( Fri, 03 Jun 2005 10:53:46 +0000 ) Thomas Baruchel :
Mais dans la pratique, quel genre de situation correspond à cela ?
Il _parait_ que certains logiciels permettent d'envelopper des paquets de p2p dans du HTTP (puis faire passer le tout par 80 vers un noed du p2p qui dépaquette ensuite). Ce qui rend innefficace le filtrage par les ports. Ca a été évoqué dans un fil que je ne retrouve plus justement sur un admin qui demandait quels ports filtrer pour empecher les employés d'une boite de faire du p2p.
-- Mirroir de logiciels libres http://www.etud-orleans.fr Développement de logiciels libres http://aspo.rktmb.org/activites/developpement Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance (En louant les services de l'ASPO vous luttez contre la fracture numerique)
( Fri, 03 Jun 2005 10:53:46 +0000 ) Thomas Baruchel :
Mais dans la pratique, quel genre de situation correspond à cela ?
Il _parait_ que certains logiciels permettent d'envelopper des paquets de
p2p dans du HTTP (puis faire passer le tout par 80 vers un noed du p2p
qui dépaquette ensuite). Ce qui rend innefficace le filtrage par les
ports. Ca a été évoqué dans un fil que je ne retrouve plus justement
sur un admin qui demandait quels ports filtrer pour empecher les employés
d'une boite de faire du p2p.
--
Mirroir de logiciels libres http://www.etud-orleans.fr
Développement de logiciels libres http://aspo.rktmb.org/activites/developpement
Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance
(En louant les services de l'ASPO vous luttez contre la fracture numerique)
( Fri, 03 Jun 2005 10:53:46 +0000 ) Thomas Baruchel :
Mais dans la pratique, quel genre de situation correspond à cela ?
Il _parait_ que certains logiciels permettent d'envelopper des paquets de p2p dans du HTTP (puis faire passer le tout par 80 vers un noed du p2p qui dépaquette ensuite). Ce qui rend innefficace le filtrage par les ports. Ca a été évoqué dans un fil que je ne retrouve plus justement sur un admin qui demandait quels ports filtrer pour empecher les employés d'une boite de faire du p2p.
-- Mirroir de logiciels libres http://www.etud-orleans.fr Développement de logiciels libres http://aspo.rktmb.org/activites/developpement Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance (En louant les services de l'ASPO vous luttez contre la fracture numerique)
Stephane Dupille
Quitte à être parano, autant l'être totalement. Effectivement, c'est une solution parano :)
Ben houais ! Je n'ai vu l'utilité d'un FW que pour protéger un réseau (en gros, ça sert à segmenter le traffic entre deux réseaux), mais ça ne sert à rien pour protéger une machine seule (quitte a protéger un port, autant ne pas l'ouvrir). Et comme un routeur qui NATte, est en fait (virtuellement) une machine seule, et qu'il n'y a plus de réseau non NATé, un FW est par définition un machin de parano.
Si jeune m'abuse, c'est un FW authentifiant, ça. Non ? Dans le cas du mot clé auth sur une régle ipf, ipf passe le paquet à
une appli userland qui va prendre la décision de pass/block.
OK. Merci pour l'explication.
-- les AAV-type de l'UVV sont prévus pour une gestion semi-manuelle et semi-automatique. ma gestion du vote est 100 % manuelle afin de garantir un bon déroulement du scrutin -+- BenC in <http://www.le-gnu.net>- Neuneu ne manque pas de Coffe -+-
Quitte à être parano, autant l'être totalement.
Effectivement, c'est une solution parano :)
Ben houais ! Je n'ai vu l'utilité d'un FW que pour protéger un
réseau (en gros, ça sert à segmenter le traffic entre deux réseaux),
mais ça ne sert à rien pour protéger une machine seule (quitte a
protéger un port, autant ne pas l'ouvrir). Et comme un routeur qui
NATte, est en fait (virtuellement) une machine seule, et qu'il n'y a
plus de réseau non NATé, un FW est par définition un machin de parano.
Si jeune m'abuse, c'est un FW authentifiant, ça. Non ?
Dans le cas du mot clé auth sur une régle ipf, ipf passe le paquet à
une appli userland qui va prendre la décision de pass/block.
OK. Merci pour l'explication.
--
les AAV-type de l'UVV sont prévus pour une gestion semi-manuelle et
semi-automatique. ma gestion du vote est 100 % manuelle afin de
garantir un bon déroulement du scrutin
-+- BenC in <http://www.le-gnu.net>- Neuneu ne manque pas de Coffe -+-
Quitte à être parano, autant l'être totalement. Effectivement, c'est une solution parano :)
Ben houais ! Je n'ai vu l'utilité d'un FW que pour protéger un réseau (en gros, ça sert à segmenter le traffic entre deux réseaux), mais ça ne sert à rien pour protéger une machine seule (quitte a protéger un port, autant ne pas l'ouvrir). Et comme un routeur qui NATte, est en fait (virtuellement) une machine seule, et qu'il n'y a plus de réseau non NATé, un FW est par définition un machin de parano.
Si jeune m'abuse, c'est un FW authentifiant, ça. Non ? Dans le cas du mot clé auth sur une régle ipf, ipf passe le paquet à
une appli userland qui va prendre la décision de pass/block.
OK. Merci pour l'explication.
-- les AAV-type de l'UVV sont prévus pour une gestion semi-manuelle et semi-automatique. ma gestion du vote est 100 % manuelle afin de garantir un bon déroulement du scrutin -+- BenC in <http://www.le-gnu.net>- Neuneu ne manque pas de Coffe -+-
Arnaud Gomes-do-Vale
"Rakotomandimby (R12y) Mihamina" writes:
Il _parait_ que certains logiciels permettent d'envelopper des paquets de p2p dans du HTTP (puis faire passer le tout par 80 vers un noed du p2p qui dépaquette ensuite). Ce qui rend innefficace le filtrage par les ports. Ca a été évoqué dans un fil que je ne retrouve plus justement sur un admin qui demandait quels ports filtrer pour empecher les employés d'une boite de faire du p2p.
Ça rend inefficace le filtrage par proxy applicatif, ça. Pour contourner un filtrage par port, pas besoin d'encapsuler quoi que ce soit, il suffit de passer par un port autorisé.
Il _parait_ que certains logiciels permettent d'envelopper des paquets de
p2p dans du HTTP (puis faire passer le tout par 80 vers un noed du p2p
qui dépaquette ensuite). Ce qui rend innefficace le filtrage par les
ports. Ca a été évoqué dans un fil que je ne retrouve plus justement
sur un admin qui demandait quels ports filtrer pour empecher les employés
d'une boite de faire du p2p.
Ça rend inefficace le filtrage par proxy applicatif, ça. Pour
contourner un filtrage par port, pas besoin d'encapsuler quoi que ce
soit, il suffit de passer par un port autorisé.
Il _parait_ que certains logiciels permettent d'envelopper des paquets de p2p dans du HTTP (puis faire passer le tout par 80 vers un noed du p2p qui dépaquette ensuite). Ce qui rend innefficace le filtrage par les ports. Ca a été évoqué dans un fil que je ne retrouve plus justement sur un admin qui demandait quels ports filtrer pour empecher les employés d'une boite de faire du p2p.
Ça rend inefficace le filtrage par proxy applicatif, ça. Pour contourner un filtrage par port, pas besoin d'encapsuler quoi que ce soit, il suffit de passer par un port autorisé.
-- Arnaud
Thomas Baruchel
Le 03-06-2005, Eric Masson a écrit :
Donc, si une de ces failles a été exploitée, la compromission de la machine est tout à fait possible.
Y a-t-il un newsgroup approprié pour étudier telle ou telle ligne particulière de mon fichier de log (provenant de ipmon), lorsque je vois par exemple une ligne OUT que je n'arrive pas à identifier, le genre de truc que donne la commande : cat /var/log/security | grep OUT | tail -n 8 Pour l'instant, les seules lignes que cela donne sont intentionnelles (à titre de tests, je tente quelques sorties interdites), mais si j'ai des doutes, quel est le meilleur endroit pour en discuter (les éléments de discussion seraient notamment le numéro du port et l'IP précise) et porter un diagnostic ?
Cordialement,
-- Thomas Baruchel
Le 03-06-2005, Eric Masson <emss@free.fr> a écrit :
Donc, si une de ces failles a été exploitée, la compromission de la
machine est tout à fait possible.
Y a-t-il un newsgroup approprié pour étudier telle ou telle ligne
particulière de mon fichier de log (provenant de ipmon), lorsque je
vois par exemple une ligne OUT que je n'arrive pas à identifier,
le genre de truc que donne la commande :
cat /var/log/security | grep OUT | tail -n 8
Pour l'instant, les seules lignes que cela donne sont intentionnelles
(à titre de tests, je tente quelques sorties interdites), mais si j'ai
des doutes, quel est le meilleur endroit pour en discuter (les éléments
de discussion seraient notamment le numéro du port et l'IP précise) et
porter un diagnostic ?
Donc, si une de ces failles a été exploitée, la compromission de la machine est tout à fait possible.
Y a-t-il un newsgroup approprié pour étudier telle ou telle ligne particulière de mon fichier de log (provenant de ipmon), lorsque je vois par exemple une ligne OUT que je n'arrive pas à identifier, le genre de truc que donne la commande : cat /var/log/security | grep OUT | tail -n 8 Pour l'instant, les seules lignes que cela donne sont intentionnelles (à titre de tests, je tente quelques sorties interdites), mais si j'ai des doutes, quel est le meilleur endroit pour en discuter (les éléments de discussion seraient notamment le numéro du port et l'IP précise) et porter un diagnostic ?
Cordialement,
-- Thomas Baruchel
Rakotomandimby (R12y) Mihamina
( Mon, 06 Jun 2005 10:54:09 +0000 ) Thomas Baruchel :
Y a-t-il un newsgroup approprié pour étudier telle ou telle ligne particulière de mon fichier de log (provenant de ipmon),
En français je dirai fr.comp.securite qui est modéré. Sinon en anglais, probablement la mailing list du logiciel que tu utilises, et si tu le veux absolument en newsgroup, regarde si gmane.org ne l'a pas déjà miroré...
-- Mirroir de logiciels libres http://www.etud-orleans.fr Développement de logiciels libres http://aspo.rktmb.org/activites/developpement Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance (En louant les services de l'ASPO vous luttez contre la fracture numerique)
( Mon, 06 Jun 2005 10:54:09 +0000 ) Thomas Baruchel :
Y a-t-il un newsgroup approprié pour étudier telle ou telle ligne
particulière de mon fichier de log (provenant de ipmon),
En français je dirai fr.comp.securite qui est modéré.
Sinon en anglais, probablement la mailing list du logiciel que tu
utilises, et si tu le veux absolument en newsgroup, regarde si gmane.org
ne l'a pas déjà miroré...
--
Mirroir de logiciels libres http://www.etud-orleans.fr
Développement de logiciels libres http://aspo.rktmb.org/activites/developpement
Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance
(En louant les services de l'ASPO vous luttez contre la fracture numerique)
( Mon, 06 Jun 2005 10:54:09 +0000 ) Thomas Baruchel :
Y a-t-il un newsgroup approprié pour étudier telle ou telle ligne particulière de mon fichier de log (provenant de ipmon),
En français je dirai fr.comp.securite qui est modéré. Sinon en anglais, probablement la mailing list du logiciel que tu utilises, et si tu le veux absolument en newsgroup, regarde si gmane.org ne l'a pas déjà miroré...
-- Mirroir de logiciels libres http://www.etud-orleans.fr Développement de logiciels libres http://aspo.rktmb.org/activites/developpement Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance (En louant les services de l'ASPO vous luttez contre la fracture numerique)
Thomas
In article (Dans l'article) , Stephane Dupille <sdupille+ wrote (écrivait) :
Mais peut-être peut-on se contenter du filtrage par port. Un port identifiant une application, par exemple, le 80 identifiant l'application "Web", le 25 l'application "Mail", etc.
Le filtrage par port, c'est parfait quand on veut protéger un serveur. Car dans ce cas, on connait l'association port/applicatif.
Si on veut protéger une machine de bureau, ou plus généralement une machine qui ne fait tourner que des applicatifs clients, alors le filtrage par port est inefficace, et très difficile à mettre en ½uvre. C'est dans ce cas là que le filtrage applicatif prend tout son sens.
et meme une machine qui est au depart un serveur : - si il y a des demons qu'on doit laisser se connecter dans certains cas, on ne peut pas bloquer tout ce qui sort (ou meme, si je me connecte sur le serveur et que je veux telecharger qqch) - si qqn pirate le serveur via php par ex, si il essaye de faire une connexion sortante il peut pas
"don't put your PC out of the window, put windows out of your PC" "petit Free qui devient grand, gêne les requins blancs"
In article (Dans l'article) <m23brzhm33.fsf@gimli.dustnet.teaser.fr>,
Stephane Dupille <sdupille+news@teaser.fr> wrote (écrivait) :
Mais peut-être peut-on se contenter du filtrage par port. Un port
identifiant une application, par exemple, le 80 identifiant
l'application "Web", le 25 l'application "Mail", etc.
Le filtrage par port, c'est parfait quand on veut protéger un
serveur. Car dans ce cas, on connait l'association port/applicatif.
Si on veut protéger une machine de bureau, ou plus généralement une
machine qui ne fait tourner que des applicatifs clients, alors le
filtrage par port est inefficace, et très difficile à mettre en ½uvre.
C'est dans ce cas là que le filtrage applicatif prend tout son sens.
et meme une machine qui est au depart un serveur :
- si il y a des demons qu'on doit laisser se connecter dans certains
cas, on ne peut pas bloquer tout ce qui sort
(ou meme, si je me connecte sur le serveur et que je veux telecharger
qqch)
- si qqn pirate le serveur via php par ex, si il essaye de faire une
connexion sortante il peut pas
In article (Dans l'article) , Stephane Dupille <sdupille+ wrote (écrivait) :
Mais peut-être peut-on se contenter du filtrage par port. Un port identifiant une application, par exemple, le 80 identifiant l'application "Web", le 25 l'application "Mail", etc.
Le filtrage par port, c'est parfait quand on veut protéger un serveur. Car dans ce cas, on connait l'association port/applicatif.
Si on veut protéger une machine de bureau, ou plus généralement une machine qui ne fait tourner que des applicatifs clients, alors le filtrage par port est inefficace, et très difficile à mettre en ½uvre. C'est dans ce cas là que le filtrage applicatif prend tout son sens.
et meme une machine qui est au depart un serveur : - si il y a des demons qu'on doit laisser se connecter dans certains cas, on ne peut pas bloquer tout ce qui sort (ou meme, si je me connecte sur le serveur et que je veux telecharger qqch) - si qqn pirate le serveur via php par ex, si il essaye de faire une connexion sortante il peut pas
"don't put your PC out of the window, put windows out of your PC" "petit Free qui devient grand, gêne les requins blancs"
Thomas
In article (Dans l'article) , Vincent Bernat wrote (écrivait) :
OoO Peu avant le début de l'après-midi du jeudi 02 juin 2005, vers 13:36, Thomas disait:
existe t il des parefeu applicatif (c'est comme ca qu'on dit ?) pour unix ?
cad, un parfeu qui filtre les flux sortants par application, comme le fait kerio sous windows
Tu peux regarder systrace, c'est plus général qu'un pare-feu applicatif car cela surveille absolument tous les appels systèmes. C'est disponible au moins sous Linux et sous OpenBSD.
A partir de ça, il existe des firewalls applicatifs, comme Fireflier : <URL:http://fireflier.sf.net>
L'autre solution pour Linux, c'est d'utiliser la cible QUEUE de Netfilter qui permet de valider les paquets en userland. C'est utilisé par NuFW (qui n'est pas un firewall applicatif, mais un firewall authentifiant). Je ne connais pas de firewall applicatif qui utilise ceci, mais je n'ai pas beaucoup cherché. <URL:http://www.nufw.org>
ok, je vais essayer de regarder ca de pres, merci :-)
ca veut dire quoi "authentifiant" à la place d'"applicatif" pour un fw ?
"don't put your PC out of the window, put windows out of your PC" "petit Free qui devient grand, gêne les requins blancs"
In article (Dans l'article) <m3oean4wqr.fsf@neo.luffy.cx>,
Vincent Bernat <bernat@luffy.cx> wrote (écrivait) :
OoO Peu avant le début de l'après-midi du jeudi 02 juin 2005, vers
13:36, Thomas <fantome.forums.tDeContes@free.fr> disait:
existe t il des parefeu applicatif (c'est comme ca qu'on dit ?) pour
unix ?
cad, un parfeu qui filtre les flux sortants par application,
comme le fait kerio sous windows
Tu peux regarder systrace, c'est plus général qu'un pare-feu
applicatif car cela surveille absolument tous les appels
systèmes. C'est disponible au moins sous Linux et sous OpenBSD.
A partir de ça, il existe des firewalls applicatifs, comme Fireflier :
<URL:http://fireflier.sf.net>
L'autre solution pour Linux, c'est d'utiliser la cible QUEUE de
Netfilter qui permet de valider les paquets en userland. C'est utilisé
par NuFW (qui n'est pas un firewall applicatif, mais un firewall
authentifiant). Je ne connais pas de firewall applicatif qui utilise
ceci, mais je n'ai pas beaucoup cherché.
<URL:http://www.nufw.org>
ok, je vais essayer de regarder ca de pres, merci :-)
ca veut dire quoi "authentifiant" à la place d'"applicatif" pour un fw ?
In article (Dans l'article) , Vincent Bernat wrote (écrivait) :
OoO Peu avant le début de l'après-midi du jeudi 02 juin 2005, vers 13:36, Thomas disait:
existe t il des parefeu applicatif (c'est comme ca qu'on dit ?) pour unix ?
cad, un parfeu qui filtre les flux sortants par application, comme le fait kerio sous windows
Tu peux regarder systrace, c'est plus général qu'un pare-feu applicatif car cela surveille absolument tous les appels systèmes. C'est disponible au moins sous Linux et sous OpenBSD.
A partir de ça, il existe des firewalls applicatifs, comme Fireflier : <URL:http://fireflier.sf.net>
L'autre solution pour Linux, c'est d'utiliser la cible QUEUE de Netfilter qui permet de valider les paquets en userland. C'est utilisé par NuFW (qui n'est pas un firewall applicatif, mais un firewall authentifiant). Je ne connais pas de firewall applicatif qui utilise ceci, mais je n'ai pas beaucoup cherché. <URL:http://www.nufw.org>
ok, je vais essayer de regarder ca de pres, merci :-)
ca veut dire quoi "authentifiant" à la place d'"applicatif" pour un fw ?
"don't put your PC out of the window, put windows out of your PC" "petit Free qui devient grand, gêne les requins blancs"
Thomas
In article (Dans l'article) , Eric Masson wrote (écrivait) :
Avec un poil de taf, il doit être possible d'implémenter une interface Zone Alarm like pour gérer ce que les applications locales ont le droit de faire
ah, ca existe pas encore, ca ? :-( c'est bete, c'est justement ce que je cherchais ...
bon, en reflechissant un peu, ca me suffirait largement de pouvoir mettre "en dur" dans un fichier de config, la liste des applications autorisées est ce que c'est possible, avec les outils qui existent actuellement ?
"don't put your PC out of the window, put windows out of your PC" "petit Free qui devient grand, gêne les requins blancs"
In article (Dans l'article)
<86zmu7ii6l.fsf@srvbsdnanssv.interne.kisoft-services.com>,
Eric Masson <emss@free.fr> wrote (écrivait) :
Avec un poil de taf, il doit être possible d'implémenter une interface
Zone Alarm like pour gérer ce que les applications locales ont le droit
de faire
ah, ca existe pas encore, ca ? :-(
c'est bete, c'est justement ce que je cherchais ...
bon, en reflechissant un peu, ca me suffirait largement de pouvoir
mettre "en dur" dans un fichier de config, la liste des applications
autorisées
est ce que c'est possible, avec les outils qui existent actuellement ?
In article (Dans l'article) , Eric Masson wrote (écrivait) :
Avec un poil de taf, il doit être possible d'implémenter une interface Zone Alarm like pour gérer ce que les applications locales ont le droit de faire
ah, ca existe pas encore, ca ? :-( c'est bete, c'est justement ce que je cherchais ...
bon, en reflechissant un peu, ca me suffirait largement de pouvoir mettre "en dur" dans un fichier de config, la liste des applications autorisées est ce que c'est possible, avec les outils qui existent actuellement ?
"don't put your PC out of the window, put windows out of your PC" "petit Free qui devient grand, gêne les requins blancs"
Vincent Bernat
OoO En cette nuit striée d'éclairs du mercredi 08 juin 2005, vers 02:41, Thomas disait:
ca veut dire quoi "authentifiant" à la place d'"applicatif" pour un fw ?
Cela veut dire que l'on ne filtre pas selon les applications qui tentent d'accéder au réseau, mais selon l'utilisateur qui démarre la requête. Généralement, la transparence réseau est alors de mise : si l'utilisateur X sur la machine Y tente de passer le firewall (qui ne se trouve pas sur la machine Y), il sera effectivement identifié comme l'utilisateur X de la machine Y. Comme il n'y a pas de moyen de transporter l'utilisateur dans les entêtes IP, cela nécessite une appli spécifique sur le client. -- BOFH excuse #114: electro-magnetic pulses from French above ground nuke testing.
OoO En cette nuit striée d'éclairs du mercredi 08 juin 2005, vers
02:41, Thomas <fantome.forums.tDeContes@free.fr> disait:
ca veut dire quoi "authentifiant" à la place d'"applicatif" pour un
fw ?
Cela veut dire que l'on ne filtre pas selon les applications qui
tentent d'accéder au réseau, mais selon l'utilisateur qui démarre la
requête. Généralement, la transparence réseau est alors de mise : si
l'utilisateur X sur la machine Y tente de passer le firewall (qui ne
se trouve pas sur la machine Y), il sera effectivement identifié comme
l'utilisateur X de la machine Y. Comme il n'y a pas de moyen de
transporter l'utilisateur dans les entêtes IP, cela nécessite une
appli spécifique sur le client.
--
BOFH excuse #114:
electro-magnetic pulses from French above ground nuke testing.
OoO En cette nuit striée d'éclairs du mercredi 08 juin 2005, vers 02:41, Thomas disait:
ca veut dire quoi "authentifiant" à la place d'"applicatif" pour un fw ?
Cela veut dire que l'on ne filtre pas selon les applications qui tentent d'accéder au réseau, mais selon l'utilisateur qui démarre la requête. Généralement, la transparence réseau est alors de mise : si l'utilisateur X sur la machine Y tente de passer le firewall (qui ne se trouve pas sur la machine Y), il sera effectivement identifié comme l'utilisateur X de la machine Y. Comme il n'y a pas de moyen de transporter l'utilisateur dans les entêtes IP, cela nécessite une appli spécifique sur le client. -- BOFH excuse #114: electro-magnetic pulses from French above ground nuke testing.
Stephane Dupille
et meme une machine qui est au depart un serveur : - si il y a des demons qu'on doit laisser se connecter dans certains cas, on ne peut pas bloquer tout ce qui sort (ou meme, si je me connecte sur le serveur et que je veux telecharger qqch)
Non. Sur un serveur, par définition, on contrôle ce qui tourne sur la machine. Donc on sait ce qui va sortir ou non (enfin, normalement). Si un parefeu doit bloquer qqchose sur un serveur, c'est que le firewall va parer une mauvaise configuration du serveur.
Sur un serveur isolé un firewall ne sert à rien. Un FW sert à protéger un réseau, pas une machine.
- si qqn pirate le serveur via php par ex, si il essaye de faire une connexion sortante il peut pas
Si un pirate a pris la main sur une machine, FW ou pas, il arrivera toujours à communiquer avec ce qu'il veut. Et on aura d'autres pb que de gérer les flux sortants.
-- I just loaded a shortwave program into my PC, and the screen says to continue, hit ANY key...but I can't find a key that says ANY on it, what do I do? -+- Ed in GNU : Il s'est pris un short any key comme une bête. -+-
et meme une machine qui est au depart un serveur :
- si il y a des demons qu'on doit laisser se connecter dans certains
cas, on ne peut pas bloquer tout ce qui sort
(ou meme, si je me connecte sur le serveur et que je veux telecharger
qqch)
Non. Sur un serveur, par définition, on contrôle ce qui tourne sur
la machine. Donc on sait ce qui va sortir ou non (enfin, normalement).
Si un parefeu doit bloquer qqchose sur un serveur, c'est que le
firewall va parer une mauvaise configuration du serveur.
Sur un serveur isolé un firewall ne sert à rien. Un FW sert à
protéger un réseau, pas une machine.
- si qqn pirate le serveur via php par ex, si il essaye de faire une
connexion sortante il peut pas
Si un pirate a pris la main sur une machine, FW ou pas, il arrivera
toujours à communiquer avec ce qu'il veut. Et on aura d'autres pb que
de gérer les flux sortants.
--
I just loaded a shortwave program into my PC, and the screen says to
continue, hit ANY key...but I can't find a key that says ANY on it,
what do I do?
-+- Ed in GNU : Il s'est pris un short any key comme une bête. -+-
et meme une machine qui est au depart un serveur : - si il y a des demons qu'on doit laisser se connecter dans certains cas, on ne peut pas bloquer tout ce qui sort (ou meme, si je me connecte sur le serveur et que je veux telecharger qqch)
Non. Sur un serveur, par définition, on contrôle ce qui tourne sur la machine. Donc on sait ce qui va sortir ou non (enfin, normalement). Si un parefeu doit bloquer qqchose sur un serveur, c'est que le firewall va parer une mauvaise configuration du serveur.
Sur un serveur isolé un firewall ne sert à rien. Un FW sert à protéger un réseau, pas une machine.
- si qqn pirate le serveur via php par ex, si il essaye de faire une connexion sortante il peut pas
Si un pirate a pris la main sur une machine, FW ou pas, il arrivera toujours à communiquer avec ce qu'il veut. Et on aura d'autres pb que de gérer les flux sortants.
-- I just loaded a shortwave program into my PC, and the screen says to continue, hit ANY key...but I can't find a key that says ANY on it, what do I do? -+- Ed in GNU : Il s'est pris un short any key comme une bête. -+-
