Reprise du message précédent :

Oui mais ca doit quasiment passer ta carte ethernet en "promiscuous mode" à coup sur pour ce faire .... et ca, ca se détecte aussi ... De toutes facons ton paquet dois bien être adressé à qqun/qchose ...  A toi de pas laisser arriver sur ton réseau de trucs bizarres  ( les fameux "Martians"  ...  )

Ben oui mais tu as mis le doigt sur le problème .. toi tu passes un peu de temps à "maintenir" ton OS ... ce qui est vraiment pas le cas de la grande majorité des gens ... par manque de temps,ignorance, etc ...
Et les "cliques moi dessus pour que je te chatouille.exe" ca arrive bien plus que tu veux le croire ... Si on faisait des stats sur TOUS les utilisateurs de l'informatique, tu serais étonné quant au niveau moyen ....
C'est pas la première que je tombe sur des machines infectés de troyens et de virus dans tous les sens chez des amis ... et c'est parce que ils avouent n'y connaitre rien à rien qu'ils font appel à moi ... car ils sont inquiets mais sont perdus devant la "complexité" apparente de tous ces softs/OS ... etc ...
Ils ne compennent même pas la raison de l'existence des patchs, etc... Pour eux, ils ont acheté une machine et ca marche, point.
Ton discours suppose que l'utilisateur Lambda ait un minimum de "prérequis" ... Prérequis qu'il n'a pas dans la réalité ... Ou pire, qu'il croit avoir mais dont il est loin en fait ...

 
Ah mais je suis entierement d'accord avec toi.  
Le probleme, c'est que si ces utilisateurs ne sont pas assez "eduques", si tu leur mets un firewall, celui-ci sera mal utilise et donc dangereux. Il n'y a rien de pire que de se penser en securite alors qu'on a ouvert tous les ports sans comprendre la portee de cet acte.  
Je sais bien que beaucoup (trop) d'utilisateurs vont cliquer sur "clique moi que je te chatouille", il n'empeche que c'est eux meme qui se saborde. Et l'installation d'un FW ou d'un antivirus n'y changera rien.
 
Donc la grande question est : faut-il quand meme donner aux utilisateurs non-avertis des outils pour se proteger tout en sachant que ceux-ci requierent quand meme un minimum de connaissances? Ou faut-il plutot les eduquer? Je penche pour la deuxieme solution. Et je ne pense pas avoir tort, puisque dans 99% des entreprises, c'est simple : les utilisateurs n'ont le droit de rien faire, on est passe directement a l'etape "je te protege malgre toi contre toi"

Réfléchis un petit peu à la faisabilité de "ta solution" ... Perso, ca fait longtemps que j'ai abandonné l'idée de les éduquer  
complètement ... en fait, c'est pas simplement les éduquer, c'est carrément les amener à un niveau de compréhension convenable ... hors bcp n'en n'ont pas envie, ils ont acheté un ordi comme outil, pas pour que l'informatique devienne une fin en soi ... ils ont pas envie de passer leur vie dessus ... Quand bien même, ils le voudraient, tu imagines le nombre de personne qu'il faudrait pour "éduquer" les "non initiés" ? J'ai été formateur pendant mes études ... J'ai plus envie de donner ... Alors maintenant, quand on m'appelle ou qu'on me lance un SOS, je viens et j'aide bien volontier à remetre les choses en ordre ... je mets ensuite qq "protections" en place ... donne qq conseils ... mais pas question que je donne de "cours" ou autre ... j'ai une vie à côté ...
Et dans une boite, ce que je dis est d'autant plus vrai qu'on peut pas mettre une personne derrière chaque utilisateur pour des pb de rentabilité ... t'es supposé savoir te servir de l'outil informatique de facon convenable qd tu prend un job ... c'est un pré requis implicite de nos jours ... les boites ne veulent plus former des personnes qui sont restées complètement en dehors de l'informatique ...

Encore une fois, je suis tout a fait d'accord avec toi.
Donc on ne peut pas eduquer tous les utilisateurs, mais on ne peut pas penser egalement que, parce qu'on leur a installe certains softs pour les proteger qu'ils resteront effectivement proteger, n'est ce pas?
Dire a un utilisateur qu'il faut qu'il installe un firewall pour se proteger de l'exterieur, c'est une chose. Mais lorsque son soft de P2P ne passera pas parce que son firewall l'aura bloque, ben il choisira "Laisser passer". La meme chose avec ICQ, puis avec CS, puis avec...... Bref, il aura bientot plus de ports ouverts que de ports fermes sur sa machine, mais ca ne l'inquietera pas, puisque pour lui, son poste est "securise"
Et bien sur, il en va de meme avec l'antivirus qui ne sera jamais a jour, et qui risquera egalement d'etre lui meme contamine
 
Bref, pourquoi ne pas juste dire aux utilisateurs "Tiens ton poste a jour niveau update de l'OS" et puis c'est tout?

Ouh la ... on doit pas causer des mêmes utilisateurs ...  
Les personnes que je dépanne à longueur de temps savent à peine ce que c'est des emails alors le P2P ... On doit vraiment pas parler des mêmes ...
Si je leur dis "Tiens ton poste a jour niveau update de l'OS", il  s vont me regarder avec de gros yeux et chercher leur dico Chinois-Français ... Ceux à qui je pense savent pas ce que c'est CS, Kazaa et tralala ... alors qd je met un fw en marche dans un coin, si je reviens 2 ans plus tard,il est toujours là, dans le même état ... et si les gamins veulent jouer, cé une console ... ou alors leur propre ordi financé par leur soin ... là ils en font ce qu'ils en veulent mais cé plus la même catgorie d'utilisateur ...

Ben j'avais surtout en tete les personnes qui viennent ici et qui demandent si, maintenant qu'ils sont en adsl, si il leur faut un FW. Ceux la sont justement les utilisateurs types AMHA, ceux qui, au bout de deux semaines, ont 321 regles dans leur FW, avec 25 trojan qui se bouffent entre eux

Ceux là sont un peu plus élevés que la moyenne qd même ... ... Rigoles pas stp ... cé la vérité ... ... mais c'est qu'une minorité, faut pas se leurrer ...  
Ceux dont tu parles sont des bidouilleurs curieux pas des utilisateurs lambda (qui a dit bêta ???      ) ...
 

 
nan, pas d'accord, ils ne sont pas forcement plus eleves que la moyenne. Quand on voit qu'ils installent bien souvent ZA, on comprend mieux Sans faire de troll, un FW ou l'on ne reponds que OUI ou NON, ben c'est source de problemes.  
Un bon ptit Kerio ou TPF avec un vrai controle, la, d'accord.
Les bidouilleurs curieux, ils sont bien, si ils ne s'arretent pas la, si ils essaient de piger le fonctionnement des softs, alors d'accord. Sinon, ce sont les  pires de tous

Je t'assure que déjà qqun qui a entendu vaguement parler du mot firewall est plus élevé que la moyenne ...
Pis bon, ZA ... comment dire ...   ... lui manque plus q'une lettre pour être correct son nom ... un p en l'occurence ...

Il a simplement regardé le journal de TF1 ou écouter a la radio les pub de Wanadoo/Tiscali etc etc

Ils parlent de ca sur Tf1 maintenant ? Sans déc ...

 
j'ai modifié mes regles iptables ( qui étaient il est vrai assez simples) pour arrêter tous les trucs invalides et autres bizarreries, j'ai loggé les pbs et la je me  rend contre qu'il y a plusieurs IP tchèque qu'arrete pas de m'envoyer des paquets invalides et notamment des trames TCP NEW ss le flag SYN, y a pas un moyen pour leur dire en gros " z'etes lourds allez faire joujou ailleurs " tu parlais de mechanismes proactifs ,est ce simple a mettre en place et est ce recommandé pour un Pc perso ?

Vous parlez souvent des mêmes fw .
Je suis en train d'essayer Kaspersky Anti-hackers qui est tout récent et qui me parait bien adapté pour beaucoup d'utilisateurs.
Quelqu'un l'a-t-il déjà testé?

Moi j'ai mis une passerelle sous nunux-Netfilter
 
drop de tous les paquets qui sont pas Established, Related.
 
drop de tous les paquets en input destinés a la passerelle.
 
routage des paquets Established, Related uniquement de maniere temporaire quand un poste doit être connecté.
 
Les utilisateurs sont tous "briefés". Ils paniquent des qu'ils ont un JPEG en PJ dans les mails.
 
Le problème maintenant, c'est que je ne dors plus la nuit. Je me demande ce que j'ai oublié de faire.
 

MDR...  
 
Un proxy applicatif peut-être ?

Ce ne se met pas en place dans le cadre d'une utilisation perso, mais plutot qd tu as une infrastructure genre ISP ...
Regardes du côté de la fonctionnalité MIRROR (ou alors avec du DNAT) de Netfilter/Iptables, tu as pe un tour à leur jouer là ...

 
c'est pour faire du ping pong    ?

Par exemple ... mais faut faire gaffe, dans certains cas ca peut se retourner contre soi ...
Par contre, je viens de voir une jolie "alerte" sur une faille dans    
netfilter/iptables concernant le mécanisme de gestion STATEFUL (qui touche plus précisément les règles RELATED) et les serveurs FTP ...

une question de 'newb" svp comme vous avez l'air de bien vous y connaitre :
 
en parlant d'un firewall comme ZA (dans sa version free et Pro) simple a configurer (j'autorise ce prog, ou je l'autorise pas)
Est-ce strictement pareil que de ne rien avoir??

 
 
Je suppose qi'il s'agit de Linux pour les quelques intervenants précédants, mais sous Windows et pour un utilisateur pro en soft, néophyte en sécurité et réellement préoccupé, existe-t-il (à part AIDA32 qui me répertorie tout mon matos, et quelques ports sous "périphériques" ) un firewall ou un utilitaire complémentaire qui soit capable de :
 1) répertorier les ports ouverts (ou fermés), les règles affectées à chaque ip.
 2) expliquer mieux que : "x want to connect to y, port z" avec "details about application : xxx.exe" de Kério.  
 3) Expliciter une connexion réclamée par une application et une intervention inconnue et suspecte (après avoir répertorié les différents chemins suspects, et les différents processus d'intrusion).  
 4) Reconnaître les "paquets" et les regrouper
 5) Exécuter les updates à date fixe
   
Histoire de construire une défense sur mesure (modifiable) et de l'entretenir?

En voici un des meilleurs exemples :
 
Sur Kério, ce jour 15h02 :
Incoming connection Alert!
Il me dit :  
"someone on adress xx 106-1-4 etc... abo.wanadoo.fr (n°80.14.xxx) wants to send ICPM packet to your machine.
 
Details about application :  
tcpip kernel driver
 
Qu'est-ce que je fais?
 
Ou bien il s'agit d'un abonné wanadoo de Vélizy qui veut m'envoyer ds chocolats pour noël, et dans ce cas il risque d'être vexé si je refuse, ou bien il s'agit d'un envoi en masse concernant le "kernel" de ma machine, et là, ça ne me plaît pas du tout!
 
Je ne sais pas ce que c'est le "tcpip", et le temps que je demande à quelqu'un qui s'y connaît, j'ai de quoi rester longtemps avec ce message en attente...
 
Je vais le refuser, ok, dans ce cas là, j'ai perdu un ami.. une chance sur deux!
 
Moi, j'aurais aimé pouvoir vérifier la source ... du style : bonjour? Qui êtes-vous? Et c'est peut-être l'effet MIRROR dont on parlait. Mais sous linux. Sous windows, qu'est-ce que je fais?
 
Dans l'abolu du rien qui me sert de réponse, je refuse... C'est comme ça. Un peu frustré quand même.
 
 
 
 
 

Un conseil bloque les ports Telnet (si tant n?a pas besoin bien sur)
Ferme  
 
L'iPc
Null session (rpc)
Netbios
Del le Tftp32.exe
Mets un mdp a win.
 
Et faut pas oublier que un firewall, n'a aucune utilité si disons ta un serveur Web mal configurer, tu ouvre ton port le port 80 (pour le Web) et tu te dit c'est bon je suis secu avec le fw, alors quand nan ta une bonne faille unicode sur ton serveur
 
Bon c'est un exemple.