(Courriels de diversion: <reapparaissez@offrions-situeriez.com> <ecarteraient@stationnaires-oedipien.com> <opterai@redondant-pretoires.com> <agressivite@bafouerions-cabanons.com> <devouons@moelle-confondre.com> <eternuerait@abreuvoirs-recourbent.com> <accouple@cotiseront-parasiter.com> <occulter@moyeux-resumerions.com> <hasarderent@medications-connaîtrait.com> <estomperions@politiserez-eluderais.com> )


On Sun, 23 Nov 2003 12:28:25 +0000 (UTC)
cphil@cphil.net (Philippe Coulonges) wrote:
> Le Sun, 23 Nov 2003 12:31:22 +0100
> yvan <yvanmunoz@numericable.fr> écrivait :> > > Donc, quelque-soit la configuration ou la
> > > nature du firewall, je suis sur d'une chose : le firewall autorise
> > > forcement certaines connexions et ce sans restriction puisque je
> > > suis du cote "confiant" du firewall.
> > 
> > NON
> 
> Vous utlilisez quoi comme firewall ? Que signifie cette notion de
> confiance ?
> En matière de sécurité, la confiance n'existe pas.

La "confiance" c'est la meme que celle dont on parle quand il s'agit de tiers de confiance : on lui fait confiance car on a besoin de lui, tout en sachant que c'est lui qui a les moyens de nous corrompre.

> Si votre firewall ne sait faire que du tout ou rien, changez en vite.
> 
> > C est le gros (l enorme) avantage de ZAp sur iptables.
> > Ainsi, si ton poste est sous W$ mais relie au net par un firewall base
> > sur iptables, un spyware ne sera pas bloque par le firewall
> > iptables... Il faudrait ecrire un script iptables qui reagirait a
> > chaque fois qu un programme tiers essait de se connecter...de tel
> > script existe certainement mais je ne l ai pas encore trouves...et s
> > il fallait l ecrire moi meme, j y serai encore dans 10 ans ;-(
> 
> Et les ACL, vous connaissez ?
> 
> > Le firewall ne s occupant que de requetes venant de l exterieur...
> 
> HEIN ????
> Depuis quand ?
> 
> C'est un exemple, mais chez moi, pour mettre un PC à l'heure, il faut
> qu'il se connecte au CICT, pas n'importe où
> 
> # ntp à heure.cict.fr
> [0:0] -A PUB_OUT -p udp -m udp --dst 195.220.59.2 --dport 123 -j ACCEPT
> 
> Les exceptions sont rares et la plupart de temps logguées.
> 
> Le firewall, on le règle d'abord pour tout refuser, puis on autorise les
> requêtes une par une, entrante ou sortante, et à chaque fois en essayant
> de trouver la règle la plus restrictive possible. Ça ne prend pas dix
> ans, en général au bout d'une semaine la plupart des cas ont été vus.

Cette facon de proceder est tres professionnelle. C'est aussi ainsi que je souhaitez approcher ce probleme (au depart).
Mais qu'en est-il d'un particulier possedant un simple ordinateur. Le besoin c'est de ne pas etre ennuye par l'exterieur sans reduire ses possibilites : combien de quidam sont capable de faire le lien entre un service qu'il utilise et un numero de port (le petit mot associe a un numero dans /etc/service n'est pas forcement extraordinairement parlant). Je ne suis pas sur que ma maman soit tres sensible au fait que les HI-MEAILLES soient en fait des messages respectant le protocole SMTP ou qu'aller SOEURFEE consiste a utiliser les protocoles HTTP ou HTTPS.

Ensuite, il ne faut pas oublier le rapport apport/investissement : s'il faut passer une semaine pour configurer un firewall qui au final ne fera que nous ennuyer en bloquant sans arret trop de chose et ce pour eviter qu'un script-kidy attaque une fois par hasard...

-- 
Guilhem BONNEFILLE
-=- #UIN: 15146515 -=- JID: guyou@jabber.org guyou@amessage.be-= mailto:guilhem.bonnefille@laposte.net mailto:guilhem.bonnefille@free.fr-= http://nathguil.free.fr/ http://home.tele2.fr/nathguil/

--------------------------------------------------------------------
Les listes de diffusion occultes: <URL:http://www.CULTe.org/listes/>