Dans ma PME (réseau 20 postes) nous avons une connec adsl oleane avec un
routeur loué à oleane (compris dans le prix de l'abonnement).
Je me rends compte que la sécu n'est pas optimale puisque le routeur
"répond" à des requetes externes (ports "closed" et non "stealth")
Donc je voudrais faire installer un firewall (est ce bien la bonne
solution?). Que me conseillez vous, soft ou hard? Sachant que le PC
derrière le routeur est aussi le serveur de fichier et qu'il faudrait
pas trop le faire ramer
Il faudra bien faire changer la config du routeur afin que le firewall
passe "devant" le routeur et que les ports soient "stealth" non?
Le Thu, 15 Jul 2004 21:37:09 +0000, trewan a écrit :
Je me rends compte que la sécu n'est pas optimale puisque le routeur "répond" à des requetes externes (ports "closed" et non "stealth")
Je me pose une question : qu'est-ce que ça change en terme de sécurité de savoir qu'un port est fermé parce qu'on a pas eu de réponse (i.e. filtrage) ou de le savoir parce qu'on a eu la réponse ?
Donc je voudrais faire installer un firewall (est ce bien la bonne solution?).
Vous allez donc installer un firewall entre le routeur de votre FAI et votre FAI, donc en dehors de votre réseau, pour protéger un équipement qui ne vous appartient pas, et qui ne semble pas présenter de port accessible. Est-ce que j'ai bien compris ce que vous vouliez faire ?
Merci d'avance pour vos conseils éclairés!
Le seul conseil que je puis vous donner et de vous arrêter 30 sec pour réfléchir à deux choses :
1. la différence entre un port fermé et un port stealth et les réelles implications de sécurité que ça a 2. ce que vous voulez protéger
Le comment viendra naturellement par la suite.
-- MB: Chez moi, on voussoie les gens qu'on ne connaît pas, d'abord. JM: C'est parce que tu as un truc qu'il faudrait enlever d'entre tes fesses. -+- Guide du Cabaliste Usenet - Rudiments de netiquette -+-
Le Thu, 15 Jul 2004 21:37:09 +0000, trewan a écrit :
Je me rends compte que la sécu n'est pas optimale puisque le routeur
"répond" à des requetes externes (ports "closed" et non "stealth")
Je me pose une question : qu'est-ce que ça change en terme de sécurité
de savoir qu'un port est fermé parce qu'on a pas eu de réponse (i.e.
filtrage) ou de le savoir parce qu'on a eu la réponse ?
Donc je voudrais faire installer un firewall (est ce bien la bonne
solution?).
Vous allez donc installer un firewall entre le routeur de votre FAI et
votre FAI, donc en dehors de votre réseau, pour protéger un équipement
qui ne vous appartient pas, et qui ne semble pas présenter de port
accessible. Est-ce que j'ai bien compris ce que vous vouliez faire ?
Merci d'avance pour vos conseils éclairés!
Le seul conseil que je puis vous donner et de vous arrêter 30 sec pour
réfléchir à deux choses :
1. la différence entre un port fermé et un port stealth et les réelles
implications de sécurité que ça a
2. ce que vous voulez protéger
Le comment viendra naturellement par la suite.
--
MB: Chez moi, on voussoie les gens qu'on ne connaît pas, d'abord.
JM: C'est parce que tu as un truc qu'il faudrait enlever d'entre
tes fesses.
-+- Guide du Cabaliste Usenet - Rudiments de netiquette -+-
Le Thu, 15 Jul 2004 21:37:09 +0000, trewan a écrit :
Je me rends compte que la sécu n'est pas optimale puisque le routeur "répond" à des requetes externes (ports "closed" et non "stealth")
Je me pose une question : qu'est-ce que ça change en terme de sécurité de savoir qu'un port est fermé parce qu'on a pas eu de réponse (i.e. filtrage) ou de le savoir parce qu'on a eu la réponse ?
Donc je voudrais faire installer un firewall (est ce bien la bonne solution?).
Vous allez donc installer un firewall entre le routeur de votre FAI et votre FAI, donc en dehors de votre réseau, pour protéger un équipement qui ne vous appartient pas, et qui ne semble pas présenter de port accessible. Est-ce que j'ai bien compris ce que vous vouliez faire ?
Merci d'avance pour vos conseils éclairés!
Le seul conseil que je puis vous donner et de vous arrêter 30 sec pour réfléchir à deux choses :
1. la différence entre un port fermé et un port stealth et les réelles implications de sécurité que ça a 2. ce que vous voulez protéger
Le comment viendra naturellement par la suite.
-- MB: Chez moi, on voussoie les gens qu'on ne connaît pas, d'abord. JM: C'est parce que tu as un truc qu'il faudrait enlever d'entre tes fesses. -+- Guide du Cabaliste Usenet - Rudiments de netiquette -+-
Nicob
On Thu, 15 Jul 2004 21:37:09 +0000, trewan wrote:
Je me rends compte que la sécu n'est pas optimale puisque le routeur "répond" à des requetes externes (ports "closed" et non "stealth")
A mon avis, c'est un aspect dont on peut s'occuper si : - les machines du LAN sont à jour côté OS - les postes clients ont un AV à jour - les portables sortant parfois du LAN ont un firewall personnel - les personnes se connectant via VPN ont un firewall personnel
Dans le cas contraire, c'est une perte de temps inutile.
Nicob
On Thu, 15 Jul 2004 21:37:09 +0000, trewan wrote:
Je me rends compte que la sécu n'est pas optimale puisque le routeur
"répond" à des requetes externes (ports "closed" et non "stealth")
A mon avis, c'est un aspect dont on peut s'occuper si :
- les machines du LAN sont à jour côté OS
- les postes clients ont un AV à jour
- les portables sortant parfois du LAN ont un firewall personnel
- les personnes se connectant via VPN ont un firewall personnel
Dans le cas contraire, c'est une perte de temps inutile.
Je me rends compte que la sécu n'est pas optimale puisque le routeur "répond" à des requetes externes (ports "closed" et non "stealth")
A mon avis, c'est un aspect dont on peut s'occuper si : - les machines du LAN sont à jour côté OS - les postes clients ont un AV à jour - les portables sortant parfois du LAN ont un firewall personnel - les personnes se connectant via VPN ont un firewall personnel
Dans le cas contraire, c'est une perte de temps inutile.
Nicob
Fabien LE LEZ
On 15 Jul 2004 21:37:09 GMT, trewan :
Dans ma PME (réseau 20 postes) nous avons une connec adsl oleane avec un routeur loué à oleane (compris dans le prix de l'abonnement).
Je me rends compte que la sécu n'est pas optimale puisque le routeur "répond" à des requetes externes (ports "closed" et non "stealth")
Ça, c'est franchement un détail.
J'ai abandonné Oleane depuis un an et demi (beaucoup trop cher par rapport à Nerim), mais ce qui m'avait le plus gêné, c'est qu'il fallait contacter France Telecom à chaque fois qu'on voulait NATer un port vers une machine, car on n'avait pas d'accès à la configuration du routeur.
Si tu as un serveur (mail, FTP, web, etc.) dans ton LAN qui doit être accessible depuis l'extérieur. Tu as donc du "NATage" de ports (par exemple port 80 NATé vers la machine 192.168.0.50). Si tu changes souvent la configuration, il peut être utile de pouvoir contrôler directement la config du routeur sans passer par les techniciens de France Telecom. Dans ce cas effectivement, tu peux vouloir ignorer le routeur fourni par FT, et mettre un routeur-firewall soit à la place, soit en aval (auquel cas le routeur FT pourra par exemple être configuré en bridge). Si tu as un vieux PC qui ne sert plus, tu mets deux ou trois cartes Ethernet dessus, tu installes IpCop, et le tour est joué. Sinon, tu peux acheter un boîtier -- mais je ne saurais te conseiller sur ce point.
Si par contre tu n'utilises ta connexion que comme "client" (i.e. pour surfer, consulter tes emails sur un serveur externe, etc.), laisse tomber. Ne te complique pas la vie, et assure-toi plutôt les postes de travail sont sains et que tes collègues n'utilisent pas IE ni OE.
On 15 Jul 2004 21:37:09 GMT, trewan <e.tran@enlevemoifree.fr>:
Dans ma PME (réseau 20 postes) nous avons une connec adsl oleane avec un
routeur loué à oleane (compris dans le prix de l'abonnement).
Je me rends compte que la sécu n'est pas optimale puisque le routeur
"répond" à des requetes externes (ports "closed" et non "stealth")
Ça, c'est franchement un détail.
J'ai abandonné Oleane depuis un an et demi (beaucoup trop cher par
rapport à Nerim), mais ce qui m'avait le plus gêné, c'est qu'il
fallait contacter France Telecom à chaque fois qu'on voulait NATer un
port vers une machine, car on n'avait pas d'accès à la configuration
du routeur.
Si tu as un serveur (mail, FTP, web, etc.) dans ton LAN qui doit être
accessible depuis l'extérieur. Tu as donc du "NATage" de ports (par
exemple port 80 NATé vers la machine 192.168.0.50). Si tu changes
souvent la configuration, il peut être utile de pouvoir contrôler
directement la config du routeur sans passer par les techniciens de
France Telecom.
Dans ce cas effectivement, tu peux vouloir ignorer le routeur fourni
par FT, et mettre un routeur-firewall soit à la place, soit en aval
(auquel cas le routeur FT pourra par exemple être configuré en
bridge).
Si tu as un vieux PC qui ne sert plus, tu mets deux ou trois cartes
Ethernet dessus, tu installes IpCop, et le tour est joué.
Sinon, tu peux acheter un boîtier -- mais je ne saurais te conseiller
sur ce point.
Si par contre tu n'utilises ta connexion que comme "client" (i.e. pour
surfer, consulter tes emails sur un serveur externe, etc.), laisse
tomber. Ne te complique pas la vie, et assure-toi plutôt les postes de
travail sont sains et que tes collègues n'utilisent pas IE ni OE.
Dans ma PME (réseau 20 postes) nous avons une connec adsl oleane avec un routeur loué à oleane (compris dans le prix de l'abonnement).
Je me rends compte que la sécu n'est pas optimale puisque le routeur "répond" à des requetes externes (ports "closed" et non "stealth")
Ça, c'est franchement un détail.
J'ai abandonné Oleane depuis un an et demi (beaucoup trop cher par rapport à Nerim), mais ce qui m'avait le plus gêné, c'est qu'il fallait contacter France Telecom à chaque fois qu'on voulait NATer un port vers une machine, car on n'avait pas d'accès à la configuration du routeur.
Si tu as un serveur (mail, FTP, web, etc.) dans ton LAN qui doit être accessible depuis l'extérieur. Tu as donc du "NATage" de ports (par exemple port 80 NATé vers la machine 192.168.0.50). Si tu changes souvent la configuration, il peut être utile de pouvoir contrôler directement la config du routeur sans passer par les techniciens de France Telecom. Dans ce cas effectivement, tu peux vouloir ignorer le routeur fourni par FT, et mettre un routeur-firewall soit à la place, soit en aval (auquel cas le routeur FT pourra par exemple être configuré en bridge). Si tu as un vieux PC qui ne sert plus, tu mets deux ou trois cartes Ethernet dessus, tu installes IpCop, et le tour est joué. Sinon, tu peux acheter un boîtier -- mais je ne saurais te conseiller sur ce point.
Si par contre tu n'utilises ta connexion que comme "client" (i.e. pour surfer, consulter tes emails sur un serveur externe, etc.), laisse tomber. Ne te complique pas la vie, et assure-toi plutôt les postes de travail sont sains et que tes collègues n'utilisent pas IE ni OE.
trewan
Nicob wrote:
A mon avis, c'est un aspect dont on peut s'occuper si : - les machines du LAN sont à jour côté OS
C'est le cas
- les postes clients ont un AV à jour
Fait aussi
- les portables sortant parfois du LAN ont un firewall personnel
Les ordis sont tous connectés au net via le routeur . Tu veux dire qu'il faut à tous un firewall?
- les personnes se connectant via VPN ont un firewall personnel
Pas de VPN. Eventuellement du citrix (Goto My PC)
Nicob wrote:
A mon avis, c'est un aspect dont on peut s'occuper si :
- les machines du LAN sont à jour côté OS
C'est le cas
- les postes clients ont un AV à jour
Fait aussi
- les portables sortant parfois du LAN ont un firewall personnel
Les ordis sont tous connectés au net via le routeur . Tu veux dire qu'il
faut à tous un firewall?
- les personnes se connectant via VPN ont un firewall personnel
A mon avis, c'est un aspect dont on peut s'occuper si : - les machines du LAN sont à jour côté OS
C'est le cas
- les postes clients ont un AV à jour
Fait aussi
- les portables sortant parfois du LAN ont un firewall personnel
Les ordis sont tous connectés au net via le routeur . Tu veux dire qu'il faut à tous un firewall?
- les personnes se connectant via VPN ont un firewall personnel
Pas de VPN. Eventuellement du citrix (Goto My PC)
trewan
Fabien LE LEZ wrote:
J'ai abandonné Oleane depuis un an et demi (beaucoup trop cher par rapport à Nerim), mais ce qui m'avait le plus gêné, c'est qu'il fallait contacter France Telecom à chaque fois qu'on voulait NATer un port vers une machine, car on n'avait pas d'accès à la configuration du routeur.
Exact, je vais regarder ce qu'implique la migration vers nerim... (DNS enregistré chez oleane)
Si par contre tu n'utilises ta connexion que comme "client" (i.e. pour surfer, consulter tes emails sur un serveur externe, etc.), laisse tomber. Ne te complique pas la vie, et assure-toi plutôt les postes de travail sont sains et que tes collègues n'utilisent pas IE ni OE.
Pas de serveur mail ou web .
Le problème c'est qu'ils ont tous , OE et IE sauf moi ;). Les AV sont à jour avec norton et liveupdate tous les jours. Le windows update est fait à chaque fois que je me rend compte qu'il faut en faire un.
Fabien LE LEZ wrote:
J'ai abandonné Oleane depuis un an et demi (beaucoup trop cher par
rapport à Nerim), mais ce qui m'avait le plus gêné, c'est qu'il
fallait contacter France Telecom à chaque fois qu'on voulait NATer un
port vers une machine, car on n'avait pas d'accès à la configuration
du routeur.
Exact, je vais regarder ce qu'implique la migration vers nerim... (DNS
enregistré chez oleane)
Si par contre tu n'utilises ta connexion que comme "client" (i.e. pour
surfer, consulter tes emails sur un serveur externe, etc.), laisse
tomber. Ne te complique pas la vie, et assure-toi plutôt les postes de
travail sont sains et que tes collègues n'utilisent pas IE ni OE.
Pas de serveur mail ou web .
Le problème c'est qu'ils ont tous , OE et IE sauf moi ;). Les AV sont à
jour avec norton et liveupdate tous les jours. Le windows update est
fait à chaque fois que je me rend compte qu'il faut en faire un.
J'ai abandonné Oleane depuis un an et demi (beaucoup trop cher par rapport à Nerim), mais ce qui m'avait le plus gêné, c'est qu'il fallait contacter France Telecom à chaque fois qu'on voulait NATer un port vers une machine, car on n'avait pas d'accès à la configuration du routeur.
Exact, je vais regarder ce qu'implique la migration vers nerim... (DNS enregistré chez oleane)
Si par contre tu n'utilises ta connexion que comme "client" (i.e. pour surfer, consulter tes emails sur un serveur externe, etc.), laisse tomber. Ne te complique pas la vie, et assure-toi plutôt les postes de travail sont sains et que tes collègues n'utilisent pas IE ni OE.
Pas de serveur mail ou web .
Le problème c'est qu'ils ont tous , OE et IE sauf moi ;). Les AV sont à jour avec norton et liveupdate tous les jours. Le windows update est fait à chaque fois que je me rend compte qu'il faut en faire un.
Fabien LE LEZ
On 16 Jul 2004 12:28:03 GMT, trewan :
Le problème c'est qu'ils ont tous , OE et IE sauf moi
Bon, ben voilà, tu as donc dans ton réseau un problème de sécurité qui éclipse largement tous les autres. Occupe-toi de celui-là d'abord, et laisse les détails à plus tard.
On 16 Jul 2004 12:28:03 GMT, trewan <etranenlevemoi@free.fr>:
Le problème c'est qu'ils ont tous , OE et IE sauf moi
Bon, ben voilà, tu as donc dans ton réseau un problème de sécurité qui
éclipse largement tous les autres. Occupe-toi de celui-là d'abord, et
laisse les détails à plus tard.
Le problème c'est qu'ils ont tous , OE et IE sauf moi
Bon, ben voilà, tu as donc dans ton réseau un problème de sécurité qui éclipse largement tous les autres. Occupe-toi de celui-là d'abord, et laisse les détails à plus tard.
Eric Razny
"Fabien LE LEZ" a écrit
Le problème c'est qu'ils ont tous , OE et IE sauf moi
Bon, ben voilà, tu as donc dans ton réseau un problème de sécurité qui éclipse largement tous les autres. Occupe-toi de celui-là d'abord, et laisse les détails à plus tard.
Il faudrait peut être voir à ne pas pousser la caricature trop loin, non? Certes il vaut mieux éviter le couple OE/IE mais de la à qualifier le reste de détail.
Simple exemple : mon MTA est dopé à l'anti-salopperie : pas de vulnérabilité OE, j'ai filtré avant[1].
On peut aussi nettoyer les flux http au vol. (ça coute un peu en ressource :) )
Accessoirement FireFox, par exemple, c'est très bien ; mais pour le fameux lambda il est encore plus difficile d'être avertit des failles et de patcher son système qu'avec IE (via WindowsUpdate).
Eric
[1] Ne pas me faire dire que c'est "bien" : il ne me reste que cette machine sous OE et il est en train de virer aussi. Pour IE (à part pour WindowsUpdate) c'est remplacé par FireFox
-- L'invulnérable : Je ne pense pas etre piratable, infectable par un trojen oui! Vu sur fcs un jour de mars 2004.
"Fabien LE LEZ" a écrit
Le problème c'est qu'ils ont tous , OE et IE sauf moi
Bon, ben voilà, tu as donc dans ton réseau un problème de sécurité qui
éclipse largement tous les autres. Occupe-toi de celui-là d'abord, et
laisse les détails à plus tard.
Il faudrait peut être voir à ne pas pousser la caricature trop loin, non?
Certes il vaut mieux éviter le couple OE/IE mais de la à qualifier le reste
de détail.
Simple exemple : mon MTA est dopé à l'anti-salopperie : pas de vulnérabilité
OE, j'ai filtré avant[1].
On peut aussi nettoyer les flux http au vol. (ça coute un peu en ressource
:) )
Accessoirement FireFox, par exemple, c'est très bien ; mais pour le fameux
lambda il est encore plus difficile d'être avertit des failles et de patcher
son système qu'avec IE (via WindowsUpdate).
Eric
[1] Ne pas me faire dire que c'est "bien" : il ne me reste que cette machine
sous OE et il est en train de virer aussi. Pour IE (à part pour
WindowsUpdate) c'est remplacé par FireFox
--
L'invulnérable :
Je ne pense pas etre piratable, infectable par un trojen oui!
Vu sur fcs un jour de mars 2004.
Le problème c'est qu'ils ont tous , OE et IE sauf moi
Bon, ben voilà, tu as donc dans ton réseau un problème de sécurité qui éclipse largement tous les autres. Occupe-toi de celui-là d'abord, et laisse les détails à plus tard.
Il faudrait peut être voir à ne pas pousser la caricature trop loin, non? Certes il vaut mieux éviter le couple OE/IE mais de la à qualifier le reste de détail.
Simple exemple : mon MTA est dopé à l'anti-salopperie : pas de vulnérabilité OE, j'ai filtré avant[1].
On peut aussi nettoyer les flux http au vol. (ça coute un peu en ressource :) )
Accessoirement FireFox, par exemple, c'est très bien ; mais pour le fameux lambda il est encore plus difficile d'être avertit des failles et de patcher son système qu'avec IE (via WindowsUpdate).
Eric
[1] Ne pas me faire dire que c'est "bien" : il ne me reste que cette machine sous OE et il est en train de virer aussi. Pour IE (à part pour WindowsUpdate) c'est remplacé par FireFox
-- L'invulnérable : Je ne pense pas etre piratable, infectable par un trojen oui! Vu sur fcs un jour de mars 2004.
Fabien LE LEZ
On 16 Jul 2004 23:45:56 GMT, "Eric Razny" :
"Fabien LE LEZ" a écrit
Bon, ben voilà, tu as donc dans ton réseau un problème de sécurité qui éclipse largement tous les autres. Occupe-toi de celui-là d'abord, et laisse les détails à plus tard.
Il faudrait peut être voir à ne pas pousser la caricature trop loin, non? Certes il vaut mieux éviter le couple OE/IE mais de la à qualifier le reste de détail.
En l'occurence, le "détail" en question, c'était le fait que les ports étaient vus comme fermés et non stealth.
Simple exemple : mon MTA est dopé à l'anti-salopperie : pas de vulnérabilité OE, j'ai filtré avant[1]. [...] Accessoirement FireFox, par exemple, c'est très bien ; mais pour le fameux lambda il est encore plus difficile d'être avertit des failles et de patcher son système qu'avec IE (via WindowsUpdate).
Certes, mais : - bricoler un MTA ou un proxy pour "nettoyer" les données avant leur arrivée sur IE/OE est encore moins à la portée du premier venu - même si l'utilisateur est lambda, dans le cas présent, les mises à jour ne sont pas de son ressort, mais de celui de l'administrateur réseau (en l'occurence, l'OP) - je ne suis pas convaincu qu'un Firefox pas à jour soit moins sûr qu'un IE à jour (même si le coup de "shell:" fait froid dans le dos)
On 16 Jul 2004 23:45:56 GMT, "Eric Razny" <news_01@razny.net>:
"Fabien LE LEZ" a écrit
Bon, ben voilà, tu as donc dans ton réseau un problème de sécurité qui
éclipse largement tous les autres. Occupe-toi de celui-là d'abord, et
laisse les détails à plus tard.
Il faudrait peut être voir à ne pas pousser la caricature trop loin, non?
Certes il vaut mieux éviter le couple OE/IE mais de la à qualifier le reste
de détail.
En l'occurence, le "détail" en question, c'était le fait que les ports
étaient vus comme fermés et non stealth.
Simple exemple : mon MTA est dopé à l'anti-salopperie : pas de vulnérabilité
OE, j'ai filtré avant[1].
[...]
Accessoirement FireFox, par exemple, c'est très bien ; mais pour le fameux
lambda il est encore plus difficile d'être avertit des failles et de patcher
son système qu'avec IE (via WindowsUpdate).
Certes, mais :
- bricoler un MTA ou un proxy pour "nettoyer" les données avant
leur arrivée sur IE/OE est encore moins à la portée du premier venu
- même si l'utilisateur est lambda, dans le cas présent, les
mises à jour ne sont pas de son ressort, mais de celui de
l'administrateur réseau (en l'occurence, l'OP)
- je ne suis pas convaincu qu'un Firefox pas à jour soit moins
sûr qu'un IE à jour (même si le coup de "shell:" fait froid dans le
dos)
Bon, ben voilà, tu as donc dans ton réseau un problème de sécurité qui éclipse largement tous les autres. Occupe-toi de celui-là d'abord, et laisse les détails à plus tard.
Il faudrait peut être voir à ne pas pousser la caricature trop loin, non? Certes il vaut mieux éviter le couple OE/IE mais de la à qualifier le reste de détail.
En l'occurence, le "détail" en question, c'était le fait que les ports étaient vus comme fermés et non stealth.
Simple exemple : mon MTA est dopé à l'anti-salopperie : pas de vulnérabilité OE, j'ai filtré avant[1]. [...] Accessoirement FireFox, par exemple, c'est très bien ; mais pour le fameux lambda il est encore plus difficile d'être avertit des failles et de patcher son système qu'avec IE (via WindowsUpdate).
Certes, mais : - bricoler un MTA ou un proxy pour "nettoyer" les données avant leur arrivée sur IE/OE est encore moins à la portée du premier venu - même si l'utilisateur est lambda, dans le cas présent, les mises à jour ne sont pas de son ressort, mais de celui de l'administrateur réseau (en l'occurence, l'OP) - je ne suis pas convaincu qu'un Firefox pas à jour soit moins sûr qu'un IE à jour (même si le coup de "shell:" fait froid dans le dos)
Eric Razny
"Fabien LE LEZ" a écrit >
En l'occurence, le "détail" en question, c'était le fait que les ports étaient vus comme fermés et non stealth.
Ok alors. C'est même en général le dernier de mes soucis. Je préfère juste la plupart du temps le mettre en stealth pour bouffer un peu de temps aux emmerdeurs :)
Certes, mais : - bricoler un MTA ou un proxy pour "nettoyer" les données avant leur arrivée sur IE/OE est encore moins à la portée du premier venu
Je te l'accorde, mais voir plus bas :)
- même si l'utilisateur est lambda, dans le cas présent, les mises à jour ne sont pas de son ressort, mais de celui de l'administrateur réseau (en l'occurence, l'OP)
Je pensais essentiellement à l'admin pour l'exemple MTA/Proxy. Suivant la structure de la boite c'est parfois utile de limiter les risques en nettoyant les flux (même s'il est souvent illusoire de tout pouvoir nettoyer, en particulier les flux internes). Et quand des gus ont créés des applications internes à base d'actives-X il faut bien faire avec. Si c'est pour mettre le plugin d'active-X sous firefox autant laisser IE! Bon ceci dit avec le SP2 ça ne va pas être triste. Entre ceux qui vont devoir réécrire des applis différements et ceux qui vont tout ouvrir pour que ça continue à marcher la disponibilité du SI risque d'en prendre un coup :)
- je ne suis pas convaincu qu'un Firefox pas à jour soit moins sûr qu'un IE à jour (même si le coup de "shell:" fait froid dans le dos)
Peut être, mais il y a des trucs que je préfère ne pas tester (me faire ouvrir parce que je considère firefox sur).
Eric
-- L'invulnérable : Je ne pense pas etre piratable, infectable par un trojen oui! Vu sur fcs un jour de mars 2004.
"Fabien LE LEZ" a écrit >
En l'occurence, le "détail" en question, c'était le fait que les ports
étaient vus comme fermés et non stealth.
Ok alors.
C'est même en général le dernier de mes soucis.
Je préfère juste la plupart du temps le mettre en stealth pour bouffer un
peu de temps aux emmerdeurs :)
Certes, mais :
- bricoler un MTA ou un proxy pour "nettoyer" les données avant
leur arrivée sur IE/OE est encore moins à la portée du premier venu
Je te l'accorde, mais voir plus bas :)
- même si l'utilisateur est lambda, dans le cas présent, les
mises à jour ne sont pas de son ressort, mais de celui de
l'administrateur réseau (en l'occurence, l'OP)
Je pensais essentiellement à l'admin pour l'exemple MTA/Proxy. Suivant la
structure de la boite c'est parfois utile de limiter les risques en
nettoyant les flux (même s'il est souvent illusoire de tout pouvoir
nettoyer, en particulier les flux internes). Et quand des gus ont créés des
applications internes à base d'actives-X il faut bien faire avec. Si c'est
pour mettre le plugin d'active-X sous firefox autant laisser IE!
Bon ceci dit avec le SP2 ça ne va pas être triste. Entre ceux qui vont
devoir réécrire des applis différements et ceux qui vont tout ouvrir pour
que ça continue à marcher la disponibilité du SI risque d'en prendre un coup
:)
- je ne suis pas convaincu qu'un Firefox pas à jour soit moins
sûr qu'un IE à jour (même si le coup de "shell:" fait froid dans le
dos)
Peut être, mais il y a des trucs que je préfère ne pas tester (me faire
ouvrir parce que je considère firefox sur).
Eric
--
L'invulnérable :
Je ne pense pas etre piratable, infectable par un trojen oui!
Vu sur fcs un jour de mars 2004.
En l'occurence, le "détail" en question, c'était le fait que les ports étaient vus comme fermés et non stealth.
Ok alors. C'est même en général le dernier de mes soucis. Je préfère juste la plupart du temps le mettre en stealth pour bouffer un peu de temps aux emmerdeurs :)
Certes, mais : - bricoler un MTA ou un proxy pour "nettoyer" les données avant leur arrivée sur IE/OE est encore moins à la portée du premier venu
Je te l'accorde, mais voir plus bas :)
- même si l'utilisateur est lambda, dans le cas présent, les mises à jour ne sont pas de son ressort, mais de celui de l'administrateur réseau (en l'occurence, l'OP)
Je pensais essentiellement à l'admin pour l'exemple MTA/Proxy. Suivant la structure de la boite c'est parfois utile de limiter les risques en nettoyant les flux (même s'il est souvent illusoire de tout pouvoir nettoyer, en particulier les flux internes). Et quand des gus ont créés des applications internes à base d'actives-X il faut bien faire avec. Si c'est pour mettre le plugin d'active-X sous firefox autant laisser IE! Bon ceci dit avec le SP2 ça ne va pas être triste. Entre ceux qui vont devoir réécrire des applis différements et ceux qui vont tout ouvrir pour que ça continue à marcher la disponibilité du SI risque d'en prendre un coup :)
- je ne suis pas convaincu qu'un Firefox pas à jour soit moins sûr qu'un IE à jour (même si le coup de "shell:" fait froid dans le dos)
Peut être, mais il y a des trucs que je préfère ne pas tester (me faire ouvrir parce que je considère firefox sur).
Eric
-- L'invulnérable : Je ne pense pas etre piratable, infectable par un trojen oui! Vu sur fcs un jour de mars 2004.
Fabien LE LEZ
On 17 Jul 2004 07:33:55 GMT, "Eric Razny" :
Bon ceci dit avec le SP2 ça ne va pas être triste. Entre ceux qui vont devoir réécrire des applis différements et ceux qui vont tout ouvrir pour que ça continue à marcher
Raison de plus pour bloquer toute tentative de IE de sortir du LAN. Au fait, pour faire ça, faut-il impérativement un proxy, ou un firewall est-il capable de couper automatiquement la connexion dès qu'il voit un "^User-Agent: .*MSIE" ?
On 17 Jul 2004 07:33:55 GMT, "Eric Razny" <news_01@razny.net>:
Bon ceci dit avec le SP2 ça ne va pas être triste. Entre ceux qui vont
devoir réécrire des applis différements et ceux qui vont tout ouvrir pour
que ça continue à marcher
Raison de plus pour bloquer toute tentative de IE de sortir du LAN.
Au fait, pour faire ça, faut-il impérativement un proxy, ou un
firewall est-il capable de couper automatiquement la connexion dès
qu'il voit un "^User-Agent: .*MSIE" ?
Bon ceci dit avec le SP2 ça ne va pas être triste. Entre ceux qui vont devoir réécrire des applis différements et ceux qui vont tout ouvrir pour que ça continue à marcher
Raison de plus pour bloquer toute tentative de IE de sortir du LAN. Au fait, pour faire ça, faut-il impérativement un proxy, ou un firewall est-il capable de couper automatiquement la connexion dès qu'il voit un "^User-Agent: .*MSIE" ?