Bonjour,
Voilà je viens d'acquérir Apple Remote Desktop 3 pour administrer des
clients sur internet mais le souci c'est que ARD les reconnais comme
des clients VNC ce qui m'empeche de faire quoi que ce soit dessus
(envoyer des fichiers, des messages, etc...)! Pourtan tout est
configuré nickel autant chez moi que chez eux. De plus ce sont des ordi
avec Tiger 10.4.6 et chez moi le version s'affiche même pas...
Une idée?
Merci!
--
"Earth is 98% full ... please delete anyone you can."
Oui bon. Sur un mac de base tout est fermé donc le mettre sans firewall c'est pas l'horreur absolue. Maintenant si tu commences à utiliser un seul service, il faut d'abord que ce service comporte des failles. J'ai rien vu sur ard. Ensuite si tu as peur tu surveilles ce qu'il se passe (mettre le firewall en mode log par exemple).
ou alors tu fermes ton FW mais tu autorises toutes les entrées en provenance du poste d'administration.
patpro
-- http://www.patpro.net/
In article <uxu06fx81zwer@noorg.org>, FiLH <filh@filh.org> wrote:
Oui bon. Sur un mac de base tout est fermé donc le mettre sans
firewall c'est pas l'horreur absolue. Maintenant si tu commences à
utiliser un seul service, il faut d'abord que ce service comporte des
failles. J'ai rien vu sur ard. Ensuite si tu as peur tu surveilles ce
qu'il se passe (mettre le firewall en mode log par exemple).
ou alors tu fermes ton FW mais tu autorises toutes les entrées en
provenance du poste d'administration.
Oui bon. Sur un mac de base tout est fermé donc le mettre sans firewall c'est pas l'horreur absolue. Maintenant si tu commences à utiliser un seul service, il faut d'abord que ce service comporte des failles. J'ai rien vu sur ard. Ensuite si tu as peur tu surveilles ce qu'il se passe (mettre le firewall en mode log par exemple).
ou alors tu fermes ton FW mais tu autorises toutes les entrées en provenance du poste d'administration.
patpro
-- http://www.patpro.net/
FiLH
patpro ~ Patrick Proniewski writes:
In article , FiLH wrote:
Oui bon. Sur un mac de base tout est fermé donc le mettre sans firewall c'est pas l'horreur absolue. Maintenant si tu commences à utiliser un seul service, il faut d'abord que ce service comporte des failles. J'ai rien vu sur ard. Ensuite si tu as peur tu surveilles ce qu'il se passe (mettre le firewall en mode log par exemple).
ou alors tu fermes ton FW mais tu autorises toutes les entrées en provenance du poste d'administration.
Ah ben oui faut faire dans la finesse quand même :)
f.g.
-- FiLH photography. A taste of freedom in a conventional world. Web: http://www.filh.org e-mail FAQ fr.rec.photo : http://frp.parisv.com/ Sitafoto la photo a Bordeaux : http://sitafoto.free.fr/
patpro ~ Patrick Proniewski <patpro@boleskine.patpro.net> writes:
In article <uxu06fx81zwer@noorg.org>, FiLH <filh@filh.org> wrote:
Oui bon. Sur un mac de base tout est fermé donc le mettre sans
firewall c'est pas l'horreur absolue. Maintenant si tu commences à
utiliser un seul service, il faut d'abord que ce service comporte des
failles. J'ai rien vu sur ard. Ensuite si tu as peur tu surveilles ce
qu'il se passe (mettre le firewall en mode log par exemple).
ou alors tu fermes ton FW mais tu autorises toutes les entrées en
provenance du poste d'administration.
Ah ben oui faut faire dans la finesse quand même :)
f.g.
--
FiLH photography. A taste of freedom in a conventional world.
Web: http://www.filh.org e-mail filh@filh.org
FAQ fr.rec.photo : http://frp.parisv.com/
Sitafoto la photo a Bordeaux : http://sitafoto.free.fr/
Oui bon. Sur un mac de base tout est fermé donc le mettre sans firewall c'est pas l'horreur absolue. Maintenant si tu commences à utiliser un seul service, il faut d'abord que ce service comporte des failles. J'ai rien vu sur ard. Ensuite si tu as peur tu surveilles ce qu'il se passe (mettre le firewall en mode log par exemple).
ou alors tu fermes ton FW mais tu autorises toutes les entrées en provenance du poste d'administration.
Ah ben oui faut faire dans la finesse quand même :)
f.g.
-- FiLH photography. A taste of freedom in a conventional world. Web: http://www.filh.org e-mail FAQ fr.rec.photo : http://frp.parisv.com/ Sitafoto la photo a Bordeaux : http://sitafoto.free.fr/
nospam
patpro ~ Patrick Proniewski wrote:
Déconnecte vite tes machines d'internet alors parce que si tu crois qu'un firewall fermé est inviolable, tu te mets le doigt dans l'oeil jusqu'à la petite culotte.
Il faut juste ouvrir les ports nécessaire. Et quand on peut passer 25 ports par un tunnel SSH ou tous par un VPN, ça permet d'ouvrir moins de ports justement.
Plus il y a de ports ouvret, plus il y a des marins qui boivent et qui pissent.
-- Jacques
patpro ~ Patrick Proniewski <patpro@boleskine.patpro.net> wrote:
Déconnecte vite tes machines d'internet alors parce que si tu crois
qu'un firewall fermé est inviolable, tu te mets le doigt dans l'oeil
jusqu'à la petite culotte.
Il faut juste ouvrir les ports nécessaire. Et quand on peut passer 25
ports par un tunnel SSH ou tous par un VPN, ça permet d'ouvrir moins de
ports justement.
Plus il y a de ports ouvret, plus il y a des marins qui boivent et qui
pissent.
Déconnecte vite tes machines d'internet alors parce que si tu crois qu'un firewall fermé est inviolable, tu te mets le doigt dans l'oeil jusqu'à la petite culotte.
Il faut juste ouvrir les ports nécessaire. Et quand on peut passer 25 ports par un tunnel SSH ou tous par un VPN, ça permet d'ouvrir moins de ports justement.
Plus il y a de ports ouvret, plus il y a des marins qui boivent et qui pissent.
-- Jacques
filh
Jacques Foucry wrote:
Plus il y a de ports ouvret, plus il y a des marins qui boivent et qui pissent.
Bof. Si les ports sont surveillés correctement...
Et bon. Quand je vois les scans qu'on se prend, un port ou plusieurs finalement ce n'est pas très important.
Enfin bon, fermer les ports ça permet au moins de dire qu'on a fait quelque chose...
Et puis ça fait chier les utilisateurs, alors ils voient bien qu'on fait de la sécurité. Bon alors du coup ils trouvent des contournements, et comme ça on le voit pas, on dorts tranquille... au dessus d'un gruyère.
FiLH
-- Le fondement du constat bourgeois, c'est le bon sens, c'est-à-dire une vérité qui s'arrête sur l'ordre arbitraire de celui qui la parle. Roland Barthes. http://www.filh.org
Jacques Foucry <nospam@foucry.net.invalid> wrote:
Plus il y a de ports ouvret, plus il y a des marins qui boivent et qui
pissent.
Bof. Si les ports sont surveillés correctement...
Et bon. Quand je vois les scans qu'on se prend, un port ou plusieurs
finalement ce n'est pas très important.
Enfin bon, fermer les ports ça permet au moins de dire qu'on a fait
quelque chose...
Et puis ça fait chier les utilisateurs, alors ils voient bien qu'on fait
de la sécurité. Bon alors du coup ils trouvent des contournements, et
comme ça on le voit pas, on dorts tranquille... au dessus d'un gruyère.
FiLH
--
Le fondement du constat bourgeois, c'est le bon sens, c'est-à-dire
une vérité qui s'arrête sur l'ordre arbitraire de celui qui la parle.
Roland Barthes.
http://www.filh.org
Plus il y a de ports ouvret, plus il y a des marins qui boivent et qui pissent.
Bof. Si les ports sont surveillés correctement...
Et bon. Quand je vois les scans qu'on se prend, un port ou plusieurs finalement ce n'est pas très important.
Enfin bon, fermer les ports ça permet au moins de dire qu'on a fait quelque chose...
Et puis ça fait chier les utilisateurs, alors ils voient bien qu'on fait de la sécurité. Bon alors du coup ils trouvent des contournements, et comme ça on le voit pas, on dorts tranquille... au dessus d'un gruyère.
FiLH
-- Le fondement du constat bourgeois, c'est le bon sens, c'est-à-dire une vérité qui s'arrête sur l'ordre arbitraire de celui qui la parle. Roland Barthes. http://www.filh.org
patpro ~ Patrick Proniewski
In article <1hhbovw.12k3x4v17fjghuN%, (FiLH) wrote:
Et puis ça fait chier les utilisateurs, alors ils voient bien qu'on fait de la sécurité. Bon alors du coup ils trouvent des contournements, et comme ça on le voit pas, on dorts tranquille... au dessus d'un gruyère.
tellement vrai :)
patpro
-- http://www.patpro.net/
In article <1hhbovw.12k3x4v17fjghuN%filh@filh.orgie>,
filh@filh.orgie (FiLH) wrote:
Et puis ça fait chier les utilisateurs, alors ils voient bien qu'on fait
de la sécurité. Bon alors du coup ils trouvent des contournements, et
comme ça on le voit pas, on dorts tranquille... au dessus d'un gruyère.
In article <1hhbovw.12k3x4v17fjghuN%, (FiLH) wrote:
Et puis ça fait chier les utilisateurs, alors ils voient bien qu'on fait de la sécurité. Bon alors du coup ils trouvent des contournements, et comme ça on le voit pas, on dorts tranquille... au dessus d'un gruyère.
tellement vrai :)
patpro
-- http://www.patpro.net/
Nicolas.MICHEL
Jacques Foucry wrote:
Plus il y a de ports ouvret, plus il y a des marins qui boivent et qui pissent.
Justement, à ce propos quelques questions :
Un port fermé (dans le sens "netstat -a |grep LISTEN") Mais autorisé dans le firewall ... Quel danger peut-il représenter ?
Et un port ouvert autorisé sans restrictions (plage d'IP ou autre), a-t-il quelque chose de plus sécurisé que s'il n'a pas de FW ?
Enfin quelles sont les mesures à prendre pour solidifier le firewall ? Je veux dire, comment interdire le IP spoofing, refuser les packets de tailles non standard, ...
Pour cette dernière question, je suppose qu'une bonne URL serait préférable à un long palabre ...
Merci d'avance :) -- S'il n'y a pas de solutions, c'est qu'il n'y a pas de problèmes iChat/AIM : michelnicolas
Jacques Foucry <nospam@foucry.net.invalid> wrote:
Plus il y a de ports ouvret, plus il y a des marins qui boivent et qui
pissent.
Justement, à ce propos quelques questions :
Un port fermé (dans le sens "netstat -a |grep LISTEN")
Mais autorisé dans le firewall ...
Quel danger peut-il représenter ?
Et un port ouvert autorisé sans restrictions (plage d'IP ou autre),
a-t-il quelque chose de plus sécurisé que s'il n'a pas de FW ?
Enfin quelles sont les mesures à prendre pour solidifier le firewall ?
Je veux dire, comment interdire le IP spoofing, refuser les packets de
tailles non standard, ...
Pour cette dernière question, je suppose qu'une bonne URL serait
préférable à un long palabre ...
Merci d'avance :)
--
S'il n'y a pas de solutions, c'est qu'il n'y a pas de problèmes
iChat/AIM : michelnicolas
Plus il y a de ports ouvret, plus il y a des marins qui boivent et qui pissent.
Justement, à ce propos quelques questions :
Un port fermé (dans le sens "netstat -a |grep LISTEN") Mais autorisé dans le firewall ... Quel danger peut-il représenter ?
Et un port ouvert autorisé sans restrictions (plage d'IP ou autre), a-t-il quelque chose de plus sécurisé que s'il n'a pas de FW ?
Enfin quelles sont les mesures à prendre pour solidifier le firewall ? Je veux dire, comment interdire le IP spoofing, refuser les packets de tailles non standard, ...
Pour cette dernière question, je suppose qu'une bonne URL serait préférable à un long palabre ...
Merci d'avance :) -- S'il n'y a pas de solutions, c'est qu'il n'y a pas de problèmes iChat/AIM : michelnicolas
patpro ~ Patrick Proniewski
In article <1hhdu5l.hmmgrv1v3ktyeN%, (Nicolas MICHEL) wrote:
Jacques Foucry wrote:
Plus il y a de ports ouvret, plus il y a des marins qui boivent et qui pissent.
Justement, à ce propos quelques questions :
Un port fermé (dans le sens "netstat -a |grep LISTEN") Mais autorisé dans le firewall ... Quel danger peut-il représenter ?
si tu n'a rien de logiciel d'ouvert derriere un port donné, personne ne peut y rentrer.
Et un port ouvert autorisé sans restrictions (plage d'IP ou autre), a-t-il quelque chose de plus sécurisé que s'il n'a pas de FW ?
non
Enfin quelles sont les mesures à prendre pour solidifier le firewall ? Je veux dire, comment interdire le IP spoofing, refuser les packets de tailles non standard, ...
tuer les utilisateurs, ou leur empêcher de sortir n'importe comment. Par exemple, sur un serveur web, je configure le firewall de sorte qu'il interdise à l'utilisateur www de sortir par d'autres port que 80 et 443.
Comme ça, même si un neuneu fait du php comme un cochon et qu'un hacker parvient à poster sur le serveur un script ou un programme et qu'il arrive a le lancer, le programme est incapable de se connecter à l'extérieur (et donc il ne peut pas poster du spam, hacker d'autres machine, servir de bounce...)
Pour cette dernière question, je suppose qu'une bonne URL serait préférable à un long palabre ...
trop tard.
patpro
-- http://www.patpro.net/
In article <1hhdu5l.hmmgrv1v3ktyeN%Nicolas.MICHEL@BonBon.net>,
Nicolas.MICHEL@BonBon.net (Nicolas MICHEL) wrote:
Jacques Foucry <nospam@foucry.net.invalid> wrote:
Plus il y a de ports ouvret, plus il y a des marins qui boivent et qui
pissent.
Justement, à ce propos quelques questions :
Un port fermé (dans le sens "netstat -a |grep LISTEN")
Mais autorisé dans le firewall ...
Quel danger peut-il représenter ?
si tu n'a rien de logiciel d'ouvert derriere un port donné, personne ne
peut y rentrer.
Et un port ouvert autorisé sans restrictions (plage d'IP ou autre),
a-t-il quelque chose de plus sécurisé que s'il n'a pas de FW ?
non
Enfin quelles sont les mesures à prendre pour solidifier le firewall ?
Je veux dire, comment interdire le IP spoofing, refuser les packets de
tailles non standard, ...
tuer les utilisateurs, ou leur empêcher de sortir n'importe comment.
Par exemple, sur un serveur web, je configure le firewall de sorte qu'il
interdise à l'utilisateur www de sortir par d'autres port que 80 et 443.
Comme ça, même si un neuneu fait du php comme un cochon et qu'un hacker
parvient à poster sur le serveur un script ou un programme et qu'il
arrive a le lancer, le programme est incapable de se connecter à
l'extérieur (et donc il ne peut pas poster du spam, hacker d'autres
machine, servir de bounce...)
Pour cette dernière question, je suppose qu'une bonne URL serait
préférable à un long palabre ...
In article <1hhdu5l.hmmgrv1v3ktyeN%, (Nicolas MICHEL) wrote:
Jacques Foucry wrote:
Plus il y a de ports ouvret, plus il y a des marins qui boivent et qui pissent.
Justement, à ce propos quelques questions :
Un port fermé (dans le sens "netstat -a |grep LISTEN") Mais autorisé dans le firewall ... Quel danger peut-il représenter ?
si tu n'a rien de logiciel d'ouvert derriere un port donné, personne ne peut y rentrer.
Et un port ouvert autorisé sans restrictions (plage d'IP ou autre), a-t-il quelque chose de plus sécurisé que s'il n'a pas de FW ?
non
Enfin quelles sont les mesures à prendre pour solidifier le firewall ? Je veux dire, comment interdire le IP spoofing, refuser les packets de tailles non standard, ...
tuer les utilisateurs, ou leur empêcher de sortir n'importe comment. Par exemple, sur un serveur web, je configure le firewall de sorte qu'il interdise à l'utilisateur www de sortir par d'autres port que 80 et 443.
Comme ça, même si un neuneu fait du php comme un cochon et qu'un hacker parvient à poster sur le serveur un script ou un programme et qu'il arrive a le lancer, le programme est incapable de se connecter à l'extérieur (et donc il ne peut pas poster du spam, hacker d'autres machine, servir de bounce...)
Pour cette dernière question, je suppose qu'une bonne URL serait préférable à un long palabre ...
trop tard.
patpro
-- http://www.patpro.net/
Fjordur
"[ STRIKERSTANTZ ]" wrote in message news:44946204$0$1034$
"Earth is 98% full ... please delete anyone you can." Excellente, ta signature!!
-- Fjordur
"[ STRIKERSTANTZ ]" <dont@spam.me> wrote in message
news:44946204$0$1034$ba4acef3@news.orange.fr...
"Earth is 98% full ... please delete anyone you can."
Excellente, ta signature!!
"[ STRIKERSTANTZ ]" wrote in message news:44946204$0$1034$
"Earth is 98% full ... please delete anyone you can." Excellente, ta signature!!
-- Fjordur
filh
patpro ~ Patrick Proniewski wrote:
In article <1hhdu5l.hmmgrv1v3ktyeN%, (Nicolas MICHEL) wrote:
Et un port ouvert autorisé sans restrictions (plage d'IP ou autre), a-t-il quelque chose de plus sécurisé que s'il n'a pas de FW ?
non
Par contre on peut faire du log ce qui peut-être intéressant. Après faut voir ce qu'on veut comme log, car les démons font souvent du log aussi.
Enfin quelles sont les mesures à prendre pour solidifier le firewall ? Je veux dire, comment interdire le IP spoofing, refuser les packets de tailles non standard, ...
tuer les utilisateurs, ou leur empêcher de sortir n'importe comment. Par exemple, sur un serveur web, je configure le firewall de sorte qu'il interdise à l'utilisateur www de sortir par d'autres port que 80 et 443.
Comme ça, même si un neuneu fait du php comme un cochon et qu'un hacker parvient à poster sur le serveur un script ou un programme et qu'il arrive a le lancer, le programme est incapable de se connecter à l'extérieur (et donc il ne peut pas poster du spam, hacker d'autres machine, servir de bounce...)
Heu... et comment ils postent les scripts php ? Mais c'est presque une idée.. :)
FiLH
-- Le fondement du constat bourgeois, c'est le bon sens, c'est-à-dire une vérité qui s'arrête sur l'ordre arbitraire de celui qui la parle. Roland Barthes. http://www.filh.org
patpro ~ Patrick Proniewski <patpro@boleskine.patpro.net> wrote:
In article <1hhdu5l.hmmgrv1v3ktyeN%Nicolas.MICHEL@BonBon.net>,
Nicolas.MICHEL@BonBon.net (Nicolas MICHEL) wrote:
Et un port ouvert autorisé sans restrictions (plage d'IP ou autre),
a-t-il quelque chose de plus sécurisé que s'il n'a pas de FW ?
non
Par contre on peut faire du log ce qui peut-être intéressant.
Après faut voir ce qu'on veut comme log, car les démons font souvent du
log aussi.
Enfin quelles sont les mesures à prendre pour solidifier le firewall ?
Je veux dire, comment interdire le IP spoofing, refuser les packets de
tailles non standard, ...
tuer les utilisateurs, ou leur empêcher de sortir n'importe comment.
Par exemple, sur un serveur web, je configure le firewall de sorte qu'il
interdise à l'utilisateur www de sortir par d'autres port que 80 et 443.
Comme ça, même si un neuneu fait du php comme un cochon et qu'un hacker
parvient à poster sur le serveur un script ou un programme et qu'il
arrive a le lancer, le programme est incapable de se connecter à
l'extérieur (et donc il ne peut pas poster du spam, hacker d'autres
machine, servir de bounce...)
Heu... et comment ils postent les scripts php ? Mais c'est presque une
idée.. :)
FiLH
--
Le fondement du constat bourgeois, c'est le bon sens, c'est-à-dire
une vérité qui s'arrête sur l'ordre arbitraire de celui qui la parle.
Roland Barthes.
http://www.filh.org
In article <1hhdu5l.hmmgrv1v3ktyeN%, (Nicolas MICHEL) wrote:
Et un port ouvert autorisé sans restrictions (plage d'IP ou autre), a-t-il quelque chose de plus sécurisé que s'il n'a pas de FW ?
non
Par contre on peut faire du log ce qui peut-être intéressant. Après faut voir ce qu'on veut comme log, car les démons font souvent du log aussi.
Enfin quelles sont les mesures à prendre pour solidifier le firewall ? Je veux dire, comment interdire le IP spoofing, refuser les packets de tailles non standard, ...
tuer les utilisateurs, ou leur empêcher de sortir n'importe comment. Par exemple, sur un serveur web, je configure le firewall de sorte qu'il interdise à l'utilisateur www de sortir par d'autres port que 80 et 443.
Comme ça, même si un neuneu fait du php comme un cochon et qu'un hacker parvient à poster sur le serveur un script ou un programme et qu'il arrive a le lancer, le programme est incapable de se connecter à l'extérieur (et donc il ne peut pas poster du spam, hacker d'autres machine, servir de bounce...)
Heu... et comment ils postent les scripts php ? Mais c'est presque une idée.. :)
FiLH
-- Le fondement du constat bourgeois, c'est le bon sens, c'est-à-dire une vérité qui s'arrête sur l'ordre arbitraire de celui qui la parle. Roland Barthes. http://www.filh.org
Nicolas.MICHEL
patpro ~ Patrick Proniewski wrote:
In article <1hhdu5l.hmmgrv1v3ktyeN%, (Nicolas MICHEL) wrote:
Un port fermé (dans le sens "netstat -a |grep LISTEN") Mais autorisé dans le firewall ... Quel danger peut-il représenter ?
si tu n'a rien de logiciel d'ouvert derriere un port donné, personne ne peut y rentrer.
Et un port ouvert autorisé sans restrictions (plage d'IP ou autre), a-t-il quelque chose de plus sécurisé que s'il n'a pas de FW ?
non
Donc on est bien d'accord. Un FW ne sert à protéger ni ce qui est ouvert, ni ce qui est fermé, mais ce qui est "ouvert mais" ou ce qui est "fermé mais" :)
Enfin quelles sont les mesures à prendre pour solidifier le firewall ? Je veux dire, comment interdire le IP spoofing, refuser les packets de tailles non standard, ...
tuer les utilisateurs, ou leur empêcher de sortir n'importe comment. Par exemple, sur un serveur web, je configure le firewall de sorte qu'il interdise à l'utilisateur www de sortir par d'autres port que 80 et 443.
Comme ça, même si un neuneu fait du php comme un cochon et qu'un hacker parvient à poster sur le serveur un script ou un programme et qu'il arrive a le lancer, le programme est incapable de se connecter à l'extérieur (et donc il ne peut pas poster du spam, hacker d'autres machine, servir de bounce...)
La faille php en question pourrait aussi faire autre chose que d'ouvrir un backdor. Mais c'est une bonne raison quand-même. Bloquer les ports inutilisés permet d'éviter un usage à l'inssu de ton plein gré.
Sauf que ça ne réponds pas à ma question, en fait. Ce que je demandais c'est quelles sont les règles à mettre en plus.
Par exemple quand un type se présente depuis l'extérieur de ton réseau avec une IP interne (spoofing). Comme on restreint les services interne avec des plages IP, bernique. En fait c'est la seule règle usuelle que je conaisse mais je sais qu'il y en a d'autres, comme s'abonner à une blacklist d'IP, ou bloquer les paquets IP fragmentés. J'ai une assez bonne doc pour IPtables, mais pas pour IPFW. C'est là l'objet de ma question :)
-- S'il n'y a pas de solutions, c'est qu'il n'y a pas de problèmes iChat/AIM : michelnicolas
patpro ~ Patrick Proniewski <patpro@boleskine.patpro.net> wrote:
In article <1hhdu5l.hmmgrv1v3ktyeN%Nicolas.MICHEL@BonBon.net>,
Nicolas.MICHEL@BonBon.net (Nicolas MICHEL) wrote:
Un port fermé (dans le sens "netstat -a |grep LISTEN")
Mais autorisé dans le firewall ...
Quel danger peut-il représenter ?
si tu n'a rien de logiciel d'ouvert derriere un port donné, personne ne
peut y rentrer.
Et un port ouvert autorisé sans restrictions (plage d'IP ou autre),
a-t-il quelque chose de plus sécurisé que s'il n'a pas de FW ?
non
Donc on est bien d'accord. Un FW ne sert à protéger ni ce qui est
ouvert, ni ce qui est fermé, mais ce qui est "ouvert mais" ou ce qui est
"fermé mais" :)
Enfin quelles sont les mesures à prendre pour solidifier le firewall ?
Je veux dire, comment interdire le IP spoofing, refuser les packets de
tailles non standard, ...
tuer les utilisateurs, ou leur empêcher de sortir n'importe comment.
Par exemple, sur un serveur web, je configure le firewall de sorte qu'il
interdise à l'utilisateur www de sortir par d'autres port que 80 et 443.
Comme ça, même si un neuneu fait du php comme un cochon et qu'un hacker
parvient à poster sur le serveur un script ou un programme et qu'il
arrive a le lancer, le programme est incapable de se connecter à
l'extérieur (et donc il ne peut pas poster du spam, hacker d'autres
machine, servir de bounce...)
La faille php en question pourrait aussi faire autre chose que d'ouvrir
un backdor. Mais c'est une bonne raison quand-même. Bloquer les ports
inutilisés permet d'éviter un usage à l'inssu de ton plein gré.
Sauf que ça ne réponds pas à ma question, en fait.
Ce que je demandais c'est quelles sont les règles à mettre en plus.
Par exemple quand un type se présente depuis l'extérieur de ton réseau
avec une IP interne (spoofing). Comme on restreint les services interne
avec des plages IP, bernique. En fait c'est la seule règle usuelle que
je conaisse mais je sais qu'il y en a d'autres, comme s'abonner à une
blacklist d'IP, ou bloquer les paquets IP fragmentés.
J'ai une assez bonne doc pour IPtables, mais pas pour IPFW.
C'est là l'objet de ma question :)
--
S'il n'y a pas de solutions, c'est qu'il n'y a pas de problèmes
iChat/AIM : michelnicolas
In article <1hhdu5l.hmmgrv1v3ktyeN%, (Nicolas MICHEL) wrote:
Un port fermé (dans le sens "netstat -a |grep LISTEN") Mais autorisé dans le firewall ... Quel danger peut-il représenter ?
si tu n'a rien de logiciel d'ouvert derriere un port donné, personne ne peut y rentrer.
Et un port ouvert autorisé sans restrictions (plage d'IP ou autre), a-t-il quelque chose de plus sécurisé que s'il n'a pas de FW ?
non
Donc on est bien d'accord. Un FW ne sert à protéger ni ce qui est ouvert, ni ce qui est fermé, mais ce qui est "ouvert mais" ou ce qui est "fermé mais" :)
Enfin quelles sont les mesures à prendre pour solidifier le firewall ? Je veux dire, comment interdire le IP spoofing, refuser les packets de tailles non standard, ...
tuer les utilisateurs, ou leur empêcher de sortir n'importe comment. Par exemple, sur un serveur web, je configure le firewall de sorte qu'il interdise à l'utilisateur www de sortir par d'autres port que 80 et 443.
Comme ça, même si un neuneu fait du php comme un cochon et qu'un hacker parvient à poster sur le serveur un script ou un programme et qu'il arrive a le lancer, le programme est incapable de se connecter à l'extérieur (et donc il ne peut pas poster du spam, hacker d'autres machine, servir de bounce...)
La faille php en question pourrait aussi faire autre chose que d'ouvrir un backdor. Mais c'est une bonne raison quand-même. Bloquer les ports inutilisés permet d'éviter un usage à l'inssu de ton plein gré.
Sauf que ça ne réponds pas à ma question, en fait. Ce que je demandais c'est quelles sont les règles à mettre en plus.
Par exemple quand un type se présente depuis l'extérieur de ton réseau avec une IP interne (spoofing). Comme on restreint les services interne avec des plages IP, bernique. En fait c'est la seule règle usuelle que je conaisse mais je sais qu'il y en a d'autres, comme s'abonner à une blacklist d'IP, ou bloquer les paquets IP fragmentés. J'ai une assez bonne doc pour IPtables, mais pas pour IPFW. C'est là l'objet de ma question :)
-- S'il n'y a pas de solutions, c'est qu'il n'y a pas de problèmes iChat/AIM : michelnicolas
