Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Je voudrais tester mon firewall

lol.2.dol

Par lol.2.dol
dans Analyses et éradication malwares

 Partager

Messages recommandés

lol.2.dol Full Patch Member

lol.2.dol

Posté(e)
Posté(e)

Salut!

 

Voilà je cherche à tester 2 firewall sur mon PC entre Zone alarm et Kerio(je vous demande pas votre avis dessus)!

 

Donc j'essaye de faire des test en ligne mais le problème en l'occurence c'est que ma Livebox Inventel dispose d'un Firewall et d'un routeur!

J'ai réglé le Firewall de la livebox au niveau minimum et j'ai activé la DMZ sur la livebox!

Configuration de la DMZ (Zone démilitarisée)

 

Une DMZ correspond à l'ouverture de tous les ports de la passerelle vers un ordinateur particulier du réseau local.

Attention: en activant la DMZ, vous rendez cet ordinateur accessible depuis l'Internet et donc vulnérable au piratage.

Pourtant le problème c'est que quand je fais des test en ligne de sécurité pour tester les ports je n'ai aucune alerte de Zone alarm(pour l'instant je n'ai essayé qu'avec lui!)

 

Donc comment je pourrais faire pour tester correctement mon firewall??

 

Merci @+

lol.2.dol Full Patch Member

lol.2.dol

Posté(e)
  • Auteur
Posté(e) (modifié)

Merci c'est sympa pour les liens!

 

Mais en fait c'est que je voudrais savoir si mon firewall logiciel en l'occurence ZA,fonctionne bien!

Parce que quand je fais les tests,ZA ne m'indique aucune alerte et pourtant mes résultats sont tip-top!

Les résultats sont les mêmes que quand j'ai pas de firewall!

exemple hier soir j'ai fais un test avec zebulon sans firewall ni antivirus (j'ai juste ajouté un firewall ce matin et je n'est plus d'antivirus et de firewall depuis un mois)

et bien le résultat est excellent enfin presque,regardez!!

 

Aors moi ce que je veux c'est pouvoir tester mon Firewall logiciel pour de vrai,parce que là ZA ne malerte pas d'une quelconque entrée sur mon PC!!

 

edit:même avec ton test chris les 1056 premiers port sont tous en vert,et pourtant j'ai rien fait! :P mon PC est super protégé sans que j'y fasse quelque chose!!

Modifié par lol.2.dol
megataupe Godlike Member

megataupe

Posté(e)
Posté(e)

Bonjour à tous. En fait, ce qui se passe c'est que routeur-firewall de la livebox filtre tout ce qui est en aval (ce qui veut sortir en premier donc) et dans ce cas de figure, Zone Alarm (ou un autre) n'a plus pour utilité que de filtrer les applications qui demandent un bon de sortie.

lol.2.dol Full Patch Member

lol.2.dol

Posté(e)
  • Auteur
Posté(e)

Ahhhhh!

Bon alors mon Firewall logiciel a un interêt moins important??

Bon je vais quand même le garder,et pusi je bais garder ZA parce que Kerio il est moche :P

 

Merci Megataupe

c'est résolu messieurs les modos!

Zonk Godlike Member

Zonk

Posté(e)
Posté(e) (modifié)
Bonjour à tous. En fait, ce qui se passe c'est que routeur-firewall de la livebox filtre tout ce qui est en aval (ce qui veut sortir en premier donc) et dans ce cas de figure, Zone Alarm (ou un autre) n'a plus pour utilité que de filtrer les applications qui demandent un bon de sortie.

532243[/snapback]

Salut

Ici,je suis en reseau avec un routeur DLINK(avec pare-feu activé..bien sur...) et dans mon ordi j'ai ZA version gratuite (sur l'autre ordi,celui d'un parent,il y a le pare-feu de Windows).Mon ZA m'a bloquer jadis une tentative d'intrusion de 180 search solutions(un logiciel pas tellement dangereux,mais combiens inutile!)......donc ZA m'a garder loin de cette *$ *+_!"......

Bonne journée aux gens de l'autre berge de l'Atlantique.

Modifié par Zonk
megataupe Godlike Member

megataupe

Posté(e)
Posté(e)
Ahhhhh!

Bon alors mon Firewall logiciel a un interêt moins important??

Bon je vais quand même le garder,et pusi je bais garder ZA parce que Kerio il est moche :P

 

Merci Megataupe

c'est résolu messieurs les modos!

532247[/snapback]

 

Pour que ton information soit complète, voici le fonctionnement d'un routeur firewall (ce qui ne t'empêche pas de garder Zone Alarm pour gèrer les applications car, tu peux malgré tout, selon ton surf, choper un trojan qui demandera à se connecter sur un port prédéfini par le trojan) :

 

Un routeur est un composant actif du réseau composé d'interfaces d'entrée et de sortie, d'un ou plusieurs processeur et de mémoire. Son principal travail est de recevoir des paquets (ici des paquets IP encapsulés dans des trames ethernet), de traiter ces paquets selon des tables de routages et les protocoles, et de renvoyer ces paquets sur les interfaces de sortie adéquates.

 

Afin de définir les tables de routages, plusieurs techniques sont utilisées : la première consiste à entrer à la main des tables de routages hiérarchiques. C'est ce qui est couramment utilisé dans les réseaux locaux (telle interface du routeur = réseau local, telle autre = le reste = internet). Plusieurs protocoles, dits Inter Gateway Protocols, permettent de mettre à jour les tables de routages pour plusieurs routeurs d'un même niveau dans la hiérarchie. OSPF (Open Shortest Path First) et RIP (Routing Information Protocol) sont les deux IGP les plus couramment utilisés pour le routage entre ISP (Internet Service Provider).

 

Tous les paquets qui passent d'un sous-réseau IP à l'autre traversent un routeur, c'est donc un composant qui est jugé critique dans la gestion de la sécurité. Il est donc naturel de vouloir insérer du contrôle de sécurité au niveau du routeur. C'est ce que l'on appelle un routeur/firewall. Un firewall stateless (sans contexte) est un firewall qui refuse ou accepte le routage d'une interface à une autre en ne prenant en compte que les informations contenues dans le paquet (ports, source, destination généralement). A contrario, un firewall statefull est un firewall qui refuse ou accepte le routage d'une interface à une autre en prenant en compte les informations dans le paquet à router, mais aussi l'histoire du routage, c'est à dire les informations contenues dans les paquets précédents. Par exemple, un firewall qui interprète le protocole TCP pour bloquer tout paquet qui n'est pas précédé par un paquet valide de connexion est un firewall statefull. Ces firewall nécessitent beaucoup plus de mémoire et de puissance de calcul que les firewall stateless, mais permettent d'exprimer simplement des règles de sécurité fines, souples et robustes. A contrario, un firewall stateless contraint généralement son utilisateur à des règles de sécurité brutes, et il y a un compromis à décider entre la robustesse de la sécurité et la souplesse que l'on veut donner aux utilisateurs du réseau protégé.

lol.2.dol Full Patch Member

lol.2.dol

Posté(e)
  • Auteur
Posté(e)

Magnifique!!!!!

Merci,j'ai jeté mon dévolu sur ZA,même si je sais qu'il va surtout faire de la "figuration" m'enfin!

 

Pour l'antivirus bha je vais prendre avast!

Voilà je suis prêt à faire un belle installation sécruisé!

 

J'attends plus que mes CD vierges!!!

Greywolf Tera Power Extrem Member

Greywolf

Posté(e)
Posté(e)

Pour illustrer les propos de Megataupe,

 

un firewall stateless ne considère qu'uniquement les ports et les adresses IP source et destination des paquets qu'il reçoit.

 

un firewall plus évolué, dit stateful (à état) considère différents champs inclus dans les paquets IP (@IP, ports mais aussi positionnement des drapeaux (syn, ack, urg, push, fin,...) pour les connexions TCP et leur numéro de séquence). Ainsi il est à même de conserver une trace des connexions: c'est le conntracking (connection tracking).

Avec un firewall stateful, les connexions sont alors considérées en fonction de leur état:

NEW (nouvelle connexion), ESTABLISHED (connexion établie), RELATED (connexion reliée).

 

Considérons pour exemple une connexion à un serveur web:

client envoie un paquet au serveur web:

@IP source:client, port source:random_1, @IP destination: serveur, port destination: 80, flag: SYN, ISN: X

 

le serveur répond:

@IP source:serveur, port source:80, @IP destination: client, port destination: random_1,flag: SYN/ACK, TCP Seq Num: Y/X+1

 

le client entérine la connexion:

@IP source:client, port source:random_1, @IP destination: serveur, port destination: 80, flag: ACK, TCP Seq Num: X+1/Y+1

 

Avec un firewall stateful, la seule règle à créer consiste à autoriser en sortie les nouvelles connexions au serveur => flag SYN positionné ; les connexions suivantes seront automatiquement autorisées sur la base des drapeaux de réponse positionnés et des numéros de séquence adéquats et seront en état ESTABLISHED.

 

Avec un firewall stateless, il faut autoriser spécifiquement la réponse du serveur web, à savoir une connexion entrante ayant comme port source 80... donc tout paquet TCP ayant comme port source 80 sera autorisé. Il est très facile de choisir avec quel port source envoyer un paquet et donc de passer le firewall stateless.

Il serait possible de restreindre à l'adresse IP source, mais une adresse IP est également facilement modifiable.

 

Concernant les états RELATED, ceux ci concernent principalement les protocoles comportant des connexions multiples comme le FTP.

FTP nécessite 2 connexions, une de COMMANDE initiée par le client vers le serveur et une seconde de DATA, initiée par l'une ou l'autre partie, sur des ports définis aléatoirement. considérons le mode actif dans lequel le serveur FTP va initier la connexion de DATA de son port 20 (par défaut) vers un port aléatoire défini lors du premier échange de la connexion de COMMANDE.

 

La connexion de DATA entrante n'a aucune entrée dans la table des connexions et est donc considéré comme nouvelle.

Dans un firewall stateless, il faudrait autoriser les nouvelles connexions ayant comme port source 20.

Un firewall stateful muni d'une connaissance du protocole FTP "sait" qu'une connexion de DATA doit s'établir suite à la connexion de COMMANDE, une connexion dite RELATED.

Le module de suivi de session saura donc si une connexion de COMMANDE est déjà établi sur un serveur et acceptera donc la connexion de DATA initiée par ce dernier.

 

Certaines attaques sur les firewall consistaient à créer des paquets "sapin de noël" (Xmas packet) avec tous les drapeaux d'activés, ce qui constituaient une aberration vis à vis des normes de connexion => plantage FW

 

d'autres à créer des paquets NULL (aucun flag d'activé) => aberration=> plantage

 

ou encore de fragmenter les paquets (attaque toujours d'actualité sur les versions de Kerio 2.1)

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...