Page 1 sur 2
Firewall
Publié :
06 Oct 2003 00:59par Savonnoir
La question que je vais poser a peut-être déjà été posée, si tel est le cas veuillez m'en excuser.
Pour me connecter à l'internet, j'utilise un modem/routeur alcatel 510v4 équipé d'un firewall.
Faut-il utiliser en sus un firewall logiciel tel que Outpost ou Kerio sur mon pc ? Ou est-ce au contraire parfaitement inutile ?
Merci de me fixer.
Re: Firewall
Publié :
06 Oct 2003 01:11par RippeR
Savonnoir a écrit :La question que je vais poser a peut-être déjà été posée, si tel est le cas veuillez m'en excuser.
Pour me connecter à l'internet, j'utilise un modem/routeur alcatel 510v4 équipé d'un firewall.
Faut-il utiliser en sus un firewall logiciel tel que Outpost ou Kerio sur mon pc ? Ou est-ce au contraire parfaitement inutile ?
Merci de me fixer.
Nite,
Un firewall à règles de permettra de filtrer le OUT par application, par exemple éviter que OE ne puisse se connecter en OUT sur des ports autres que 25, 110, 119, 143 et ne valide ton adresse auprès des spammers ou à un malware, vers, trojan, spyware de communiquer vers l'extérieur.
Publié :
06 Oct 2003 16:52par ovh
Un firewall applicatif est toujours utile en plus d'un filtre de paquets. Un firewall sur chaque PC du réseau permet de contrôler précisément quelles applications accèdent au net, ce qui permet notamment d'éviter que certains spywares ou virus accèdent à internet dans ton dos ! Car si ces programmes y accèdent via des ports standards (80, 25, ... ), ton firewall laissera d'office passer ce trafic et c'est tout à fait normal.
Publié :
06 Oct 2003 17:13par Savonnoir
Merci à tous les deux. Je vais donc installer un firewall logiciel. Un petit tour sur optimix ne sera sans doute pas superflu.
Publié :
07 Oct 2003 12:02par Dimebag Darrell
j'ai une question avec mon firewall, il me pose la question sur voulez vous autoriser ou bloquer ce service : client serveur runtime process (c'est quoi donc) ???
Publié :
08 Oct 2003 22:17par ovh
Je ne sais pas mais :
- sur localhost tu peux, tu dois même, tout laisser passer
- sur le LAN tu peux laisser passer aussi, si c'est un LAN domestique
Publié :
08 Oct 2003 22:45par Dimebag Darrell
j'ai bloqué LSA shell et generic host process for win32 services
noyeau system NT ??? je le bloque ou pas
Publié :
09 Oct 2003 00:19par Xavier
Dimebag Darrell a écrit :j'ai bloqué LSA shell et generic host process for win32 services
noyeau system NT ??? je le bloque ou pas
Politique de parano: Bloque, et si il y a qq chose dont tu a vraiment besoin qui ne marche plus, re-ouvre et regarde si la en est la cause.
Publié :
09 Oct 2003 16:41par Dimebag Darrell
je v poser ma question autrement, y a-t-il des processus qu'il vaut mieux bloquer ??
Publié :
09 Oct 2003 16:54par RippeR
Dimebag Darrell a écrit :je v poser ma question autrement, y a-t-il des processus qu'il vaut mieux bloquer ??
Et si tu commençais par citer le FW dont il s'agit ?
Si tu as un ou plusieurs serveur, s'il s'agit d'un poste seul ou d'un LAN.
Publié :
09 Oct 2003 17:36par Xavier
Dimebag Darrell a écrit :je v poser ma question autrement, y a-t-il des processus qu'il vaut mieux bloquer ??
Je vais donc y répondre autrement: Tout ceux dont tu n'a pas vraiment l'utilitée...
Un firewall sert a bloqué le trafic non désirer. Avec les limitations de volumes, tout le trafic inutile est non désiré! Tout proces qui génère du trafic inutile doit donc etre bloqué. Et si en plus, tu peux les identifier dans les log de ton firewall, tu peux en plus (cerise sur le gateau) empecher qu'il ne te bouche des resources machine inutilement.
Publié :
09 Oct 2003 19:01par Dimebag Darrell
RippeR a écrit :Dimebag Darrell a écrit :je v poser ma question autrement, y a-t-il des processus qu'il vaut mieux bloquer ??
Et si tu commençais par citer le FW dont il s'agit ?
Si tu as un ou plusieurs serveur, s'il s'agit d'un poste seul ou d'un LAN.
enfait j'ai un serveur qui partage internet vers d'autre machine
et le firewall, il s'agit de sygate
Publié :
09 Oct 2003 19:07par RippeR
Dimebag Darrell a écrit :RippeR a écrit :Dimebag Darrell a écrit :je v poser ma question autrement, y a-t-il des processus qu'il vaut mieux bloquer ??
Et si tu commençais par citer le FW dont il s'agit ?
Si tu as un ou plusieurs serveur, s'il s'agit d'un poste seul ou d'un LAN.
enfait j'ai un serveur qui partage internet vers d'autre machine
et le firewall, il s'agit de sygate
Le firewall dont tu parles, il est sur l'hôte ou tu parles du firewall sur les postes clients ?
Publié :
09 Oct 2003 21:04par Dimebag Darrell
il n'y a aucun firewall sur les clients.
le firewall est sur l'hote
Publié :
09 Oct 2003 23:31par RippeR
Dimebag Darrell a écrit :il n'y a aucun firewall sur les clients.
le firewall est sur l'hote
Dans ce cas, tout ce qui est IN depuis le Web doit être bloqué sauf l'UDP depuis le port externe 53 pour tes deux DNS.
Sauf bien sûr si tu as un serveur WEB, FTP, SMTP ou autre sur l'hôte.
A noter que sans FW sur les clients, ces postes pourront transmettre tout ce qu'il veulent vers des adresses distantes si un trojan, spyware, keylogger ou autre malware est installé dessus.
Tu peux t'inspirer des règles kerio sur optimix : tous les FW à règles fonctionnent de la même façon, il n'y a que le GUI qui change
Publié :
10 Oct 2003 15:16par Dimebag Darrell
RippeR a écrit :Dimebag Darrell a écrit :il n'y a aucun firewall sur les clients.
le firewall est sur l'hote
Dans ce cas, tout ce qui est IN depuis le Web doit être bloqué sauf l'UDP depuis le port externe 53 pour tes deux DNS.
Sauf bien sûr si tu as un serveur WEB, FTP, SMTP ou autre sur l'hôte.
A noter que sans FW sur les clients, ces postes pourront transmettre tout ce qu'il veulent vers des adresses distantes si un trojan, spyware, keylogger ou autre malware est installé dessus.
Tu peux t'inspirer des règles kerio sur optimix : tous les FW à règles fonctionnent de la même façon, il n'y a que le GUI qui change
ok merci pour les infos
je suis allé voir sur optimix tu en mets beaucoup de regles pour configurer ton FW !!!
y en a une belle pelletée
petite question :
quels sont les processus à bloquer absolument ???? pour le FW
Publié :
10 Oct 2003 15:38par RippeR
Dimebag Darrell a écrit :RippeR a écrit :Dimebag Darrell a écrit :il n'y a aucun firewall sur les clients.
le firewall est sur l'hote
Dans ce cas, tout ce qui est IN depuis le Web doit être bloqué sauf l'UDP depuis le port externe 53 pour tes deux DNS.
Sauf bien sûr si tu as un serveur WEB, FTP, SMTP ou autre sur l'hôte.
A noter que sans FW sur les clients, ces postes pourront transmettre tout ce qu'il veulent vers des adresses distantes si un trojan, spyware, keylogger ou autre malware est installé dessus.
Tu peux t'inspirer des règles kerio sur optimix : tous les FW à règles fonctionnent de la même façon, il n'y a que le GUI qui change
ok merci pour les infos
je suis allé voir sur optimix tu en mets beaucoup de regles pour configurer ton FW !!!
y en a une belle pelletée
petite question :
quels sont les processus à bloquer absolument ???? pour le FW
Tu m'as également posé la question par PM.
Aucun processus Windows n'a besoin de sortir sur le W3 si ce n'est le svchost gérant les DNS qui doit être autorisé IN/OUT port distant 53 local ANY en UDP avec tes 2 adresses de serveurs DNS.
Publié :
10 Oct 2003 16:24par Dimebag Darrell
pourtant le prob avec le Svchost, c'est par la que blaster est rentré
Publié :
10 Oct 2003 17:00par RippeR
Dimebag Darrell a écrit :pourtant le prob avec le Svchost, c'est par la que blaster est rentré
Firewall mal réglé, il exploite une faille RPC et c'est du IN !
Il ne peur exploiter la faille que si le FW n'est pas activé, sans compter que cette faille est bouchée depuis le 16/07....
TOUS les FW empêchent sont exploitation par défaut.
Une règle spécifique értait d'ailleurs déjà disponible sur la page Kerio d'optimix depuis deux ans...
Règle 14:
Description: RPCSS (Logged)
Protocol: UDP
Direction: Incoming
Port type: Single port
Local App.: Any
Port number: 135
Remote Address Type: Any
Port type: Any
Action DENY
RTFM
Publié :
25 Oct 2003 18:24par Dimebag Darrell
question, le LSA SHELL, ça sert à quoi ???