Reprise du message précédent :

Il semble y avoir débat sur le fait de savoir si Mr Duchmol qui a son ordi branché sur Internet a besoin d'un firewall. Mais si on a 3 ordi en réseau à la maison avec branchement internet, est ce que c'est plus critique d'en avoir un que si on a qu'un seul ordi?

 
Il en faut plus
 

 
Elle servait a quoi ton intervention précédente alors ?    
 

 
C'est pas vrai, c'est pas vrai, c'est pas vrai, et je dirais meme plus, c'est pas vrai.
Il a besoin avant tout de faire des windows update automatique ou de les faire manuellement régulierement, et meme s'il a un firewall de toutes facons.
 

 
Si toi tu trolles, pas moi, excuse moi de donner des arguments plutot que de sortir des généralités et de refuser une dicussion un peu construite.
 

 
Justement, j'en croise tous les jours de mecs avec des firewalls a la norton ou ZA, et ca ne les empeche pas une seconde d'avoir des PC blindés de spywares et de virus, bien souvent c'est meme le contraire vu qu'apres avoir mis un firewall avec les paramètres par défaut ils pensent souvent etre traquille et n'avoir rien besoin de faire d'autres, a commencer par faire un minimum attention a ce qu'ils font sur le net.
 
Et j'ai jamais dis qu'un firewall etait inutile, j'ai dit que ca n'etait ni indispensable, ni l'element principal de la sécu d'un PC, et surtout que ca n'est absolument pas suffisant pour régler a lui tout seul tous les problemes de sécu d'un PC.
 

 
 
Le mythe du port ouvert qui serait une porte grande ouverte a tous dans un PC    
C'est pas le débat, mais avoir un port ouvert c'est pas forcement un probleme en soit, c'est ce qu'il y a derriere ce port qui importe.
 

 
Un firewall ne dispense absolument pas de faire tout ca, y'a d'autres facons que celles des blasters & co qui passent sans soucis au travers firewalls pour exploiter ce genre de faille.
 

 
Je suis pas d'accord non plus
Tu peux faire attention tant que tu veux, quand tu télécharges un fichier tu as beau etre le mec le plus calé et le plus prudent du monde c'est pas avec tes petits yeux que tu peux etre sur que le fichier n'est pas vérolé.
 

 
Encore une fois j'ai jamais dis que c'etait forcementinutile, mais on peut parfaitement se passer d'un firewall et etre en toute sécurité sur le net, c'est un fait, meme en s'appelant M. Duchmoll, faut juste un minimum d'education et de bonnes habitudes, et on peut avoir un firewall et etre exposé a des tas de risques si on le met juste parce que c'est la mode de dire qu'un firewall c'est indispensable meme pour un PC a la maison.

 
C'est ca qui m'enerve, le mec a un firewall donc windows update & compagnie ca passe a la trappe, alors que l'un ne remplace absolument pas l'autre.
Y'a des tas de failles de windows ou d'IE contre lesquelles un firewall ne protege absolument pas (lien de la mort sous IE, filtre JPEG bugué etc...), un windows update régulier est absolument indispensable, surtout si on est assez préocuppé de sa sécurité pour penser qu'un firewall est indispensalbe.

 
Non.

Strictement indispensable.
 
Dans x topcs, on s'escrimait à supprimer des infections qui se rechargeaient en nouveaux fichiers sans arrêt.
Dès que ZoneAlarm est posé, on supprime les fichiers restants et c'est terminé.
 
Et ce ne sont pas des infections logicielles. Ce sont des vers qui circulent au hasard.

 
Ca ne rentre pas comme ca dans le PC juste parce qu'il est sur le net sans firewall, ca utilise de failles windows, donc Windows Update avant tout.

J'ai jamais dit qu'un firewall remplaçait les mises à jours régulières ! Mais si un jour une faille est exploitée avant qu'elle soit corrigée, sans firewall t mal! De plus quand blaster est sorti, le correctif avait été publié 1 mois avant. Et à cette époque je n'avais pas de firewall, je ne l'ai pas attrappé. J'ai du réinstallé plus tard et je peux te dire qu'avant d'aller sur windows update, il a bien fallu que je sécurise ma connection pour ne pas être infecté dans les 5 minutes qu'il fallait à ce momnet là à blaster pour arriver sur ma machine.
Et à ce moment là, le firewall était indispensable, quitte à le désactiver après. Et si tu relis bien mon premier post, tu verras que je dis bien qu'un firewall est bien plus efficace pour lutter contre l'execution d'une application non autorisée (teste kerio et tu verras), chose que tu ne peux pas faire sans logiciel supplémentaire avec windows (ou alors en passant par des outils windows fastidieux interdisant l'execution de tout ce qui n'a pas été autorisé par l'administrateur).
Donc ce qui manque surtout à un utilisateur moyen, c'est un minimum de "code du net", les choses à faire à ne pas faire, parce qu'un mauvais utilisateur avec firewall, sera bcp plus en danger qu'un bon utilisateur sans. Et si j'utilise un firewall aujourdhui ce n'est pas pour me sentir protégé (face à qqun de doué c pas la peine il rentre parfois meme plus facilement avec un firewall que sans) mais pour paraître invisible au scan de ports (qques millers par jour) .
Windows ferme la plupart des ports par défaut, il est faux qu'un port est ouvert forcément si on a pas de firewall (et heureusement !), mais si on est scanné, la machine réponds : non. Alors qu'avec un firewall (un bon), le scan est ignoré, on renvoit pas de réponse et le scanneur conclue que l'ip n'est pas assignée comme pleins d'autres. Sans firewall c'est impossible.
Un firewall peut aussi servir à prévenir une attaque par une faille qui ne serait pas encore corrigée. Internet explorer compte encore aujourdh'ui plusieurs failles critiques non corrigées.
Donc un firewall ne remplace pas les mises à jours de windows qui la plupart du temps suffisent à se protéger des virus, masi permet d'avoir un meilleur controle de sa connection, de paraitre invisible aux scans et d'empêcher l'execution masquée de certains trojans. Exemple : un trojan bien fait sait tres bien qu'il sera stoppé par un firewall bien configuré à sa première execution : au lieu de se lancer directement, il tente d'utiliser une application systèmatiquemetn ou presque aurotisée par le firewall : internet explorer sur le port 80.
Un mauvais firewall et mal réglé n'empêchera pas çà, mais essaie kerio ou outpost pro et tu verras que çà peut sauver qu'on soit à jour de windows update, qu'on ait arrété les services inutiles ou non.
 
Dans l'ordre pour être tranquille :
- Ne pas ouvrir de mail avec pièce jointes executable
- se tenir à jour sur windows update (apres une ré-install, penser à utiliser un firewall le temps d'êter à jour)
- stopper tous les services inutiles sur le système (pour windows xp/2000)
- utiliser un firewall quand on sait le configurer
- utiliser un antivirus en restant prudent.
 
Donc le firewall n'est pas la seule chose à faire pour se protéger et éviter d'être vérolé ou bourré de spyware, maisl il fait partie d'un ensemble de chose à faire pour être le plus possible à l'abri des regards indiscrets.
 
Et ce que je dis n'est pas un troll, on le retrouvera sur les tous les sites assez sérieux en sécurité.  
Et si tu as un moyen de rendre tes ports furtifs sans firewall, dis le moi çà m'intéresse fortement et je suis pas ironique.
 

 
Et qui explique a notre bon vieu M. Duchmoll ce qu'il doit ou non autoriser ?
 

 
T'es quand meme conscient qu'a part pour le principe ca n'a absolument aucun intéret, sans firewall tu n'apparais pas comme invisible et alors ? Tous ces scans sont a 99.9999% des trucs automatisés qui scannent de maniere completement aléatoire différente plages d'IP a la recherche d'une faille ou d'un trojan spécifique, a partir du moment ou tu n'as pas cette faille ou ce trojan ca passe a autre chose, ca ne va meme pas prendre la peine de logger le fait qu'a telle IP y'a effectivement un hote actif, ca n'a absolument aucun intérêt comme information.
 

 
Tu vois meme toi t'as pas compris le fonctionnement d'un firewall, ca ne va absolument pas te protéger contre les failles IE : a partir du moment ou tu dis a ton direwall que IE a le droit d'aller sur le net ou que tu ouvre le port 80 en sortie ben tout passe, le firewall est absolument incapable de dire si la page que tu visites ne pose aucun probleme ou si c'est une page qui va tenter d'exploiter une faille d'IE pour lancer un script sur ton PC ou autre.
 

 
Figure toi que y'a des trucs encore beaucoup plus malin que ca, une fois qu'un virus ou un trojan est effectivement sur la machine faut considérer que de toutes facons c'est déjà mort, y'en a plein capable de désactiver les AV et FW les plus connus, ou alors y'en a de plus en plus qui sont concus de telles facons pour qu'au boot de la machine ils se lancent juste apres la couche réseau et avant le chargemetn des FW & co pour avoir une fenetre ou la machine n'est pas protégé et ou ils peuvent envoyer ce qui leur chante sur le net.

Bon, histoire d'ajouter un petit grain de sel    , puisque personne n'a relevé ma provoc..  
il existe + de 11 composants windows XP qui se connectent de manière automatique aux serveurs Microsoft pour y télécharger des logiciels.
 
et Microsoft travaille sur un protocole qui bypasse tous les firewalls puisqu'il serait encapsulé dans le protocole HTTP, passant dés lors sur le port 80.
 
Le firewall, dés lors et à condition qu'il soit capable d'analyser et bloquer les protocoles encapsulés peut à la limite servir, et encore.. il sera inutile sur une nouvelle technologie qui semble être déjà implémenté dans windows server2003, la dernière version de SQL et la technologie .net.
Disons que je suis d'accord avec sibqf pour la partie philosophique de la chose..
 
 mais je dois reconnaître l'exactitude technique du pollo diabolique sur plusieurs points.
Si le firewall concerne Kerio, alors effectivement, cela ne sera pas d'une grande utilité, même étant "statefull inspection". Comme le dit Pollo, à partir du moment qu'un port est autorisé, c'est mort.. pour plusieurs raisons:
- celle de la faille logicielle qu'il cite
- Kerio, ni Outpost d'ailleurs, ne contrôlent les objets DCOM windows et les services qui passeront par le service mapper.
 
La question est donc de quel type d'attaque doit se protéger Mr Duschmol et venant de l'extérieur ou de l'intérieur?
D'un attaquant à l'exterieur, il n'a aucune chance comme vous le faite remarquer tous les deux.. passons!
 Sa vie privée de l'intérieur, je dirais que là aussi, il n'a quasiment aucune chance d'y parvenir. Reste juste l'utilité contre les trojans, et virus kiddies, tout juste bon [re-mode provoc] pour ceux qui s'achètent un PC pour télécharger du mp3 et des Divx.
 
Le problème étant de trouver ou développer un firewall suffisamment évolué pour contrôler le contenu qui passe à tous les niveaux..

De toute façon si un firewall suffisait à bien protéger n'importe qui pourrait travailler dans la sécurité pour les entreprises, ce qui ets loin d'être le cas. Pas mal de firewall commencent à pratiquer le stateful inspection, et il sera donc facile de pratique un scan des en-têtes des paquets qui eux se trahiront forcément en indiquand leur protocole (même inséré dans la couche http).
C'est d'ailleurs la méthode qu'utilise les F.A.I pour filtrer les paquets de logiciels p2p même pour ceux qui choisissent des ports autres que ceux utilisés par défaut par ces logiciels.
 
En ce qui concerne kerio et outpost, je continue de dire qu'ils ont une utilité. Ce que tu dis serveur est kler, à partir du moment où un port est ouvert, c'est mort. Il ne s'agit alors plus de voir la sécurité au niveau du contrôle de traffic (sauf stateful inspection, mais peu le font), mais bien au niveau des failles des applications (firewall compris). D'ou l'importance des correctifs, qui sont en fait la seule solution. On a vu encore un correctif sortir pour winamp.
Le tout est de pouvoir contrôler l'execution des programmes et de leur composantes dll. Chose que pratique outpost (en tout cas depuis sa version 2.0 et çà s'est grandement amélioré depuis la version 2.5) puisque un executable dont la mémoire a été modifiée peut etre bloqué.
Il controle meme les dll. Et çà c bien, pouvoir être sur qu'une dll ne fait pas n'importe quoi et son execution est controlée, ainsi que son accès au réseau.
De plus tu parles de port autorisé, mais le but du firewall c'est de l'autoriser pour une application précise. Donc si j'ouvre le port 80, c'est pour une application (firefox par exemple). Je me garde bien de le bloquer pour internet explorer.
Je pose donc une question : dans ces conditions pourra-t-on exploiter une faille d'internet explorer, en considérant que firefox est lancé (en effet pour kerio et outpost, le port ouvert pour une application est refermé à sa fermeture) ??

Un firewall, ça sert strictement à rien...

argument technique?

Bah c'est là que je me félicite, je ne donne aucun argument !!
En fait je voulais juste rebondir sur mon ancien post dans lequel je disais qu'un firewall était indispensable.

 
Ca m'etonnerais que les FAI utilisent ce genre de systemes tres gourmands en ressources vu les volumes colossaux que ca représente, ca leur reviendrait beaucoup trop cher pour un interet tres limité.
 

 
Ca c'est valable pour les firewalls personnels et si tu sais pas ce qui tourne sur ton PC, tu parles des entreprises en statefull & co, c'est absolument inpensable de s'amuser a faire ca en entreprise, c'est gérer au niveau de la passerelle et c'est tout, c'est pas du tout le but d'un firewall de vérifier si y'a pas des tas de conneries dont tu te passerais bien qu'elles accedent aux net sur ton PC...

 
Et surtout faudra trouver des utilisateurs capables de s'en servir correctement, sachant que 90% des gens qui ont actuellement ZA & co en sont déjà bien incapables.

El Pollo diablo lis çà et dis moi ce que tu en penses parce que c exactement à çà que je faisais référence :
http://www.ratiatum.com/p2p.php?article=1892
 
j'attends avec impatience ta réponse

vraiment enrichissant ce topic, encore qques gars qui s'y connaisssent çà va devenir une référence (je me case à moitié dans les gars qui s'y connaissent quand meme hein ... hein ? non ? bon tant pis )

 
Techniquement c'est tout a fait possible c'est pas la question, apres que ce soit réelement mis en place c'est tout a fait autre chose (commercialement parlant soyons pas hypocrite actuellement un FAI a beaucoup a perdre a jouer a ce jeu la).
Et donc je serais curieux de connaitre les couts des solutions sandvine pour mettre ca en application a l'echelle d'un gros FAI...

arf    j'avais bien vu ton post précedemment, mais j'ai pas fait la relation avec celui-la.    
 
sinon je suis d'accord, faisons un débat technique.. alors pour étayer techniquement un peu plus et pimenter..:
 
- exemple de bypass de firewall utilisant GET dans le protocole HTTP:
http://www.networkpenetration.com/protocol_steg.html
 
- proposition RFC d'un protocole utilisant le HTTP à cause de l'accroissement d'applis qui utilisent le protocole HTTP pour communiquer et bypasser le firewall
http://www.faqs.org/rfcs/rfc3093.html
 
- le développement de "SOAP" et le danger:
http://www.kaweah.com/Research/HowSafeIsSOAP.pdf
 
-SOAP déjà intégré dans les derniers produits microsoft:
http://c2.com/cgi/wiki?SoapDiscussion
 
- Certains services se connectant automatiquement:
http://www.hevanet.com/peace/microsoft-fr.htm  
(malheureusement, l'article MS semble avoir été retiré du site de microsoft)  

 
Bref on en revient exactement a mon argument : se reposer uniquement sur un firewall pour controller ce qui se passe sur ces de ses PC c'est pas réaliste une seconde.
 

 
Je comprend pas qu'on puisse encore citer régulièrement un torchon pareil  

j'ai hésité à le mettre (c'est provoc à souhait, je sais), mais comme je cherche justement cette  liste sur MS.com , je me suis dit que peut-être qqun allait me mettre le lien