Utilité du Filtre sortant

Le
Tibo
Bonjour.

Finalement, il n'y a pas besoin de filtre de flux sortants (dans le cas d'un
firewall personnel) pour une machine sur laquelle il n'y pas d'utilisateur
(mais seulement un logiciel propriétaire de QoS).

Non ?

Si on est sûr qu'au moment où on activé un filtre de flux entrants, la
machine n'est pas infectée par des troyens, et qu'en plus il n'y a aucun
client exécuté dessus (IE, Outlook, P2P, etc.), il n'y a pas de souci.

Non ?

:-)

Merci d'avance pour vos confirmations rassurantes ;-)

(J'envoie ici car c'est la misere sur fr.comp.securite, 1/2 journée avant de
voir apparaître son post)
Vos réponses Page 1 / 2
Trier par : date / pertinence
T0t0
Le #579285
"Tibo" news:RU3Sc.11117$
Finalement, il n'y a pas besoin de filtre de flux sortants (dans le cas d'un
firewall personnel) pour une machine sur laquelle il n'y pas d'utilisateur
(mais seulement un logiciel propriétaire de QoS).

Non ?

Si on est sûr qu'au moment où on activé un filtre de flux entrants, la
machine n'est pas infectée par des troyens, et qu'en plus il n'y a aucun
client exécuté dessus (IE, Outlook, P2P, etc.), il n'y a pas de souci.

Non ?


Je dirais oui aussi. Mais ca se discute.
Pour ma part, je ne filtre que le rentrant (mais j'aime vivre
dangereusement :-) )

(J'envoie ici car c'est la misere sur fr.comp.securite, 1/2 journée avant de
voir apparaître son post...)


C'est la dure loi du mois d'aout...




--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG

memyself_
Le #584014
Bonjour,

Tibo wrote:
Bonjour.

Finalement, il n'y a pas besoin de filtre de flux sortants (dans le cas d'un
firewall personnel) pour une machine sur laquelle il n'y pas d'utilisateur
(mais seulement un logiciel propriétaire de QoS).

Non ?

Si on est sûr qu'au moment où on activé un filtre de flux entrants, la
machine n'est pas infectée par des troyens, et qu'en plus il n'y a aucun
client exécuté dessus (IE, Outlook, P2P, etc.), il n'y a pas de souci.

Non ?
Si, le soucis, c'est que tu ne sais pas comment le cheval de Troie va

entrer. Si ça exploite une faille de sécurité, ça passera le pare-feux.
C'est donc plus prudent de filtrer aussi en sortie.

++

Tibo
Le #583762
"memyself_" news:cfi6ub$b60$
Bonjour,

Tibo wrote:

Si, le soucis, c'est que tu ne sais pas comment le cheval de Troie va
entrer. Si ça exploite une faille de sécurité, ça passera le pare-feux.
C'est donc plus prudent de filtrer aussi en sortie.


Comment un troyen peut exploiter une faille de sécurité si tous tes ports
sont invisibles (stealthed) ? Le firewall ne répond même pas aux paquets
entrants sur ce port.

Si le parefeux contrôle tout ce qui entre, il bétonne complètement le
contrôle des flux entrants, il n'y a pas de soucis, à moins que lu-même ait
des failles de sécurité (ce qui serait le comble).

Maintenant, si on laisse certains ports ouverts, avec des serveurs derrière
qui ont des failles, effectivement ça peut poser pb.
Et pareil si on ferme des ports, et qu'on les laisse dans cet état (fermé),
un troyen peut exploiter une faille de sécurité de la pile IP, car ds le cas
d'un port fermé, il y a qd même une communication entre le port fermé et
l'extérieur.

En même temps, pour des ports stealthed, y pas besoin de réponse au troyen,
il suffit qu'il envoie un paquet bien foireux à l'aveuglette, et ça peut
marcher. Mais qd même, un firewall sensible à des failles de sécurité, ça me
désolerait...

Non ?

Perso, je laisse un port TCP et un UDP ouvert

Annie D.
Le #583761
Tibo wrote:

Si, le soucis, c'est que tu ne sais pas comment le cheval de Troie va
entrer. Si ça exploite une faille de sécurité, ça passera le pare-feux.
C'est donc plus prudent de filtrer aussi en sortie.


Comment un troyen peut exploiter une faille de sécurité si tous tes ports
sont invisibles (stealthed) ? Le firewall ne répond même pas aux paquets
entrants sur ce port.


En passant par le niveau supérieur, c'est-à-dire dans les flux établis à
l'initiative du poste et autorisés par le firewall.

Vous n'avez jamais entendu parler des vers qui se propagent par le web
ou par courrier électronique en exploitant des failles du navigateur ou
du logiciel de messagerie ?


Tibo
Le #583760
"Annie D." news:
Tibo wrote:

Si, le soucis, c'est que tu ne sais pas comment le cheval de Troie va
entrer. Si ça exploite une faille de sécurité, ça passera le
pare-feux.



C'est donc plus prudent de filtrer aussi en sortie.


Comment un troyen peut exploiter une faille de sécurité si tous tes
ports


sont invisibles (stealthed) ? Le firewall ne répond même pas aux paquets
entrants sur ce port.


En passant par le niveau supérieur, c'est-à-dire dans les flux établis à
l'initiative du poste et autorisés par le firewall.


Vous parlez des flux retours à des connexions sortantes initiées par des
clients. Mais il n'y a pas de client sur la machine en question (voir
après). Les niveaux dont vous parlez, c'est le niveau applicatif couche 5 à
7 du modèle OSI), c'est-à-dire en gros les clients IP, ce dont on parle
juste après.

Vous n'avez jamais entendu parler des vers qui se propagent par le web
ou par courrier électronique en exploitant des failles du navigateur ou
du logiciel de messagerie ?


Si si. Mais mon premier post situait le contexte :

"Si on est sûr qu'au moment où on activé un filtre de flux entrants, la
machine n'est pas infectée par des troyens, et qu'en plus il n'y a aucun
client exécuté dessus (IE, Outlook, P2P, etc.), il n'y a pas de souci."

Je ne remets pas en cause la nécessité d'un filtrant sortant dans le cas
d'un utilisateur utilisant la machine, avec des clients sujets à des failles
de sécurité genre Outlook, IE, etc.

Mais dans mon cas, il s'agit d'une machine n'exécutant aucun client, mais
seulement un serveur propriétaire pour lequel 1 port serait ouvert (donc
difficilement exploitable pour les pirates, mais de toutes façon une filtre
de flux sortant n'y changerait rien, vu que c'est un serveur et que le port
serait de toute façon ouvert).



memyself_
Le #583289
Tibo wrote:
"Annie D." news:

Tibo wrote:

Si, le soucis, c'est que tu ne sais pas comment le cheval de Troie va
entrer. Si ça exploite une faille de sécurité, ça passera le




pare-feux.

C'est donc plus prudent de filtrer aussi en sortie.


Comment un troyen peut exploiter une faille de sécurité si tous tes



ports

sont invisibles (stealthed) ? Le firewall ne répond même pas aux paquets
entrants sur ce port.


En passant par le niveau supérieur, c'est-à-dire dans les flux établis à
l'initiative du poste et autorisés par le firewall.



Vous parlez des flux retours à des connexions sortantes initiées par des
clients. Mais il n'y a pas de client sur la machine en question (voir
après). Les niveaux dont vous parlez, c'est le niveau applicatif couche 5 à
7 du modèle OSI), c'est-à-dire en gros les clients IP, ce dont on parle
juste après.


Vous n'avez jamais entendu parler des vers qui se propagent par le web
ou par courrier électronique en exploitant des failles du navigateur ou
du logiciel de messagerie ?



Si si. Mais mon premier post situait le contexte :

"Si on est sûr qu'au moment où on activé un filtre de flux entrants, la
machine n'est pas infectée par des troyens, et qu'en plus il n'y a aucun
client exécuté dessus (IE, Outlook, P2P, etc.), il n'y a pas de souci."

Je ne remets pas en cause la nécessité d'un filtrant sortant dans le cas
d'un utilisateur utilisant la machine, avec des clients sujets à des failles
de sécurité genre Outlook, IE, etc.

Mais dans mon cas, il s'agit d'une machine n'exécutant aucun client, mais
seulement un serveur propriétaire pour lequel 1 port serait ouvert (donc
difficilement exploitable pour les pirates, mais de toutes façon une filtre
de flux sortant n'y changerait rien, vu que c'est un serveur et que le port
serait de toute façon ouvert).



Celà suppose que le service de QoS n'a aucune faille potentielle. Il est
vrai cependant que si c'est le seul service proposé par ton serveur, le
risque est très minime de toutes façon.

++




tibo
Le #583032
"memyself_" news:cflll0$t24$

Celà suppose que le service de QoS n'a aucune faille potentielle. Il est
vrai cependant que si c'est le seul service proposé par ton serveur, le
risque est très minime de toutes façon.

++


Effectivement.

De plus, c'est un soft propriétaire, pas très répandu, et la machine sur
laquelle il tourne n'a rien de stratégique, donc je vois pas pour quelles
raisons un hacker s'acharnerait à casser un serveur qu'il ne connait pas,
pour, au mieux, prendre la main sur une machine completement vide (même les
rapports de QoS sont stockés sur un serveur distant).

Fabien LE LEZ
Le #583031
On Sun, 15 Aug 2004 16:34:18 +0200, "tibo"

donc je vois pas pour quelles
raisons un hacker s'acharnerait à casser un serveur qu'il ne connait pas,


Un casseur, qu'il casse des vitrines ou des machines, fait ça pour le
plaisir d'emmerder le monde. Certes, quelques-uns font ça pour y
gagner un profit quelconque, mais c'est loin d'être la majorité.

(même les
rapports de QoS sont stockés sur un serveur distant).


Ah ah !
Si je comprends bien, la machine dont tu parles a un accès en écriture
sur un serveur distant. Ça me paraît suffisant pour vouloir en
compromettre la sécurité, et ainsi tenter d'accéder au serveur
distant, non ?


--
;-)

Tibo
Le #583028
"Fabien LE LEZ" news:
On Sun, 15 Aug 2004 16:34:18 +0200, "tibo"

donc je vois pas pour quelles
raisons un hacker s'acharnerait à casser un serveur qu'il ne connait pas,


Un casseur, qu'il casse des vitrines ou des machines, fait ça pour le
plaisir d'emmerder le monde. Certes, quelques-uns font ça pour y
gagner un profit quelconque, mais c'est loin d'être la majorité.

(même les
rapports de QoS sont stockés sur un serveur distant).


Ah ah !
Si je comprends bien, la machine dont tu parles a un accès en écriture
sur un serveur distant. Ça me paraît suffisant pour vouloir en
compromettre la sécurité, et ainsi tenter d'accéder au serveur
distant, non ?


:-D

En fait, la machine centrale, collectant les données, se connecte en tant
que client aux machines dont on parle.

Et ce serveur central est protégé par un firewall, je crois même qu'il est
NATé. Cependant, le pirate est pas censé le savoir, ça l'empêchera pas
d'essayer de hacker les machines.

En revanche, comment le méchant pirate saura-t-il que la machine en
question, perdue parmi les millions d'accès ADSL de Free, Wanadoo, AOL, etc.
est un PC faisant de la collecte d'infos de QoS ?

Soit c'est un script-kiddy qui veut faire le bouffon, et dans ce cas il
passera son chemin (trop dur à casser), soit c'est un gentil hacker qui
s'essayera à casser le système par défi et dans ce cas tant mieux.

Troisème option : un pirate vraiment compétent qui fait ça pour les raisons
qu'il veut, il arrive à casser et met le bazar.

Mais la probabilité est pas énorme quand-même. Pis de toutes façons, même
avec un filtre sortant (et même, je me demande bien comment il ferait pour
mettre un troyen sur ma bécane), s'il est bon, il arrivera à hacker.

Mais j'en viens qd même tjrs à la même conclusion : si j'ai aucun client IP
(IE, Outlook) sur mon PC, si personne n'exécute de programme infecté pompé
sur emule ou kazaa (en gros s'il y a aucune activité utilisateur sur le PC)
et si en plus, au moment où j'active le filtre entrant, je suis sûr qu'il
n'y a aucun troyen, alors je n'ai pas besoin de filtre sortant.


memyself_
Le #583027
Tibo wrote:
"Fabien LE LEZ" news:

On Sun, 15 Aug 2004 16:34:18 +0200, "tibo"


donc je vois pas pour quelles
raisons un hacker s'acharnerait à casser un serveur qu'il ne connait pas,


Un casseur, qu'il casse des vitrines ou des machines, fait ça pour le
plaisir d'emmerder le monde. Certes, quelques-uns font ça pour y
gagner un profit quelconque, mais c'est loin d'être la majorité.


(même les
rapports de QoS sont stockés sur un serveur distant).


Ah ah !
Si je comprends bien, la machine dont tu parles a un accès en écriture
sur un serveur distant. Ça me paraît suffisant pour vouloir en
compromettre la sécurité, et ainsi tenter d'accéder au serveur
distant, non ?



:-D

En fait, la machine centrale, collectant les données, se connecte en tant
que client aux machines dont on parle.

Et ce serveur central est protégé par un firewall, je crois même qu'il est
NATé. Cependant, le pirate est pas censé le savoir, ça l'empêchera pas
d'essayer de hacker les machines.

En revanche, comment le méchant pirate saura-t-il que la machine en
question, perdue parmi les millions d'accès ADSL de Free, Wanadoo, AOL, etc.
est un PC faisant de la collecte d'infos de QoS ?


Les trois quarts du temps il ne sait même pas que tu existes. La quasi
totalité de ce que j'ai de louche dans mes logs corespond à des attaques
faites au hasard par des bots lancés par des scripts kiddies sur le net.


Soit c'est un script-kiddy qui veut faire le bouffon, et dans ce cas il
passera son chemin (trop dur à casser), soit c'est un gentil hacker qui
s'essayera à casser le système par défi et dans ce cas tant mieux.


Voir au dessus

Troisème option : un pirate vraiment compétent qui fait ça pour les raisons
qu'il veut, il arrive à casser et met le bazar.

Mais la probabilité est pas énorme quand-même. Pis de toutes façons, même
avec un filtre sortant (et même, je me demande bien comment il ferait pour
mettre un troyen sur ma bécane), s'il est bon, il arrivera à hacker.

Mais j'en viens qd même tjrs à la même conclusion : si j'ai aucun client IP
(IE, Outlook) sur mon PC, si personne n'exécute de programme infecté pompé
sur emule ou kazaa (en gros s'il y a aucune activité utilisateur sur le PC)
et si en plus, au moment où j'active le filtre entrant, je suis sûr qu'il
n'y a aucun troyen, alors je n'ai pas besoin de filtre sortant.

Tu n'avais pas besoin de poser la question si tu avais déjà acquis la

certitude
de ta réponse.

++



Publicité
Poster une réponse
Anonyme