Svchost et port 443

Bonsoir !

"NAI ePO", ça vous dit quelquechose comme produit d'administration
centralisée de pare-feux personnels ? Ca macrhe très bien pour des millers

de postes ...

Certes ; mais comme les parefeux "personnels" n'arrêtent pas grand chose, ou
plutôt bloquent plus de logiciels utiles qu'ils ne corrigent de problèmes,
leur intérêt est de toutes façons limité.

Prenons le cas d'une machine dans laquelle un utilisateur a introduit
(in)-volontairement un trojan. Dans un certain nombre de cas, un parefeux
va bloquer les trames sortantes (mais pas toujours). Mais il ne va pas
supprimer le trojan.


Je pense qu'il est nettement préférable de :
1 - détecter le trojan ;
2 - le détruire.

Le problème sera réglé, ce qui n'est pas le cas avec un parefeux. Lorsque
les gens réalisent cela, ils préfèrent généralement une solution qui règle
le problème, et enlèvent les parefeux "personnels", qui donnent l'illusion
d'une sécurité.



Bonne nuit
--
Michel Claveau

Bonsoir !

Et la connexion TCP ? Vous ne travaillez pas avec des sockets ? Vous
avez refait votre propre pile IP ?

Je travaille avec les sockets ; mais je ne maintiens pas les connexions
(pas plus d'une seconde).

Je veux dire par là qu'il est tout à fait conforme au fonctionnement de
TCP d'envoyer des segments de données contenant un octet chacun. C'est de la

fragmentation. Supposons que j'ai un PMTU de 576 octets, mais une requête de
3000 octets à faire passer sur votre serveur, je fais comment puisque cette
requête va se retrouver éclatée sur 6 segments de données ?

Oui, dans ce cas là, il y a un problème. Comme je l'ai dis dans mon message
précédent. Mais la sécurité n'est pas en cause.

Il n'est pas très pêchu votre routeur si 1000 paquets/sec suffisent à
le saturer.

Ce n'est pas un problème de capacité du routeur, mais si les requêtes http
arrivent plus vite que le serveur ne peux les traiter, on va forcément
saturer un buffer. Et comme les requêtes entrantes ont une taille beaucoup
plus petite que les données sortantes, cela peut arriver facilement.

Toutefois, cela est vrai pour beaucoup de serveurs.

la norme IP ne spécifie pas ce qu'un routeur doit faire lorsqu'il est
saturé.

Je suis d'accord ; mais tous les routeurs ne se comportent pas de la même
façon, lorsque ça arrive. En ce sens, c'est aléatoire, car on n'est pas sûr
"a priori" de savoir ce que va faire le routeur.

Le code source est disponible en quelque part ?

On peut télécharger le version précédente ici :
http://ponx.org/download/pws.py


Bonne nuit
--
Michel Claveau

Le Fri, 10 Sep 2004 05:16:58 +0000, Michel Claveau - abstraction
meta-galactique non triviale en fuite perpetuelle. a écrit :

Certes ; mais comme les parefeux "personnels" n'arrêtent pas grand chose, ou

Même s'il existe des moyens de les contourner, si l'utilisateur qui vient
à exécuter le malware n'est pas administrateur, on limite énormément
les flux capables de sortir.

Prenons le cas d'une machine dans laquelle un utilisateur a introduit
(in)-volontairement un trojan. Dans un certain nombre de cas, un parefeux
va bloquer les trames sortantes (mais pas toujours). Mais il ne va pas
supprimer le trojan.

Non, il ne supprimera pas le trojan, mais avec le système
d'auto-apprentissage (le programme blabla demande à sortir) permettra de
le détecter.


--
BOFH excuse #25:

Decreasing electron flux

"Michel" == Michel Claveau <unseulmcmcmcmc@msupprimerlepoint.claveauPOINTcom>

Michel> Désolé, mais les administrateurs "à la Morel" (de Cointe), qui
Michel> bloquent tout, y compris les lecteurs de CD, les claviers et
Michel> les souris, c'est fini. Les entreprises préfèrent que leurs
Michel> utilisateurs puissent utiliser les ordinateurs.

Ah, c'est bizarre, une majorité de mes clients pour qui la sécurité est
une réelle préocuppation font exactement l'inverse, avec même pour
certains le déploiement de terminaux bootant via le réseau histoire
d'éviter que l'utilisateur ne perde du temps à trafiquer une machine
dans le cadre des ses heures de travail supposées.

Michel> Rien à voir : les trames netbios sont parfaitement contrôlables
Michel> par les parefeux matériels.

Bien sûr, vous vous relisez avant de poster ?

Si une machine est infectée et qu'elle sur le lan derrière votre parefeu
matériel (ce qui au passage ne veut strictement rien dire), elle va en
toute quiétude pouvoir tenter d'infecter les autres machines du lan.

Michel> Il saura le faire, mais n'aura pas le temps. La taille moyenne
Michel> de mes clients, c'est cinquante postes. Si un administrateur
Michel> doit passer une heure par semaine sur chaque poste, cela lui
Michel> fera 50 h. par semaine.

Vos clients devraient changer d'admin, il existe des outils de gestion
centralisée, si ces pseudos admin ne les connaissent pas, que font-ils à
ce poste ?

Michel> En pratique, un administrateur ne doit pas dépasser 10mn par
Michel> semaine, par poste utilisateur (et encore, on est dans le borne
Michel> haute du CIGREF).

La seule chose qui puissent justifier le déplacement d'un admin sur une
machine dans le cadre d'un parc géré correctement, c'est une défaillance
matérielle bloquante.

Michel> Son CV est certainement plus honorable que le mien. Ce qui ne
Michel> veut pas dire que le mien soit critiquable, surtout quand on
Michel> n'en sait rien.

Vu les conneries que vous soutenez dans ce thread face à des personnes
dont la sécurité est le métier, je doute que vous ayez une quelconque
compréhension de ce que recouvre la sécurité en général.

Michel> http://cerbermail.com/?6J1TthIa8B

Euh, même principe, un modérateur n'a pas à se fader ce genre de
conneries pour avoir une adresse de notification valide.

Pour ma part si je suis amené à refuser un de vos posts, vous risquez
fort de ne jamais recevoir de notification.

Eric Masson

--
l'anarchie, c'est pt'etre pas genial comme mode de gouvernement,
mais c'est mieux que pas de gouvernement du tout.
-+- Kevin in <http://www.le-gnu.net> -+- Ni Root, ni Maître. -+-

On Fri Sep 10 2004 at 00:23, Michel Claveau - abstraction meta-galactique non triviale en fuite perpetuelle. wrote:

NON, j'ai dit qu'un un logiciel qui écoute un port n'est pas ce qui
caractéristique un port ouvert

Si vous souhaitez communiquer avec d'autres êtres humains, je suggère
que vous employiez le même langage qu'eux.
Maintenant, si vous désirez rester une "abstraction méta galactique",
libre à vous, mais on ne va pas monter un Claveau@Home pour tenter de
décrypter vos signaux. Je vais d'ailleurs couper la réception après
cette ultime réponse à vos délires.

Cela veut dire que la définition d'un port ouvert ne se résume pas au fait
qu'un logiciel écoute ce port. Il ne faut pas me faire dire ce que je n'ai
pas dit.

Éh bien ! moi qui suis têtu comme une mule, je dis que si un port est
ouvert, c'est qu'un logiciel est à l'écoute.
Ce logiciel pouvant éventuellement être le noyau, dans des cas limites
abomiffreux comme le "kernel httpd".

--
arboi@alussinan.org http://arboi.da.ru
FAQNOPI de fr.comp.securite http://faqnopi.da.ru/
NASL2 reference manual http://michel.arboi.free.fr/nasl2ref/

Bonsoir !

parefeu matériel (ce qui au passage ne veut strictement rien dire)

de façon absolue, c'est exact. Il vaudrait mieux parler de parefeux
"firmware". Mais il est devenue courant de nommer ainsi les parefeux dédiés,
fournis comme des "boîtes".

Si une machine est infectée et qu'elle sur le lan derrière votre parefeu
matériel, elle va en toute quiétude pouvoir tenter d'infecter les autres

machines du lan.

Si une machine du LAN est infectée, c'est aussi que le parefeux n'a pas
rempli sa fonction. Et, dans ce cas, d'autres machines pourront subir les
même attaques. Il faut également que la machine présente une faille
réellement exploitable. Si netbios est correctement utilisé, et s'il est
correctement configuré, notamment en utilisant des mots de passe, et en
désactivant les partages par défaut, la faille du même nom sera déjà bien
comblée.

La seule chose qui puissent justifier le déplacement d'un admin...

Attention à ne pas confondre temps passé et déplacement. La télémaintenance
et la téléadministration prennent autant de temps.

Vu les conneries que vous... je doute que vous ayez une quelconque
compréhension...

Les propos injurieux ont ceci d'intéressant, qu'il évitent de réfléchir.

Pour ma part si je suis amené à refuser un de vos posts, vous risquez
fort de ne jamais recevoir de notification.

J'ai l'habitude que l'on (vous ?) bloque mes messages, dès qu'ils expriment
une opinion différente ; certains ne peuvent pas tolérer que des opinions
différentes des leurs circulent...

Mais, plutôt que d'envoyer des notifications à la personne dont on bloque
les messages, il serait préférable de prévenir les lecteurs des newsgroups
que des messages ont été bloqués, parce que l'opinion exprimée n'a pas été
jugée correcte.

Eric Masson

Michel Claveau

"Michel" == Michel Claveau <unseulmcmcmcmc@msupprimerlepoint.claveauPOINTcom> writes:

Michel> de façon absolue, c'est exact. Il vaudrait mieux parler de
Michel> parefeux "firmware".

Qu'est-ce qu'un firmware, si ce n'est un soft sur support
réinscriptible.

Michel> Mais il est devenue courant de nommer ainsi les parefeux
Michel> dédiés, fournis comme des "boîtes".

Ce n'est pas parce qu'il est courant de proférer des conneries ou des
approximations qu'il est nécessaire de tomber dans les mêmes travers.

Michel> Si une machine du LAN est infectée, c'est aussi que le parefeux
Michel> n'a pas rempli sa fonction.

Un fw n'est en aucun cas obligé de pratiquer un quelconque filtrage
applicatif.

Pour ce faire on utilise des proxies configurés de manière adéquate.

Que certains vendeurs mixent les deux fonctionnalités est un autre
problème.

Michel> Et, dans ce cas, d'autres machines pourront subir les même
Michel> attaques.

Prenons un de vos pcs sans firewall personnel, un portable par exemple,
qu'un utilisateur d'un de vos clients peut ramener chez lui le soir.

Vu que la configuration n'est pas bloquée, il va pouvoir installer
n'importe quoi dessus, se connecter au net sur lequel il va pouvoir
ramasser n'importe quel ver à la mode.

Expliquez moi comment votre fw et vos proxies vont l'empécher de
contaminer le reste des hôtes du lan lors de sa reconnexion à
l'entreprise...

Michel> Il faut également que la machine présente une faille réellement
Michel> exploitable. Si netbios est correctement utilisé, et s'il est
Michel> correctement configuré, notamment en utilisant des mots de
Michel> passe, et en désactivant les partages par défaut, la faille du
Michel> même nom sera déjà bien comblée.

Bien sûr, un petit exemple qui commence à dater :
http://www.microsoft.com/technet/security/bulletin/MS03-039.asp
La seule protection valable était un patch du système.

Michel> J'ai l'habitude que l'on (vous ?) bloque mes messages, dès
Michel> qu'ils expriment une opinion différente ; certains ne peuvent
Michel> pas tolérer que des opinions différentes des leurs circulent...

Jouez les calimeros maintenant, vous êtes un grand comique, savez-vous ?

La modération se fait sur des critères objectifs, vos messages me
gonflent, mais je les laisse passer parce qu'ils sont en charte, au
pire, si vous me gonflez au delà des limites que je suis prêt à
accepter, je releaserai vos posts dans le spool de modération et
laisserai à d'autres le soin de modérer vos messages.

Alors maintenant, plutôt que de crier à la SSanSSure, qui n'existe que
dans votre tête, utilisez un reply-to valide.

Eric Masson

--
Comment peut-on créer un forum ? Je ne vois aucune option de
création que ce soit dans Outlook express ou netscape...
Si vous pouvez me répondre par Mail, merci d'avance.
-+- DP in Guide du neuneu Usenet - Juste fais le -+-

"Michel" == Michel Claveau <unseulmcmcmcmc@msupprimerlepoint.claveauPOINTcom> writes:

Michel> de façon absolue, c'est exact. Il vaudrait mieux parler de
Michel> parefeux "firmware".

Qu'est-ce qu'un firmware, si ce n'est un soft sur support
réinscriptible.

Michel> Mais il est devenue courant de nommer ainsi les parefeux
Michel> dédiés, fournis comme des "boîtes".

Ce n'est pas parce qu'il est courant de proférer des conneries ou des
approximations qu'il est nécessaire de tomber dans les mêmes travers.

Michel> Si une machine du LAN est infectée, c'est aussi que le parefeux
Michel> n'a pas rempli sa fonction.

Un fw n'est en aucun cas obligé de pratiquer un quelconque filtrage
applicatif.

Pour ce faire on utilise des proxies configurés de manière adéquate.

Que certains vendeurs mixent les deux fonctionnalités est un autre
problème.

Michel> Et, dans ce cas, d'autres machines pourront subir les même
Michel> attaques.

Prenons un de vos pcs sans firewall personnel, un portable par exemple,
qu'un utilisateur d'un de vos clients peut ramener chez lui le soir.

Vu que la configuration n'est pas bloquée, il va pouvoir installer
n'importe quoi dessus, se connecter au net sur lequel il va pouvoir
ramasser n'importe quel ver à la mode.

Expliquez moi comment votre fw et vos proxies vont l'empécher de
contaminer le reste des hôtes du lan lors de sa reconnexion à
l'entreprise...

Michel> Il faut également que la machine présente une faille réellement
Michel> exploitable. Si netbios est correctement utilisé, et s'il est
Michel> correctement configuré, notamment en utilisant des mots de
Michel> passe, et en désactivant les partages par défaut, la faille du
Michel> même nom sera déjà bien comblée.

Bien sûr, un petit exemple qui commence à dater :
http://www.microsoft.com/technet/security/bulletin/MS03-039.asp
La seule protection valable était un patch du système.

Michel> J'ai l'habitude que l'on (vous ?) bloque mes messages, dès
Michel> qu'ils expriment une opinion différente ; certains ne peuvent
Michel> pas tolérer que des opinions différentes des leurs circulent...

Jouez les calimeros maintenant, vous êtes un grand comique, savez-vous ?

La modération se fait sur des critères objectifs, vos messages me
gonflent, mais je les laisse passer parce qu'ils sont en charte, au
pire, si vous me gonflez au delà des limites que je suis prêt à
accepter, je releaserai vos posts dans le spool de modération et
laisserai à d'autres le soin de modérer vos messages.

Alors maintenant, plutôt que de crier à la SSanSSure, qui n'existe que
dans votre tête, utilisez un reply-to valide.

Eric Masson

--
GS> (parlant cinéma) si cela avait été , au hasard, Robert Emery,
GS> ça n'aurait pas le même poids.
Il a fait des toiles, emery ?
-+- rmd in GNU - Le cal en bourre en bouche un coin de toile -+-

"Michel Claveau - abstraction meta-galactique non triviale en fuite
perpetuelle." <unseulmcmcmcmc@msupprimerlepoint.claveauPOINTcom> wrote
in news:chsron$80d$1@news-reader4.wanadoo.fr:

de façon absolue, c'est exact. Il vaudrait mieux parler de parefeux
"firmware". Mais il est devenue courant de nommer ainsi les parefeux
dédiés, fournis comme des "boîtes".

non, on parlera plutot "d'appliance"

Si une machine du LAN est infectée, c'est aussi que le parefeux n'a
pas rempli sa fonction. Et, dans ce cas, d'autres machines pourront
subir les même attaques. Il faut également que la machine présente une
faille réellement exploitable. Si netbios est correctement utilisé, et
s'il est correctement configuré, notamment en utilisant des mots de
passe, et en désactivant les partages par défaut, la faille du même
nom sera déjà bien comblée.

un pare-feu sert à isoler. Le fait qu'une faille netbios puisse pénétrer

sur un LAN par un moyen détourné (mail rigolo infecté, portable vérolé à
la maison, puis relié au LAN de l'entreprise, etc.) ne remet pas en cause
la config du firewall en lui-meme, pourtant le reste du LAN sera en
danger...

Attention à ne pas confondre temps passé et déplacement. La
télémaintenance et la téléadministration prennent autant de temps.

non. l'investissement est supérieur au départ, mais largement compensé

par la suite !

Les propos injurieux ont ceci d'intéressant, qu'il évitent de
réfléchir.

a force de parler à un mur...

J'ai l'habitude que l'on (vous ?) bloque mes messages, dès qu'ils
expriment une opinion différente ; certains ne peuvent pas tolérer que
des opinions différentes des leurs circulent...

Mais, plutôt que d'envoyer des notifications à la personne dont on
bloque les messages, il serait préférable de prévenir les lecteurs des
newsgroups que des messages ont été bloqués, parce que l'opinion
exprimée n'a pas été jugée correcte.

Interessant ! Vous venez de réinventer la charte d'utilisation des forums

modérés !
Je vous suggère de vite aller la proposer sur fufe :))

--
Rico

Bonsoir !

Attention à ne pas confondre temps passé et déplacement. La
télémaintenance et la téléadministration prennent autant de temps.

non. l'investissement est supérieur au départ, mais largement compensé par
la suite !

Et non ! Par exemple, changer un paramètre régional dans le panneau de
configuration prend le même temps, que l'on soit sur place, ou en
télémaintenance. Comme vérifier l'installation des polices de la charte de
l'entreprise, et comme la plupart des tâches d'administration.


Les seules différences sont : le déplacement lui-même, et la vitesse de
transmission et du logiciel de télé-administration.


@-salutations
--
Michel Claveau