Le Firewall fonctionne bien
Bonjour
j'ai installé Zone Alarm depuis peu et quand je vois le nombre d'intrusions qu'il bloque, je me demande comment j'ai pu survivre avant.
Cependant, il doit bien y avoir des "amis" qui veulent entrer. Comment les reconnaît-on?
Et comment on leur ouvre la porte dans ces moments là?
Cela ne pose-t-il pas de problèmes?
Liam
Heu qu'entend tu exactement par le terme "amis" ?
Je ne sais pas, il n'y a pas des situations où un site web réalise des opérations d'échanges avec mon ordi? Une intrusion est-elle systématiquement "mauvaise" ou ennemie? Ce qu'un firewall arrête est-il systématiquement mauvais?
En règle générale, toute connexion (entrante, mais aussi sortante) que tu n'as pas initiée est à refuser. Maintenant, cela dépend de ton usage du net (serveur web, messagerie instantanée, etc.). Connais-tu le site Comprendre l'ordinateur ? Les points 2 et 4, en particulier, permettent de mieux comprendre ce qui se passe au niveau d'un firewall lorsqu'on est connecté.
Voili voilo, c'est tout pour ce soir...
La plupart de ce qu'arrête un firewall, c'est du bruit de fond tout à fait normal sur Internet. Il n'empêche que si les tentatives d'intrusion sérieuses sont rares, elles justifient largement l'utilisation de cet outil.
Rien ne sert de penser, il faut réfléchir avant - Pierre Dac
Re : Le Firewall fonctionne bien
Ok merci pour ces infos. Je retiens et je m'en vais étudier cela de plus près sur le site que tu me recommandes.Envoyé par george_e
Merci encore.
Re : Le Firewall fonctionne bien
Du bruit de fond. Alors c'est l'auberge espagnole là-dedans!On entre, on sort et on se sert éventuellement, si j'ai bien compris. Mais comment mon ordinateurs peut-il être aussi perméable? Excuse-moi pour cette question de béotien.
Merci encore. J'ai des tonnes d'autres questions qui me passent par la tête. Mais je vais faire un tri pour ne pas polluer ce forum avec des questions bêtes.
Re : Le Firewall fonctionne bien
Connais-tu le site Comprendre l'ordinateur ? Les points 2 et 4, en particulier, permettent de mieux comprendre ce qui se passe au niveau d'un firewall lorsqu'on est connecté.
Merci pour ce site que je viens de survoler.
Non, la plupart des choses arrêtées par un pare-feu sont le signe d'activités banales qui ne sont pas dirigées contre ton ordinateur et qui ne permettent en aucun cas d'y entrer pour espionner ou prendre le contrôle de la machine. Quant à la question de savoir pourquoi un ordinateur non protégé est si perméable, c'est bien simple : les réseaux ont été conçus initialement pour communiquer entre gens de bonne foi (c'est un peu simplifié, mais fondamentalement pas faux).Du bruit de fond. Alors c'est l'auberge espagnole là-dedans! On entre, on sort et on se sert éventuellement, si j'ai bien compris. Mais comment mon ordinateurs peut-il être aussi perméable? Excuse-moi pour cette question de béotien.
Rien ne sert de penser, il faut réfléchir avant - Pierre Dac
Re : Le Firewall fonctionne bien
OK. Merci
Liam
Bonjour JPL,
Mon firewall intercepte quotidiennement un certain nombre d'Echo Request (ICMP [8]), émanant d'ailleurs pour la plupart d'internautes abonné(e)s au même FAI que moi... Cela relève-t-il du bruit de fond, ou s'agit-il d'une étape préliminaire à la recherche d'ordinateurs vulnérables (scanneurs d'IP) ?
Comme tu l'auras compris, je ne suis ni ingénieur informaticien, ni administrateur réseau, mais je vois d'autres avantages à l'utilisation d'un firewall personnel, et notamment :
- connexion entrante : protection primaire contre les vers ;
- connexion sortante : protection secondaire contre les chevaux de Troie et autres spywares.
Est-ce correct ?
Les pionniers du net, universitaires ou militaires, étaient certainement de bonne foi ; pour autant, ils ne devaient pas négliger la sécurité de leurs (transferts de) données ! Et si les ordinateurs, en particulier les systèmes Windows, sont potentiellement de véritables passoires, n'est-ce pas plutôt du fait des nombreuses failles logicielles (permettant notamment l'ouverture illégitime de ports de communication) régulièrement découvertes et publiées ?
Cordialement,
george_e
C'est une bonne question en effet, mais comme cela se borne à répondre "il y a quelqu'un... ou il n'y a personne à l'adresse demandée" cela ne va pas très loin.Mon firewall intercepte quotidiennement un certain nombre d'Echo Request (ICMP [8]), émanant d'ailleurs pour la plupart d'internautes abonné(e)s au même FAI que moi... Cela relève-t-il du bruit de fond, ou s'agit-il d'une étape préliminaire à la recherche d'ordinateurs vulnérables (scanneurs d'IP) ?
Moi non plus, même si je me suis longtemps occupé du réseau de mon département d'IUT.Comme tu l'auras compris, je ne suis ni ingénieur informaticien, ni administrateur réseau,
Parfaitement correct, à une réserve près : protection contre quelques vers passant directement par Internet.mais je vois d'autres avantages à l'utilisation d'un firewall personnel, et notamment :
- connexion entrante : protection primaire contre les vers ;
- connexion sortante : protection secondaire contre les chevaux de Troie et autres spywares.
Est-ce correct ?
Rien ne sert de penser, il faut réfléchir avant - Pierre Dac
Je n'ai pas la possibilité d'éditer mon précédent post ; je crois que c'est plutôt ça, en fait :
- connexion entrante : protection primaire contre les vers, secondaire contre les chevaux de Troie ;
- connexion sortante : protection secondaire contre les spywares.
Non, ta première formulation était bonne : ce qui pose problème, c'est un cheval de Troie sur ta machine, qui veut communiquer avec l'extérieur.
Rien ne sert de penser, il faut réfléchir avant - Pierre Dac
Bon, tant mieux ; je pensais que l'étape suivante était le scan des ports... et plus si "affinités" !
Oui, je pensais aux vers stricto sensu, tel l'Internet Worm de 1988, décrit dans cet excellent article de Christophe Blaess :
De fait, la base de définitions de virus d'avast! 4 Home Edition n'en recense à ce jour "que" 261.Les vers sont relativement rares, du fait de la complexité de leur réalisation. Il ne faut pas les confondre avec un autre type de dangers, de plus en plus courants, les virus se transmettant en pièce attachée des courriers électroniques à la manière du fameux ILoveYou.
Oui, d'accord, le cheval de Troie est sur ma machine, mais ne se contente-t-il pas d'ouvrir un port et d'attendre une connexion entrante (comme un serveur, donc) ? Mais ce n'est peut-être pas le cas le plus fréquent, effectivement. Peut-être aussi commencé-je à raconter n'importe quoi... Quoi qui'il en soit, merci JPL, pour ces précisions, et bonne soirée.
Cordialement,
george_e
Mais non : ce qui se transmet dans l'immense majorité des cas par courrier, ce sont des vers. Critères : ils ne se multiplient pas pour aller infecter des fichiers ou des zones exécutables du disque. Les vers sont des programmes autonomes contrairement aux virus qui ne peuvent pas vivre et être actifs s'ils ne sont pas hébergés dans un exécutable qu'ils parasitent.Les vers sont relativement rares, du fait de la complexité de leur réalisation. Il ne faut pas les confondre avec un autre type de dangers, de plus en plus courants, les virus se transmettant en pièce attachée des courriers électroniques à la manière du fameux ILoveYou.
Rien ne sert de penser, il faut réfléchir avant - Pierre Dac
Au temps pour moi, ma définition personnelle du ver était trop restrictive (un firewall peut donc aussi limiter la propagation d'un ver utilisant son propre moteur SMTP). D'ailleurs, si l'article auquel je me réfère date de plus de 2 ans, son introduction est très claire :L'auteur précise néanmoins que « la classification n'est pas toujours très aisée » ; certains chevaux de Troie installent un accès caché (connexion entrante), d'autres sont de simples délateurs (connexion sortante)... Le terme « spyware » recouvre-t-il les 2 types ? Pour en revenir au firewall, je propose cette nouvelle formulation :
- Les virus se reproduisent en infectant le corps de programmes hôtes ;
- Les chevaux de Troie (trojan horses) exécutent des tâches malignes en se dissimulant au sein d'une coquille applicative d'aspect inoffensif ;
- Les vers (worms) profitent des réseaux informatiques pour se propager, par courrier électronique par exemple ;
- Les accès cachés (backdoors) permettent à un utilisateur externe de prendre le contrôle d'une application par des moyens détournés.
- connexion entrante : protection primaire contre quelques vers, secondaire contre certains chevaux de Troie ;
- connexion sortante : protection secondaire contre la plupart des vers et certains chevaux de Troie.
Je m'aperçois que j'ai un peu étiré ce fil de discussion, JPL... L'objectif était simplement de préciser qu'un firewall constitue aussi une bonne deuxième ligne de défense contre certains vers et certains spywares. Mais bon, liamborough et moi (au moins) sommes désormais convaincus du fait que si un firewall ne sert pas très souvent, il s'avère parfois indispensable !
Cordialement,
george_e
Si ton adresse ip change souvent, l'utilisateur du cheval ne va pas pouvoir retrouver ta machine comme ça par magie: il faut que le virus, d'une manière ou d'une autre, communique avec l'extérieur pour dire qu'il est là à son maître. De plus, avec le nombre croissant de gens qui ont un "routeur" adsl, il faut qu'une connection soit initiée de l'intérieur de ton réseau local.
Mais je précise qu'ouvrir un port c'est vraiment pas discret et il y a bien d'autres techniques plus subtiles. Enfin, c'est vrai qu'il y a toujours des mongols pour faire joujou avec netbus ou sub7, mais ce n'est que la (petite) partie visible.
Oui, c'est logique, effectivement !
Voilà qui fait froid dans le dos... Un firewall reste-t-il efficace, ou n'arrête-t-il finalement que les crétins du dimanche ?
Certains virus installe des backdoor, qui ne sont que des ports ouverts effectivements, permettant de controler la machine à distance. Pas besoin que les virus renvoie l'ip à qui que ce soit, il suffit de scanner plein de machines sur ce port.
D'autres se connectent à serveurs exterieurs (serveurs IRC par exemple) et attendnet les ordres
Dans tous les cas le firewall permet d'arreter les connections indésirables .. seulement il faut bien le configurer.
Ca n'empeche pas de faire attention, et ca suppose ques les logiciels qu'on utilise n'ont pas de failles de sécurité.
Effectivement très discret comme méthode.
Hé, tout le monde n'utilise pas sub7 et cie. Ce genre de logiciel ne mérite même pas l'appellation de "cheval de troie".D'autres se connectent à serveurs exterieurs (serveurs IRC par exemple) et attendnet les ordres
Non, point final. Un programme, une fois dans une machine, a beaucoup d'options pour communiquer avec l'extérieur. En passant par la communication -cryptée, bien sûr- par de simples requêtes ICMP (pings et cie), par l'infection d'un processus autorisé à sortir, jusqu'à l'utilisation directe de la couche NDIS.Dans tous les cas le firewall permet d'arreter les connections indésirables .. seulement il faut bien le configurer.
edit: Je me suis bien sûr limité aux plateformes Window$. Le monde merveilleux de la sécurité est heureusment plus vaste que le kevin du dimanche qui vient faire son h4x0r sur la pitite machine familiale.
Bien sur mais en configurant bien le firewall on peut limiter ces options. Par exemple pour une machine de bureau ne se servant de la connection que pour aller sur internet, on peut refuser toute connection entrante, et n'autoriser les paquets sortant qu'à destination de HTTP/HTTPS, voir utiliser un proxy qui filtre tout sauf le protocol http
Ainsi un virus ne pourra agir que par un tunnel http. C'est faisable mais peu probable.
Le filtrage par application, c'est bien beau mais faut pas avoir une confiance aveugle dans ce truc.
Si c'est un firewall/proxy externe, la solution du tunnel HTTP est peut-être la seule qui reste. Mais si c'est un firewall sur la même machine que le troyen, il suffit que le programme ait des droits un tant soit peu étendus (ce qui arrive souvent avec les ordinateurs de bureau, où les gens se loggent avec des droits admin pour faire leur travail de tous les jours! O_o), ou qu'il soit possible qu'un faille quelque part permette d'avoir lesdits droits (mais bon, ici on aurait affaire à un pro), pour attaquer directement le pauvre petit firewall, et, pourquoi pas, le détourner.
C'est une approche de la sécurité qui a l'air d'être à la mode, en effet.C'est faisable mais peu probable.
Bon, sérieusement, n'importe quel programmeur débutant saurait programmer un logiciel utilisant un tunnel HTTP (ou même HTTPS, pour être sûr que le proxy ne trouve pas nos "transactions" cryptées bizarres), surtout avec des implémentations open-source déjà existantes disponibles librement.
Enfin, je te rappelle qu'avec l'avènement du P2P, chaque ordi de particulier se transforme en petit serveur... finie la sécurité.
Oui certes, mais étant donné le nombre malheureusement énorme de machines non protégés, personne ne va s'emmerder à faire ca, d'ailleurs y'en a combien à l'heure actuelle qui utilse des tunnels HTTP ? voir combien qui n'utilise que le port 80 ?
Quelques regles basiques permettent de se protéger de la masse, on ne parle pas d'avoir un système où personne ne pourra s'introduire s'il le veux vraiement.
Peut-être que quelqu'un est en ce moment même en train de te lire et de se dire que, finalement, c'est pas une si mauvaise idée, ce tunnel HTTP...
Bah oui, un bon vieux deny all ca marche bien contre les connections indésirables
