complexité du firewall logiciel pour l'utilisateur moyen...

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
lab34

complexité du firewall logiciel pour l'utilisateur moyen...

par lab34 »

Bonjour,
j'ai été récemment infecté par fynloski
- comportement à risque+inattention de ma part
- j'ai cliqué à minuit sur un exe avant de le soumettre à virustotal et malwarebyte et sans le sandboxer (la totale !)
- antivir n'a rien détecté
- j'ai percuté tout de suite après le clique, tcpview montrait un svchost dans temp qui établissait une connections sortante, un coup de malwarebyte m'a confirmé l'infection...
- désinfection, changement des passwords, paranoia...

Du coup, je me suis mis en quête d'un firewall simple et léger, au moins pour être prévenu des connexions sortantes (car autant j'aurais pu passer à coté si je n'avais pas eu le bon réflexe)

Mais là, ça se complique. J'ai testé du simple, Windows firewall notifier, windows firewall control, puis l'artillerie lourde avec comodo

Mais je bute tout le temps sur la conduite à tenir face aux connexions sortantes du svchost.
Il faut trouver le service qui initie la connections, chercher si elle est légitime ou pas, c'est sans fin...

Du coup je me demande si un firewall logiciel est d'une grande utilité... Je me dit que la box protège déjà pas mal des entrantes, tout en offrant une administration simple pour les jeux réseaux et que les sortantes sont trop complexes à diagnostiquer. (je dirais que la majorité des sortantes sont évidentes à évaluer mais pas sensibles et une minorités sont complexes à évaluer et sensibles)

Quand je fait le tour des forums, j'ai du mal à percevoir ce doute. J'ai plus l'impression que, soit les néophytes se croient protégés par leur fw logicielle, soit les experts ont effectivement une conf protectrice mais au prix d'un investissement en temps considérable.

Je ne sais pas si d'autre partagent mon opinion... en fait je cherche un peu une confirmation ou une infirmation.
Aujourd'hui je suis à 75% convaincu de revenir au firewall intégré windows dans sa conf d'origine.
compte-supprime666

Re: complexité du firewall logiciel pour l'utilisateur moyen

par compte-supprime666 »

"J'ai plus l'impression que, soit les néophytes se croient protégés par leur fw logicielle, soit les experts ont effectivement une conf protectrice mais au prix d'un investissement en temps considérable."



Salut,


Moi je serai encore plus catégorique, les "experts" capables d'avoir une configuration vraiment protectrice sont rares, et le mieux est effectivement de garder le pare feu de Windows (excellent pour le filtrage des connexions entrantes, faire attention néanmoins aux exceptions), ou de se prendre une bonne suite antivirus (Kaspersky, Bitdefender, G data) qui fera les réglages toute seule (liste blanche).

Tu as pris l'exemple de svchost.exe, avec explorer.exe, on a là affaire, si on regarde les rapports d'infection publiés, à des processus souvent en cause dans le téléchargement des malwares, selon les pare feu les méthodes sont différentes, soit on autorise tout en sortie (svchost l'interdire ça ne marche pas très bien...), soit on autorise le processus parent ou pas, et tout ou certains de ses processus enfant, pas une mince affaire pour s'y retrouver, et ceci sans aborder le problème des protocoles.
Dans des pare feu de suites aboutis (exit Comodo qui ne l'est pas), donc qui ne posent pas de questions, il y a de sérieuses différences d'approche, concernant l'un d'eux j'ai noté pas moins de 10 à 15 règles pour svchost (réseau local compris), alors que d'autres se contentent d'une seule, c'est donc une tâche difficile pour un ingénieur spécialisé, alors pour un néophyte n'en parlons pas.

Il fut une époque où les gens qui avaient Look n' stop pouvaient avoir un conseil très pertinent sur le forum dédié, supporté directement par le créateur de LNS, maintenant le support n'est plus assuré par celui ci, donc je dirais qu'actuellement il est très difficile d'avoir un véritable conseil de qualité dans ce domaine si les choses se compliquent.


Filtrer en sortie n'est pas indispensable si on est bien protégé par un antivirus sérieux.

Garder le pare feu de Windows 7, ou payer...
Dernière modification par compte-supprime666 le 02 févr. 2012 12:35, modifié 1 fois.
Malekal_morte
Messages : 110706
Inscription : 10 sept. 2005 13:57

Re: complexité du firewall logiciel pour l'utilisateur moyen

par Malekal_morte »

Salut,

Déjà ZoneAlarm gratos, c'est mort, il bloque pas les injections.
La version payante ça va.

Outpost est assez compliqué : https://www.malekal.com/2011/10/23/outp ... -rapide/2/
Comodo à voir : https://www.malekal.com/2011/10/03/como ... ol-rapide/
Le problème est que ce sont de moins en moins des firewalls tout seul mais de plus en plus des suites.

Je vais regarder Jetico.

Actuellement, il faut comprendre le mécanisme des injections très utilisés par les droppers pour installer l'infection : https://www.malekal.com/2011/09/02/inje ... t-dropper/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
compte-supprime666

Re: complexité du firewall logiciel pour l'utilisateur moyen

par compte-supprime666 »

"Actuellement, il faut comprendre le mécanisme des injections très utilisés par les droppers pour installer l'infection : https://www.malekal.com/2011/09/02/injec ... t-dropper/"



Salut,


J'ai répondu à l'intervenant sur ce qui est directement du domaine "réseau", le problème du filtrage des fuites (leaks) n'est pas obligatoirement du domaine d'un pare feu, et peut être assuré par l'antivirus au niveau de la proactivité de façon automatique, donc sans poser de questions, ce qui est la tendance générale.

C'est d'ailleurs ce qu'a souvent dit et répété sur le sujet Frédéric, créateur de Look n' stop, à propos des sempiternelles questions sur les résultats aux leaktests.

Donc pour moi c'est un autre problème, au moins aussi difficile que le premier, qui ne concerne pas les néophytes et les "experts", mais des ingénieurs informatiques bien recrutés.
Malekal_morte
Messages : 110706
Inscription : 10 sept. 2005 13:57

Re: complexité du firewall logiciel pour l'utilisateur moyen

par Malekal_morte »

Bof.
Je vois pas pourquoi c'est écrit et ça doit rester que l'antivirus doit faire ci, et le pare-feu ça.
Les choses évoluent.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 110706
Inscription : 10 sept. 2005 13:57

Re: complexité du firewall logiciel pour l'utilisateur moyen

par Malekal_morte »

J'ai regardé vite fait Jetico.
Le Firewall propose un scan des programmes connus pour autoriser les connexions sortantes.

Le Hic, c'est que les autres programmes vont émettre des alertes.
Et même ceux classer aussi, car il detecte des accès dans le registre et autre.
Genre pour jushed qui se fout au démarrage, doit y avoir presque 10 alertes.

C'est vite broutant.
Sinon ils détectent les injections en autre.

Quelques captures en vrac.
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
lab34

Re: complexité du firewall logiciel pour l'utilisateur moyen

par lab34 »

Merci beaucoup pour toutes ces indications ! J'ai tout lu avec attention.

je pense que je vais revenir au firewall intégré.
et continuer à scruter les forums (principalement celui-ci !) pour suivre l'évolution...

Tout ça est effectivement très complexe, c'est un métier à part entière. Les outils grand public tentent juste de masquer la complexité qui peut être un frein à la vente ou même à l'utilisation (on fini par répondre oui sans savoir)

Tiens une anecdote au passage, j'ai eu le souci suivant avec comodo: je lance le serveur minecraft de mon fils, tout de suite il me demande si le craftbukkit.jar peut accéder à internet. Je dis oui... Au bout d'un moment, un client tente de se connecter, il me demande si le craftbukkit.jar peut accepter les connexions entrantes, je réponds "mais oui bien sûr"... Et ensuite, pendant une bonne heure j'ai cherché pourquoi les clients n'arrivaient quand même pas à se connecter: il fallait mettre une règle sur le java.exe plutôt que sur le jar ! Troublant... du coup, je me suis demandé si d'autres fichier jar accepteraient les connexions entrantes avec cette règle sur le java.exe. Si oui ce n'est pas forcément voulu... C'est là qu'à commencé mon découragement... Et à ce niveau là, on en est pas encore au protocole ni au port prêt (j'avais fini par mettre le truc le plus large sur le jar, tout protocole, toute ip, tout ports...)

Sinon, sur la discussion "outils tout en un" vs "outil spécialisés" , je pense qu'il est normal qu'un éditeur propose une suite. Ca répond au besoin de M. ToutLeMonde qui voit la sécurité comme un package complet, avec éventuellement l'assistance qui va bien (le geekbuddy chez comodo). Pour ma part je suis un peu réservé quand on voit que tout les antivirus ne se valent pas et que tout les firewall ne se valent pas, je serais plutôt dans l'optique de prendre le meilleurs de chaque monde. Et il y a aussi les considérations de coût, de pérennité dans le temps...

Merci à vous deux !
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Securite informatique »