| Voir le sujet précédent :: Voir le sujet suivant |
| Seriez-vous capable de vous introduire dans mon ordinateur ? |
| Oui s'il n'a pas de pare-feu |
|
0% |
[ 0 ] |
| Non |
|
100% |
[ 7 ] |
|
| Total des votes : 7 |
|
| Auteur |
Message |
MacBen44
Membre
Inscrit le: 04 Juin 2003
Messages: 26
Localisation: Nantes
|
 Posté le: 4-Juin-03 10:19:51 Sujet du message: Pare-feu vraiment utile ? |
 |
|
Bonjour,
je m'interrogeais sur la réel utilitée et efficacitée d'un pare-feu ?!
pour l'utilité :
voilà je suis étudiant  en info (en fin de 2ème annéeà et malgré mes connaissances en réseaux et informatique en général je serais bien incapable  de m'introduire dans l'ordi de qq'un (je suis déjà incapble de trouver mon ip quand je ne suis pas devant mon ordi). Je me demande qui est bien capable de le faire et quel serait leur intérêt de me pirater  ?
Peut-être que qq rares personnes sont capables de le faire mais est-ce que ça faut vraiment le coup de s'en protéger ( vous me direz que ça coute rien que qu'il faut mieux prévenir que guérir).
pour l'efficacité :
comment fonctionne en gros un pare-feu ?
merci pr vos réponses à mon interrogation.
Bonne journée 
ps : ayant l'adsl je suis quand même derrière le pare-feu de jaguar même si je ne sais pas pourquoi 
Dernière édition par MacBen44 le 12-Juin-03 15:02:26; édité 1 fois |
|
| Revenir en haut |
|
 |
Bac's
Membre hyperactif
Inscrit le: 24 Mai 2003
Messages: 2019
Localisation: Toulouse
|
| Posté le: 4-Juin-03 10:41:22 Sujet du message: Re: Pare-feu vraiment utile ? |
|
|
| MacBen44 a écrit: | | comment fonctionne en gros un pare-feu ? |
Très schématiquement, un pare-feu analyse les en-têtes IP et des protocoles de niveau 4 (UDP ou TCP par exemple) des paquets qui le traversent et comparent les informations reçues telles qu'adresse IP source, adresse IP destination, port source ou port destination à un ensemble de règles qui vont décider du sort du paquet qui peut être :- on le laisse passer
- on le jette sans rien dire (c'est le fameux mode furtif)
- on le jette mais en envoyant un message "ICMP port unreachble" indiquant à l'émetteur que le port est fermé.
Voilà, grosso-merdo la base. Après on va trouver des subtilités de conception (par exemple, est-ce que le pare-feu maintient un état interne des connexions établies, ...) qui sont longues à décrire dans un forum.
Si je trouve une URL bien foutue sur le sujet, je la posterai.
| MacBen44 a écrit: |
ps : ayant l'adsl je suis quand même derrière le pare-feu de jaguar même si je ne sais pas pourquoi |
Même si tu ne sais pas pourquoi, ce n'est pas forcément un mauvais choix de ta part  !
_________________
G5 1,6GHz 1,256Go RAM OS/X 10.4.7 + Freebox v5
C'est à force de rater que l'on finit par réussir. Devise Shadok. |
|
| Revenir en haut |
|
|
MacBen44
Membre
Inscrit le: 04 Juin 2003
Messages: 26
Localisation: Nantes
|
| Posté le: 4-Juin-03 11:05:28 Sujet du message: Ports |
|
|
est-ce qu'un pare-feu rejettent systématiquement les paquets concernant des ports fermés ?
est-ce qu'il accepte tous les paquets concernant les ports ouverts ?
ou est-ce qu'il fait ça plus suptilement, en faisant différent tests ? (d'ou ça vient , ...)
merci. |
|
| Revenir en haut |
|
|
Fyve
Administrateur
Inscrit le: 07 Mar 2001
Messages: 9963
Localisation: Taulier de la Bastille
|
| Posté le: 4-Juin-03 12:06:22 Sujet du message: |
|
|
Un début de réponse avec ce dossier. Il y a mieux (parfois un peu inexacte car j'ai voulu simplifier pour faire comprendre certaines notions), je suis d'accord. Mais je reste content de ce truc.
A+
_________________
"Quand on m'en fait trop, je correctionne plus, je dynamite, je disperse, je ventile..." (Audiard)
Acheter sur l'AppleStore |
|
| Revenir en haut |
|
|
fredtravers
Grand clavardeur
Inscrit le: 07 Mar 2001
Messages: 14488
|
|
| Revenir en haut |
|
|
Bac's
Membre hyperactif
Inscrit le: 24 Mai 2003
Messages: 2019
Localisation: Toulouse
|
| Posté le: 4-Juin-03 12:43:40 Sujet du message: |
|
|
| Fyve a écrit: | | Mais je reste content de ce truc. |
Effectivement, il y a de quoi être content  !!
J'ai relevé deux points mineurs qui mériteraient correction, dans l'ordre de difficulté (mais l'ordre inverse d'interêt technique) :- En anglais "adresse" s'écrit "address".
- Sur le schéma de la DMZ, il vaudrait quand même mieux connecter, les serveurs au pare-feu plutôt que de les connecter au brin qui va vers l'Internet, puisque les serveurs doivent aussi être protégés
_________________
G5 1,6GHz 1,256Go RAM OS/X 10.4.7 + Freebox v5
C'est à force de rater que l'on finit par réussir. Devise Shadok. |
|
| Revenir en haut |
|
|
Fyve
Administrateur
Inscrit le: 07 Mar 2001
Messages: 9963
Localisation: Taulier de la Bastille
|
| Posté le: 4-Juin-03 16:56:42 Sujet du message: |
|
|
Le premier, "hum hum"...
Le second, pas de commentaire particulier. Un jour prochain j'essaierais de remettre à jour mon dossier. Le tout c'est le temps...
A+
_________________
"Quand on m'en fait trop, je correctionne plus, je dynamite, je disperse, je ventile..." (Audiard)
Acheter sur l'AppleStore |
|
| Revenir en haut |
|
|
jpblcm
Membre hyperactif
Inscrit le: 26 Avr 2002
Messages: 567
Localisation: 2a (Patrie) 13 (au taf) 09 (par alliance)
|
| Posté le: 5-Juin-03 15:37:48 Sujet du message: |
|
|
| Bac's a écrit: | | Sur le schéma de la DMZ, il vaudrait quand même mieux connecter, les serveurs au pare-feu plutôt que de les connecter au brin qui va vers l'Internet, puisque les serveurs doivent aussi être protégés |
Sur ce point, je ne sais pas trop, l'interêt de la DMZ est justement de laisser accès aux ports non définis. Il faut donc préciser si:
- le serveur web doit être en DMZ avec sn propre firewall activé sur les ports non standards.
-la machine en DMZ doit être dédiée à une tâche unique de service WEB
La notice de mon routeur firewall Bewan, est claire à se sujet:
exposer la machine aux ports non standards !
Il est clair qu'il (me) manque des infos 
N'oublions cependant pas une chose:
le danger peut aussi venir de l'intérieur, un soft malicieux se connecterait à un serveur, ou une autre machine et accomplirait son infâme besogne. Il faut donc aussi réagir à cela:
installer Littlesnitch, et Overseer donne un assez bon panorama de qui écoute quoi et qui se connecte à quoi sans le dire.
de plus, si l'on a un réseau mixte, comment interdire aux pequin moyen l'utilisation de winMX sans firewall ?? hummm ?
_________________
-- sintineddi............... -- |
|
| Revenir en haut |
|
|
Bac's
Membre hyperactif
Inscrit le: 24 Mai 2003
Messages: 2019
Localisation: Toulouse
|
| Posté le: 5-Juin-03 16:09:11 Sujet du message: |
|
|
Pas tout à fait d'accord !! L'intérêt d'une DMZ que l'on peut réaliser de deux façons (un seul pare-feu avec au moins 3 interfaces ou deux pare-feus qui "encadrent" la DMZ) est de permettre les communications suivantes pour les services public ouverts sur les serveurs de la DMZ :- Accès de l'Internet vers les serveurs sur les ports ouverts des serveurs
- Pas d'accès de l'Internet vers le réseau interne.
- Accès + ou - filtré du réseau interne vers l'Internet (en fonction de la politique de l'entreprise.
- Pas d'accès des serveurs vers le réseau interne
- Accès + ou - filtré du réseau interne vers les serveurs
Je prends l'exemple d'un serveur de messagerie. Les contraintes que je m'impose sont que l'extérieur puisse y accéder en SMTP pour déposer du courrier entrant et que les utilisateurs internes ne puissent y accéder qu'en POP3 (relève du courrier) et SMTP (courrier sortant) ; j'autorise aussi mes utilisateurs internes à faire du Oueb. J'implémenterai alors les règles suivantes sur mon pare-feu que je suppose avoir un système dynamique d'inspection (stateful inspection, à la CheckPoint FireWall-1):- Tt trafic initié par l'Internet vers le réseau interne est bloqué
- Tt trafic initié par le réseau interne vers l'Internet est bloqué sauf pour le port 80/tcp (histoire de surfer).
- Tt trafic initié par le réseau interne vers le serveur est bloqué sauf pour les ports 25/tcp (SMTP) et 110/tcp (POP3).
- Tt trafic initié par l'Internet vers le serveur est bloqué sauf pour le port 25/tcp.
- Tt trafic initié par le serveur vers le réseau interne ou l'Internet est bloqué.
Ainsi, à supposer que mon serveur soit compromis, l'attaquant ne peut pas rebondir vers le réseau interne. C'est bien là l'intérêt d'une DMZ.
_________________
G5 1,6GHz 1,256Go RAM OS/X 10.4.7 + Freebox v5
C'est à force de rater que l'on finit par réussir. Devise Shadok. |
|
| Revenir en haut |
|
|
jpblcm
Membre hyperactif
Inscrit le: 26 Avr 2002
Messages: 567
Localisation: 2a (Patrie) 13 (au taf) 09 (par alliance)
|
| Posté le: 5-Juin-03 16:23:56 Sujet du message: |
|
|
oui, je suis d'accord, j'ai pas du bien comprendre ton message précédent alors..... désolé 
(DestructionMentaleduZiboulo ! )
_________________
-- sintineddi............... -- |
|
| Revenir en haut |
|
|
Fyve
Administrateur
Inscrit le: 07 Mar 2001
Messages: 9963
Localisation: Taulier de la Bastille
|
| Posté le: 5-Juin-03 17:23:08 Sujet du message: |
|
|
Promis, dès que j'ai du temps devant moi, je mettrais à jour mes dossiers. De toutes les façons, y'avait 2/3 trucs qui me chiffonnent dedans. Et aussi des trucs trop superficiels. Mais bon, c'est un compromis acceptable.
A+
_________________
"Quand on m'en fait trop, je correctionne plus, je dynamite, je disperse, je ventile..." (Audiard)
Acheter sur l'AppleStore |
|
| Revenir en haut |
|
|
Dragonir
Connaisseur
Inscrit le: 07 Mar 2001
Messages: 222
Localisation: France 78
|
| Posté le: 7-Juin-03 19:17:14 Sujet du message: |
|
|
je vais encore passer pour je ne sait pas quoi.... Mais depuis le temps que je laisse tourner mon ordis (mes ordis maintenant) connecte en permanence, avec 1 ou 2 serveurs dessus... Je n'ai JAMAIS eu aucune attaque. Pourtant je n'ai ni firewall, ni quoi que ce soit comme protection.
Alors affaire de parano ou risque reel ? Je me demande encore... La seule reel intrusion que j'ai eu remonte a un petit mois, et c'etait entierement de ma faute, j'avais mal regle les droits samba....
J'aimerai reelment savoir qui a deja ete victime d'une grosse attaque sur sa connection personel ?
_________________
Nous vivons dans un monde dont on ne s'évade pas.
G4-1,25Ghz/iMac333/Alu15/AMD3200+/iPod5Go/SpeedTouch Home@510v3/FreeADSL/Frigotte remplie de biere/ToUCamPro |
|
| Revenir en haut |
|
|
Anthony
Administrateur
Inscrit le: 07 Mar 2001
Messages: 7354
Localisation: Paris Nancy
|
| Posté le: 7-Juin-03 19:26:33 Sujet du message: |
|
|
Certes, tu n'as qu'une connexion privée, mais un rapport récent et sérieux (j'ai les références dans mes cours) montre que 80 % des attaques ne sont jamais détectées.
Parmi les attaques, 70% proviennent en général du réseau interne, alors que 30% proviennent d'Internet, mais ce sont ces dernières qui causent 99% des coûts liés aux attaques.
_________________
parrainage boursorama
Aidez MacADSL en faisant vos emplettes sur l'AppleStore !
Comparatif des offres ADSL Test d'éligibilité ADSL |
|
| Revenir en haut |
|
|
jpblcm
Membre hyperactif
Inscrit le: 26 Avr 2002
Messages: 567
Localisation: 2a (Patrie) 13 (au taf) 09 (par alliance)
|
| Posté le: 7-Juin-03 21:06:03 Sujet du message: |
|
|
n'y a-t-il pas un serveur web de la communauté mac qui s'est fait pirater récemment ?
le spoof de serveur mail, ça existe....
et entre autre, le sujet est un peu à part, mais il suffit de regarder les logs du serveur web ( si on l'a activé ) et de voir les milliers d'attaques...
Je pense que oui, un firewall est utile.
_________________
-- sintineddi............... -- |
|
| Revenir en haut |
|
|
jempi
Connaisseur
Inscrit le: 07 Mar 2001
Messages: 149
Localisation: Metz
|
| Posté le: 7-Juin-03 22:19:12 Sujet du message: |
|
|
Je m'enfou royalement de pouvoir pirater ton serveur, ce n'est pas dans mon éducation. 
En plus j'ai d'autre chose à faire. 
_________________
PBG4 867, 80Go, 768Mo, OSX.3.9, 54g Linksys (pcmcia+PA-routeur), modem STH
Cube 450, raid1 200Go.(jukebox numérique)entre autres choses, BlueTooth
Tungsten T2+Salling Clicker for Palm |
|
| Revenir en haut |
|
|
|
FAQ
Rechercher
Liste des Membres
Groupes d'utilisateurs
S'enregistrer
Profil
Se connecter pour vérifier ses messages privés
Connexion
