CULTe : Home | Association | Reunions | Projets | Listes de diffusion | Recherche | Best of Linux-31 | Trombinoscope

(Courriels de diversion: <situeriez@ecarteraient-stationnaires.com> <oedipien@opterai-redondant.com> <pretoires@agressivite-bafouerions.com> <cabanons@devouons-moelle.com> <confondre@eternuerait-abreuvoirs.com> <recourbent@accouple-cotiseront.com> <parasiter@occulter-moyeux.com> <resumerions@hasarderent-medications.com> <connaîtrait@estomperions-politiserez.com> <eluderais@insulterais-reconquerrais.com> ) 

Le Sun, 23 Nov 2003 12:31:22 +0100
yvan <yvanmunoz@numericable.fr> écrivait :> > Donc, quelque-soit la configuration ou la
> > nature du firewall, je suis sur d'une chose : le firewall autorise
> > forcement certaines connexions et ce sans restriction puisque je
> > suis du cote "confiant" du firewall.
> 
> NON

Vous utlilisez quoi comme firewall ? Que signifie cette notion de
confiance ?
En matière de sécurité, la confiance n'existe pas.
Si votre firewall ne sait faire que du tout ou rien, changez en vite.

> C est le gros (l enorme) avantage de ZAp sur iptables.
> Ainsi, si ton poste est sous W$ mais relie au net par un firewall base
> sur iptables, un spyware ne sera pas bloque par le firewall
> iptables... Il faudrait ecrire un script iptables qui reagirait a
> chaque fois qu un programme tiers essait de se connecter...de tel
> script existe certainement mais je ne l ai pas encore trouves...et s
> il fallait l ecrire moi meme, j y serai encore dans 10 ans ;-(

Et les ACL, vous connaissez ?

> Le firewall ne s occupant que de requetes venant de l exterieur...

HEIN ????
Depuis quand ?

C'est un exemple, mais chez moi, pour mettre un PC à l'heure, il faut
qu'il se connecte au CICT, pas n'importe où

# ntp à heure.cict.fr
[0:0] -A PUB_OUT -p udp -m udp --dst 195.220.59.2 --dport 123 -j ACCEPT

Les exceptions sont rares et la plupart de temps logguées.

Le firewall, on le règle d'abord pour tout refuser, puis on autorise les
requêtes une par une, entrante ou sortante, et à chaque fois en essayant
de trouver la règle la plus restrictive possible. Ça ne prend pas dix
ans, en général au bout d'une semaine la plupart des cas ont été vus.

A+
CPHIL

--------------------------------------------------------------------
Les listes de diffusion occultes: <URL:http://www.CULTe.org/listes/>

Cette page fait partie des archives des listes de diffusion de l'association CULTe.

A l'intention des mechants robots qui parcourent notre site a la recherche d'adresses electroniques a cibler avec des pourriels, voici une liste d'adresses pourries.