Pare feu vs tarte aux cerises (Pirlouy contre le reste du mo

Quand tout est (trop ?) bien organisé, il y a besoin d'une ouverture. Ici on parle de tout, mais pas de n'importe quoi, vous êtes prévenus.
Bobe
Iguane
Messages : 741
Enregistré le : 28 juil. 2003, 21:29

Message par Bobe » 24 mai 2006, 18:05

pirlouy a écrit :
Bobe a écrit :Conclusion: Une machine n’est efficacement protégée qu’avec un pare-feu installé, configuré et démarré (autre solution, débrancher la machine du réseau).
ça c'est faux par contre.
Si tu crois qu'un pare-feu te protège de tout, non...
J’ai pas dit que ça protége de tout, ça protège mieux que pas de pare-feu du tout.
« La vie d’un geek est un combat perpétuel contre l’imperfection »

pirlouy
Tyrannosaurus Rex
Messages : 3648
Enregistré le : 03 nov. 2005, 05:05

Message par pirlouy » 24 mai 2006, 18:26

Mais c'est compliqué et du coup, ça peut éventuellement empêcher un logiciel de marcher (quand mal réglé) et ça ralentit la connexion donc si on prend les avantages et les inconvénients, bof...

Thony
Lézard à collerette
Messages : 230
Enregistré le : 29 mars 2006, 19:50

Message par Thony » 24 mai 2006, 18:37

Message d'un néophyte

Je soutiens pirlouy sur un point: un pare feu mal réglé c'est la misère, personnellement le réglage du mien doit s'apparenter a une passoire...
Les gens ne comprenants rien a l'informatique ne peuvent pas régler seul leur firewall :!:

Mais ce n'est pas pour autant que je m'en débarrasserais, mieux vaut etre mal protégé que pas du tout, les risques sont dans ce cas la limités.

Donc je soutiens la politique du "sortez couvert"

[je laisse le débat aux experts]

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.0.3) Gecko/20060426 Firefox/1.5.0.3
Modifié en dernier par Thony le 24 mai 2006, 22:37, modifié 1 fois.

Avatar du membre
jpj
Animal mythique
Messages : 25243
Enregistré le : 01 août 2005, 15:38

Message par jpj » 24 mai 2006, 18:55

Pirlouy, à toi de redescendre sur terre. La grande majorité des virus se contrefichent totalement de trouver ou non des ports ouverts. La seule chose qui intéresse leur créateur est de pouvoir rentrer et là, en général, la faille de sécurité se trouve entre les deux oreilles ("En pièce jointe la" photo_de_machine_a_ poil.jpg et le .bat est derrière 250 espaces). Ensuite, si l’antivirus est désactivé comme il t’arrive souvent de le conseiller :roll:

Ça c’est pour les virus. Il n’en va pas du tout de même pour les différentes catégories de "malwares": chevaux de Troie, keyloggers et autres saloperies. Et, manque de chance, il n’existe pas d’antivirus qui soit vraiment bon contre ces menaces. Tous se situent entre le passable et le franchement mauvais. Les éditeurs tentent de rattraper leur retard dans ce domaine mais aucun n’est au top, il s’en faut de beaucoup.

Quand à la démarche qui consiste à dire que les utilisateurs n’ont pas envie qu’on les ennuie ou qu’ils sont trop bêtes pour comprendre, oui, bon, c’est la logique TF1, ça. Chacun son truc. Tant dans ma profession qu’en informatique, j’estime que si j’ouvre les yeux à ne serait-ce qu’un infime pourcentage de mes interlocuteurs, je n’ai pas perdu mon temps.

Et on a aussi le droit de dire parfois: "ah, il faut reformater, c’est bête, hein! Les données, ah ben y’en a pu". Mais on a ce droit uniquement si on a tenté avant, en vain, d’informer et de convaincre les utilisateurs.

PS. S’il est aussi facile de rentrer par le port 80, je me demande comment internet existe encore et pourquoi certains se fatiguent à scanner 65000 ports.

Et m... zut, pas vu qu'on était passé en page 2.

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.0.3) Gecko/20060426 Firefox/1.5.0.3
Modifié en dernier par jpj le 24 mai 2006, 18:57, modifié 1 fois.

Avatar du membre
ra-mon
Varan
Messages : 1492
Enregistré le : 16 janv. 2004, 09:51

Message par ra-mon » 24 mai 2006, 18:57

bien vu Pirlouy... on se laisse souvent avoir par ce vilain sentiment de sécurité offert par ces outils magiques que sont antivirus, et pare-feu ;-)
Je pense comme toi que ces outils sont utiles uniquement si on les maitrise, sinon ils ne sont en général que des sources d'ennuis, voire d'insécurité (par le sentiment sécuritaire qu'ils induisent, il peuvent amener l'utilisateur à devenir moins vigilant, voire à faire n'importe quoi)
Le cas typique est le pare feu de XP (SP2, "ayez confiance" qu'ils disaient): s'il protège par défaut et sans interface complexe (merci microsoft...) les ports inutilement ouverts des XP de base, très peu savent qu'il laissera sortir bêtement le virus reçu gentillement par mail.
Ou sinon c'est l'utilisateur lambda qui vient de télécharger Zone Alarm parce qu'on lui a dit que Windows était plein de trou (c'est en général le même qui s'est jeté sur Firefox quand il a lu partout qu'IE bbbrrrr pouvait amener des spyware hyper "DangereuX")) et qui valide toutes les alertes sans les comprendre car sinon il ne pourrait plus aspirer des Go de ressources culturelles via son incontournable soft de P2P...
Ou encore Mme Michu qui arrive pas à envoyer des pièces-jointes parce que son superbe antivirus installé par défaut et qui se met à jour on ne sait trop comment lui induit un petit temps de latence dans le dialogue avec le serveur SMTP et qui frissonnera quand on lui conseillera de ne plus laisser l'antivirus s'occuper de ses mails...
Ou encore le gars qui arrive plus à se connecter à un pôv' webmail depuis qu'il à installé une usine antivirale qui protège vachement bien...
Même Flore s'inquiète des tripotage de port "à sasser" mais des sasser je m'en suis volontairement injecté un paquet et aucun n'a empèché firefox de se connecter à un webmail et un client mail d'envoyer ou recevoir une pièce jointe ;) ça fait rebooter le PC et alors, c'est bô un PC qui reboot, non ? je suis sure que tu préfères moins un PC qui ne reboote plus du tout.
Bon c'est vrai qu'on pourra toujours tomber un jour sur une saloperie vicelarde qui fera du dégat (on en a pas vu tellement depuis l'an 2000, hein!), alors là, effectivement, l'utilisateur, une fois qu'il aura perdu un bon paquet de données (parce que l'utilisateur lambda en général ne sauvegardement pas plus qu'il ne tente de comprendre les autres logiciels magiques) sera probablement plus vigilant et prêt à se cultiver, car en gros il aura surement tout perdu en désarchivant et en exécutant instruction.txt .pif reçu dans un mail en yahourt, exécution malheureuse qui aura pu aussi bien fermer ses antivirus, empècher l'exécution de regedit ou de l'interpréteur de commande, désactiver son firewall avant de suppirmer tous ses jpeg, mp3, carnet d'adresses thunderbird et bookmarks de firefox... ce ne sont pas les logiciels qui auront sauvé quoi que ce soit ;-) et si un AV ou un un FW rendait l'utilisateur plus intellignet ça se saurait.

Pour résumer, en gros, je préfère voire une machine ravagée par la peste logicielle alors qu'elle n'a pas du tout de logiciel de sécurité, qu'un utilisateur pleurnichant qu'il a chopé un virus malgré SP2-AV-FW ;-)
et actuellement, on rencontre davantage le second cas.

A l'inverse quand l'utilisateur fait l'effort de lire un peu et connait très bien le fonctionnement du firewall (en général il ne parle plus de firewall matériel parce qu'il sait qu'un firewall, c'est TOUJOURS un logiciel), donc a acqui les bonnes bases en IP, ainsi qu'un bonne connaissance des virus et par voie de conséquence des antivirus ou autre bloqueur, il n'a plus guère besoin, non plus, des ces outils... c'est ça le pire ;-)

plus que le slogan "sortez couvert", je prone plutôt le "sortez formé" et mes deux ou trois liens de base :
http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html
http://www.usenet-fr.net/fur/comp/secur ... ewall.html
http://christian.caleca.free.fr/
http://www.secuser.com/

bonne lecture,

@+
--
Pierre

Message envoyé avec : Opera/9.00 (Windows NT 5.1; U; fr)

Avatar du membre
ra-mon
Varan
Messages : 1492
Enregistré le : 16 janv. 2004, 09:51

Message par ra-mon » 24 mai 2006, 19:00

la faille de sécurité se trouve entre les deux oreilles ("En pièce jointe la" photo_de_machine_a_ poil.jpg et le .bat est derrière 250 espaces). Ensuite, si l’antivirus est désactivé comme il t’arrive souvent de le conseiller
vaut il mieux conseiller banalement "installe un antivirus" sans plus de détail ou "clique pas comme un ane sur photo_de_machine_a_ poil"
Pirlouy et moi, je crois qu'on a choisi ;-)

@+
--
Pierre

Message envoyé avec : Opera/9.00 (Windows NT 5.1; U; fr)

epsy
Varan
Messages : 1024
Enregistré le : 21 déc. 2005, 19:58

Message par epsy » 24 mai 2006, 19:10

pirlouy a écrit :Un modem-routeur n'a pas forcément de pare-feu (la freebox par exemple)
il y a un pare feu matériel dans la freebox

Message envoyé avec : Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.8.0.2) Gecko/20060308 Firefox/1.5.0.2

edit: et franchement je comprends l'exaspération de pirlouy, moi aussi si la meme personne me pose 10 fois de suite la meme question, je m'enerve
Modifié en dernier par epsy le 24 mai 2006, 19:25, modifié 1 fois.
҈ - config- http://fr.enlightenment.org - wikipedia mon amiiii! - JID: epsy arobase :) jaim.at

Avatar du membre
jpj
Animal mythique
Messages : 25243
Enregistré le : 01 août 2005, 15:38

Message par jpj » 24 mai 2006, 19:10

Bonsoir,
ra-mon a écrit :vaut il mieux conseiller banalement "installe un antivirus" sans plus de détail ou "clique pas comme un ane sur
On a aussi le droit de faire les deux ... avec des explications. On a aussi le droit de ne rien conseiller du tout si on ne veut pas s'embêter. Ce qui me déplaît, c'est de voir conseiller de désactiver ou désinstaller des outils de sécurité sans aucune mise en garde et en disant qu'ils ne servent à rien. Là, non, non et non!

A+

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.0.3) Gecko/20060426 Firefox/1.5.0.3

pirlouy
Tyrannosaurus Rex
Messages : 3648
Enregistré le : 03 nov. 2005, 05:05

Message par pirlouy » 24 mai 2006, 19:30

epsy a écrit :il y a un pare feu matériel dans la freebox
Ah bon ?
C'est comme dans les jeux vidéos. Y'a un code secret pour débloquer un nouveau mode ? :-)
Non, je ne suis pas au courant de pare-feu matériel...
En revanche, le routage NAT empêche une machine de servir de serveur, et ça c'est une forme de sécurité.

Sinon, je préfère encore expliquer à mémé comment configurer un routeur qu'un pare-feu.

Je me revois encore:
"alors là tu vois, c'est firefox qui veut se connecter donc tu AUTORISES, d'accord ?
Là tu vois c'est un virus, tu INTERDIS, toujours bon ? parfait"

Et en fait il se passait exactement ce qu'il se passait dans le sketch des Inconnus "ROméo et...Hardy"


T'as vraiment "la plume" ra-mon. Merci de lutter contre ces hérétiques. :lol:

Avatar du membre
ra-mon
Varan
Messages : 1492
Enregistré le : 16 janv. 2004, 09:51

Message par ra-mon » 24 mai 2006, 19:45

il y a un pare feu matériel dans la freebox
et quelle est la référence du circuit intégré ou de l'ensemble de chip, s'ils se mettent à plusieurs pour cette tâche sûrement pas facile à réaliser 100% en silicium ?
parce que je suis encore un peu électronicien et j'ai jamais entendu parler de ça ;-)

Sans déc' je croyait que dans la freebox, y'avait un processeur, de la mémoire plus ou moins vivante, quelques contrôleurs d'entrées/sorties et surtout un bô paquet de logiciels pour faire tourner ça (certains parleraient de Linux...)
Ce qui me déplaît, c'est de voir conseiller de désactiver ou désinstaller des outils de sécurité sans aucune mise en garde et en disant qu'ils ne servent à rien
oula, loin de moi cette optique... ces logiciels sont très utiles parfois... et il faut bien les installer et surtout bien jouer avec pour bien les comprendre... c'est comme ça aussi qu'on apprend... la lecture ne fait pas tout :)


@+

Message envoyé avec : Opera/9.00 (Windows NT 5.1; U; fr)

Bobe
Iguane
Messages : 741
Enregistré le : 28 juil. 2003, 21:29

Message par Bobe » 24 mai 2006, 19:52

pirlouy a écrit :Sinon, je préfère encore expliquer à mémé comment configurer un routeur qu'un pare-feu.

Je me revois encore:
"alors là tu vois, c'est firefox qui veut se connecter donc tu AUTORISES, d'accord ?
Là tu vois c'est un virus, tu INTERDIS, toujours bon ? parfait"
Mémé installe un programme par jour sur sa machine ?

Il me semble que lorsque le pare-feu propose un mécanisme de whitelist, on créé cette liste juste après l’installation du pare-feu.
Inutile d’expliquer à mémé qu’il faut autoriser ou interdire tel ou tel programme quand le pare-feu en fera la demande.
« La vie d’un geek est un combat perpétuel contre l’imperfection »

pirlouy
Tyrannosaurus Rex
Messages : 3648
Enregistré le : 03 nov. 2005, 05:05

Message par pirlouy » 24 mai 2006, 20:07

Oui mais mémé des fois, il lui prend l'envie de jouer à WoW et ça ne marche pas et c'est de ma faute...
jpj a écrit :Ce qui me déplaît, c'est de voir conseiller de désactiver ou désinstaller des outils de sécurité sans aucune mise en garde et en disant qu'ils ne servent à rien...
...quand ils sont mal utilisés...

Et si tu reportes bien mes propos, tu verras que je conseille de désactiver temporairement le pare-feu, et seulement définitivement si les gens ne comprennent rien à rien.

Pour l'anti-virus, je n'ai jamais dit de le désinstaller. Cependant des fois, je propose aux utilisateurs de le désactiver temporairement pour bien qu'ils comprennent que le problème vient de lui et non de firefox...

Jim
Tyrannosaurus Rex
Messages : 3228
Enregistré le : 20 juil. 2005, 14:34

Message par Jim » 24 mai 2006, 20:08

Il faut être clair, la sécurité est un tout.

Un firewall tout seul ne sert à rien je suis d'accord.
Mais un firewall, plus un anti-virus plus le système à jour, plus une certaine rigueur font un système plus sécurisé.

Les virus qui se déploient les plus vites sont ceux qui exploitent des failles de sécurité non encore corrigée... C'est une évidence, une lapalissade.

Il faut, je le répète voir la sécurité comme un tout.
C'est comme une maison, il faut une bonne porte et une bonne sérrure et des fenetres fermées.
Si tu mets une grosse sérrure sur une porte en carton... C'est pas la peine.
Comme ce n'est pas la peine d'avoir une porte blindée si les fenetres sont ouvertes.

Certes tu as un Firewall matériel, il te fait de lla translation d'adresse et lors de cette translation les requete qui arrive sur tel port passent, pas sur les autres ports...
Ca n'empeche que faut le coupler à un firewall logiciel, car une verole peut très bien passer par un port autoriser pour ouvrir un autre port... ou faire entrer un malware par un port autoriser, ou un port obligatoirement ouvert...

Vas faire un tour sur le site www.frameip.com , c'est un site expliquant le protocole ip, et essaye de vulgariser les firewalls, les NAT, les dns, les dhcp...

bisdi
Lézard vert
Messages : 126
Enregistré le : 15 mars 2006, 22:31

Message par bisdi » 24 mai 2006, 20:14

Quel débat ! :D A quand la baston ?!

C'est vrai que j'suis d'accord avec pirlouy ...

Premièrement, c'est un peu complexe à expliquer à un n00b la notion de port ( même avec toute la volonté du monde )... mais c'est quelque chose qui arrive avec le temps.... si cette personne a envit de comprendre bien sur car la grand majorité ( je pense ) des personnes veulent quelques choses de simple... après tout, c'est l'homme qui doit s'adapter à la machine ou la machine qui doit s'adapter à l'homme ? ( c'est le genre de question d'une personne qui veux du simple )
Deuxièmement, les pare-feux logiciels, ca fait longtemps que les h4ckers utilisent la méthode de " l'injection " ce qui a pour effet de le faire sauter ( la cible la plus connue est qui cr4k4ble, selon certains magazines, en 15 minutes : zone alarm ).
Troisièmement, un routeur par nature, ca bloque certaines choses ( c'est ce qu'explique pirlouy ). Il n'y a que le port 80 qui est ouvert ( et encore, quand la config du routeur permet la gestion à distance )
Quatrièmement, selon certains expert en sécurité, mettre plusieurs pare-feu diminue pas l'insécurité ( c'est pire selon eux )

Conclusion : Où est l'intéret d'aller embrouillé une personne qui ne comprends pas spécialement l'informatique alors qu'elle peut tout aussi bien sécuriser par routeur ?
Opera/9.01 (X11; Linux i386; U; fr)

Jim
Tyrannosaurus Rex
Messages : 3228
Enregistré le : 20 juil. 2005, 14:34

Message par Jim » 24 mai 2006, 20:18

Sauf que tu es sur un systeme Unix, qui a une approche de la sécurité OPPOSE à l'approche de Microsoft.
Par exemple, sur ton systeme, tu déclares un utilisateur, et tu l'ajoutes dans les groupes que tu souhaites... Donc oui, la machine fais ce que tu lui dis de faire.

Chez Microsoft, c'est différent, lorsque tu l'installes, on te demande un nom, et l'utilisateur créé est administrateur, à le droit de tout faire, même bousiller la machine... Donc dans ce cas là, pour sécuriser la machine, il faut que tu t'adaptes à la machine... :roll:

Répondre

Qui est en ligne

Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 2 invités