est vrai dans le cas d'un troyen.
En revanche la protection est inexistante dans le cas d'un spyware,
qui une fois installé enverra ses données à la maison-mère sans être
gêné le moins du monde. A la lumière de ce qui est typique de
Microsoft, on peut se demander si ce fonctionnement n'est pas voulu,
pour laisser les coudées franches à des produits tels que Windows
Media Player par exemple.
3) son *ENORME* faille: un logiciel peut modifier silencieusement, à l'insu de l'utilisateur, la liste des exceptions
C'est effectivement assez ridicule pour un firewall, mais typique de Microsoft.
Toutefois, est-ce bien un problème ? Si un troyen s'installe sur ton PC, il a le choix entre : - ouvrir une connexion sortante - demander à XP de lui ouvrir un port en entrée, puis attendre une connexion entrante
C'est vrai dans le cas d'un troyen. En revanche la protection est inexistante dans le cas d'un spyware, qui une fois installé enverra ses données à la maison-mère sans être gêné le moins du monde. A la lumière de ce qui est typique de Microsoft, on peut se demander si ce fonctionnement n'est pas voulu, pour laisser les coudées franches à des produits tels que Windows Media Player par exemple.
-- Guillaume
Fabien LE LEZ
On 20 Sep 2006 10:13:37 GMT, Guillaume :
En revanche la protection est inexistante dans le cas d'un spyware, qui une fois installé enverra ses données à la maison-mère sans être gêné le moins du monde.
Oui. Mais le problème, c'est le fait qu'il ne bloque pas les sorties.
Ce que je voulais dire, c'est qu'à partir du moment où il ne bloque pas les sorties, il peut aussi bien laisser les logiciels ouvrir en entrée tous les ports qu'ils veulent.
[Et j'ajoute qu'à partir du moment où il ne bloque pas les sorties, il ne sert à rien si on a déjà un routeur.]
On 20 Sep 2006 10:13:37 GMT, Guillaume <g1y0m@yahoo.fr.invalid>:
En revanche la protection est inexistante dans le cas d'un spyware,
qui une fois installé enverra ses données à la maison-mère sans être
gêné le moins du monde.
Oui. Mais le problème, c'est le fait qu'il ne bloque pas les sorties.
Ce que je voulais dire, c'est qu'à partir du moment où il ne bloque
pas les sorties, il peut aussi bien laisser les logiciels ouvrir en
entrée tous les ports qu'ils veulent.
[Et j'ajoute qu'à partir du moment où il ne bloque pas les sorties, il
ne sert à rien si on a déjà un routeur.]
En revanche la protection est inexistante dans le cas d'un spyware, qui une fois installé enverra ses données à la maison-mère sans être gêné le moins du monde.
Oui. Mais le problème, c'est le fait qu'il ne bloque pas les sorties.
Ce que je voulais dire, c'est qu'à partir du moment où il ne bloque pas les sorties, il peut aussi bien laisser les logiciels ouvrir en entrée tous les ports qu'ils veulent.
[Et j'ajoute qu'à partir du moment où il ne bloque pas les sorties, il ne sert à rien si on a déjà un routeur.]
Yves Jean Marie Lambert
WinTerMiNator wrote:
2) ce qu'il ne sait pas faire: filtrer les connexions sortantes; ce point est sujet à polémique: même les logiciels qui revendiquent le faire le font mal et un logiciel tournant sur un PC arrivera toujours à en sortir, malgré un firewall filtrant, s'il est programmé pour.
Il existe un programme de test spécifique pour ça : http://www.grc.com/lt/leaktest.htm (je ne l'ai pas trouvé dans la faq), et avant sp2, quand un fw était plus "utile" sous xp que maintenant, les charts tels que ceux cités (kerio ZA etc.) le passaient avec succès *sans tricher* (c'est à dire que le programme n'arrive pas à sortir, ce qui est le but du jeu).
Quant au point 3 en ce qui concerne les connexion entrantes. J'estime, peut-être à tort vu que je n'utilise plus windows, qu'un xp non sp2 a vraiment besoin d'être complété par un fw logiciel (sauf sans doute PC fixe derrière un routeur...) Une règle absolue à respecter sous XP (comme sur tous système incluant une politique de droits d'utilisateurs) est de toujours savoir ce qu'on fait quand on est administrateur, et de ne jamais se connecter sur internet en tant qu'admin sauf en cas de nécessité absolue. Ainsi si un trojan s'installe à l'insu de votre plein gré, ce sera sur un compte limité et il n'aura pas les droits suffisant pour demander l'ouverture d'un port au firewall.
WinTerMiNator wrote:
2) ce qu'il ne sait pas faire:
filtrer les connexions sortantes; ce point est sujet à polémique: même les
logiciels qui revendiquent le faire le font mal et un logiciel tournant sur
un PC arrivera toujours à en sortir, malgré un firewall filtrant, s'il est
programmé pour.
Il existe un programme de test spécifique pour ça :
http://www.grc.com/lt/leaktest.htm (je ne l'ai pas trouvé dans la faq),
et avant sp2, quand un fw était plus "utile" sous xp que maintenant, les
charts tels que ceux cités (kerio ZA etc.) le passaient avec succès
*sans tricher* (c'est à dire que le programme n'arrive pas à sortir, ce
qui est le but du jeu).
Quant au point 3 en ce qui concerne les connexion entrantes. J'estime,
peut-être à tort vu que je n'utilise plus windows, qu'un xp non sp2 a
vraiment besoin d'être complété par un fw logiciel (sauf sans doute PC
fixe derrière un routeur...)
Une règle absolue à respecter sous XP (comme sur tous système incluant
une politique de droits d'utilisateurs) est de toujours savoir ce qu'on
fait quand on est administrateur, et de ne jamais se connecter sur
internet en tant qu'admin sauf en cas de nécessité absolue. Ainsi si un
trojan s'installe à l'insu de votre plein gré, ce sera sur un compte
limité et il n'aura pas les droits suffisant pour demander l'ouverture
d'un port au firewall.
2) ce qu'il ne sait pas faire: filtrer les connexions sortantes; ce point est sujet à polémique: même les logiciels qui revendiquent le faire le font mal et un logiciel tournant sur un PC arrivera toujours à en sortir, malgré un firewall filtrant, s'il est programmé pour.
Il existe un programme de test spécifique pour ça : http://www.grc.com/lt/leaktest.htm (je ne l'ai pas trouvé dans la faq), et avant sp2, quand un fw était plus "utile" sous xp que maintenant, les charts tels que ceux cités (kerio ZA etc.) le passaient avec succès *sans tricher* (c'est à dire que le programme n'arrive pas à sortir, ce qui est le but du jeu).
Quant au point 3 en ce qui concerne les connexion entrantes. J'estime, peut-être à tort vu que je n'utilise plus windows, qu'un xp non sp2 a vraiment besoin d'être complété par un fw logiciel (sauf sans doute PC fixe derrière un routeur...) Une règle absolue à respecter sous XP (comme sur tous système incluant une politique de droits d'utilisateurs) est de toujours savoir ce qu'on fait quand on est administrateur, et de ne jamais se connecter sur internet en tant qu'admin sauf en cas de nécessité absolue. Ainsi si un trojan s'installe à l'insu de votre plein gré, ce sera sur un compte limité et il n'aura pas les droits suffisant pour demander l'ouverture d'un port au firewall.
WinTerMiNator
Fabien LE LEZ wrote:
On 20 Sep 2006 10:13:37 GMT, Guillaume :
En revanche la protection est inexistante dans le cas d'un spyware, qui une fois installé enverra ses données à la maison-mère sans être gêné le moins du monde.
Oui. Mais le problème, c'est le fait qu'il ne bloque pas les sorties.
Ce que je voulais dire, c'est qu'à partir du moment où il ne bloque pas les sorties, il peut aussi bien laisser les logiciels ouvrir en entrée tous les ports qu'ils veulent.
[Et j'ajoute qu'à partir du moment où il ne bloque pas les sorties, il ne sert à rien si on a déjà un routeur.]
Hélas, les parefeux qui bloquent les connexions sortantes bloquent surtout les logiciels légitimes (qu'on veut empêcher de "téléphoner maison") mais pas toujours les malwares!
Trois exemples: - un rootkit se connectera de l'intérieur sans être vu par le parefeu (pour le système d'exploitation, il n'existe pas, car ayant modifié en conséquence le noyau du système d'exploitation!) - qemu, logiciel légitime (c'est une machine virtuelle en OpenSource) permet à la machine qu'elle héberge de se connecter sans que le parefeu tournant sur la machine hôte ne détecte quoi que ce soit, - et plusieurs sites de test hébergent des "leak-tests", destinés à montrer la possibilité de se connecter "depuis l'intérieur" sans être détectés par le parefeu (le résultat à ces leak-tests est très variable selon le parefeu installé).
On n'a ainsi, avec Zone Alarm, Sygate, Kerio ou les payants McAfee, Norton, etc. aucune certitude en matière de bloquage d'un éventuel spyware / cheval de Troie essayant de se connecter.
C'est encore plus vrai si la session ouverte est une session "admin".
Il ne faut donc *PAS COMPTER DU TOUT* sur un parefeu pour empêcher les connexions sortantes des malwares tournant sur le PC; au mieux peut-on compter maîtriser le fonctionnement des logiciels légitimes... qui croient un peu trop que le PC leur appartient!
Contre les spywares il faut une autre gamme d'outils: - "vaccins" comme Spybot Search and Destroy et Spyware Blaster, - sondes anti intrusions comme WinPooch, PrevX, et en partie McAfee VirusScan 8.0i Enterprise (le "i" veut dire "proactive"), - et scanners si on redoute que le mal est fait, comme Spybot, Ad-Aware, HijackThis ou Rootkit Revealer pour la recherche de rootkits.
-- Michel Nallino aka WinTerMiNator http://anonapps.samizdat.net (Anonymat sur Internet) Adresse e-mail invalide; pour me contacter: http://www.cerbermail.com/?vdU5HHs5WG
Fabien LE LEZ wrote:
On 20 Sep 2006 10:13:37 GMT, Guillaume <g1y0m@yahoo.fr.invalid>:
En revanche la protection est inexistante dans le cas d'un spyware,
qui une fois installé enverra ses données à la maison-mère sans être
gêné le moins du monde.
Oui. Mais le problème, c'est le fait qu'il ne bloque pas les sorties.
Ce que je voulais dire, c'est qu'à partir du moment où il ne bloque
pas les sorties, il peut aussi bien laisser les logiciels ouvrir en
entrée tous les ports qu'ils veulent.
[Et j'ajoute qu'à partir du moment où il ne bloque pas les sorties, il
ne sert à rien si on a déjà un routeur.]
Hélas, les parefeux qui bloquent les connexions sortantes bloquent surtout
les logiciels légitimes (qu'on veut empêcher de "téléphoner maison") mais
pas toujours les malwares!
Trois exemples:
- un rootkit se connectera de l'intérieur sans être vu par le parefeu (pour
le système d'exploitation, il n'existe pas, car ayant modifié en conséquence
le noyau du système d'exploitation!)
- qemu, logiciel légitime (c'est une machine virtuelle en OpenSource) permet
à la machine qu'elle héberge de se connecter sans que le parefeu tournant
sur la machine hôte ne détecte quoi que ce soit,
- et plusieurs sites de test hébergent des "leak-tests", destinés à montrer
la possibilité de se connecter "depuis l'intérieur" sans être détectés par
le parefeu (le résultat à ces leak-tests est très variable selon le parefeu
installé).
On n'a ainsi, avec Zone Alarm, Sygate, Kerio ou les payants McAfee, Norton,
etc. aucune certitude en matière de bloquage d'un éventuel spyware / cheval
de Troie essayant de se connecter.
C'est encore plus vrai si la session ouverte est une session "admin".
Il ne faut donc *PAS COMPTER DU TOUT* sur un parefeu pour empêcher les
connexions sortantes des malwares tournant sur le PC; au mieux peut-on
compter maîtriser le fonctionnement des logiciels légitimes... qui croient
un peu trop que le PC leur appartient!
Contre les spywares il faut une autre gamme d'outils:
- "vaccins" comme Spybot Search and Destroy et Spyware Blaster,
- sondes anti intrusions comme WinPooch, PrevX, et en partie McAfee
VirusScan 8.0i Enterprise (le "i" veut dire "proactive"),
- et scanners si on redoute que le mal est fait, comme Spybot, Ad-Aware,
HijackThis ou Rootkit Revealer pour la recherche de rootkits.
--
Michel Nallino aka WinTerMiNator
http://anonapps.samizdat.net (Anonymat sur Internet)
Adresse e-mail invalide; pour me contacter:
http://www.cerbermail.com/?vdU5HHs5WG
En revanche la protection est inexistante dans le cas d'un spyware, qui une fois installé enverra ses données à la maison-mère sans être gêné le moins du monde.
Oui. Mais le problème, c'est le fait qu'il ne bloque pas les sorties.
Ce que je voulais dire, c'est qu'à partir du moment où il ne bloque pas les sorties, il peut aussi bien laisser les logiciels ouvrir en entrée tous les ports qu'ils veulent.
[Et j'ajoute qu'à partir du moment où il ne bloque pas les sorties, il ne sert à rien si on a déjà un routeur.]
Hélas, les parefeux qui bloquent les connexions sortantes bloquent surtout les logiciels légitimes (qu'on veut empêcher de "téléphoner maison") mais pas toujours les malwares!
Trois exemples: - un rootkit se connectera de l'intérieur sans être vu par le parefeu (pour le système d'exploitation, il n'existe pas, car ayant modifié en conséquence le noyau du système d'exploitation!) - qemu, logiciel légitime (c'est une machine virtuelle en OpenSource) permet à la machine qu'elle héberge de se connecter sans que le parefeu tournant sur la machine hôte ne détecte quoi que ce soit, - et plusieurs sites de test hébergent des "leak-tests", destinés à montrer la possibilité de se connecter "depuis l'intérieur" sans être détectés par le parefeu (le résultat à ces leak-tests est très variable selon le parefeu installé).
On n'a ainsi, avec Zone Alarm, Sygate, Kerio ou les payants McAfee, Norton, etc. aucune certitude en matière de bloquage d'un éventuel spyware / cheval de Troie essayant de se connecter.
C'est encore plus vrai si la session ouverte est une session "admin".
Il ne faut donc *PAS COMPTER DU TOUT* sur un parefeu pour empêcher les connexions sortantes des malwares tournant sur le PC; au mieux peut-on compter maîtriser le fonctionnement des logiciels légitimes... qui croient un peu trop que le PC leur appartient!
Contre les spywares il faut une autre gamme d'outils: - "vaccins" comme Spybot Search and Destroy et Spyware Blaster, - sondes anti intrusions comme WinPooch, PrevX, et en partie McAfee VirusScan 8.0i Enterprise (le "i" veut dire "proactive"), - et scanners si on redoute que le mal est fait, comme Spybot, Ad-Aware, HijackThis ou Rootkit Revealer pour la recherche de rootkits.
-- Michel Nallino aka WinTerMiNator http://anonapps.samizdat.net (Anonymat sur Internet) Adresse e-mail invalide; pour me contacter: http://www.cerbermail.com/?vdU5HHs5WG
Eric Razny
Le Thu, 21 Sep 2006 16:20:13 +0000, Yves Jean Marie Lambert a écrit :
Une règle absolue à respecter sous XP (comme sur tous système incluant une politique de droits d'utilisateurs) est de toujours savoir ce qu'on fait quand on est administrateur, et de ne jamais se connecter sur internet en tant qu'admin sauf en cas de nécessité absolue. Ainsi si un trojan s'installe à l'insu de votre plein gré, ce sera sur un compte limité et il n'aura pas les droits suffisant pour demander l'ouverture d'un port au firewall.
Entièrement d'accord.
Néanmoins quelqu'un a qui je disais ça m'a sortie une revue avec un commentaire de Bernard Ourghanlian, Chief Technical and Security Officer de MS France. Je cite :
"Sur un environnement tel que Windows XP, il est très difficile de travailler autrement qu'en tant qu'administrateur".
Comme la nécessité de ne pas travailler admin et ce commentaire (aveux? :) ) sont difficilement conciliables doit-on en déduire qu'il ne faut pas utiliser XP si on veux de la sécu? :)
Troll à part j'ai déjà vu un cas tordu (lecteur de carte à puce) où une appli marchait parfois aléatoirement en non-admin.
Je ne suis pas un pro de XP mais j'ai la faiblesse de penser que si je n'ai pas trouvé le pourquoi du comment (je suis resté sur un driver déficient. Je n'ai rien trouvé sur les droits et ça n'expliquerait pas le "un coup oui, un coup non) ce n'est pas notre brave Mme Michu qui le trouvera...
Qui Vista verra (oui, bon, je sais mais j'assume)
Le Thu, 21 Sep 2006 16:20:13 +0000, Yves Jean Marie Lambert a écrit :
Une règle absolue à respecter sous XP (comme sur tous système incluant
une politique de droits d'utilisateurs) est de toujours savoir ce qu'on
fait quand on est administrateur, et de ne jamais se connecter sur
internet en tant qu'admin sauf en cas de nécessité absolue. Ainsi si un
trojan s'installe à l'insu de votre plein gré, ce sera sur un compte
limité et il n'aura pas les droits suffisant pour demander l'ouverture
d'un port au firewall.
Entièrement d'accord.
Néanmoins quelqu'un a qui je disais ça m'a sortie une revue avec un
commentaire de Bernard Ourghanlian, Chief Technical and Security Officer
de MS France. Je cite :
"Sur un environnement tel que Windows XP, il est très difficile de
travailler autrement qu'en tant qu'administrateur".
Comme la nécessité de ne pas travailler admin et ce commentaire (aveux?
:) ) sont difficilement conciliables doit-on en déduire qu'il ne faut pas
utiliser XP si on veux de la sécu? :)
Troll à part j'ai déjà vu un cas tordu (lecteur de carte à puce) où
une appli marchait parfois aléatoirement en non-admin.
Je ne suis pas un pro de XP mais j'ai la faiblesse de penser que si je
n'ai pas trouvé le pourquoi du comment (je suis resté sur un driver
déficient. Je n'ai rien trouvé sur les droits et ça n'expliquerait pas
le "un coup oui, un coup non) ce n'est pas notre brave Mme Michu qui le
trouvera...
Le Thu, 21 Sep 2006 16:20:13 +0000, Yves Jean Marie Lambert a écrit :
Une règle absolue à respecter sous XP (comme sur tous système incluant une politique de droits d'utilisateurs) est de toujours savoir ce qu'on fait quand on est administrateur, et de ne jamais se connecter sur internet en tant qu'admin sauf en cas de nécessité absolue. Ainsi si un trojan s'installe à l'insu de votre plein gré, ce sera sur un compte limité et il n'aura pas les droits suffisant pour demander l'ouverture d'un port au firewall.
Entièrement d'accord.
Néanmoins quelqu'un a qui je disais ça m'a sortie une revue avec un commentaire de Bernard Ourghanlian, Chief Technical and Security Officer de MS France. Je cite :
"Sur un environnement tel que Windows XP, il est très difficile de travailler autrement qu'en tant qu'administrateur".
Comme la nécessité de ne pas travailler admin et ce commentaire (aveux? :) ) sont difficilement conciliables doit-on en déduire qu'il ne faut pas utiliser XP si on veux de la sécu? :)
Troll à part j'ai déjà vu un cas tordu (lecteur de carte à puce) où une appli marchait parfois aléatoirement en non-admin.
Je ne suis pas un pro de XP mais j'ai la faiblesse de penser que si je n'ai pas trouvé le pourquoi du comment (je suis resté sur un driver déficient. Je n'ai rien trouvé sur les droits et ça n'expliquerait pas le "un coup oui, un coup non) ce n'est pas notre brave Mme Michu qui le trouvera...
