Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

firewall

0 views
Skip to first unread message

Pascal

unread,
Dec 7, 2009, 3:03:54 AM12/7/09
to
Bonjour,
je sais bien que le sujet a �t� trait� maintes et maintes fois mais je n'ai pas
les posts sous les yeux.
Je suis � la recherche d'un firewall simple et l�ger mais performant pour window
Le site de matousec met en avant les avantages de certains firewall pour
certains v�ritables usine � gaz.

Serait t'il possible, afin d'aider au choix de lister les firewall de
qualit� et le retour d'experience des utilisateurs agr�ment�s
d'arguments s�rieux.
�a m'aiderait grandement dans mon choix et j'ose imaginer que je ne
serai pas le seul

Je suis tomb� sur openfirewall qui m'al'air bien (bas� sur tdi et wipfw)
qu'en penser.

merci d'avance

Christophe Bachmann

unread,
Dec 7, 2009, 11:51:57 AM12/7/09
to
Pascal a �crit :

Pour un firewall simple et l�ger, utilise celui de windows (� partir de
XP SP2) pour un firewall r�ellement efficace ne compte pas sur le fait
qu'il soit simple et l�ger, car vu la complexit� du sujet il faut du
peaufinage en r�gle.
--
Greetings, Salutations,
Guiraud Belissen, Ch�teau du Ciel, Drachenwald,
Chris CII, Rennes, France

Fabien LE LEZ

unread,
Dec 7, 2009, 12:32:18 PM12/7/09
to
On Mon, 07 Dec 2009 17:51:57 +0100, Christophe Bachmann :

>pour un firewall r�ellement efficace ne compte pas sur le fait
>qu'il soit simple et l�ger, car vu la complexit� du sujet il faut du
>peaufinage en r�gle.

Pas simple, peut-�tre.
Mais un firewall configurable et configur� peut rester l�ger, tant
qu'il se limite � autoriser, ou non, un paquet � entrer ou sortir.
S'il se met � faire des trucs louches (modifier les paquets � la
vol�e, acc�der � des fichiers, etc.), l� �videmment il devient lourd
et inefficace.


Pascal

unread,
Dec 7, 2009, 1:08:19 PM12/7/09
to
Fabien LE LEZ a �crit :
du coup lequel correspond � �a ?

Az Sam

unread,
Dec 7, 2009, 2:24:20 PM12/7/09
to
"Pascal" <xxx...@xxx.fr> a �crit dans le message de news:
4b1d4497$0$12802$426a...@news.free.fr...

> du coup lequel correspond � �a ?

celui de windows.
Tres bien a partir de XP
complet entree/sortie a partir de vista


--
Cordialement,
Az Sam.

Rickyki

unread,
Dec 7, 2009, 2:56:11 PM12/7/09
to
Az Sam avait soumis l'idᅵe :
> "Pascal" <xxx...@xxx.fr> a ᅵcrit dans le message de news:
> 4b1d4497$0$12802$426a...@news.free.fr...

>> du coup lequel correspond ᅵ ᅵa ?

> celui de windows.
> Tres bien a partir de XP
> complet entree/sortie a partir de vista

Regarde Online Armor gratuit
Il est leger ,fait son boulot sans t'enquiquiner et le plus il a un
Hipps (gardien des programmes)supper

--
Jean


Stephane Catteau

unread,
Dec 7, 2009, 4:02:02 PM12/7/09
to
Pascal devait dire quelque chose comme ceci :

> Je suis ᅵ la recherche d'un firewall simple et lᅵger mais performant pour


> window Le site de matousec met en avant les avantages de certains firewall

> pour certains vᅵritables usine ᅵ gaz.

Sunbelt Personnal Firewall est trᅵs bon et gratuit. Il fait juste
chier une fois de temps en temps en rappelant que la pᅵriode d'essais
est terminᅵe et que l'on peut payer pour bᅵnᅵficier des plus gᅵniaux
super ou continuer avec la version gratuite (qui est suffisante).
Par contre si je n'ai jamais eu de problᅵmes avec l'ordinateur de ma
femme (XP SP2 puis Vista) il a fini par plantᅵ irrᅵmᅵdiablement sur le
mien (XP SP3).

Sinon, en complᅵment d'un firewall extᅵrieur (qui comblera les
manques) et d'une saine pratique du rᅵseau, on peut tout aussi bien se
rabattre sur Kerio Personnal Firewall, vieux mais que l'on trouve
encore.


Az Sam

unread,
Dec 8, 2009, 1:42:44 AM12/8/09
to

"Rickyki" <rickyki(nospam)@wanadoo.fr> a ᅵcrit dans le message de news:
mn.3ce87d9ca...@wanadoo.fr...

> Hipps (gardien des programmes)supper

voila justement le genre de fonction qui va le rendre impactant

--
Cordialement,
Az Sam.

Message has been deleted

Ludo

unread,
Dec 18, 2009, 12:15:35 PM12/18/09
to
>
> Sunbelt Personnal Firewall est tr�s bon et gratuit.
>

Cela fait l'affaire en effet.
Inutile de s'orienter vers un fw payant.

Cordialement,
Ludovic.
http://inforadio.free.fr

Message has been deleted

Pascal

unread,
Dec 22, 2009, 2:31:59 AM12/22/09
to
Le 18/12/2009 18:15, Ludo a �crit :
que penser alors de son classmement ici :
http://www.matousec.com/projects/proactive-security-challenge/results.php ?

merci pour vos r�ponses

Az Sam

unread,
Dec 22, 2009, 8:52:01 AM12/22/09
to

"Pascal" <xxx...@xxx.fr> a �crit dans le message de news:
4b3075f4$0$13110$426a...@news.free.fr...

>>
> que penser alors de son classmement ici :
> http://www.matousec.com/projects/proactive-security-challenge/results.php
> ?
>
> merci pour vos r�ponses


que la liste des produits des tests 1 et 2 n'est pas la meme que celle des
test 3 a 10 ?
du copup, forcement, les exclus ne vont pas plus loin que le niveau 2 :-/

--
Cordialement,
Az Sam.

Pascal

unread,
Dec 24, 2009, 12:51:28 PM12/24/09
to
Le 22/12/2009 14:52, Az Sam a �crit :
pas sur d'avoir bien compris ;-)
du coup celui-ci fera l'affaire ou pas ?
merci encore

Pascal

unread,
Dec 25, 2009, 5:10:03 PM12/25/09
to
Le 22/12/2009 14:52, Az Sam a �crit :
>
j'ai opt� pour isafer qui me smeble vraiment bien, par contre je ne vois
pas trop comment faire (par curiosit�) pour connaitre mes ports ouverts
depuis un site d�di� � ce genre de test dans la mesure ou je suis
derri�re une freebox en mode routeur


ton avis sur isafer ?

merci encore

Az Sam

unread,
Dec 26, 2009, 6:50:16 AM12/26/09
to

"Pascal" <xxx...@xxx.fr> a �crit dans le message de news:
4b353848$0$11560$426a...@news.free.fr...

> j'ai opt� pour isafer qui me smeble vraiment bien, par contre je ne vois
> pas trop comment faire (par curiosit�) pour connaitre mes ports ouverts
> depuis un site d�di� � ce genre de test dans la mesure ou je suis derri�re
> une freebox en mode routeur
>
>
> ton avis sur isafer ?


je ne connais pas.

Mon avis pour tous les parefeu : ok si on a defini precisement qui, quoi ,
par ou, vers ou et quand ?
Donc gestion precise et administration severe.
Tres bien pour les systemes info dont les communications sont fix�es. On le
fait une bonne fois et ca ne bouge plus. (quoique..)

Pour un Pc versatile pouvant faire des multitudes d'acces varies, c'est
impensable, ca prend des heures de gestion hebdomadaires avec process de
prise de decision a chaque fois.
Le risque d'autoriser quand il faudrait bloquer devient �lev�. Et vaoir un
parfe feu trou� est pire que pas de pare feu tout court. (acces privil�gi� a
celui qui a reussi a faire creer le trou)

--
Cordialement,
Az Sam.

Pascal

unread,
Dec 26, 2009, 12:31:34 PM12/26/09
to
Le 26/12/2009 12:50, Az Sam a �crit :
isafer permet simplement et pr�cis�ment d'autoriser ou non un flux ou
plus globalement une application.
Je l'ai r�gl� sur "j'interdit tout" et j'autorise au coup par coup sans
popup intempestive.
il ets plutot pas mal, par contre vue ma config je ne sais pas trop
comment le tester
mais je vais lui faire confiance pour l'instant.
C'est un petit firewall bien l�ger visiblement issu du libre...

merci pour tes infos


Mihamina Rakotomandimby

unread,
Jan 1, 2010, 3:27:39 AM1/1/10
to
Pascal:

> pour connaitre mes ports ouverts
> depuis un site dédié à ce genre de test dans la mesure ou je suis
> derrière une freebox en mode routeur

Fais un test _sur_ ta freebox?

Si l'exterieur ne voit rien "d'ouvert", en toute logique, que peut-il
t'arriver sur le LAN?

--
/home/mihamina/.signature

warr

unread,
Jan 2, 2010, 3:14:19 AM1/2/10
to
Le 26/12/2009 18:31, Pascal a �crit :

> isafer permet simplement et pr�cis�ment d'autoriser ou non un flux ou
> plus globalement une application.
> Je l'ai r�gl� sur "j'interdit tout" et j'autorise au coup par coup sans
> popup intempestive.
> il ets plutot pas mal, par contre vue ma config je ne sais pas trop
> comment le tester
> mais je vais lui faire confiance pour l'instant.
> C'est un petit firewall bien l�ger visiblement issu du libre...

vieille nouvelle version 3 de 2005/06/17 lien mort chez moi

http://isafer.sourceforge.net/

tu le prends o� ?

warr

Pascal

unread,
Jan 2, 2010, 5:20:11 AM1/2/10
to
Le 02/01/2010 09:14, warr a �crit :
http://sourceforge.net/projects/isafer/files/iSafer-3.0.0.1-Setup/iSafer-3.0.0.1-Setup-for-WinNT_2K_XP/iSafer-3.0.0.1-setup.exe/download

effectivement vieille version mais qui semble fonctionner correctement.
Petit b�mol : j'utilise un soft upnp (freemi) celui-ci n�cessite que
quelques ports soient ouverts et je n'ai pas encore r�ussi � ouvrir les
bons, pour lereste il marche plutot bien, en attendant de trouver mieux
et plus r�cent


warr

unread,
Jan 2, 2010, 3:54:35 PM1/2/10
to
Le 02/01/2010 11:20, Pascal a �crit :


> http://sourceforge.net/projects/isafer/files/iSafer-3.0.0.1-Setup/iSafer-3.0.0.1-Setup-for-WinNT_2K_XP/iSafer-3.0.0.1-setup.exe/download
>

merci .


>
> effectivement vieille version mais qui semble fonctionner correctement.

je l'essaie demain

> Petit b�mol : j'utilise un soft upnp (freemi) celui-ci n�cessite que
> quelques ports soient ouverts et je n'ai pas encore r�ussi � ouvrir les
> bons, pour lereste il marche plutot bien, en attendant de trouver mieux
> et plus r�cent

et donc tu as deja ouvert les ports ou la plage de ports sur la freebox
en routeur ?

warr

Pascal

unread,
Jan 2, 2010, 4:43:17 PM1/2/10
to
Le 02/01/2010 21:54, warr a �crit :
oui oui, en fait lorsque je coupe isafer �a fonctionne donc le
"probl�me" vient bien du firewall mais celui-ci n'affiche aucun DENy
donc je vois pas bien quel port autoriser sur celui-ci. Cela n'enl�ve en
rien pour l'instant la qualit�, efficacit� etc... de celui-ci qui reste
un maitre de simplicit�
>
> warr

warr

unread,
Jan 3, 2010, 9:01:19 AM1/3/10
to
Le 02/01/2010 22:43, Pascal a �crit :

> Le 02/01/2010 21:54, warr a �crit :

>>


>>> Petit b�mol : j'utilise un soft upnp (freemi) celui-ci n�cessite que
>>> quelques ports soient ouverts et je n'ai pas encore r�ussi � ouvrir les
>>> bons, pour lereste il marche plutot bien, en attendant de trouver mieux
>>> et plus r�cent

>> et donc tu as deja ouvert les ports ou la plage de ports sur la freebox
>> en routeur ?
> oui oui, en fait lorsque je coupe isafer �a fonctionne donc le
> "probl�me" vient bien du firewall mais celui-ci n'affiche aucun DENy
> donc je vois pas bien quel port autoriser sur celui-ci. Cela n'enl�ve en
> rien pour l'instant la qualit�, efficacit� etc... de celui-ci qui reste
> un maitre de simplicit�
>>
>> warr
>

Est ce que tu as fais ce genre d'autorisation:
"add rule" ; en rempla�ant "firefox" par ton logiciel et la plage de
ports 35000 �35020
par celle de la freebox
(ou plusieurs "rule for a single port" si ce sont des ports separ�s)

http://cjoint.com/?bdoY0bgPnM
http://cjoint.com/?bdo0bJjs5D
http://cjoint.com/?bdo0MK2Aju
http://cjoint.com/?bdo1h4mWXE
http://cjoint.com/?bdo1B7nCjk

warr

Pascal

unread,
Jan 3, 2010, 9:17:07 AM1/3/10
to
Le 03/01/2010 15:01, warr a �crit :
le probl�me est que isafer bloque visiblement quelque chose (dans la
mesure ou lorsque je le coupe il fonctionne) mais que dans les logs il
ne m'affiche pas ce qu'il bloque donc je ne sais pas quel port d�bloquer.
Il me semblait avoir d�bloqu� le n�cessaire mais visiblement il manque
quelque chose mais je ne sais pas quoi

Merci tout de m�me

I N F O R A D I O

unread,
Jan 17, 2010, 1:24:58 AM1/17/10
to
>>>
>>> Sunbelt Personnal Firewall est tr�s bon et gratuit.
>>>
>>
>> Cela fait l'affaire en effet.
>> Inutile de s'orienter vers un fw payant.
>>
>
>que penser alors de son classmement ici :
>http://www.matousec.com/projects/proactive-security-challenge/results.php ?
>
>merci pour vos r�ponses
>

Salut Pascal,

le souci est de croiser l'information avec d'autres sites
donnant les m�mes r�sultats. Pour ma part, je vais
conserver ton lien qui est a priori remis � jour.

Dans la mesure o� le test oriente vers des firewalls
�galement gratuits, on peut a priori supposer que leur
d�marche est honn�te...

Pour ma part, je n'utilise pas de firewall de ce type,
je me contente de celui du syst�me d'exploitation
et de celui du routeur.
Je ne d�plore aucune intrusion depuis des ann�es.

Le site http://check.sdv.fr/ permet de visualiser les
ports ouverts de son r�seau. Je suppose que si le
site voit tous les ports ferm�s, c'est que la s�curit�
est bonne...

Cordialement,
Ludovic
http://inforadio.free.fr

I N F O R A D I O

unread,
Jan 17, 2010, 1:46:36 AM1/17/10
to
>
> ton avis sur isafer ?
>

Salut Pascal,

je serai assez curieux de conna�tre la raison de ton choix,
Isafer, alors que tu nous as post� tout une liste :
http://www.matousec.com/projects/proactive-security-challenge/results.php

Cordialement,
Ludovic.
http://inforadio.free.fr

Stephane Catteau

unread,
Jan 18, 2010, 1:27:13 AM1/18/10
to
I N F O R A D I O n'ᅵtait pas loin de dire :

> Le site http://check.sdv.fr/ permet de visualiser les

> ports ouverts de son rᅵseau. Je suppose que si le
> site voit tous les ports fermᅵs, c'est que la sᅵcuritᅵ
> est bonne...

Sauf que tu ne peux utiliser leur scan que si tu n'es pas aussi bien
protᅵgᅵ que cela, puisque l'adresse pour le scan est :
http://check.sdv.fr:3658/cgi/scan?
^^^^^

Un client HTTP n'a aucune raison de faire une requᅵte sur un tel port,
par consᅵquent sur un ordinateur correctement protᅵgᅵ la requᅵte
n'aboutira jamais et le scan ne fonctionnera pas. Je leur avais dit ᅵ
l'ᅵpoque oᅵ ils ont instaurᅵ ᅵa (mi 2003 si ma mᅵmoire est bonne)
apparament ils n'ont toujours pas pris conscience de l'ᅵnorme connerie
qu'ils ont faite. En attendant ils donnent une fausse impression de
sᅵcuritᅵ et contribuent ᅵ faire croire qu'un filtre IP ne sert qu'ᅵ
empᅵcher d'entrer.


I N F O R A D I O

unread,
Jan 18, 2010, 9:03:04 AM1/18/10
to
>
>> Le site http://check.sdv.fr/ permet de visualiser les
>> ports ouverts de son r�seau. Je suppose que si le
>> site voit tous les ports ferm�s, c'est que la s�curit�
>> est bonne...
>
> Sauf que tu ne peux utiliser leur scan que si tu n'es pas aussi bien
>prot�g� que cela, puisque l'adresse pour le scan est :
> http://check.sdv.fr:3658/cgi/scan?
> ^^^^^
>
> Un client HTTP n'a aucune raison de faire une requ�te sur un tel port,
>par cons�quent sur un ordinateur correctement prot�g� la requ�te
>n'aboutira jamais et le scan ne fonctionnera pas. Je leur avais dit �
>l'�poque o� ils ont instaur� �a (mi 2003 si ma m�moire est bonne)
>apparament ils n'ont toujours pas pris conscience de l'�norme connerie

>qu'ils ont faite. En attendant ils donnent une fausse impression de
>s�curit� et contribuent � faire croire qu'un filtre IP ne sert qu'�
>emp�cher d'entrer.
>

En effet, NOSCRIPT de Filezilla bloque http://check.sdv.fr:3658 ...

A priori, cela permet n�anmoins de trouver les ports ouverts.
Si je comprends bien, tous les ports ouverts ne sont pas visibles.

Aurais-tu un site plus efficace dans ce domaine ?

Cordialement,
Ludovic.

News free

unread,
Jan 18, 2010, 12:37:52 PM1/18/10
to
Le Mon, 18 Jan 2010 15:03:04 +0100, I N F O R A D I O < <".>"> a écrit:

>>
>>> Le site http://check.sdv.fr/ permet de visualiser les

>>> ports ouverts de son réseau. Je suppose que si le
>>> site voit tous les ports fermés, c'est que la sécurité


>>> est bonne...
>>
>> Sauf que tu ne peux utiliser leur scan que si tu n'es pas aussi bien

>> protégé que cela, puisque l'adresse pour le scan est :
>> http://check.sdv.fr:3658/cgi/scan?
>> ^^^^^
>>
>> Un client HTTP n'a aucune raison de faire une requête sur un tel port,
>> par conséquent sur un ordinateur correctement protégé la requête
>> n'aboutira jamais et le scan ne fonctionnera pas. Je leur avais dit à
>> l'époque où ils ont instauré ça (mi 2003 si ma mémoire est bonne)
>> apparament ils n'ont toujours pas pris conscience de l'énorme connerie


>> qu'ils ont faite. En attendant ils donnent une fausse impression de

>> sécurité et contribuent à faire croire qu'un filtre IP ne sert qu'à
>> empécher d'entrer.


>>
>
> En effet, NOSCRIPT de Filezilla bloque http://check.sdv.fr:3658 ...
>

> A priori, cela permet néanmoins de trouver les ports ouverts.


> Si je comprends bien, tous les ports ouverts ne sont pas visibles.
>
> Aurais-tu un site plus efficace dans ce domaine ?
>
> Cordialement,
> Ludovic.
>

A combien évalues-tu cette information ?


--
TT

Ludo

unread,
Jan 19, 2010, 2:36:30 AM1/19/10
to
>
>En effet, NOSCRIPT de Filezilla bloque http://check.sdv.fr:3658 ...
>
>A priori, cela permet n�anmoins de trouver les ports ouverts.
>Si je comprends bien, tous les ports ouverts ne sont pas visibles.
>
>Aurais-tu un site plus efficace dans ce domaine ?
>

A priori non, alors nous gardons http://check.sdv.fr
qui donne tout de m�me une bonne id�e des ports
ouverts.

Pascal

unread,
Jan 19, 2010, 6:07:23 AM1/19/10
to

-------- Message original --------

Au d�part je recherche une solution open source pas trop lourde, tous ceux de
cette fameuse liste sont assez lourd � mon gout et de plus la liste ne me parle
pas beaucoup
Enfin isafer fait juste ce que je lui demande, � savoir ouvrir et fermer des ports


Robert H.

unread,
Feb 4, 2010, 5:25:40 AM2/4/10
to

Bonjour,
Je suis pas technicien mais ce site correspond peut-�tre � votre
demande?

https://www.grc.com/x/ne.dll?bh0bkyd2

I N F O R A D I O

unread,
Feb 6, 2010, 5:45:19 PM2/6/10
to
Le Thu, 04 Feb 2010 11:25:40 +0100, Robert H. a �crit

>
> ce site correspond peut-�tre � votre demande?
>
>https://www.grc.com/x/ne.dll?bh0bkyd2
>

Ma foi, possible... En tout cas j'archiverai ce
lien sur ma page web de r�sum� sur la s�curit�
informatique.

Merci.

:)

Ludovic
http://inforadio.free.fr

Stephane Catteau

unread,
Feb 6, 2010, 9:04:42 PM2/6/10
to
I N F O R A D I O devait dire quelque chose comme ceci :

>> https://www.grc.com/x/ne.dll?bh0bkyd2

C'est triste ᅵ dire, mais c'est ᅵ ma connaissance le seul qui soit
encore fiable de nos jours.


> Ma foi, possible... En tout cas j'archiverai ce

> lien sur ma page web de rᅵsumᅵ sur la sᅵcuritᅵ
> informatique.

Waouu, le grand maᅵtre de la sᅵcuritᅵ informatique qui dᅵcouvre
l'existence du tout premier site proposant au grand public de tester la
configuration de son filtre IP. Mᅵme mon fffounet chᅵrichounet le
connait depuis plus de neuf ans[1], ᅵa fait peur...

[1]
<http://groups.google.fr/group/fr.comp.securite/msg/fc3ecdd161f32702>


Roland Garcia

unread,
Feb 7, 2010, 7:30:04 AM2/7/10
to
Stephane Catteau a ᅵcrit :

Mondieumondieu, bientᅵt il va dᅵcouvrir les connexions sortantes et le
LeakTest...

http://www.grc.com/lt/leaktest.htm

--
Roland Garcia

Bapyr barre

unread,
Feb 8, 2010, 5:25:03 PM2/8/10
to
>
> Waouu, le grand ma�tre de la s�curit� informatique qui d�couvre

>l'existence du tout premier site proposant au grand public de tester la
>configuration de son filtre IP.
>

Un site parmi d'autres...
Mais � part, cela, avec ton comparse RG, si tu peux
proposer mieux que tes propos verbeux, ne te g�ne
pas...

Stephane Catteau

unread,
Feb 8, 2010, 5:56:42 PM2/8/10
to
Bapyr barre n'ᅵtait pas loin de dire :

> Un site parmi d'autres...

Quelqu'un a dit le contraire ?


> Mais ᅵ part, cela, avec ton comparse RG, si tu peux
> proposer mieux que tes propos verbeux, ne te gᅵne
> pas...

On l'a dᅵjᅵ fait, ᅵ de nombreuses reprises, mais ludovic te ressemble
ᅵnormᅵment du point de vue des oeillᅵres neuronales.

Fu2


Roland Garcia

unread,
Feb 9, 2010, 1:25:59 PM2/9/10
to
Bapyr barre a �crit :

Mme Michu fait d�j� mieux, comme en s�curit� informatique elle n'y
entend rien au moins elle n'�crit rien ni ne donne aucun conseil.

Et ce que je dis est s�rieux.

--
Roland Garcia

siger

unread,
Feb 13, 2010, 5:32:28 AM2/13/10
to
Stephane Catteau a �crit :

> Sinon, en compl�ment d'un firewall ext�rieur (qui comblera les
> manques) et d'une saine pratique du r�seau, on peut tout aussi
> bien se rabattre sur Kerio Personnal Firewall, vieux mais que l'on
> trouve encore.

Je n'utilise pas de parefeu ext�rieur, ma Freebox n'est pas en mode
routeur, j'utilise XP-SP3 et Kerio v2.1.5 (le parefeu de XP est aussi
actif)

Pour info, je suis all� ici :
https://www.grc.com/x/ne.dll?bh0bkyd2
et j'ai tout bon jusqu'� "messenger spam" que je n'ai pas compris, j'ai
cliqu� 2 fois sur "spam me" et rien ne s'est pass�.

Je suppose donc que le "vieux Kerio" marche encore bien.

--
siger

Stephane Catteau

unread,
Feb 13, 2010, 8:57:45 PM2/13/10
to
siger devait dire quelque chose comme ceci :

> Je suppose donc que le "vieux Kerio" marche encore bien.

Mᅵme le bon vieil @guard marcherait encore bien, s'il pouvait tourner
sur une version rᅵcente de Windows. Le problᅵme des vieux filtre IP ce
n'est pas leur inᅵfficacitᅵ, mais leur absence de prise en compte des
formes d'attaques les plus rᅵcentes et l'absence des diffᅵrents gadgets
des temps nouveaux destinᅵs ᅵ rassurer plus qu'ᅵ protᅵger.
Ils sont donc suffisant pour une personne qui reste vigilante. A titre
d'exemple, certes @guard ne passe pas le pourtant vieux leaktest, mais
dᅵs lors que l'utilisateur n'installe pas tout et n'importe quoi sur sa
machine et qu'il jette un oeil de temps en temps sur sa machine, ce
n'est pas d'une grande importance. Il faut juste garder ᅵ l'esprit que
le firewall utilisᅵ ᅵtant vieux, il ne protᅵge peut-ᅵtre pas de tout.


Fabien LE LEZ

unread,
Feb 13, 2010, 9:48:13 PM2/13/10
to
On Sun, 14 Feb 2010 02:57:45 +0100, Stephane Catteau
<steph....@sc4x.net>:

>mais leur absence de prise en compte des

>formes d'attaques les plus r�centes

Le probl�me de Kerio 2.x, si je ne m'abuse, est l'absence de filtrage
des paquets fragment�s, qui est loin d'�tre une "forme d'attaque
r�cente", et qui pose probl�me m�me si on n'installe rien sur la
machine.

Ascadix

unread,
Feb 14, 2010, 9:04:14 AM2/14/10
to
Stephane Catteau a prᅵsentᅵ l'ᅵnoncᅵ suivant :

T'oubli aussi le cas courant de l'incompatibilitᅵ avec l'OS non pas
"rᅵcent" mais simplement "mis-ᅵ-jours" vu comment ces softs doivent
s'imbriquer ᅵtroitement avec les couches rᅵseaux de l'OS.

Docn, @guard, ok pour un Win98 ou un 98 1ᅵre ᅵdition vu l'age de leur
derniere mise ᅵ jours, mais mᅵme sur un 98se ..ᅵa passe plus vraiment
nickel.

Et pourtant, qu'il ᅵtait sympa ᅵ l'ᅵpoque ce bon vieux @guard ..
'sniff'

--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ᅵa
arrive.


Pascal

unread,
Feb 14, 2010, 3:06:43 PM2/14/10
to
Le 08/12/2009 07:42, Az Sam a ᅵcrit :
>
> "Rickyki" <rickyki(nospam)@wanadoo.fr> a ᅵcrit dans le message de news:
> mn.3ce87d9ca...@wanadoo.fr...
>
>> Hipps (gardien des programmes)supper
>
> voila justement le genre de fonction qui va le rendre impactant
>
ᅵ la lecture de tous ces posts...... je ne sais tojours pas vraiment
quel firewall choisir isafer me pliat bien mais il a quelques manques un
irewall dans cet esprit au gout du jour me plairait bien mais je n'en
vois pas


Stephane Catteau

unread,
Feb 14, 2010, 8:36:04 PM2/14/10
to
Fabien LE LEZ devait dire quelque chose comme ceci :

>> mais leur absence de prise en compte des

>> formes d'attaques les plus rᅵcentes
>
> Le problᅵme de Kerio 2.x, si je ne m'abuse, est l'absence de filtrage
> des paquets fragmentᅵs, qui est loin d'ᅵtre une "forme d'attaque
> rᅵcente",

Tout dᅵpend de quel point de vue tu te places, le dernier
dᅵveloppement de KPF c'est fin 2004 si ma mᅵmoire est bonne, donc pour
lui c'est une attaque rᅵcente.


> et qui pose problᅵme mᅵme si on n'installe rien sur la machine.

Oui, mais cela a-t-il vraiment une importance dans le cas de figure
prᅵsent ? A mon sens, l'intᅵrᅵt premier d'un filtre IP *sur une machine
perso isolᅵe* est avant tout de filtrer le trafic sortant et de
prᅵmunir contre la plus part des vers ? Dans 99,99% des cas, seul un
attaquant humain s'appuyera sur des attaques plus ᅵvoluᅵes, les vers et
autres saloperies, disons "automatique", allant eux au plus simple. De
ce point de vue KPF rempli son role.
Aprᅵs il reste certe le problᅵme des paquets fragmentᅵs, qui offrent
un point d'entrᅵe ᅵ un attaquant, mais un point d'entrᅵe vers quoi ? Si
l'utilisateur configure bien le serveur HTTP qu'il a installᅵ sur sa
machine pour s'occuper de sa page perso ᅵ lui qu'il a, et surtout qu'il
le tient ᅵ jour, qu'importe que Kerio laisse passer les paquets
fragmentᅵs, ils se heurteront finalement ᅵ un mur. La seule faille se
situe au niveau du systᅵme lui-mᅵme, mais XP et les versions suivantes
de Windows n'ont plus grand chose ᅵ voir avec Win98, si le systᅵme est
bien configurᅵ lᅵ aussi il n'y aurait pas grand chose ᅵ faire une fois
passᅵ le filtre IP.
Au final c'est avant tout une question de vigilance ; le filtre IP
n'est pas parfait, si on n'oublie pas et que l'on en tient compte, les
risques se retrouvent quand mᅵme considᅵrablement rᅵduit par rapport ᅵ
un filtre IP que l'on comprend moins bien (et donc configure moins
bien) ou, pire, ᅵ une machine sans le moindre filtre IP.

Et puis, mine de rien, les tests comme celui de Gibson ne sont pas
destinᅵs uniquement ᅵ tester le filtre IP, on peut, voir devrait, aussi
les faire avec le filtre IP dᅵsactivᅵ, pour s'assurer qu'il n'y a pas
de ports qui restent accessibles ᅵ notre insu.


Stephane Catteau

unread,
Feb 14, 2010, 8:38:44 PM2/14/10
to
Ascadix devait dire quelque chose comme ceci :

> Docn, @guard, ok pour un Win98 ou un 98 1ᅵre ᅵdition vu l'age de leur
> derniere mise ᅵ jours, mais mᅵme sur un 98se ..ᅵa passe plus vraiment
> nickel.

Chez moi ᅵa marchait ;)


> Et pourtant, qu'il ᅵtait sympa ᅵ l'ᅵpoque ce bon vieux @guard ..
> 'sniff'

Si on regarde bien, c'est l'ancᅵtre du filtre IP personnel, et il
existe encore ᅵ sa faᅵon, puisque c'est lui qui avait servi de base au
dᅵveloppement de Tiny PF, devenu ensuite Kerio PF puis Sunbelt PF. Il
allait ᅵ l'essentiel, ne faisant qu'une chose mais la faisant bien,
c'est ᅵa surtout qui manque de nos jours.


Stephane Catteau

unread,
Feb 14, 2010, 8:42:22 PM2/14/10
to
Pascal n'ᅵtait pas loin de dire :

> ᅵ la lecture de tous ces posts...... je ne sais tojours pas vraiment
> quel firewall choisir isafer me pliat bien mais il a quelques manques un
> irewall dans cet esprit au gout du jour me plairait bien mais je n'en
> vois pas

Est-ce que ces manques sont rᅵellement importants ? Qu'importe ce
qu'il fait ou ne fait pas, le firewall ᅵ choisir est celui dont tu
comprends la logique, parce que c'est aussi celui que tu configureras
le mieux. Tous les firewalls personnels pour Windows ont une base de
filtrage IP, et au bout du compte c'est la seule chose qui importe
vraiment. Aprᅵs ils ont tous, ou presque, des petits plus qui les
rapproches du firewall ᅵ proprement dit, mais ce ne sont pas forcᅵment
des options utiles et/ou intᅵressantes.


Pascal

unread,
Feb 15, 2010, 3:00:00 AM2/15/10
to

-------- Message original --------

En fait il y a un soucis que je ne m'explique pas :
lorsque le firewall me bloque une connection un deny est inscrit dans les logs
et donc ᅵ moi d'autoriser ou non la connection.
Par contre j'utilise une petite appli avec la freebox : freemiupnp permettant de
lire les diffᅵrents mᅵdias de mon pc sur la tᅵlᅵ.
j'ai l'impression d'avoir autorisᅵ tout ce qu'il fallait et pourtant ᅵa ne
fonctionne pas, pas de deny dans les logs. Lorsque je dᅵsactive isafer ᅵa
fonctionne . Donc isafer bloque bien quelque chose mais ne me le dis pas.
voilᅵ entre autre les petits soucis rencontrᅵs avec ce firewall qui malmgrᅵ tout
fait bien son boulot


I N F O R A D I O

unread,
Feb 15, 2010, 10:58:54 AM2/15/10
to
>
>Le probl�me de Kerio 2.x, si je ne m'abuse, est l'absence de filtrage
>des paquets fragment�s, qui est loin d'�tre une "forme d'attaque
>r�cente", et qui pose probl�me m�me si on n'installe rien sur la
>machine.

Ce probl�me est corrig�.

J'ai conserv� la modification � r�aliser dans la base de registre :
http://inforadio.free.fr/articles.php?lng=fr&pg=57
Para 1.

Je l'utilise toujours sous Xp avec le firewall de Windows en
fonction, je ne rencontre pas de bug particulier.
Mais je ne l'utilise pas seul.

Maintenant, � la lecture de toutes les r�ponses, en
effet, aucune id�e claire sur "le meilleur firewall"...

Cordialement,
Ludovic.

TT free

unread,
Feb 15, 2010, 12:08:51 PM2/15/10
to
Le Mon, 15 Feb 2010 16:58:54 +0100, I N F O R A D I O < <".>"> a écrit:

>>
>> Le problème de Kerio 2.x, si je ne m'abuse, est l'absence de filtrage
>> des paquets fragmentés, qui est loin d'être une "forme d'attaque
>> récente", et qui pose problème même si on n'installe rien sur la
>> machine.
>
> Ce problème est corrigé.
>
> J'ai conservé la modification à réaliser dans la base de registre :
> http://inXXXXfree.fr/articles.php?lng=fr&pg=57


> Para 1.
>
> Je l'utilise toujours sous Xp avec le firewall de Windows en
> fonction, je ne rencontre pas de bug particulier.
> Mais je ne l'utilise pas seul.
>

> Maintenant, à la lecture de toutes les réponses, en
> effet, aucune idée claire sur "le meilleur firewall"...
>
> Cordialement,
> Ludovic.

Se méfier des autopublicités.

--
TT

Stephane Catteau

unread,
Feb 15, 2010, 12:57:58 PM2/15/10
to
I N F O R A D I O devait dire quelque chose comme ceci :

>> Le problᅵme de Kerio 2.x, si je ne m'abuse, est l'absence de filtrage
>> des paquets fragmentᅵs, qui est loin d'ᅵtre une "forme d'attaque

>> rᅵcente", et qui pose problᅵme mᅵme si on n'installe rien sur la
>> machine.
>
> Ce problᅵme est corrigᅵ.

A l'ᅵpoque oᅵ le correctif ᅵtait sorti, il n'a ᅵtᅵ ni annoncᅵ
officiellement, ni distribuᅵ par Kerio, qui avait dᅵjᅵ abandonnᅵ le
dᅵveloppement de KPF. Alors, ᅵ moins que tu n'ais une preuve quelconque
du caractᅵre officiel de ce correctif[1], je dᅵconseille plus que
fortement son utilisation. Il vaut mieux utiliser un KPF que l'on sait
vulnᅵrable aux paquets fragmentᅵs, qu'utiliser un KPF dont l'on ignore
s'il n'a pas une backdoor, ou que sais-je d'autre, en son sein.


[1]
Qui peut parfaitement avoir ᅵtᅵ fait par l'un des dev' sur son temps
libre.


Stephane Catteau

unread,
Feb 15, 2010, 1:10:49 PM2/15/10
to
Pascal devait dire quelque chose comme ceci :

> j'ai l'impression d'avoir autorisᅵ tout ce qu'il fallait et pourtant ᅵa ne
> fonctionne pas, pas de deny dans les logs.

Il n'est pas rare qu'un filtre IP dispose d'une rᅵgle de deny par
dᅵfaut, c'est peut-ᅵtre elle qui bloque ; comme elle serait alors
d'origine elle peut ne pas ᅵtre configurᅵe pour logger ce qu'elle fait.


> Lorsque je dᅵsactive isafer ᅵa fonctionne. Donc isafer bloque bien

> quelque chose mais ne me le dis pas.

D'aprᅵs le site de freemiupnp, le logiciel n'utilise que deux ports.
Par dᅵfaut ce sont les ports TCP:51234 et UDP:1900. Donc la premiᅵre
chose ᅵ faire est de crᅵer une[1] rᅵgle ouvrant les port 51234 et 1900
en UDP et TCP et en entrᅵe autant qu'en sortie. Tu ne spᅵcifies pas le
programme concernᅵ et tu places cette rᅵgle au tout dᅵbut de la liste.
Aprᅵs tu affines la rᅵgle au fur et ᅵ mesure jusqu'ᅵ ce qu'elle
corresponde ᅵ ce que tu souhaites, ou qu'elle ne fonctionne plus.
Chaque essais t'en apprenant un peu plus sur les causes possibles du
bloquage.
Vᅵrifie aussi que tu n'as pas changᅵ la configuration de freemiupnp
sans y avoir fait attention.

[1]
ou deux si on ne peut pas dᅵsigner plusieurs ports par rᅵgle.


Az Sam

unread,
Feb 15, 2010, 3:04:43 PM2/15/10
to

"Stephane Catteau" <steph....@sc4x.net> a ᅵcrit dans le message de news:
mn.7c717da2b...@sc4x.org...

>
> A l'ᅵpoque oᅵ le correctif ᅵtait sorti, il n'a ᅵtᅵ ni annoncᅵ
> officiellement, ni distribuᅵ par Kerio, qui avait dᅵjᅵ abandonnᅵ le
> dᅵveloppement de KPF. Alors, ᅵ moins que tu n'ais une preuve quelconque
> du caractᅵre officiel de ce correctif[1], je dᅵconseille plus que
> fortement son utilisation. Il vaut mieux utiliser un KPF que l'on sait
> vulnᅵrable aux paquets fragmentᅵs, qu'utiliser un KPF dont l'on ignore
> s'il n'a pas une backdoor, ou que sais-je d'autre, en son sein.
>
>
> [1]
> Qui peut parfaitement avoir ᅵtᅵ fait par l'un des dev' sur son temps
> libre.

Je pense que la lulu ne pense pas au patch. Pas de modif de kerio mais une
modif du registre de Windows

Fabien Le Lez s'interrogeait en 2005 sur le sujet :
http://www.generation-nt.com/reponses/kerio-2-1-5-la-solution-entraide-190012.html

Je me demande meme si ce n'etait pas ici aussi d'ailleurs :-)
(bien que google groups me dise non)

--
Cordialement,
Az Sam.

Ludo

unread,
Feb 15, 2010, 5:58:53 PM2/15/10
to
>
> A l'�poque o� le correctif �tait sorti, il n'a �t� ni annonc�
>officiellement, ni distribu� par Kerio, qui avait d�j� abandonn� le
>d�veloppement de KPF. Alors, � moins que tu n'ais une preuve quelconque
>du caract�re officiel de ce correctif.
>

Que de familiarit�, ce Az Sam... Depuis que j'ai mis
le doigt sur son incomp�tence � utiliser un multim�tre
sur un autre forum...

;)

Enfin, il se sert de sa m�moire, c'est bien...

Bref, Stephane, tu iras lire le correctif en question et dans tous
les cas de figure, il ne peut gu�re faire de mal et en aucun
cas provoquer une faille de s�curit� suppl�mentaire...

Mais je ne suis pas l� pour convaincre, tu fais bien ce que
tu veux St�phane.

Cordialement,
Ludovic

Fabien LE LEZ

unread,
Feb 15, 2010, 9:09:19 PM2/15/10
to
On Mon, 15 Feb 2010 16:58:54 +0100, I N F O R A D I O <
.>:

>Ce probl�me est corrig�.

Le mot exact est "contourn�".

Stephane Catteau

unread,
Mar 1, 2010, 8:39:09 AM3/1/10
to
Fabien LE LEZ devait dire quelque chose comme ceci :

>> Ce problᅵme est corrigᅵ.
>

> Le mot exact est "contournᅵ".

Non, configurer Windows pour qu'il n'utilise pas les paquets
fragmentᅵs ce n'est pas que contourner le problᅵme, c'est carrᅵment
l'ignorer. N'oublions pas que le plus souvent ce sont des utilisateurs
lambda qui sont en face, le genre d'utilisateur qui reinstallera
Windows sans aucun remords parce que c'est dit sur un forum, un site,
ou parce qu'un hotliner avait pas envie de se casser le cul.
Autant cette personne fera la correction en passant, parce qu'elle
aura lu quelque part qu'il faut le faire, autant elle aura complᅵtement
oubliᅵ tout ᅵa lorsqu'elle rᅵinstallera Windows. Et comme elle a agit
sans rᅵellement comprendre pourquoi[1], il ne faut pas compter que ᅵa
fasse tilt dans son esprit lorsqu'arrivera le moment de rᅵinstaller
Kerio PF.

[1]
La faute nous incombes le plus souvent.


0 new messages