Salut !
Question bateau et surtout pas troll, svp, merci !
Soit un particulier, connecté avec un modem en illimité avec un portable
propre et assez bien surveillé, un bon anti-virus régulièrement mis à
jour, et surtout, surtout qui fait gaffe à pas aller trainer ses bits
dans les endroits mal fâmés et qui supprime d'entrée tout courrier non
attendu, sans même discuter ; équipé de Windows XP, personne n'est
parfait, sans le IE/OE mais Netscape 7.1
Ma question : le parefeu natif XP est-il suffisant ou pas ?
--
Georges (Ne pas tenir compte de l'adresse)
Dommage que les regles ne soient pas liées aux interfaces.
Euh... Question stupide : à quoi ça servirait ? L'important (du moins en TCP), me paraît être de savoir d'où vient la requête (ou où elle va), pas de savoir sur quelle interface elle arrive. Où ai-je loupé le coche ?
On 10 Sep 2003 11:18:13 GMT, Thierry <yarglah@com.invalid> wrote:
Dommage que les regles ne soient pas liées aux interfaces.
Euh... Question stupide : à quoi ça servirait ? L'important (du moins
en TCP), me paraît être de savoir d'où vient la requête (ou où elle
va), pas de savoir sur quelle interface elle arrive. Où ai-je loupé le
coche ?
Dommage que les regles ne soient pas liées aux interfaces.
Euh... Question stupide : à quoi ça servirait ? L'important (du moins en TCP), me paraît être de savoir d'où vient la requête (ou où elle va), pas de savoir sur quelle interface elle arrive. Où ai-je loupé le coche ?
Stephane Catteau
Fabien LE LEZ nous disait récement dans fr.comp.securite <news: :
On 10 Sep 2003 11:18:13 GMT, Thierry wrote:
Dommage que les regles ne soient pas liées aux interfaces.
Euh... Question stupide : à quoi ça servirait ? L'important (du moins en TCP), me paraît être de savoir d'où vient la requête (ou où elle va), pas de savoir sur quelle interface elle arrive. Où ai-je loupé le coche ?
Imaginons que tu ais un réseau local derrière un firewall à trois interfaces (vaste monde, LAN et DMZ). L'un de tes serveurs en DMZ mais ouvert uniquement pour ton LAN est sensible à des paquets malformés d'une certaines façon.
Monsieur X, méchant de son état, veut faire tomber ton serveur et envoie des paquets malformés comme il faut. Ces paquets arrivent sur ton firewall. Celui-ci regarde l'adresse IP d'origine, constate qu'elle ne correspond pas à une adresse IP assignée à ton LAN et pouf, poubelle. Monsieur X constatant que ton serveur n'est toujours pas tombé recommence l'opération, mais en spoofant les paquets avec une adresse IP de ton LAN. Si les règles de ton filtre IP ne sont pas liées aux interfaces, celui-ci va constater que l'adresse IP est correcte, et il laissera passer les paquets. Si par contre les règles sont liées aux interfaces, ton filtre se rendra tout de suite compte que, malgré son adresse IP d'origine, les paquets ne viennent pas de ton réseau local, puisqu'il sont rentrés par l'interface relié au vaste monde.
-- "Si ceux qui disent du mal de moi savaient exactement ce que je pense d'eux , ils en diraient bien davantage." Sacha Guitry
Fabien LE LEZ nous disait récement dans fr.comp.securite
<news:7cg1mvod0aipaj3fhhsnr9k8pc3umpq8sl@4ax.com> :
On 10 Sep 2003 11:18:13 GMT, Thierry <yarglah@com.invalid> wrote:
Dommage que les regles ne soient pas liées aux interfaces.
Euh... Question stupide : à quoi ça servirait ? L'important (du
moins en TCP), me paraît être de savoir d'où vient la requête (ou
où elle va), pas de savoir sur quelle interface elle arrive. Où
ai-je loupé le coche ?
Imaginons que tu ais un réseau local derrière un firewall à trois
interfaces (vaste monde, LAN et DMZ). L'un de tes serveurs en DMZ
mais ouvert uniquement pour ton LAN est sensible à des paquets
malformés d'une certaines façon.
Monsieur X, méchant de son état, veut faire tomber ton serveur et
envoie des paquets malformés comme il faut. Ces paquets arrivent sur
ton firewall. Celui-ci regarde l'adresse IP d'origine, constate qu'elle
ne correspond pas à une adresse IP assignée à ton LAN et pouf,
poubelle.
Monsieur X constatant que ton serveur n'est toujours pas tombé
recommence l'opération, mais en spoofant les paquets avec une adresse
IP de ton LAN.
Si les règles de ton filtre IP ne sont pas liées aux interfaces,
celui-ci va constater que l'adresse IP est correcte, et il laissera
passer les paquets. Si par contre les règles sont liées aux interfaces,
ton filtre se rendra tout de suite compte que, malgré son adresse IP
d'origine, les paquets ne viennent pas de ton réseau local, puisqu'il
sont rentrés par l'interface relié au vaste monde.
--
"Si ceux qui disent du mal de moi savaient exactement ce que je
pense d'eux , ils en diraient bien davantage."
Sacha Guitry
Fabien LE LEZ nous disait récement dans fr.comp.securite <news: :
On 10 Sep 2003 11:18:13 GMT, Thierry wrote:
Dommage que les regles ne soient pas liées aux interfaces.
Euh... Question stupide : à quoi ça servirait ? L'important (du moins en TCP), me paraît être de savoir d'où vient la requête (ou où elle va), pas de savoir sur quelle interface elle arrive. Où ai-je loupé le coche ?
Imaginons que tu ais un réseau local derrière un firewall à trois interfaces (vaste monde, LAN et DMZ). L'un de tes serveurs en DMZ mais ouvert uniquement pour ton LAN est sensible à des paquets malformés d'une certaines façon.
Monsieur X, méchant de son état, veut faire tomber ton serveur et envoie des paquets malformés comme il faut. Ces paquets arrivent sur ton firewall. Celui-ci regarde l'adresse IP d'origine, constate qu'elle ne correspond pas à une adresse IP assignée à ton LAN et pouf, poubelle. Monsieur X constatant que ton serveur n'est toujours pas tombé recommence l'opération, mais en spoofant les paquets avec une adresse IP de ton LAN. Si les règles de ton filtre IP ne sont pas liées aux interfaces, celui-ci va constater que l'adresse IP est correcte, et il laissera passer les paquets. Si par contre les règles sont liées aux interfaces, ton filtre se rendra tout de suite compte que, malgré son adresse IP d'origine, les paquets ne viennent pas de ton réseau local, puisqu'il sont rentrés par l'interface relié au vaste monde.
-- "Si ceux qui disent du mal de moi savaient exactement ce que je pense d'eux , ils en diraient bien davantage." Sacha Guitry
Nicob
On Thu, 11 Sep 2003 19:22:22 +0000, Stephane Catteau wrote:
Si les règles de ton filtre IP ne sont pas liées aux interfaces, celui-ci va constater que l'adresse IP est correcte, et il laissera passer les paquets. Si par contre les règles sont liées aux interfaces, ton filtre se rendra tout de suite compte que, malgré son adresse IP d'origine, les paquets ne viennent pas de ton réseau local, puisqu'il sont rentrés par l'interface relié au vaste monde.
Et puis c'est pratique pour la conf. Si tu as une interface de confiance (ipsec0 ?) et que tu veux autoriser tout le trafic depuis ce VPN jusqu'à un serveur spécial "agences", il te suffit de faire une règle autorisant depuis l'interface réseau ipsec0 vers l'IP (ou l'interface) de ta machine "agences".
Pareil si tu veux faire des chaines dans ta conf netfilter, comme par exemple une chaine par interface, pour faciliter la lecture de la conf et le suivi d'un paquet dans netfilter (pour le débug).
Je n'avais même pas pensé que certains pare-feux n'avaient pas cette fonctionnalité. De toute façon pour du monoposte, c'est pas trop grave.
Nicob
On Thu, 11 Sep 2003 19:22:22 +0000, Stephane Catteau wrote:
Si les règles de ton filtre IP ne sont pas liées aux interfaces,
celui-ci va constater que l'adresse IP est correcte, et il laissera
passer les paquets. Si par contre les règles sont liées aux
interfaces, ton filtre se rendra tout de suite compte que, malgré son
adresse IP d'origine, les paquets ne viennent pas de ton réseau local,
puisqu'il sont rentrés par l'interface relié au vaste monde.
Et puis c'est pratique pour la conf. Si tu as une interface de confiance
(ipsec0 ?) et que tu veux autoriser tout le trafic depuis ce VPN jusqu'à
un serveur spécial "agences", il te suffit de faire une règle autorisant
depuis l'interface réseau ipsec0 vers l'IP (ou l'interface) de ta machine
"agences".
Pareil si tu veux faire des chaines dans ta conf netfilter, comme par
exemple une chaine par interface, pour faciliter la lecture de la conf et
le suivi d'un paquet dans netfilter (pour le débug).
Je n'avais même pas pensé que certains pare-feux n'avaient pas cette
fonctionnalité. De toute façon pour du monoposte, c'est pas trop grave.
On Thu, 11 Sep 2003 19:22:22 +0000, Stephane Catteau wrote:
Si les règles de ton filtre IP ne sont pas liées aux interfaces, celui-ci va constater que l'adresse IP est correcte, et il laissera passer les paquets. Si par contre les règles sont liées aux interfaces, ton filtre se rendra tout de suite compte que, malgré son adresse IP d'origine, les paquets ne viennent pas de ton réseau local, puisqu'il sont rentrés par l'interface relié au vaste monde.
Et puis c'est pratique pour la conf. Si tu as une interface de confiance (ipsec0 ?) et que tu veux autoriser tout le trafic depuis ce VPN jusqu'à un serveur spécial "agences", il te suffit de faire une règle autorisant depuis l'interface réseau ipsec0 vers l'IP (ou l'interface) de ta machine "agences".
Pareil si tu veux faire des chaines dans ta conf netfilter, comme par exemple une chaine par interface, pour faciliter la lecture de la conf et le suivi d'un paquet dans netfilter (pour le débug).
Je n'avais même pas pensé que certains pare-feux n'avaient pas cette fonctionnalité. De toute façon pour du monoposte, c'est pas trop grave.
Nicob
Stephane Catteau
Nicob nous disait récement dans fr.comp.securite <news: :
[Règles basée sur l'interface]
Et puis c'est pratique pour la conf. Si tu as une interface de confiance (ipsec0 ?) et que tu veux autoriser tout le trafic depuis ce VPN jusqu'à un serveur spécial "agences", il te suffit de faire une règle autorisant depuis l'interface réseau ipsec0 vers l'IP (ou l'interface) de ta machine "agences".
Pas besoin de jongler avec les adresses IP si elles changent ou si x.y.z.5 est une machine moins sécure que les autres et qu'il aurait fallut autoriser x.y.z.[1-4] et x.y.z.[5-254].
Pareil si tu veux faire des chaines dans ta conf netfilter, comme par exemple une chaine par interface, pour faciliter la lecture de la conf et le suivi d'un paquet dans netfilter (pour le débug).
Ou les groupes pour IPFilter. D'ailleurs ça aussi c'est un plus intéressant du point de vue de la config. Tu crées un groupe, et pour tout ce qui concerne le groupe tu n'as pas besoin de repliquer les infos concernant l'interface et/ou les adresses IP. Maintenance simplifiée, sommeil plus léger.
Je n'avais même pas pensé que certains pare-feux n'avaient pas cette fonctionnalité. De toute façon pour du monoposte, c'est pas trop grave.
;-) Pourtant si tu y réfléchis bien ils sont nombreux.
-- "Si ceux qui disent du mal de moi savaient exactement ce que je pense d'eux , ils en diraient bien davantage." Sacha Guitry
Nicob nous disait récement dans fr.comp.securite
<news:pan.2003.09.11.20.49.37.623740@nicob.net> :
[Règles basée sur l'interface]
Et puis c'est pratique pour la conf. Si tu as une interface de
confiance (ipsec0 ?) et que tu veux autoriser tout le trafic
depuis ce VPN jusqu'à un serveur spécial "agences", il te suffit
de faire une règle autorisant depuis l'interface réseau ipsec0
vers l'IP (ou l'interface) de ta machine "agences".
Pas besoin de jongler avec les adresses IP si elles changent ou si
x.y.z.5 est une machine moins sécure que les autres et qu'il aurait
fallut autoriser x.y.z.[1-4] et x.y.z.[5-254].
Pareil si tu veux faire des chaines dans ta conf netfilter, comme
par exemple une chaine par interface, pour faciliter la lecture de
la conf et le suivi d'un paquet dans netfilter (pour le débug).
Ou les groupes pour IPFilter. D'ailleurs ça aussi c'est un plus
intéressant du point de vue de la config. Tu crées un groupe, et pour
tout ce qui concerne le groupe tu n'as pas besoin de repliquer les
infos concernant l'interface et/ou les adresses IP. Maintenance
simplifiée, sommeil plus léger.
Je n'avais même pas pensé que certains pare-feux n'avaient pas cette
fonctionnalité. De toute façon pour du monoposte, c'est pas trop
grave.
;-) Pourtant si tu y réfléchis bien ils sont nombreux.
--
"Si ceux qui disent du mal de moi savaient exactement ce que je
pense d'eux , ils en diraient bien davantage."
Sacha Guitry
Nicob nous disait récement dans fr.comp.securite <news: :
[Règles basée sur l'interface]
Et puis c'est pratique pour la conf. Si tu as une interface de confiance (ipsec0 ?) et que tu veux autoriser tout le trafic depuis ce VPN jusqu'à un serveur spécial "agences", il te suffit de faire une règle autorisant depuis l'interface réseau ipsec0 vers l'IP (ou l'interface) de ta machine "agences".
Pas besoin de jongler avec les adresses IP si elles changent ou si x.y.z.5 est une machine moins sécure que les autres et qu'il aurait fallut autoriser x.y.z.[1-4] et x.y.z.[5-254].
Pareil si tu veux faire des chaines dans ta conf netfilter, comme par exemple une chaine par interface, pour faciliter la lecture de la conf et le suivi d'un paquet dans netfilter (pour le débug).
Ou les groupes pour IPFilter. D'ailleurs ça aussi c'est un plus intéressant du point de vue de la config. Tu crées un groupe, et pour tout ce qui concerne le groupe tu n'as pas besoin de repliquer les infos concernant l'interface et/ou les adresses IP. Maintenance simplifiée, sommeil plus léger.
Je n'avais même pas pensé que certains pare-feux n'avaient pas cette fonctionnalité. De toute façon pour du monoposte, c'est pas trop grave.
;-) Pourtant si tu y réfléchis bien ils sont nombreux.
-- "Si ceux qui disent du mal de moi savaient exactement ce que je pense d'eux , ils en diraient bien davantage." Sacha Guitry
Fabien LE LEZ
On 11 Sep 2003 19:22:22 GMT, Stephane Catteau wrote:
Si les règles de ton filtre IP ne sont pas liées aux interfaces, celui-ci va constater que l'adresse IP est correcte, et il laissera passer les paquets.
Ton cas de figure, c'est une machine Windows avec Kerio qui servirait de firewall (à trois branches) pour un LAN, c'est ça ? Effectivement, je confirme que Kerio n'est pas fait pour ça. (J'ai même des doutes à propos de l'installation de Windows sur une telle machine-firewall, tant au niveau de la lourdeur de l'OS que de la sécurité, mais bon, inutile de relancer le troll...)
On 11 Sep 2003 19:22:22 GMT, Stephane Catteau <stephane@sc4x.net>
wrote:
Si les règles de ton filtre IP ne sont pas liées aux interfaces,
celui-ci va constater que l'adresse IP est correcte, et il laissera
passer les paquets.
Ton cas de figure, c'est une machine Windows avec Kerio qui servirait
de firewall (à trois branches) pour un LAN, c'est ça ? Effectivement,
je confirme que Kerio n'est pas fait pour ça. (J'ai même des doutes à
propos de l'installation de Windows sur une telle machine-firewall,
tant au niveau de la lourdeur de l'OS que de la sécurité, mais bon,
inutile de relancer le troll...)
On 11 Sep 2003 19:22:22 GMT, Stephane Catteau wrote:
Si les règles de ton filtre IP ne sont pas liées aux interfaces, celui-ci va constater que l'adresse IP est correcte, et il laissera passer les paquets.
Ton cas de figure, c'est une machine Windows avec Kerio qui servirait de firewall (à trois branches) pour un LAN, c'est ça ? Effectivement, je confirme que Kerio n'est pas fait pour ça. (J'ai même des doutes à propos de l'installation de Windows sur une telle machine-firewall, tant au niveau de la lourdeur de l'OS que de la sécurité, mais bon, inutile de relancer le troll...)
Fabien LE LEZ
On 10 Sep 2003 08:48:41 GMT, Steph wrote:
UP'N'P ? Un lien pour combler cette faille ?
Disons que si tu utilises un firewall autre que celui de XP, et s'il est paramétré correctement (i.e. tous les ports fermés sauf ceux dont tu as réellement besoin), il me semble que tu n'as rien à craindre de UPnP.
On 10 Sep 2003 08:48:41 GMT, Steph <steph@nospam.com> wrote:
UP'N'P ? Un lien pour combler cette faille ?
Disons que si tu utilises un firewall autre que celui de XP, et s'il
est paramétré correctement (i.e. tous les ports fermés sauf ceux dont
tu as réellement besoin), il me semble que tu n'as rien à craindre de
UPnP.
Disons que si tu utilises un firewall autre que celui de XP, et s'il est paramétré correctement (i.e. tous les ports fermés sauf ceux dont tu as réellement besoin), il me semble que tu n'as rien à craindre de UPnP.
Thierry
Bonjour,
Fabien LE LEZ a écrit :
Ton cas de figure, c'est une machine Windows avec Kerio qui servirait de firewall (à trois branches) pour un LAN, c'est ça ?
Pas que : par exemple j'ai un serveur Web en local pour tests et qui n'ecoute que localhost (voire l'IP LAN) pour m'affranchir de la veille sur les failles/patchs/etc. Si le FW ne fait le distingo sur l'interface de reception une trame spoofée peut attaquer ton serveur (et eventuellement profiter d'une faille).
Certes ces trames ne devraient pas arriver jusqu'a toi mais en pratique ca ne semble pas toujours le cas (cf les differents fils parlant de trames ayant pour source localhost).
Effectivement, je confirme que Kerio n'est pas fait pour ça. (J'ai même des doutes à propos de l'installation de Windows sur une telle machine-firewall, tant au niveau de la lourdeur de l'OS que de la sécurité, mais bon, inutile de relancer le troll...)
Les checkpoints sur un Windows "NT" ont pourtant une bonne reputation il me semble.
-- "MOI JE VEUX JOUER DE L'HELICON (PON PON PON PON)"
Bonjour,
Fabien LE LEZ a écrit :
Ton cas de figure, c'est une machine Windows avec Kerio qui servirait
de firewall (à trois branches) pour un LAN, c'est ça ?
Pas que : par exemple j'ai un serveur Web en local pour tests et qui
n'ecoute que localhost (voire l'IP LAN) pour m'affranchir de la veille sur
les failles/patchs/etc.
Si le FW ne fait le distingo sur l'interface de reception une trame spoofée
peut attaquer ton serveur (et eventuellement profiter d'une faille).
Certes ces trames ne devraient pas arriver jusqu'a toi mais en pratique ca
ne semble pas toujours le cas (cf les differents fils parlant de trames
ayant pour source localhost).
Effectivement,
je confirme que Kerio n'est pas fait pour ça. (J'ai même des doutes à
propos de l'installation de Windows sur une telle machine-firewall,
tant au niveau de la lourdeur de l'OS que de la sécurité, mais bon,
inutile de relancer le troll...)
Les checkpoints sur un Windows "NT" ont pourtant une bonne reputation il me
semble.
--
"MOI JE VEUX JOUER DE L'HELICON (PON PON PON PON)"
Ton cas de figure, c'est une machine Windows avec Kerio qui servirait de firewall (à trois branches) pour un LAN, c'est ça ?
Pas que : par exemple j'ai un serveur Web en local pour tests et qui n'ecoute que localhost (voire l'IP LAN) pour m'affranchir de la veille sur les failles/patchs/etc. Si le FW ne fait le distingo sur l'interface de reception une trame spoofée peut attaquer ton serveur (et eventuellement profiter d'une faille).
Certes ces trames ne devraient pas arriver jusqu'a toi mais en pratique ca ne semble pas toujours le cas (cf les differents fils parlant de trames ayant pour source localhost).
Effectivement, je confirme que Kerio n'est pas fait pour ça. (J'ai même des doutes à propos de l'installation de Windows sur une telle machine-firewall, tant au niveau de la lourdeur de l'OS que de la sécurité, mais bon, inutile de relancer le troll...)
Les checkpoints sur un Windows "NT" ont pourtant une bonne reputation il me semble.
-- "MOI JE VEUX JOUER DE L'HELICON (PON PON PON PON)"
Perry
Bonjour,
www.zonealarm.com il y a une version gratuite pour utilisateur personnel. un grand conseil, mettez à jour rapidement ton PC avec le dernier patch RPC (du 9/09/2003), tous ceux qui n'ont pas mis l'avant dernier patch (qui date de plus d'un mois), ils en ont bouffé du "Blaster".
La partie FAQ du bulletin MS03-39 traite tout cela : http://www.microsoft.com/technet/security/bulletin/MS03-039.asp
Pour la fiabilité du firewall XP, il faudrait savoir qui est assis sur qui...
A+
"Georges" a écrit dans le message de news:3f5de0d1$0$13301$
Salut ! Question bateau et surtout pas troll, svp, merci ! Soit un particulier, connecté avec un modem en illimité avec un portable propre et assez bien surveillé, un bon anti-virus régulièrement mis à jour, et surtout, surtout qui fait gaffe à pas aller trainer ses bits dans les endroits mal fâmés et qui supprime d'entrée tout courrier non attendu, sans même discuter ; équipé de Windows XP, personne n'est parfait, sans le IE/OE mais Netscape 7.1 Ma question : le parefeu natif XP est-il suffisant ou pas ? -- Georges (Ne pas tenir compte de l'adresse)
Bonjour,
www.zonealarm.com il y a une version gratuite pour utilisateur personnel.
un grand conseil, mettez à jour rapidement ton PC avec le dernier patch RPC
(du 9/09/2003), tous ceux qui n'ont pas mis l'avant dernier patch (qui date
de plus d'un mois), ils en ont bouffé du "Blaster".
La partie FAQ du bulletin MS03-39 traite tout cela :
http://www.microsoft.com/technet/security/bulletin/MS03-039.asp
Pour la fiabilité du firewall XP, il faudrait savoir qui est assis sur
qui...
A+
"Georges" <georges@microsoft.com> a écrit dans le message de
news:3f5de0d1$0$13301$626a54ce@news.free.fr...
Salut !
Question bateau et surtout pas troll, svp, merci !
Soit un particulier, connecté avec un modem en illimité avec un portable
propre et assez bien surveillé, un bon anti-virus régulièrement mis à
jour, et surtout, surtout qui fait gaffe à pas aller trainer ses bits
dans les endroits mal fâmés et qui supprime d'entrée tout courrier non
attendu, sans même discuter ; équipé de Windows XP, personne n'est
parfait, sans le IE/OE mais Netscape 7.1
Ma question : le parefeu natif XP est-il suffisant ou pas ?
--
Georges (Ne pas tenir compte de l'adresse)
www.zonealarm.com il y a une version gratuite pour utilisateur personnel. un grand conseil, mettez à jour rapidement ton PC avec le dernier patch RPC (du 9/09/2003), tous ceux qui n'ont pas mis l'avant dernier patch (qui date de plus d'un mois), ils en ont bouffé du "Blaster".
La partie FAQ du bulletin MS03-39 traite tout cela : http://www.microsoft.com/technet/security/bulletin/MS03-039.asp
Pour la fiabilité du firewall XP, il faudrait savoir qui est assis sur qui...
A+
"Georges" a écrit dans le message de news:3f5de0d1$0$13301$
Salut ! Question bateau et surtout pas troll, svp, merci ! Soit un particulier, connecté avec un modem en illimité avec un portable propre et assez bien surveillé, un bon anti-virus régulièrement mis à jour, et surtout, surtout qui fait gaffe à pas aller trainer ses bits dans les endroits mal fâmés et qui supprime d'entrée tout courrier non attendu, sans même discuter ; équipé de Windows XP, personne n'est parfait, sans le IE/OE mais Netscape 7.1 Ma question : le parefeu natif XP est-il suffisant ou pas ? -- Georges (Ne pas tenir compte de l'adresse)
