Que vaut le firewall de XP SP2?

Philippe Gueguen devait dire quelque chose comme ceci :<br />
<br />
<blockquote class="block0"><br />
[...] Kerio (probl&egrave;me d'affichage de certains sites depuis quelques temps)<br />
<br />
</blockquote><br />
Qu'est-ce qui te fait dire que c'est d&ucirc; &agrave; KPF ? Si tu n'as pas touch&eacute;<br />
&agrave; sa configuration, il n'y a aucune raison pour que des probl&egrave;mes<br />
surviennent apr&egrave;s coup, et si tu as touch&eacute; &agrave; la configuration le<br />
probl&egrave;me vient plus s&ucirc;rement de l&agrave; que de KPF en lui-m&ecirc;me.<br />
<br />
<br />
<blockquote class="block0"><br />
J'ai cru comprendre que le scan du flux internet sortant (qui n'est pas<br />
pr&eacute;sent avec le firewal XP) n'&eacute;tait pas indispensable.<br />
<br />
</blockquote><br />
Tu as mal cru. Filtrer les connexions sortantes, c'est interdire &agrave; un<br />
logiciel malveillant pr&eacute;sent sur ton ordinateur de communiquer avec le<br />
monde ext&eacute;rieur. C'est donc se prot&eacute;ger contre les backdoors et une<br />
partie des tentatives de fuites de donn&eacute;es.<br />
C'est aussi, lorsque c'est fait directement sur la machine elle-m&ecirc;me,<br />
contr&ocirc;ler quelles applications ont ou n'ont pas le droit d'initier des<br />
connexions et vers quels serveurs elles peuvent le faire. Ce qui permet<br />
donc de luter contre les espions publicitaires, de ne pas avoir des<br />
pages HTML truf&eacute;es de pubs, et ainsi de suite.<br />
Bref c'est aussi important que de filtrer ce qui rentre.<br />
<br />
<br />
<blockquote class="block0"><br />
Merci pour votre aide.<br />
<br />
</blockquote><br />
De rien.<br />
<br />

<blockquote class="block0"><br />
Philippe Gueguen devait dire quelque chose comme ceci :<br />
<blockquote class="block1"><br />
J'ai cru comprendre que le scan du flux internet sortant (qui n'est pas<br />
pr&eacute;sent avec le firewal XP) n'&eacute;tait pas indispensable.<br />
<br />
</blockquote><br />
Tu as mal cru. Filtrer les connexions sortantes, c'est interdire &agrave; un<br />
logiciel malveillant pr&eacute;sent sur ton ordinateur de communiquer avec le<br />
monde ext&eacute;rieur. C'est donc se prot&eacute;ger contre les backdoors et une<br />
partie des tentatives de fuites de donn&eacute;es.<br />
C'est aussi, lorsque c'est fait directement sur la machine elle-m&ecirc;me,<br />
contr&ocirc;ler quelles applications ont ou n'ont pas le droit d'initier des<br />
connexions et vers quels serveurs elles peuvent le faire. Ce qui permet<br />
donc de luter contre les espions publicitaires, de ne pas avoir des<br />
pages HTML truf&eacute;es de pubs, et ainsi de suite.<br />
Bref c'est aussi important que de filtrer ce qui rentre.<br />
<br />
<br />
</blockquote><br />
sauf qu'il faut pr&eacute;ciser pour que le fonctionnement soit optimal,<br />
l'utilisateur _ne dois pas_ &ecirc;tre administrateur, sinon le logiciel<br />
malveillant aurai le droit de d&eacute;sactiver le firewall...<br />
<br />
mais ceci est valable pour tout les firewall installer localement sur la<br />
machine. et vaux en flux sortant et entrant.<br />
<br />
<blockquote class="block0"><br />
<br />
<blockquote class="block1"><br />
Merci pour votre aide.<br />
<br />
</blockquote><br />
De rien.<br />
<br />
</blockquote><br />
<br />

<blockquote class="block0"><br />
JOORIS Emmanuel &gt;<br />
<br />
<blockquote class="block1"><br />
sauf qu'il faut pr&eacute;ciser pour que le fonctionnement soit optimal,<br />
l'utilisateur _ne dois pas_ &ecirc;tre administrateur, sinon le logiciel<br />
malveillant aurai le droit de d&eacute;sactiver le firewall...<br />
<br />
</blockquote><br />
<br />
La plupart des FW perso (et AV) ont la possibilit&eacute; de mettre un mdp sur<br />
leur configuration.<br />
Les d&eacute;veloppeurs recommandent d'en mettre un (m&ecirc;me simple et m&ecirc;me si on<br />
est le seul utilisateur de sa machine) ceci justement pour emp&ecirc;cher la<br />
d&eacute;sactivation par logiciel.<br />
La plupart de ces FW sont ainsi capables ainsi d'emp&ecirc;cher leur arr&ecirc;t m&ecirc;me<br />
par un 'kill' (soient ils verrouillent le processus, soient ils bloquent la<br />
machine)<br />
<br />
</blockquote><br />
sauf que pour un firewall on peux intervenir au niveau de la couche de<br />
son driver et le court-circuit&eacute;, voila on ne dois jamais tourner en<br />
admin, trop simple de toucher aux drivers/noyeau.<br />
<br />
Mais bon dans tout les cas, la meilleure d&eacute;fense contre les virus et<br />
autre logiciel malveillant, c'est l'interface chaise clavier :)<br />
<br />
<br />

<blockquote class="block0"><br />
Qu'est-ce qui te fait dire que c'est d&ucirc; &agrave; KPF ? Si tu n'as pas touch&eacute;<br />
&agrave; sa configuration, il n'y a aucune raison pour que des probl&egrave;mes<br />
surviennent apr&egrave;s coup, et si tu as touch&eacute; &agrave; la configuration le<br />
probl&egrave;me vient plus s&ucirc;rement de l&agrave; que de KPF en lui-m&ecirc;me.<br />
<br />
</blockquote><br />
A priori le probl&egrave;me viens bien de kerio, en effet quand je d&eacute;sactivais ce<br />
dernier je n'avais plus de probl&egrave;me.<br />
(et je n'ai pas touch&eacute; &agrave; sa configuration)<br />
<br />
<blockquote class="block0"><br />
<br />
Tu as mal cru. Filtrer les connexions sortantes, c'est interdire &agrave; un<br />
logiciel malveillant pr&eacute;sent sur ton ordinateur de communiquer avec le<br />
monde ext&eacute;rieur. C'est donc se prot&eacute;ger contre les backdoors et une<br />
partie des tentatives de fuites de donn&eacute;es.<br />
C'est aussi, lorsque c'est fait directement sur la machine elle-m&ecirc;me,<br />
contr&ocirc;ler quelles applications ont ou n'ont pas le droit d'initier des<br />
connexions et vers quels serveurs elles peuvent le faire. Ce qui permet<br />
donc de luter contre les espions publicitaires, de ne pas avoir des<br />
pages HTML truf&eacute;es de pubs, et ainsi de suite.<br />
Bref c'est aussi important que de filtrer ce qui rentre.<br />
<br />
</blockquote><br />
Pourtant j'ai bien lu (sur un forum il y a quelques mois mais je ne sais<br />
plus o&ugrave;) que si un virus, style cheval de trois s'installait sur un PC, il<br />
lui &eacute;tait facile<br />
de contourner un firewall qui filtre le flux internet sortant.<br />
<br />

<blockquote class="block0"><br />
<br />
Pourtant j'ai bien lu (sur un forum il y a quelques mois mais je ne sais<br />
plus o&ugrave;) que si un virus, style cheval de trois s'installait sur un PC, il<br />
lui &eacute;tait facile<br />
de contourner un firewall qui filtre le flux internet sortant.<br />
<br />
</blockquote><br />
Oui, en utilisant les ports 80, 25 and co, c'est probable...<br />
<br />

On 17 Jun 2008 08:13:30 GMT, Philippe Gueguen :

Pourtant j'ai bien lu (sur un forum il y a quelques mois mais je ne sais
plus où) que si un virus, style cheval de trois s'installait sur un PC, il
lui était facile de contourner un firewall qui filtre le flux internet sortant.

Un firewall dit "applicatif" va filtrer suivant plusieurs critères en
même temps :
- l'exécutable qui tente la connexion
- la machine et le port de destination
- éventuellement, le port source, mais c'est peu utile, car il
est aléatoire de toute façon.

Un malware a deux possibilités pour se connecter :
- soit directement (malware.exe tente d'ouvrir une connexion)
-> il suffit de demander au firewall de bloquer cet exécutable
- soit indirectement, en utilisant par exemple Internet Explorer
-> là encore, la solution est simple : bloquer iexplore.exe, et
utiliser Opera ou Firefox comme navigateur.

Pour répondre à ta question d'origine : un firewall en entrée est
fortement conseillé pour protéger un PC sous Windows contre les
attaques directes depuis Internet, car il est très compliqué de
bloquer tous les services qui écoutent. Mais un modem-routeur (qui est
un "firewall de fait"), avec un mot de passe fort + uPnP désactivé
bien sûr, me paraît plus fiable que le firewall de Windows XP, car
plus difficile à désactiver.

Un firewall en sortie sert surtout à détecter les malwares installés
sur ton propre PC. Stricto sensu, il ne protège pas du tout ton PC :
il sert juste de détecteur, pour t'indiquer le plus vite possible que
tu as fait une connerie, et qu'il est temps de réinstaller Windows.
Il n'est pas fondamentalement indispensable si tu as un moyen fiable
de t'assurer qu'aucune cochonnerie n'est installée sur le PC.

On 16 Jun 2008 16:40:33 GMT, Stephane Catteau <steph.nospam@sc4x.net>:

C'est aussi, lorsque c'est fait directement sur la machine elle-même,
contrôler quelles applications ont ou n'ont pas le droit d'initier des
connexions et vers quels serveurs elles peuvent le faire.

Ce qui permet donc de luter contre les espions publicitaires,

de ne pas avoir des pages HTML trufées de pubs, et ainsi de suite.

J'avoue que je ne te suis pas bien. Effectivement, un firewall
"applicatif" permet de détecter et bloquer les spywares.

Pour bloquer les connexions d'applications légitimes (exemple :
Firefox) vers des serveurs-espions (exemple :
www.google-analytics.com), /etc/hosts est tout aussi efficace, et a
l'avantage d'être facile à remplir (Spybot fait ça très bien, par
exemple).

Et pour se prémunir des publicités sur les pages web, le logiciel le
plus efficace est CustomizeGoogle, qu'on complémentera par AdBlock+.
Promomitron rend aussi bien des services.

Merci pour ta réponse pertinente.
Je crois que je vais continuer avec le firewall de XP.
J'utilise Avast et spybot pour me protéger des malwares!
bye

Pour répondre à ta question d'origine : un firewall en entrée est
fortement conseillé pour protéger un PC sous Windows contre les
attaques directes depuis Internet, car il est très compliqué de
bloquer tous les services qui écoutent. Mais un modem-routeur (qui est
un "firewall de fait"), avec un mot de passe fort + uPnP désactivé
bien sûr, me paraît plus fiable que le firewall de Windows XP, car
plus difficile à désactiver.

Un firewall en sortie sert surtout à détecter les malwares installés
sur ton propre PC. Stricto sensu, il ne protège pas du tout ton PC :
il sert juste de détecteur, pour t'indiquer le plus vite possible que
tu as fait une connerie, et qu'il est temps de réinstaller Windows.
Il n'est pas fondamentalement indispensable si tu as un moyen fiable
de t'assurer qu'aucune cochonnerie n'est installée sur le PC.

mdnews n'était pas loin de dire :

La plupart des FW perso (et AV) ont la possibilité de mettre un mdp sur
leur configuration.
Les développeurs recommandent d'en mettre un (même simple et même si on
est le seul utilisateur de sa machine) ceci justement pour empêcher la
désactivation par logiciel.
La plupart de ces FW sont ainsi capables ainsi d'empêcher leur arrêt même
par un 'kill' (soient ils verrouillent le processus, soient ils bloquent la
machine)

Ce qui est d'autant plus utile que la plus part des rootkits pour
Windows tournent avec les droits administrateur, comme la plus part des
utilisateurs de Windows d'ailleurs.

Philippe Gueguen devait dire quelque chose comme ceci :

Pourtant j'ai bien lu (sur un forum il y a quelques mois mais je ne sais
plus où) que si un virus, style cheval de trois s'installait sur un PC, il
lui était facile
de contourner un firewall qui filtre le flux internet sortant.

Si le firewall n'est pas présent sur la machine elle-même, ou s'il est
mal configuré, oui, c'est possible. Mais justement, tout l'intérêt
d'avoir un firewall sur la machine elle-même[1], c'est de faire de
baser ses règles à la fois sur le(s) port(s) autorisé(s) *et* sur le(s)
logiciel(s) pouvant les utiliser.
D'abord on autorise le navigateur web à sortir vers les ports 80
(http), 8080 (proxy-http) et 443 (https). Puis on autorise le client
mail à sortir vers les ports 110 (pop) ou 143 (IMAP) et 25 (smtp) ou
465 (sSMTP), en en profitant pour limiter aux adresses des serveurs que
l'on utilise puisqu'ici c'est faisable. Et ansi de suite pour les
différents logiciels que l'on utilise.
Pour finir, on interdit tout le trafic, et le tour est joué.



[1]
Lorsque l'on peut en avoir un déporté évidement, dans le cas d'une
configuration mono-poste il est de toute façon présent sur la machine
elle-même.