L'autre jour j'me balladais chez un ami qui est sous windows.
il installe (ou lance je ne sais plus mais c'est pas grave) une application... et là, hop son firewall (kerio) l'averti d'une tentative de comunication sortante. et lui il clique sur le bouton "non".
Et là, me sort tout fierement qu'il se sens quand même plus en securité sous windows avec son firewall, parcequ'il est sur que seule les appli qu'il a choisit peuvent comuniquer.
c'est pas comme ca effectivement dans le monde linux. et honetêment j'ai rien trouvé a y redire...
alors ouais je sais qu'avec les sources on peu analyser le code source de l'appli avant de la lancer (bien "avant "même.. il faut compter le temps de la compil, ben oui on ne peut pas faire confiance a un package binaire si on est assez arano pour mater les sources:) bref)
dans la pratique je ne sais pas vous, mais moi les sources de OOo, bof bof...
ha si la seule chose que j'ai pu lui dire en riant, c'est qu'en cas de doute rien n'empeche de débrancher le cable reseau :) .. ouais je sais c'est nul.
Les firewalls sous linux sont bien puissant, c'est clair, mais en terme d'utilisabilité c'est pas pareil.
moi j'aimerais bien qu'on me demande mon avis quand une appli cherche a sortir, je veux savoir les ports, l'adresse ip tout ca... repondre oui/non, et avec un case a cocher pour en faire une regle definitive quoi...
c'est domage, y a plein de "poweruser" (pas des luce+henri donc) qui aiment bien ce concept...
enfin, voilà journal,si un jour ca existait, je passerai moins pour un con :)
Journal "j'me sens plus en secu sous win" j'ai pas pu lui repondre
16
sept.
2005
# Firestarter
Posté par Ph Husson (site web personnel) . Évalué à 10.
Ce que (tu|ton ami) voudrait pour linux c'est FireStarter
Je sais pas si y a d'autres choses équivalentes mais j'en ai jamais vu
Bon évidement on ne comprend pas vraiment l'interet mais bon... c'est psycholofique
comme un windows trop rapide sans antivirus ni parefeu actif ca fait peur (bon pas à tord)
[^] # Re: Firestarter
Posté par Matthieu . Évalué à 10.
Par exemple, tu lances word, et là, tu as une boite de dialogue qui te demande si tu veux ou pas autoriser word.exe qui essaye de dialoguer sur internet.
Ca rassure les utilisateurs et je les comprends.
En gros, un utilisateur veut un firewall sur son PC, c'est pour lui, et c'est ce qu'on lui a dit, le seul moyen de se protéger des attaques. Mais bon, après avoir fait le setup.exe, déjà pour lui c'est un exploit, il se retrouve avec une fenetre avec pleins de boutons, de cases, et il ne sait pas dans quel sens la prendre. A cote de ça, tu as un autre setup.exe qui après avoir travaillé ne lui demande rien. Il suffit de dire en temps réel oui ou non quand il lance une application. Ca rassure et c'est plus simple.
En gros, on peut dire qu'il manque un firewall applicatif sous linux.
[^] # Re: Firestarter
Posté par Matthieu . Évalué à 6.
Les philosophies des 2 types de firewall ont presque identiques : on interdit tout puis on autorise ce que l'on permet. Mais dans le cas du firewall personnel, on ne permet rien venant de l'extérieur car une station de travail n'est pas serveur. Ce qu'attends un utilisateur c'est d'être sûr que seuls les communications liées aux applications qu'il utilise sont autorisées et le reste non. Du genre, je n'autorise rien. Ni entrée ni sortie. Maintenant, j'ouvre mon navigateur web, donc je veux que celui-ci puisse être fonctionnel, donc autoriser les communications entre le navigateur et le web. Rien d'autre. Si je ne l'ai pas déjà dit à mon PC, alors il va me le demander une bonne fois pour toute.
Pour un firewall filtrant, il faut tout faire d'avance. Donc maîtriser ce qu'est un firewall, avoir quelques connaissances sur les communications réseaux...
Ce n'est pas la même philosophie.
PS: j'ai regardé le lien en dessous sur le firewall applicatif sous Linux. C'est bien, mais ce n'est pas utilisable par un utilisateur lambda. Il manque une interface user-friendly comme ils disent de l'autre coté de l'atlantique.
[^] # Re: Firestarter
Posté par Alex . Évalué à 10.
Tout ça pour dire que ce genre de produit crée une fausse impression de sécurité... ce qui a mon avis peut-être pire que le mal.
Ensuite quant au coté convivial, il est vrai que sous linux on manque (en général) d'appli simple à utiliser, sans trop d'option et juste le nécéssaire.
[^] # Re: Firestarter
Posté par Krunch (site web personnel) . Évalué à 10.
Sinon dans le genre "pop-up qui te demande si tu veux laisser l'application faire un truc", il y a Systrace qui permet de faire ça pour tous les appels systèmes (pas seulement les accès réseau). Enfoncé ZoneAlarm :op
http://systrace.org/(...)
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Firestarter
Posté par Zorro (site web personnel) . Évalué à 3.
[^] # Re: Firestarter
Posté par DPhil (site web personnel) . Évalué à 1.
Quand est-il aujourd'hui du comportement des firewalls perso et de ces différentes méthodes d'attaque ?
[^] # Re: Firestarter
Posté par Zorro (site web personnel) . Évalué à 1.
[^] # Re: Firestarter
Posté par briaeros007 . Évalué à 2.
Mettons que la partie X accede au net et la partie Y fait le traitement.
Donc on autorise la partie X .
X utilise Y et on injecte le code dans Y . Ca devrais etre possible sur certains logiciels non ?
[^] # Re: Firestarter
Posté par agmk . Évalué à 10.
Par contre, un driver au niveau du kernel win32 pourrait empêcher cette injection en interdisant l'appel aux fonctions de l'API windows ci dessus, avec un système de whitelist par exemple. Sygate PF implémente partiellement ça, mais uniquement contre les injections les plus basiques (et aux dernières nouvelles c'était pas activé par défaut).
[^] # Re: Firestarter
Posté par wismerhill . Évalué à -4.
Et il y a encore des gens pour s'étonner que windows est une passoire?
[^] # Re: Firestarter
Posté par agmk . Évalué à 3.
Oui, OpenProcess, ReadProcessMemory, WriteProcessMemory, CreateRemoteThread (et de façon moins évidente SetWindowsHookEx & co...).
Ce n'est faisable qu'entre processus du même utilisateur... sauf qu'évidemment la plupart des gens utilisent Windows en mode administrateur :/
>Et il y a encore des gens pour s'étonner que windows est une >passoire?
Hum... et le syscall ptrace sous Linux ? Je vois mal comment écrire un débogueur sans pouvoir écrire/lire dans la mémoire d'un processus externe. Pour une fois, on peut difficilement jeter la pierre à Win.
[^] # Re: Firestarter
Posté par Krunch (site web personnel) . Évalué à 2.
Encore pire: sous Linux tu peux voir et modifier la mémoire des processes directement via /proc.
Le problème n'est pas que cet API existe mais que des processes malveillants puissent l'utiliser pour obtenir des droits plus élevés. Tant que les processes appartiennent au même utilisateur (en gros), Unix ne t'empéchera pas d'injecter ce que tu veux. Le problème c'est que deux processes ayant les mêmes droits Unix aient des droits différents pour ce qui est de l'accès internet par exemple puisque celui qui est interdit d'accès n'a qu'à injecter celui qui a accès. On a donc exactement le même problème que sous Windows.
La solution c'est d'utiliser des trucs genre SELinux ou Systrace mais pour le moment ça a pas l'air d'être fort répandu. Je suis à peu près sûr qu'il n'y a pas 20% des personnes qui ont lu ce post qui utilisent un tel système (et on est entre geeks, alors le grand public...).
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Firestarter
Posté par Alex . Évalué à 2.
Je suis à peu près sûr qu'il n'y a pas 20% des personnes qui ont lu ce post qui utilisent un tel système (et on est entre geeks, alors le grand public...).
Oui, le problème est souvent entre le clavier et la chaise...
Néanmoins ce genre de choses est peut être à faire au niveau de la distribution, je crois que déjà pas mal de distribs orientés desktop grand publique crées un compte user par défaut, voir ne laisse l'accès qu'à certaines applis que via sudo (unbuntu je crois, mais jai pas vérifié), alors pourquoi ne pas pousser le concept plus loin (si ce n'est déjà fait) et intégrer par défaut des politiques de RBAC.
[^] # Re: Firestarter
Posté par wismerhill . Évalué à 0.
Hum, je ne connais effectivement pas bien le sujet, mais la manpage en question dit que:
"The ptrace system call provides a means by which a parent process may observe and control the execution of another process, and examine and change its core image and registers. It is primarily used to implement breakpoint debugging and system call tracing.
The parent can initiate a trace by calling fork(2) and having the resulting child do a PTRACE_TRACEME, followed (typically) by an exec(3). Alternatively, the parent may commence trace of an existing process using PTRACE_ATTACH. "
Si je comprend bien c'est seulement un parent qui peut modifier ses processus fils, ce qui est beaucoup moins grave que n'importe quel processus du même utilisateur.
[^] # Re: Firestarter
Posté par M . Évalué à 3.
Non t'as rien compris :
PTRACE_ATTACH
Attaches to the process specified in pid, making it a traced
"child" of the current process; the behavior of the child is as
if it had done a PTRACE_TRACEME. The current process actually
becomes the parent of the child process for most purposes (e.g.,
it will receive notification of child events and appears in
ps(1) output as the child's parent), but a getppid(2) by the
child will still return the pid of the original parent. The
child is sent a SIGSTOP, but will not necessarily have stopped
by the completion of this call; use wait to wait for the child
to stop. (addr and data are ignored.)
[...]
EPERM The specified process cannot be traced. This could be because
the parent has insufficient privileges (the required capability
is CAP_SYS_PTRACE); non-root processes cannot trace processes
that they cannot send signals to or those running setuid/setgid
programs, for obvious reasons. Alternatively, the process may
already be being traced, or be init (pid 1).
[^] # Re: Firestarter
Posté par wismerhill . Évalué à -1.
Vous pouvez inutiler mon post.
[^] # Re: Firestarter
Posté par Krunch (site web personnel) . Évalué à 3.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Firestarter
Posté par agmk . Évalué à 3.
[^] # Re: Firestarter
Posté par debianowgus . Évalué à 1.
D'après mes souvenirs, l'injection s'effectue en mémoire. La somme MD5 du binaire n'est donc pas altérée !
[^] # Re: Firestarter
Posté par Jerome Herman . Évalué à 5.
Euh... Un objet COM bien placé, un ActiveX a la con et c'est "Internet Explorer" qui va sur le net tout seul comme un grand pour aller poster les infos sur le site de spyware.
Il est aussi facile pendant l'installation d'un "freeware" de faire passer au milieu des diférentes licences l'acception par l'utilisateur d'un root certificate bidon. L'avantage c'est qu'on a plus besoin de l'objet COM pour faire charger à IE l'ActiveX, comme celui-ci est reconnu comme signé par un "organisme de confiance" IE le charge tout seul comme un grand...
Une variante dans la série des gags à deux francs qui marchent souvent c'est de passer par RunDLL32, WinHelp ou la communication RCP en mode administrateur que les grosses boites (Dell,HP, IBM) laissent souvent trainer dans un coin...
Si c'est encore trop technique pour vous, sachez qu'il est très difficile sous windows d'exiger qu'un programme se charge complètement avant de commencer à charger les programmes suivant... Il est par exemple possible d'effacer à chaque reboot l'ensemble des règles d'un firewall personnel avant qu'il ne se charge, jusqu'à ce que l'utilisateur lassé de rerépondre aux mêmes questions à chaque reboot finissent par désactiver son firewall ou répondre "oui " méccaniquement à chaque pop up du firewall.
Sécuriser un windows "out of the box" ca demande NETTEMENT plus de travail que d'installer simplement un anti-virus et un firewall personnel
[^] # Re: Firestarter
Posté par DPhil (site web personnel) . Évalué à 1.
[^] # Re: Firestarter
Posté par Krunch (site web personnel) . Évalué à 4.
Donc pour passer outre le firewall, tu trouves un process autorisé qui est en train de tourner (au hasard: IE ou Firefox), tu lui injectes le code voulu et tu le laisses faire tout ce que tu ne peux pas faire directement tandis que le firewall laisse passer puisque l'exe qui est sur le disque est bon.
[0] "Using Process Infection to Bypass Windows Software Firewalls" Phrack#62 article#13 http://www.phrack.org/show.php?p=62&a=13(...)
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# Ça existe
Posté par Florent Bayle (site web personnel) . Évalué à 7.
- en ce qui concerne le fait de faire confiance ou non en des logiciels libre, je te conseille de jeter un coup d'oeil quelques journaux plus bas [1].
- le sujet du firewall applicatif sous Linux est une question qui revient souvent, notamment pour les utilisateurs débutants. La bonne nouvelle, c'est que ça existe [2]
Pour ma part, j'estime pouvoir faire confiance aux logiciels fournis par ma distribution (Debian pour ne pas la citer) grâce à plusieurs choses : signature des paquets par GPG, réseau de confiance (pour pouvoir devenir développeur Debian, il faut avoir une clef GPG signée par une personne déjà développeur Debian - on est donc normalement assuré de l'identitée de tous les développeurs de proche en proche), le parainage (une personne non développeur Debian doit être paraînée par un développeur Debian pour chaque envoi de paquets dans la distribution. Je ne sais pas ce qu'il en est pour les autres distributions, mais je pense que chacune doit avoir des moyens de s'assurer que les paquets officiels ne sont pas fait n'importe comment par n'importe qui.
[1] : http://linuxfr.org/~etix/19431.html(...)
[2] : http://olivieraj.free.fr/fr/linux/information/firewall/fw-03-11.htm(...)
[^] # Re: Ça existe
Posté par fabien . Évalué à 4.
mais (surtout pour un [ex-]windowsien) il faut reconnaitre que c'est rassurant.. ouais même si c'est psychologie.
en fait, c'est typiquement un besoin du monde windows ou spyware cotoient autre logiciels malveillant, piratés ou un peu trop bavard... (le "ou" n'est pas exlusif :) )
Je comprends qu'a priori ca ne sert pas a grand chose sous linux, mais c'est un argument interressant : oui ca existe aussi sous linux !
merci pour les liens, surtout le 2eme que je ne connaissait pas.
# une balle dans la tête?
Posté par Anonyme . Évalué à -10.
# Le firewall ultime pour linux
Posté par B16F4RV4RD1N . Évalué à 10.
Ensuite vous pouvez démarrer tous vos programmes avec la commande :
firewall programme
Votre puissant firewall (sous licence GPL) vous demandera de façon conviviale et rassurante si vous voulez autoriser ce programme à accéder à internet. Dans ce cas, il le lancera effectivement.
En plus le code est suffisament simple pour voir qu'il n'y a pas de backdoor...
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: Le firewall ultime pour linux
Posté par tipote . Évalué à 10.
En tout cas, elle a eu le mérite de bien me faire rigoler ;-)
Pour revenir aux choses sérieuses, c'est quand même dommage de devoir déployer tout cet attirail de sécurité (pare-feu, et antivirus sous windows en particulier) sur un appareil qui, au départ, est censé être un outil de travail, un canal de communication et d'échange, un passe-temps, ou encore un moyen de divertissement selon les gens... mais jamais une source de stress, peur, tracas, énervement, comme il le devient trop souvent !
# fireflier
Posté par Infernal Quack (site web personnel) . Évalué à 8.
C'est exactement le même principe que le firewall de ton pote avec le même genre de problèmes à savoir quand d5tgkr53.dll essaye d'accéder au net tu es comme un con a te demander si tu dois dire oui ou non :)
A poil sur le net ! Mon linux a pas de firewall et il se porte comme un charme. Le firewall c'est quand l'OS est un emmental (et non un gruyère) sur lequel tourne plein de services inutiles.
L'association LinuxFr ne saurait être tenue responsable des propos légalement repréhensibles ou faisant allusion à l'évêque de Rome, au chef de l'Église catholique romaine ou au chef temporel de l'État du Vatican et se trouvant dans ce commentaire
[^] # Re: fireflier
Posté par B16F4RV4RD1N . Évalué à 4.
L'histoire de la résistance face aux risques de virus c'est autre chose, même si des rootkits existent le problème est différent.
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: fireflier
Posté par Infernal Quack (site web personnel) . Évalué à 10.
Un windows XP installé, une heure après il était pourri de vers et de spyware (que d'ailleurs clam anivirus a mieux trouvé que des antivirius assez cher).
En effet je prends des risques à ne pas avoir de firewall mais je met à jour mon système régulièrement pour éviter les trous de sécurité et je ne fais tourner que les services dont j'ai besoin.
L'association LinuxFr ne saurait être tenue responsable des propos légalement repréhensibles ou faisant allusion à l'évêque de Rome, au chef de l'Église catholique romaine ou au chef temporel de l'État du Vatican et se trouvant dans ce commentaire
[^] # Re: fireflier
Posté par sylware . Évalué à 1.
[^] # Re: fireflier
Posté par Nadine . Évalué à -5.
[^] # Re: fireflier
Posté par B16F4RV4RD1N . Évalué à 6.
mais c ta faute !
tu n'y connais rien en windows et tu permets de critiquer, vilain !
déjà je suis certain que lorsque tu t'es connecté tu avais les dernières mises à jour par windows eupdète, alors ? hein hein hein ? Et un firewall ? un anti virus ?? hein hein hein ?
vous les linuxiens vous croyez tout savoir alors que windows aussi nécessite d'apprendre à s'en servir correctement pour pouvoir profiter de son concentré de technologie.
Déjà avant de connecter cet ordinateur à internet tu aurais dû aller télécharger (mais pas avec internet explorer hein, avec firefox qu'il faut télécharger en premier) un firewall, ou mieux, télécharger le sp2 et utiliser son super firewall. Ensuite faire les mises à jour via internet, mais avant de te connecter.
(si tu penses que ce que je dis est idiot, bien entendu il faut aller télécharger ces choses depuis un autre ordinateur, qui lui a déjà eu les mises à jour / firewall / antivirus / antispyware via encore un autre ordinateur... ou alors mettre à jour ton ordinateur à partir d'un réseau d'entreprise protégé par un routeur sous linux)
...
...
ok... moi aussi j'ai eu à installer des windows xp...
2 minutes sans firewall, c'est le maximum qu'il tient avant d'attraper un sale virus. Windows 98 était quand même supérieur à ce niveau.
Et que l'on ne rétorque pas que c'est mieux maintenant avec le sp2, car cela démontre quand même que s'ils ont laissé passer toutes ces failles de sécurité avant (des ports ouverts à tout vent), c'est que ce sont de vrais quiches.
Et je parle de vraies failles de sécurité, qui rendent le système encore moins opérationel qu'il l'est en temps normal, pas des 10 X plus de failles que l'on est sensé trouver dans linux et dont ils se gargarisent dans "get the facts", alors que ces failles n'auront pas les mêmes conséquences sur un système linux car anodines ou difficiles à exploiter.
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: fireflier
Posté par B16F4RV4RD1N . Évalué à 3.
je voulais dire :
"déjà je suis certain que lorsque tu t'es connecté tu n'avais pas les dernières mises à jour " et "pas d'anti virus etc."
lorsque je me suis relu j'avais vu :
"es-tu certain que lorsque tu t'es connecté tu n'avais pas les dernières mises à jour "... et j'ai mal corrigé...
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: fireflier
Posté par Raoul Volfoni (site web personnel) . Évalué à 3.
Effectivement en Aout 2004 ça devait vraiment être folklo:
http://isc.sans.org/survivalhistory.php(...)
Aujourd'hui c'est beaucoup mieux (hum), la durée de vie de Windows sur le Net à l'air très prévisible: entre 17 et 25 mn pour tout le monde. Windows c'est vraiment un OS de pirate piraté...
[^] # Re: fireflier
Posté par Sylvain Sauvage . Évalué à 4.
[^] # Re: fireflier
Posté par Nap . Évalué à 0.
[^] # Re: fireflier
Posté par Matthieu . Évalué à 3.
oui et non. Oui, s'il existe une faille sous Firefox qui permet à quelqu'un d'installer un logiciel, alors linux est vulnérable. Non, il n'est pas aussi vulnérable que l'on pourrait le penser. Si, comme il est bon de faire, l'utilisateur n'utilise pas le compte root pour bosser, alors le logiciel ne pourra pas sniffer le réseau ni sniffer le clavier. Il pourra être relay SMTP sur un port > 1024...
[^] # Re: fireflier
Posté par Krunch (site web personnel) . Évalué à 3.
Écrire un spyware Unix n'est pas forcément très difficile. C'est juste que ça n'intéresse pas grand monde pour le moment (dans un but commercial en tout cas). Par contre si tu commences à utiliser SELinux/systrace/fakebust/... ça devient plus compliqué.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: fireflier, les firewalls ne reglent pas les bugs dans les applis !
Posté par free2.org . Évalué à 5.
Ton firewall autorise forcément ton navigateur (et ton mail, et tes p2p et ton IM...) à communiquer avec les sites que tu veux visiter et les ordinateurs des personnes que tu aimes. Si un de ces ordinateurs contient de méchantes données provoquant et exploitant un overflow dans un de tes logiciels sus-cités, alors ton firewall n'y peut strictement rien.
[^] # Re: fireflier, les firewalls ne reglent pas les bugs dans les applis !
Posté par Nap . Évalué à 2.
Non, je n'ai jamais pensé ça. J'ai juste pensé qu'on ne pouvait pas exploiter une faille pour installer des choses.
De plus, en ce qui concerne le relai SMTP, ou bien un module qui écoute sur un port en attendant une requête pour attaquer un site, si avec ton firewall tu as autorisé Firefox à initier des requêtes mais pas à ouvrir une socket qui écoute sur un port TCP, alors il ne pourra pas le faire.
[^] # les firewalls ne reglent pas les bugs dans les applis ! systrace.org
Posté par free2.org . Évalué à 1.
Qu'est-ce qu'on peut pas installer avec une faille dans une programme internet ? Même si elle ne donne pas accès à un compte privilégié, on peut attendre patiemment la prochaine faille de type "escalation" pour le faire. Ce n'est pas un firewall mais plutot un programme comme systrace.org qui peut limiter ce genre de failles.
De plus, en ce qui concerne le relai SMTP, ou bien un module qui écoute sur un port en attendant une requête pour attaquer un site, si avec ton firewall tu as autorisé Firefox à initier des requêtes mais pas à ouvrir une socket qui écoute sur un port TCP, alors il ne pourra pas le faire.
Les attaquants ne manque pas d'imagination: ton ordinateur vérolé peut prendre régulièrement l'initiative de se connecter chez l'attaquant. Plus vicieux, les communications entre ton ordi et l'attaquant peuvent se faire par la lecture et l'écriture de messages sur un site tiers genre yahoo ou google (messagerie, forums,...) que tu visites fréquemment.
[^] # Re: les firewalls ne reglent pas les bugs dans les applis ! systrace.org
Posté par Nap . Évalué à 2.
[^] # Re: les firewalls ne reglent pas les bugs dans les applis ! systrace.org
Posté par free2.org . Évalué à 1.
# La source du problème
Posté par Bruno Coudoin (site web personnel) . Évalué à 10.
Certe, c'est vrai, en tous les cas rien d'aussi poussé à ma connaissance.
Cependant, moi utilisateur de GNU/Linux depuis des années et ignare en windows, je me demande a quoi peut bien servir cet outil merveilleux et indispensable.
Et donc il m'explique que ca permet de se protéger de certains risques. C'est génial mais moi, jusqu'à présent, j'ai jamais eu ses riques. Quel est le meilleur système, celui pour lequel les risques ne sont pas la ou celui qui a la meilleure protection contre les riques qu'il a.
C'est bien mais bon, il a pas acheté un ordinateur pour ca j'espère, la finalité de son ordinateur et normalement tout autre. Enfin, si ca lui plait de passer son temps à dire à son ordinateur ce qu'il a le droit de faire, c'est son problème.
En informatique, souvent, quand on a pas les outils, c'est qu'on a pas les problèmes.
[^] # Re: La source du problème
Posté par Matthieu . Évalué à 9.
Alors robert s'est mit à l'informatique il y a quelques années. Il a acheté un PC dans un magasin et il l'a allumé. Bon, depuis il ne s'est jamais posé la question du système d'exploitation. Pour lui, c'est windows, y'a que ça, c'est le mieux, parce que sinon on ne me l'aurait pas vendu. C'est important déjà de comprendre ça parce que ensuite ça a des répercutions importantes. Et oui, parce que tous les problèmes qu'il rencontre avec windows, il va les trouver "normal" : "pas c'est la vie, c'est l'informatique c'est comme ça. Ce n'est pas la faute de windows, et oh ! windows c'est les meilleurs, tout le monde a ça, si ce n'était pas bien, ça ne marcherait pas.". Voila, robert applique la loi du marché et de la concurrence au produit windows : "le meilleur gagne". Sauf qu'il ne sait pas que en Informatique et plus précisement avec Microsoft, ce n'est pas le meilleur gagne techniquement, mais le meilleur gagne marketingment. Bref vous m'aurez compris, robert fait entièrement confiance à Microsoft vu qu'ils sont leaders.
Robert a donc son PC. On lui explique qu'il lui faut un firewall pour se proteger des méchants. Il en installe un qui lui pose de temps en temps des questions, ça le rassure, il a l'impression d'avoir le contrôle de son ordinateur : il peut interdire ou autoriser les communications. Pour lui, ça reste normal. Maintenant on le met sous Linux. On lui dit : "bah non, tu n'auras pas les boites de dialogue, y'a un firewall sous Linux mais il ne te permet pas d'autoriser ou d'interdire telle application". Et là, il te répond : "bah ça ne me va pas. Tu me dis que Linux est plus sûr que Windows, mais je ne peux pas le vérifier. Tu me demandes de faire confiance à un système que je ne connais pas, et qui en plus est très minoritaire, donc ne doit pas être le meilleur. Je n'ai aucun moyen de savoir si le firewall est efficace ou non ! Ca ne me va pas."
[^] # Re: La source du problème
Posté par alexissoft . Évalué à -1.
En lisant vite j'ai lu Alexis ROBERT (mon nom :) )
[^] # Re: La source du problème
Posté par Nadine . Évalué à -6.
[^] # Re: La source du problème
Posté par alexissoft . Évalué à -1.
[^] # Re: La source du problème
Posté par B16F4RV4RD1N . Évalué à 9.
"Linux c'est nul car il n'y a pas de défragmenteur..."
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: La source du problème
Posté par Krunch (site web personnel) . Évalué à 6.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: La source du problème
Posté par B16F4RV4RD1N . Évalué à 4.
Pas mal de coup des chaussettes.
Et pour le coup du firewall sous linux on est dans une maison où on ferme tous les volets et les portes arrières, laissant seulement passer la lumière par une grande baie vitrée (http), et la porte à qui a le droit d'entrer (ssh), quitte à ouvrir les volets si necessaire (ftp).
Sur windows tout est ouvert à tout vent, et après certains se plaignent des intrusions et microsoft veut poursuivre de tels piratages. Pourtant il me semble que si on laisse tout ouvert chez soi ni l'assurance ni la police ne prennent en compte les vols qui pourraient survenir.
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
# plutot le contraire !!!
Posté par philippe lafaye (site web personnel) . Évalué à 5.
Parceque les deux trois potes qui ont le net direct branché sur leur windows j'aimerai bien pouvoir securiser ca efficacement (sans devoir acheter un firewall routeur hardware a coté)
Le monde est mal fait :(
[^] # Re: plutot le contraire !!!
Posté par Cédric Blancher . Évalué à 8.
Un truc comme le système de filtrage de paquet intégré ? C'est con, tu l'avais sous le nez... C'est un truc fourni en standard sous 2000/XP/2003 qu'on peut configurer avec des outils en ligne de commande comme ça :
http://www.hsc.fr/ressources/outils/pktfilter/index.html.fr(...)
OK, c'est pas stateful, mais ça marche. On peut aussi utiliser la MMC et/ou netsh.
Ceci dit, je préfère garder mes barils de pf et netfilter :)
[^] # Re: plutot le contraire !!!
Posté par philippe lafaye (site web personnel) . Évalué à 1.
[^] # Re: plutot le contraire !!!
Posté par Cédric Blancher . Évalué à 2.
[^] # Re: plutot le contraire !!!
Posté par philippe lafaye (site web personnel) . Évalué à 1.
[^] # Re: plutot le contraire !!!
Posté par Eric Leblond (site web personnel) . Évalué à 1.
Sinon pour un firewall pour les hommes les vrais (ceux qui aiment les fichiers de conf) il y a :
http://tdifw.sourceforge.net/(...)
Bon, il n'est stateful que sur TCP mas c'est déjà ça.
# MANDI
Posté par rexy74 . Évalué à 10.
Je vous propose Mandi. C'est un développement "Mandriva" et je pense que cela se rapproche de vos attentes.
http://qa.mandriva.com/twiki/bin/view/Main/InteractiveFirewall(...)
[^] # Re: MANDI
Posté par fabien . Évalué à 1.
Et j'ai plutot l'impression (j'ai pas testé) qu'il gère plutôt les flux entrants (attaques exterieur).
[^] # Re: MANDI
Posté par imr . Évalué à 3.
Très simple d'emploi, il se configure par défaut lors de la config de shorewall dans la distro mais il peut s'employer avec tout, vu que ça travaille par dessus iptables.
Sur le desktop, il est intégrée à l'applet net de mandriva (net_applet), donc il se gère en un clic de souris par l'utilisateur.
# shorewall + ???
Posté par Nico C. . Évalué à 3.
manquerait plus qu'un mini demon qiu check les tentatives d'acces au reseau et reconfigure shorewall a la volee.
Ca me parait pas super complique (m'enfin je dis ca mais je suis une daube en prog :'( )
# NuFW
Posté par foulmetal canette (site web personnel) . Évalué à 6.
Quelqu'un utilise ?
dépêche DLFP : http://linuxfr.org/2005/06/18/19151.html(...)
site NuFW : http://www.nufw.org/index.php3?lang=fr(...)
[^] # Re: NuFW
Posté par foulmetal canette (site web personnel) . Évalué à 2.
http://linuxfr.org/2005/03/09/18455.html(...)
# MISC
Posté par Fabien Engels . Évalué à 3.
Juste une idée comme ça ... :)
# Protéger quoi ?
Posté par mornik . Évalué à 3.
Quand un amis Robert dit que son firewall est mieux que celui de linux je lui répond simplement que moi je n'ai pas besoin de me protéger de moi même, lui oui ! En général ça suffit à lui faire comprendre que son firewall il sert pas à) grand chose (il l'a récupéré ou ? il y a eu un controle MD5 du setup ? il y a une clée GPG pour garantir son origine ?) Moi tout les composants installé de ma distri sont vérifié, la communauté à vérifiée la non présence de backdoor, bref je lui explique que mon système est dès le dépard sain. Je peux même configurer mon firewall avant de me connecter au net, pas lui !
Voila ce que j'explique au Robert quand il me prend le choux avec ses applis à 2 sous qui n'existent pas sous nunux : moi j'ai pas d'antivirus ni de firewall et mon pc marche parfaitement. Je ne perd pas 1/2 heure chaque jour à cliquer sur une boite pour savoir si je suis d'accord pour que tel ou tel processes se connecte à l'adresse ip 80.125.56.23 qui représente rien pour moi. Moi j'utilise mon pc c'est tout !
A+ et bonjour à tous les Robert ;)
[^] # Re: Protéger quoi ?
Posté par serge_kara . Évalué à 2.
surtout a te proteger des vers qui veulent entrer et des softs installes a l'insu de l'utilisateur (virus et/ou spywares).
Je peux même configurer mon firewall avant de me connecter au net, pas lui !
gneee?
t'as vu la vierge ou quoi?
chaque fois que j'ai installe un windows chez ouam, j'ai toujours configure le pare feu avant de me connecter... J'suis oblige de toutes facons, vu que j'installe un xp sans sp, sinon je chope blaster et toute la smala en moins de 5 minutes...
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.