pare-feu + partage internet

bjr,

non, tu n'as pas besoin car ton 2 eme pc se trouve normalement dans la
trusted zone.(lan)
C'est le pc qui se connecte et qui s'occupe de partager la connexion qui
doit être protégé.

TFid

Rasmus wrote:

Bonjour,

Ma config:
1 PC connecté via ADSL, équipé de ZA.
1 autre PC en réseau local accedant au net via le 1er.

Faut-il installer ZA sur le 2eme ou pas?

Merci.
Ras'

Et si, hypothèses farfelues, le PC se ramasse un ver, un trojan, une
backdoor un tant soit peu bien foutue ou un simple spyware, c'est le PC
qui _partage_ la connexion qui va empêcher le vilain de programme d'aller
sur le net ?

Ca c'est valable pour n'importe quel pc protégé par firewall. C'est pour
ça que le FW tout seul n'est pas suffisant pour se protéger et qu'il
faut avoir anti-virus, détecteur de spyware etc ...
Un FW compromis par une machine du réseau infectée par ver,virus etc
devient effectivement une vrai passoire ! Et ceci même si t'as foutu un
FW a 100 000 $ sur ton réseau.

Le principe de base du firewall personnel est de filtrer les
_applications_ qui accèdent au réseau sur une machine, chose que ne peut
pas faire un filtre de paquets.

N'importe quoi ! A la base c'est un firewall ! Donc c'est fait pour
filtrer au niveau adresse IP et port. Personnel parce qu'il est pas
Professionel et que tu raques XXX $ pr ton bordel. Tu dis çà parce que
tu configures pas ton FW personnel en mode expert je suppose. En tout
cas, c'est sûr que les FW personnels sont moins efficaces et performants
qu'un vrai FW digne de ce nom.
Enfin le filtrage des applications est un plus qui est apporté et qui
permet d'éviter à un spyware ou autre d'abuser de ports ouverts. (genre
si tu autorises la connexion sortante vers un serveur smtp, tu peux
empêcher à un autre logiciel que ton gestionnaire de mails d'envoyer des
mails. Genre E-mule pour ne citer que lui, a l'autre jour tenté
d'envoyer un mail je ne sais où et ZA m'a alerté !!!!) Tout comme le
plus apporté par la gestion des cookies, vidage de cache des webs
exploreurs et autre surveillance sur l'envoi de trop de mails à la
minute. (cd caractéristiques de zone alarme par exempple)

J'ai pas eu le temps, vu l'heure, de lire ton article, mais je le lirai
demain. Pour l'instant c'est ma réaction à chaud et cela n'engage que moi.

TFid

Cedric Blancher wrote:

Dans sa prose, TFid nous ecrivait :

non, tu n'as pas besoin car ton 2 eme pc se trouve normalement dans la
trusted zone.(lan)
C'est le pc qui se connecte et qui s'occupe de partager la connexion qui
doit être protégé.

Et si, hypothèses farfelues, le PC se ramasse un ver, un trojan, une
backdoor un tant soit peu bien foutue ou un simple spyware, c'est le PC
qui _partage_ la connexion qui va empêcher le vilain de programme d'aller
sur le net ?

Le principe de base du firewall personnel est de filtrer les
_applications_ qui accèdent au réseau sur une machine, chose que ne peut
pas faire un filtre de paquets.

Cf. http://www.netexit.com/~sid/articles/0306_SSTIC_FWPerso_Article.ps
http://www.netexit.com/~sid/pres/0306_SSTIC_FWPerso_Pres.pdf

Dans sa prose, TFid nous ecrivait :

Ca c'est valable pour n'importe quel pc protégé par firewall. C'est
pour ça que le FW tout seul n'est pas suffisant pour se protéger et
qu'il faut avoir anti-virus, détecteur de spyware etc ... Un FW
compromis par une machine du réseau infectée par ver,virus etc devient
effectivement une vrai passoire ! Et ceci même si t'as foutu un FW a
100 000 $ sur ton réseau.

Je ne sais pas comment tu protèges tes OS, en particulier tes firewalls,
mais les miens, quand un utilisateur ramasse un ver, trojan ou autre, il
ne peut pas foutre les règles de filtrage en place en l'air, parce qu'il
n'est pas superutilisateur sur le machine. Ça, c'est une chose. La
seconde chose, c'est que je te parle de la machine sur laquelle tu
conseilles de ne pas utiliser de firewall, pas celle qui est en tête de
réseau. Donc ton installation de base de firewall sur la machine de tête
n'est pas compromise.

N'importe quoi ! A la base c'est un firewall ! Donc c'est fait pour
filtrer au niveau adresse IP et port.

Ah ben puisque je te sens savant là, tu va pouvoir m'expliquer pourquoi
lorsque ZoneLabs a sorti en 1999 un truc qui s'appelle ZoneAlarm sous
l'appellation de "Personal Firewall", ce machin ne permettait pas de
filtrer les IP ou les ports, mais juste les applications qui pouvaient ou
non accéder au réseau.

Personnel parce qu'il est pas Professionel et que tu raques XXX $ pr ton
bordel.

Il y a des firewalls personnels commerciaux et fort chers, à destination
des professionnels. Le firewall, il est _personnel_ parce qu'il protège
la machine sur laquelle il est installé, et rien d'autre.

Tu dis çà parce que tu configures pas ton FW personnel en mode expert
je suppose.

C'est une boutade du 13e degré ça ?...

En tout état de cause, si le concept de base du firewall personnel n'est
pas de filtrer l'accès au réseau pour les applications locales, il
faudra aussi que tu m'expliques pourquoi quelqu'un s'est senti obligé de
développer une option spécifique pour Netfilter, qui me semble être un
"vrai firewall digne de ce nom", pour lui apporter des fonctionnalités de
firewall personnel (cf. <1056408903.3659.13.camel@skinny.gideonolam.com>
et réponse de Patrick McHardy sur netfilter-devel).

Enfin le filtrage des applications est un plus qui est apporté [...]

Donc re-question : il était où le filtrage des flux réseau (IP, proto
niveau 4, ports) dans ZA ? Et surtout, comment on faisait pour faire un
firewall réseau classique avec les premiers logiciels du genre ?

qui permet d'éviter à un spyware ou autre d'abuser de ports ouverts.
(genre si tu autorises la connexion sortante vers un serveur smtp, tu
peux empêcher à un autre logiciel que ton gestionnaire de mails
d'envoyer des mails. Genre E-mule pour ne citer que lui, a l'autre jour
tenté d'envoyer un mail je ne sais où et ZA m'a alerté !!!!)

Je finis par me demander si tu as pris le temps de me lire avant de me
répondre, mais c'est précisément ce que je viens de te répondre. Je
recommence. La machine interne n'a pas de firewall, d'aucune sorte.
Comment tu fais pour bloquer un flux sortant initié par un trojan,
backdoor ou spyware via un port autorisé, voire en utilisant carrément
le bon protocole (SMTP, HTTP, etc.) dans la configuration de ton firewall,
sur l'autre machine ?

J'ai pas eu le temps, vu l'heure, de lire ton article, mais je le lirai
demain. Pour l'instant c'est ma réaction à chaud et cela n'engage que
moi.

J'espère que tu auras le temps de me répondre, et puis éventuellement
de relire mon précédent message aussi.


Enfin, ce qui me rassure, c'est que ma thèse débile, selon laquelle le
principe de base des firewalls personnels est le filtrage de l'accès au
réseau par les applications, a fait l'objet de deux publications, la
première est paru dans un mensuel national et la seconde est passée
par un comité de relecture plutôt compétent puis présentée en public, et
qu'à ce jour, tu es le premier à la contester.


PS : l'inclusion du message tout à la fin, c'est mal, et en plus, si tu
cites déjà au dessus de ta réponse, ça sert à rien.

--
BOFH excuse #446:

Mailer-daemon is busy burning your message in hell.