Qu: [Win2000] Kerio 2.1.5 derriere un firewall materiel

Dans le post :422db639$0$16913$636a15ce@news.free.fr,
Patrick 'Zener' Brunet <use.link.in.signature@ddress.invalid> nous a dit
:

Un autre mini-FW qui ferait mieux ?

http://www.framasoft.net/article2423.html

--
Soeur Anne

Bonjour.

"Soeur Anne" <a@a.news.free.fr> a écrit dans le message de news:
422dded3$0$21306$626a14ce@news.free.fr...

Dans le post :422db639$0$16913$636a15ce@news.free.fr,
Patrick 'Zener' Brunet <use.link.in.signature@ddress.invalid> nous a dit
:

Un autre mini-FW qui ferait mieux ?

http://www.framasoft.net/article2423.html

--
Soeur Anne

Merci, Soeur Anne, mais je vous vois venir : il y a encore du boulot sur ce
truc :-)
Mais si je trouve le temps de l'intercaler dans les travaux en cours,
pourquoi pas ?

Cordialement,

--

/***************************************
* Patrick BRUNET
* E-mail: lien sur http://zener131.free.fr/ContactMe
***************************************/

Dans le post :422eaf07$0$17914$636a15ce@news.free.fr,
Patrick 'Zener' Brunet <use.link.in.signature@ddress.invalid> nous a dit
:

Merci, Soeur Anne, mais je vous vois venir : il y a encore du boulot
sur ce truc :-)
Mais si je trouve le temps de l'intercaler dans les travaux en cours,
pourquoi pas ?

C'était en réponse à la question : mini-FW

j'ai pas connaissance d'un scrip plus succint à part les commandes
iptables et ipchains ;-)

--
Soeur Anne

Patrick 'Zener' Brunet nous disait récement dans fr.comp.securite
<news:422db639$0$16913$636a15ce@news.free.fr> :

Mais j'ai du mal à évaluer si la faille connue des paquets
fragmentés [NdA: de Kerio] pourrait compromettre un tel assemblage
(donc au niveau de paquets sortants qui seraient mal filtrés car
fragmentés ?!?).

Tout dépend de l'étendue de la faille, de l'attention que tu accordes
a la sécurité de ton ordinateur et des risques que tu acceptes de
courrir.
Si la faille se limite aux pings ou aux messages ICMP, le risque est
limité. Il reste possible d'organiser une fuite d'information par le
biais de ping fragmentés, mais c'est plus du ressort d'un pirate "pro"
et implique que tu ais des informations confidentielles qu'il tienne à
consulter. Par contre si la faille s'avère concerner tous les paquets
fragmentés, c'est toute la sécurité du poste qui est compromise.

Un autre mini-FW qui ferait mieux ?

A toi de voir celui que tu préfères parmis les gratuits :

- Adorons Firewall
<http://www.enigmasoftwaregroup.com/more_info_adorons_firewall.shtml>

- Filseclab Personal Firewall
<http://www.filseclab.com/eng/products/firewall.htm>

- Ghost Personal Firewall
<http://kerio.sourceforge.net/>
Un kerio like open-source qui manque sans doute encore d'un peu de
maturité

- Jetico Personal Firewall
<http://www.jetico.com/jpfirewall.htm>
Dont il existe une traduction en français

- Kerio Personal Firewal
<http://www.kerio.fr/>
Dont la version 2.x est largement préférable à la version 4.x
Il exite une traduction en français.

- Look'n Stop
<http://www.looknstop.com>
Il existe encore une version gratuite, mais où ?
En français

- Outpost Agnitum
<http://www.agnitum.com/products/outpost/>
En français

- Primedius Personal Firewall Lite
<http://www.primedius.com/PersonalFirewall.htm>

- Securepoint Personal Firewall
<http://www.securepoint.cc/en/products-pcfirewall.html>

- Sygate Personal Firewall
<http://smb.sygate.com/products/spf_standard.htm>
L'un des rares anciens à être toujours gratuit et efficace.

- Wyvenworks Firewall
<http://www.wyvernworks.com/firewall.html>

- Zone Alarm
<http://www.zonelabs.com>
En français

Merci de vos suggestions.

De rien


--
"En amour, on plaît plutôt par d'agréables défauts que par des qualités
essentielles ; les grandes vertus sont des pièces d'or, dont on fait
moins usage que de la monnaie"
Ninon de Lenclos

Bonjour.

"Stephane Catteau" <steph.nospam@sc4x.net> a écrit dans le message de news:
d14r1f.3vvrjip.1@sc4x.org...

Patrick 'Zener' Brunet nous disait récement dans fr.comp.securite
<news:422db639$0$16913$636a15ce@news.free.fr> :

Mais j'ai du mal à évaluer si la faille connue des paquets
fragmentés [NdA: de Kerio] pourrait compromettre un tel assemblage
(donc au niveau de paquets sortants qui seraient mal filtrés car
fragmentés ?!?).

Tout dépend de l'étendue de la faille, de l'attention que tu accordes
a la sécurité de ton ordinateur et des risques que tu acceptes de
courrir.
Si la faille se limite aux pings ou aux messages ICMP, le risque est
limité. Il reste possible d'organiser une fuite d'information par le
biais de ping fragmentés, mais c'est plus du ressort d'un pirate "pro"
et implique que tu ais des informations confidentielles qu'il tienne à
consulter. Par contre si la faille s'avère concerner tous les paquets
fragmentés, c'est toute la sécurité du poste qui est compromise.

Dans mon cas, le LAN est supposé sain, donc sûr. Et depuis l'extérieur, il y
a un FW matériel qui bloque tout ce qui n'est pas en réponse à une
conversation initiée par l'intérieur.

Donc il faudrait que l'agression se fasse sous ces contraintes.

En fait mon but est d'avoir un FW ultra-light qui rajoute seulement le
contrôle applicatif + protocoles dans le sens de la sortie.

Je n'aurai besoin d'un FW plus complet que si je dois revenir sur le modem
RTC de secours, mais là je pense que je lui collerai un Look'n'Stop tuné par
mes soins (sans contrôle applicatif par contre, cette version de l'a pas).

Un autre mini-FW qui ferait mieux ?

A toi de voir celui que tu préfères parmis les gratuits :

Merci pour la liste, il y en a que je ne connaissais pas :-)

Cordialement,

--

/***************************************
* Patrick BRUNET
* E-mail: lien sur http://zener131.free.fr/ContactMe
***************************************/

--
"En amour, on plaît plutôt par d'agréables défauts que par des qualités
essentielles ; les grandes vertus sont des pièces d'or, dont on fait
moins usage que de la monnaie"
Ninon de Lenclos

Un homme c'est comme une huître : une grosse coquille dure et rugueuse, et
dedans c'est tout mou.
Mathilde Seigner

Patrick 'Zener' Brunet nous disait récement dans fr.comp.securite
<news:4236998c$0$30270$626a14ce@news.free.fr> :

Dans mon cas, le LAN est supposé sain, donc sûr. Et depuis
l'extérieur, il y a un FW matériel qui bloque tout ce qui n'est
pas en réponse à une conversation initiée par l'intérieur.

Donc il faudrait que l'agression se fasse sous ces contraintes.

On va faire un petit test :

Là, on vient de faire connaissance, avec le temps pourquoi ne pas
commencer à engager la conversation sur un plan moins strict, par le
biais du mail, du chat, d'IRC, ou autre. D'ici deux mois il est
possible que je saches que [xxx] est un sujet que tu aimes bien.
Trouver une animation flash traitant avec humour de ce sujet ne devrait
pas être un gros problème. Encapsuler cette animation dans un
exécutable n'en est pas vraiment un non plus, et c'est l'un des modes
de diffusion de ces annimations. Mettre un trojan dans cet exécutable
est tout à fait faisable.
La question est donc, après deux mois ou plus, lancerais-tu la pièce-
jointe que je t'enverais accompagné d'un message du style "j'ai trouvé
ça, comme je sais que tu adores [xxx] j'ai pensé à toi ;-)" ?

Si, comme tout être humain normal, tu es ne serait-ce que tenté de
répondre oui, alors il y a un risque même avec ta boîte filtrante. Pour
ne pas rendre l'exécutable trop lourd, le trojan pourrait se contenter
d'aller chercher une backdoor sur une machine tierce préalablement
compromise. Backdoor qui serait elle-même active, c'est-à-dire qu'elle
initierait la connexion, ce qui permet de sortir de ton réseau. Etant
entendu que cette connexion se fera vers une machine tierce, je ne vais
quand même pas donner mon adresse IP ;-)
Il n'est même pas besoin que cette connexion soit constante. Il suffit
que la backdoor récupère régulièrement les en-têtes d'un forum donné
(connexion sortante donc permise) et active la connexion si un pseudo
donné à écrit un message, l'adresse IP de la machine compromise pouvant
alors être trouvée dans les en-tête du message.

Si kerio laisse passer tous les paquets fragmentés, et bien le trojan
et la backdoor utiliseront des paquets fragmentés pour passer...

En fait mon but est d'avoir un FW ultra-light qui rajoute
seulement le contrôle applicatif + protocoles dans le sens de la
sortie.

Sage prévoyance n'est-ce pas ? ;-)


--
"En amour, on plaît plutôt par d'agréables défauts que par des qualités
essentielles ; les grandes vertus sont des pièces d'or, dont on fait
moins usage que de la monnaie"
Ninon de Lenclos

Bonjour.

"Stephane Catteau" <steph.nospam@sc4x.net> a écrit dans le message de news:
d171aq.3vv555l.1@sc4x.org...

Patrick 'Zener' Brunet nous disait récement dans fr.comp.securite
<news:4236998c$0$30270$626a14ce@news.free.fr> :

Dans mon cas, le LAN est supposé sain, donc sûr. Et depuis
l'extérieur, il y a un FW matériel qui bloque tout ce qui n'est
pas en réponse à une conversation initiée par l'intérieur.

Donc il faudrait que l'agression se fasse sous ces contraintes.

On va faire un petit test :

[Faire passer amicalement un executable en PJ]
La question est donc, après deux mois ou plus, lancerais-tu la pièce-
jointe que je t'enverais accompagné d'un message du style "j'ai trouvé
ça, comme je sais que tu adores [xxx] j'ai pensé à toi ;-)" ?

Si, comme tout être humain normal, tu es ne serait-ce que tenté de
répondre oui, alors il y a un risque même avec ta boîte filtrante.

Ca sert de ne pas être un humain normal ;-)

Je n'ouvre plus d'exécutables ni autres fichiers ayant un impact sur le
système et envoyés par mail, même de la part de mes amis proches, et je leur
explique pouquoi, et je leur interdis aussi de se télécharger sauf depuis
des sources ultra vérifiées.

Bien entendu, il est également possible de faire lancer un exe en douce par
le navigateur, spécialement cet abruti d'IE qui ne tient pas compte des
types MIME et "ouvre" n'importe quoi naturellement avec la commande shell
appropriée, même quand ça tombe du web =<:-(
Firefox lui est capable de s'en abstenir, mais sans toutefois s'abstenir de
télécharger le fichier, qui provoque donc une alerte au niveau de mon
anti-virus. Et je n'ai pas trouvé comment lui interdire par défaut d'ouvir
ce qu'il ne connaît pas explicitement.

Je me demande d'ailleurs si un anti-virus courant essaie aussi de détecter
les trojans... Sinon bien sûr ça attend le scan d'Ad-Aware et de Spybot, qui
ne repèrent que ceux qu'ils connaissent.

J'ai également un firewall applicatif (Kerio v4) sur chaque station, et
normalement l'EXE en question va se faire repérer s'il essaie d'aller sur le
réseau. Bien sûr s'il passe par la couche réseau du système, ou s'il fait
une injection de code dans une appli autorisée (à se demander pourquoi une
telle API est disponible en standard dans le système !), alors là...

Bref j'ai fait de mon mieux, mais boucher les trous c'est toujours plus
difficile que ne pas les faire :-@

[...]
Si kerio laisse passer tous les paquets fragmentés, et bien le trojan
et la backdoor utiliseront des paquets fragmentés pour passer...

Evidemment. En fait je me demandais s'il était possible que les paquets
soient reconstitués par les services proxy de mon PC proxy avant de sortir,
mais je ne peux pas y compter...

En fait mon but est d'avoir un FW ultra-light qui rajoute
seulement le contrôle applicatif + protocoles dans le sens de la
sortie.

Sage prévoyance n'est-ce pas ? ;-)

Il ne me reste plus qu'à trouver un ultra-light sans trous et qui marche
bien comme service NT dans la liste pour jouer ce rôle.

Tout de même, il y a encore beaucoup de gens qui recommandent régulièrement
Kerio PF 2.1.5.
Je me demande pourquoi l'éditeur n'a pas sorti une version intermédiaire
corrigée mais sans les gros suppléments avant la v4 gratuite.

Tout ça me paraît dramatiquement clair.

Merci,
Cordialement,

--

/***************************************
* Patrick BRUNET
* E-mail: lien sur http://zener131.free.fr/ContactMe
***************************************/

Patrick 'Zener' Brunet nous disait récement dans fr.comp.securite
<news:42371c87$0$31838$636a15ce@news.free.fr> :

[KPF 2.x]

Je me demande pourquoi l'éditeur n'a pas sorti une version
intermédiaire corrigée mais sans les gros suppléments avant la v4
gratuite.

Parce que la version 2 a arrêté d'être soutenue avant que la faille ne
soit découverte. S'ils avaient de la jugeotte, ils corrigeraient quand
même, ça démontrerait le sérieux de la société et ne pourrait donc que
faire du bien pour le version 4.x qui est payante, mais apparement ce
n'est pas à l'ordre du jour :-(
Il ne reste plus qu'à voir ce que donnera Ghost Personal Firewall
lorsqu'il sera vraiment abouti, puisqu'il se veut un clone de KPF.


--
"En amour, on plaît plutôt par d'agréables défauts que par des qualités
essentielles ; les grandes vertus sont des pièces d'or, dont on fait
moins usage que de la monnaie"
Ninon de Lenclos

Bonjour.

Je redonne des nouvelles sur ce thème :

"Stephane Catteau" <steph.nospam@sc4x.net> a écrit dans le message de news:
d14r1f.3vvrjip.1@sc4x.org...

Patrick 'Zener' Brunet nous disait récement dans fr.comp.securite
<news:422db639$0$16913$636a15ce@news.free.fr> :

[ Besoin d'un FW soft lite pour filtrage applicatif + filtrage fin des
paquets

sortants, sachant que le gros du boulot est fait par un FW matériel.
Ceci en ADSL, protéger le modem RTC de secours serait un plus.

Kerio 2.1.5 est disqualifié car il est vulnérable aux fragmentés]

Un autre mini-FW qui ferait mieux ?

A toi de voir celui que tu préfères parmis les gratuits :

- Jetico Personal Firewall
<http://www.jetico.com/jpfirewall.htm>
Dont il existe une traduction en français

La structure de tables cascadées semble répondre à un souci de forte

optimisation que j'ai apprécié. Ca s'installe tout seul. Par contre définir
des règles est assez laborieux, et elles ne s'exportent apparemment qu'en
binaire, incluant les paramètres d'applications => non transférables à une
autre plate-forme, il faut tout resaisir.
A noter : pas de protection apparente contre "l'administration illégale" du
FW.
Pas pu trouver sur Internet d'avis éclairés sur les bugs éventuels.

- Kerio Personal Firewal
<http://www.kerio.fr/>
Dont la version 2.x est largement préférable à la version 4.x
Il exite une traduction en français.

Ben oui, mais il y a la faille des fragmentés qui ruyine la v2...

J'ai eu un truc bizzare sur la v4 : après expiration de la période d'essai
et donc le passage en mode gratuit, je ne peux plus créer de règles pour les
applications (pas de bouton Add). Elles ne se créent qu'en réponse à la
règle par défaut : Ask to User, mais n'apparaissent pas dans la table !?!?

- Look'n Stop
<http://www.looknstop.com>
Il existe encore une version gratuite, mais où ?
En français

Là (le patch FR doit se trouver ailleurs, mais en a-t-on vraiment besoin ?)

http://www.aboutlyrics.com/Software/Download/Look-n-Stop-Lite.php

Ce FW est le plus confortable que j'aie pu essayer, MAIS la version lite
1.04 a des gros défauts :
- Ce n'est pas un service NT, il y a un service bidouille pour la lancer
mais c'est pas terrible parce qu'il essaie de la relancer lors d'un shutdown
système :-/
- Elle ne gère qu'un adaptateur réseau à la fois. Il est recommandé de
lancer plusieurs instances, mais comme les noms de zones de stockage des
paramètres sont hard-codés, les paramètres sont partagés de force (sauf hack
de l'EXE),
- Elle n'a pas de filtrage applicatif,
- Après un arrêt surprise, le FW reprend ses paramètres par défaut et ça ne
se voit pas : si on ne vérifie pas les règles en cours, on peut se retrouver
sans protection !

A part ça, les règles sont très claires et intuitives, elles peuvent être
sauvegardées dans un fichier lisible (pratique pour sauvegarder la config ou
la reporter sur d'autres plates-formes), le soft consomme très peu de
puissance et il sait fonctionner en mode non-bavard (alerte sonore + log
mais sans fenêtre à valider, pratique pour une passerelle).

Il y a des règles standards bien visibles pour le LandAttack, les Nuke et
autres gâteries, dont je n'ai pas pu vérifier l'existence sur les autres.

Si je pouvais trouver les mêmes avantages sans ces défauts ailleurs !

- Zone Alarm
<http://www.zonelabs.com>
En français

ZA pompe énormément de ressources AMHA, et son fonctionnement est assez
opaque. Recommandé pour un usage en FW soft seul et pour un utilisateur qui
ne veut pas chercher à comprendre.

- Outpost Agnitum
<http://www.agnitum.com/products/outpost/>
En français

- Securepoint Personal Firewall
<http://www.securepoint.cc/en/products-pcfirewall.html>

Même impression d'opacité due à l'automatisation des paramétrages.

D'autres avis ?

- Sygate Personal Firewall
<http://smb.sygate.com/products/spf_standard.htm>
L'un des rares anciens à être toujours gratuit et efficace.

Donc peut être pas de performances sacrifiées au profit d'une IHM trop

fun...
J'essaie...

- Adorons Firewall
<http://www.enigmasoftwaregroup.com/more_info_adorons_firewall.shtml>

- Filseclab Personal Firewall
<http://www.filseclab.com/eng/products/firewall.htm>

- Ghost Personal Firewall
<http://kerio.sourceforge.net/>
Un kerio like open-source qui manque sans doute encore d'un peu de
maturité

- Primedius Personal Firewall Lite
<http://www.primedius.com/PersonalFirewall.htm>

- Wyvenworks Firewall
<http://www.wyvernworks.com/firewall.html>

Pas encore vus en détail...

Cordialement,

--

/***************************************
* Patrick BRUNET
* E-mail: lien sur http://zener131.free.fr/ContactMe
***************************************/

Patrick 'Zener' Brunet nous disait récement dans fr.comp.securite
<news:423d5261$0$860$636a15ce@news.free.fr> :

[Snip]

Alors là, chapeau !

N'ayant pas le temps de faire des tests moi-même en ce moment, et mes
derniers essais de chacun commençant à dater un peu trop à mon goût,
cela te dérange-t-il si je reprend en partie ce que tu as dit pour
l'intégrer à la FAQ du forum ?

Et j'en profite que je répond publiquement pour inviter qui le veut à
donner aussi son avis.


--
"En amour, on plaît plutôt par d'agréables défauts que par des qualités
essentielles ; les grandes vertus sont des pièces d'or, dont on fait
moins usage que de la monnaie"
Ninon de Lenclos