Le Firewall fonctionne bien

[invite1d6047b6]

Bonjour
j'ai installé Zone Alarm depuis peu et quand je vois le nombre d'intrusions qu'il bloque, je me demande comment j'ai pu survivre avant.
Cependant, il doit bien y avoir des "amis" qui veulent entrer. Comment les reconnaît-on?
Et comment on leur ouvre la porte dans ces moments là?
Cela ne pose-t-il pas de problèmes?
Liam

[invitee5cb9cf7]

Heu qu'entend tu exactement par le terme "amis" ?

[invite1d6047b6]

Je ne sais pas, il n'y a pas des situations où un site web réalise des opérations d'échanges avec mon ordi? Une intrusion est-elle systématiquement "mauvaise" ou ennemie? Ce qu'un firewall arrête est-il systématiquement mauvais?

[invitec0e2bf72]

En règle générale, toute connexion (entrante, mais aussi sortante) que tu n'as pas initiée est à refuser. Maintenant, cela dépend de ton usage du net (serveur web, messagerie instantanée, etc.). Connais-tu le site Comprendre l'ordinateur ? Les points 2 et 4, en particulier, permettent de mieux comprendre ce qui se passe au niveau d'un firewall lorsqu'on est connecté.

Voili voilo, c'est tout pour ce soir...

[A voir en vidéo sur Futura]

[JPL]

La plupart de ce qu'arrête un firewall, c'est du bruit de fond tout à fait normal sur Internet. Il n'empêche que si les tentatives d'intrusion sérieuses sont rares, elles justifient largement l'utilisation de cet outil.

[invite1d6047b6]

La plupart de ce qu'arrête un firewall, c'est du bruit de fond tout à fait normal sur Internet. Il n'empêche que si les tentatives d'intrusion sérieuses sont rares, elles justifient largement l'utilisation de cet outil.

Du bruit de fond. Alors c'est l'auberge espagnole là-dedans! On entre, on sort et on se sert éventuellement, si j'ai bien compris. Mais comment mon ordinateurs peut-il être aussi perméable? Excuse-moi pour cette question de béotien.
Merci encore. J'ai des tonnes d'autres questions qui me passent par la tête. Mais je vais faire un tri pour ne pas polluer ce forum avec des questions bêtes.

[JPL]

Du bruit de fond. Alors c'est l'auberge espagnole là-dedans! On entre, on sort et on se sert éventuellement, si j'ai bien compris. Mais comment mon ordinateurs peut-il être aussi perméable? Excuse-moi pour cette question de béotien.

Non, la plupart des choses arrêtées par un pare-feu sont le signe d'activités banales qui ne sont pas dirigées contre ton ordinateur et qui ne permettent en aucun cas d'y entrer pour espionner ou prendre le contrôle de la machine. Quant à la question de savoir pourquoi un ordinateur non protégé est si perméable, c'est bien simple : les réseaux ont été conçus initialement pour communiquer entre gens de bonne foi (c'est un peu simplifié, mais fondamentalement pas faux).

[invite1d6047b6]

Non, la plupart des choses arrêtées par un pare-feu sont le signe d'activités banales qui ne sont pas dirigées contre ton ordinateur et qui ne permettent en aucun cas d'y entrer pour espionner ou prendre le contrôle de la machine. Quant à la question de savoir pourquoi un ordinateur non protégé est si perméable, c'est bien simple : les réseaux ont été conçus initialement pour communiquer entre gens de bonne foi (c'est un peu simplifié, mais fondamentalement pas faux).

OK. Merci
Liam

[invitec0e2bf72]

La plupart de ce qu'arrête un firewall, c'est du bruit de fond tout à fait normal sur Internet. Il n'empêche que si les tentatives d'intrusion sérieuses sont rares, elles justifient largement l'utilisation de cet outil.

Bonjour JPL,

Mon firewall intercepte quotidiennement un certain nombre d'Echo Request (ICMP [8]), émanant d'ailleurs pour la plupart d'internautes abonné(e)s au même FAI que moi... Cela relève-t-il du bruit de fond, ou s'agit-il d'une étape préliminaire à la recherche d'ordinateurs vulnérables (scanneurs d'IP) ?
Comme tu l'auras compris, je ne suis ni ingénieur informaticien, ni administrateur réseau, mais je vois d'autres avantages à l'utilisation d'un firewall personnel, et notamment :
- connexion entrante : protection primaire contre les vers ;
- connexion sortante : protection secondaire contre les chevaux de Troie et autres spywares.
Est-ce correct ?

Quant à la question de savoir pourquoi un ordinateur non protégé est si perméable, c'est bien simple : les réseaux ont été conçus initialement pour communiquer entre gens de bonne foi.

Les pionniers du net, universitaires ou militaires, étaient certainement de bonne foi ; pour autant, ils ne devaient pas négliger la sécurité de leurs (transferts de) données ! Et si les ordinateurs, en particulier les systèmes Windows, sont potentiellement de véritables passoires, n'est-ce pas plutôt du fait des nombreuses failles logicielles (permettant notamment l'ouverture illégitime de ports de communication) régulièrement découvertes et publiées ?

Cordialement,
george_e

[JPL]

Mon firewall intercepte quotidiennement un certain nombre d'Echo Request (ICMP [8]), émanant d'ailleurs pour la plupart d'internautes abonné(e)s au même FAI que moi... Cela relève-t-il du bruit de fond, ou s'agit-il d'une étape préliminaire à la recherche d'ordinateurs vulnérables (scanneurs d'IP) ?

C'est une bonne question en effet, mais comme cela se borne à répondre "il y a quelqu'un... ou il n'y a personne à l'adresse demandée" cela ne va pas très loin.

Comme tu l'auras compris, je ne suis ni ingénieur informaticien, ni administrateur réseau,

Moi non plus, même si je me suis longtemps occupé du réseau de mon département d'IUT.

mais je vois d'autres avantages à l'utilisation d'un firewall personnel, et notamment :
- connexion entrante : protection primaire contre les vers ;
- connexion sortante : protection secondaire contre les chevaux de Troie et autres spywares.
Est-ce correct ?

Parfaitement correct, à une réserve près : protection contre quelques vers passant directement par Internet.

[invitec0e2bf72]

C'est une bonne question en effet, mais comme cela se borne à répondre "il y a quelqu'un... ou il n'y a personne à l'adresse demandée" cela ne va pas très loin.

Bon, tant mieux ; je pensais que l'étape suivante était le scan des ports... et plus si "affinités" !

Parfaitement correct, à une réserve près : protection contre quelques vers passant directement par Internet.

Oui, je pensais aux vers stricto sensu, tel l'Internet Worm de 1988, décrit dans cet excellent article de Christophe Blaess :

Les vers sont relativement rares, du fait de la complexité de leur réalisation. Il ne faut pas les confondre avec un autre type de dangers, de plus en plus courants, les virus se transmettant en pièce attachée des courriers électroniques à la manière du fameux ILoveYou.

De fait, la base de définitions de virus d'avast! 4 Home Edition n'en recense à ce jour "que" 261.

[JPL]

Les vers sont relativement rares, du fait de la complexité de leur réalisation. Il ne faut pas les confondre avec un autre type de dangers, de plus en plus courants, les virus se transmettant en pièce attachée des courriers électroniques à la manière du fameux ILoveYou.

Mais non : ce qui se transmet dans l'immense majorité des cas par courrier, ce sont des vers. Critères : ils ne se multiplient pas pour aller infecter des fichiers ou des zones exécutables du disque. Les vers sont des programmes autonomes contrairement aux virus qui ne peuvent pas vivre et être actifs s'ils ne sont pas hébergés dans un exécutable qu'ils parasitent.

[invitec0e2bf72]

Mais non : ce qui se transmet dans l'immense majorité des cas par courrier, ce sont des vers. Critères : ils ne se multiplient pas pour aller infecter des fichiers ou des zones exécutables du disque.

Au temps pour moi, ma définition personnelle du ver était trop restrictive (un firewall peut donc aussi limiter la propagation d'un ver utilisant son propre moteur SMTP). D'ailleurs, si l'article auquel je me réfère date de plus de 2 ans, son introduction est très claire :

• Les virus se reproduisent en infectant le corps de programmes hôtes ;
• Les chevaux de Troie (trojan horses) exécutent des tâches malignes en se dissimulant au sein d'une coquille applicative d'aspect inoffensif ;
• Les vers (worms) profitent des réseaux informatiques pour se propager, par courrier électronique par exemple ;
• Les accès cachés (backdoors) permettent à un utilisateur externe de prendre le contrôle d'une application par des moyens détournés.

L'auteur précise néanmoins que « la classification n'est pas toujours très aisée » ; certains chevaux de Troie installent un accès caché (connexion entrante), d'autres sont de simples délateurs (connexion sortante)... Le terme « spyware » recouvre-t-il les 2 types ? Pour en revenir au firewall, je propose cette nouvelle formulation :
- connexion entrante : protection primaire contre quelques vers, secondaire contre certains chevaux de Troie ;
- connexion sortante : protection secondaire contre la plupart des vers et certains chevaux de Troie.

Je m'aperçois que j'ai un peu étiré ce fil de discussion, JPL... L'objectif était simplement de préciser qu'un firewall constitue aussi une bonne deuxième ligne de défense contre certains vers et certains spywares. Mais bon, liamborough et moi (au moins) sommes désormais convaincus du fait que si un firewall ne sert pas très souvent, il s'avère parfois indispensable !

Cordialement,
george_e

[invitec0e2bf72]

- connexion entrante : protection primaire contre les vers ;
- connexion sortante : protection secondaire contre les chevaux de Troie et autres spywares.

Je n'ai pas la possibilité d'éditer mon précédent post ; je crois que c'est plutôt ça, en fait :
- connexion entrante : protection primaire contre les vers, secondaire contre les chevaux de Troie ;
- connexion sortante : protection secondaire contre les spywares.

[JPL]

Non, ta première formulation était bonne : ce qui pose problème, c'est un cheval de Troie sur ta machine, qui veut communiquer avec l'extérieur.

[invitec0e2bf72]

Non, ta première formulation était bonne : ce qui pose problème, c'est un cheval de Troie sur ta machine, qui veut communiquer avec l'extérieur.

Oui, d'accord, le cheval de Troie est sur ma machine, mais ne se contente-t-il pas d'ouvrir un port et d'attendre une connexion entrante (comme un serveur, donc) ? Mais ce n'est peut-être pas le cas le plus fréquent, effectivement. Peut-être aussi commencé-je à raconter n'importe quoi... Quoi qui'il en soit, merci JPL, pour ces précisions, et bonne soirée.

Cordialement,
george_e

[invite55d491cf]

Oui, d'accord, le cheval de Troie est sur ma machine, mais ne se contente-t-il pas d'ouvrir un port et d'attendre une connexion entrante (comme un serveur, donc) ?

Si ton adresse ip change souvent, l'utilisateur du cheval ne va pas pouvoir retrouver ta machine comme ça par magie: il faut que le virus, d'une manière ou d'une autre, communique avec l'extérieur pour dire qu'il est là à son maître. De plus, avec le nombre croissant de gens qui ont un "routeur" adsl, il faut qu'une connection soit initiée de l'intérieur de ton réseau local.

Mais je précise qu'ouvrir un port c'est vraiment pas discret et il y a bien d'autres techniques plus subtiles. Enfin, c'est vrai qu'il y a toujours des mongols pour faire joujou avec netbus ou sub7, mais ce n'est que la (petite) partie visible.

[invitec0e2bf72]

Si ton adresse ip change souvent, l'utilisateur du cheval ne va pas pouvoir retrouver ta machine comme ça par magie: il faut que le virus, d'une manière ou d'une autre, communique avec l'extérieur pour dire qu'il est là à son maître.

Oui, c'est logique, effectivement !

Mais je précise qu'ouvrir un port c'est vraiment pas discret et il y a bien d'autres techniques plus subtiles.

Voilà qui fait froid dans le dos... Un firewall reste-t-il efficace, ou n'arrête-t-il finalement que les crétins du dimanche ?

[invite1d6047b6]

En règle générale, toute connexion (entrante, mais aussi sortante) que tu n'as pas initiée est à refuser.

Ok merci pour ces infos. Je retiens et je m'en vais étudier cela de plus près sur le site que tu me recommandes.
Merci encore.

[invite1d6047b6]

Connais-tu le site Comprendre l'ordinateur ? Les points 2 et 4, en particulier, permettent de mieux comprendre ce qui se passe au niveau d'un firewall lorsqu'on est connecté.
Merci pour ce site que je viens de survoler.