Si linux dispose de solutions de firewall efficaces et variées au niveau de l'utilisation (des appels à iptables à la configuration de nuFw), je ne connaissais pas jusqu'à maintenant de firewall "interactif" pour linux. Si Firestarter permet une surveillance et une modification du firewall via une inerface GTK, il ne detecte pas pour autant les nouveaux programmes qui tentent d'accéder à internet, comme un Zone Alarm le ferait sous windows en affichant une (horripilante à la longue) popup du style : le programme lambda tente d'accéder à internet, etc.
Program Guard est constitué d'un module pour le noyau, d'un daemon et d'une interface GTK optionnelle. Configuré en mode "Static", il s'utilise comme n'importe quel firewall avec des règles définies à l'avance dans un fichier de configuration. En revanche, il propose aussi un mode "Query" qui affiche une popup lorsqu'un programme non reconnu tente d'accéder à internet.
Le programme est actuellement en bêta mais semble utilisable (je ne l'ai pas encore testé), le seul inconvénient pour moi est la présence d'un module pour le noyau (il n'y aurait pas moyen de faire une sorte de netstat pour voir quel programme se connecte où ?).
Si pour le "power user", cette solution ne présente aucun intérêt, elle est en revanche profitable au néophyte qui voudra faire marcher (a|x)mule par exemple et qui ne connaît pas le concept de port ou autres concepts réseau.
Evidemment, il faut aussi éviter que l'utilisateur soit noyé dans les popups d'autorisation, c'est à mon avis ensuite au distribs de livrer un paquet avec des règles de bases configurées.
Projet à suivre donc...
Note que j'ai mentionné Zone Alarm, mais j'aurais aussi pu parler de Kerio ou autre...
Journal Program Guard, le Zone Alarm de Linux
5
jan.
2006
# Un peu comme ça ?
Posté par lezardbreton . Évalué à 3.
[^] # Re: Un peu comme ça ?
Posté par Adrien BUSTANY (site web personnel) . Évalué à 1.
[^] # Re: Un peu comme ça ?
Posté par Nicolas Boulay (site web personnel) . Évalué à 0.
"La première sécurité est la liberté"
[^] # Re: Un peu comme ça ?
Posté par Aiua . Évalué à 7.
...
bon plus sérieusement, l'utilisateur lambda (le fameux!) n'a peut être pas envie de savoir quels ports il doit ouvrir pour utiliser bittorrent (pour télécharger sa distrib' préférée) ou son client IM pour faire fonctionner sa webcam (exemples pris au hasard).
Bref, ça peut être un logiciel utile, pas forcément à un geek averti, mais à qq1 qui n'a pas envie d'apprendre à écrire un règle iptable, surement ;)
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 2.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Un peu comme ça ?
Posté par Jean-Philippe Garcia Ballester (site web personnel) . Évalué à 1.
Bittorrent et la webcam d'un IM, il faut surtout des ports entrants.
L'intérêt d'un truc comme ça est double : interdire des applications sortantes, et autoriser des ports entrants sans comprendre ce qu'est un port et ce qu'est iptables.
[^] # Re: Un peu comme ça ?
Posté par ~ lilliput (site web personnel) . Évalué à -3.
NON le danger le plus souvent vient de l'int'erieur aller on va citer faille client irc client de messagerie navigateur web bon la derniere a la mode c'est le WMF c'est une faille windows mais ca ne rend pas inhumain les dev linux.
La s'ecurite n'est pas qu'une affaire de SERVEUR mais aussi de clients et du reste bizarrement ces derniers sont plus 'elever en nombre et en font donc des proies facile, et r^ever.
Enfin et on verra aussi que les particuliers ne d'epensent pas beaucoup d'argent dans la s'ecurite non plus.
Proxy appplication sont cotes serveurs, a part 2-3 tentatives sur les mails, les IM voir p2p et encore les produits existant ne donnent pas des resultats probant.
Vous remarquerez qu'un protocole aussi simple que le web a mis des annees pour avoir des proxy applicatifs dignent de ce nom pourtant le protocole est connu et normaliser.
Pour tout ce qui est protocole fermer a part implementation d'un proxy (ce qui revient a dire en terme de pub que le produit est pas tres secure)
Par contre grace aux XML (jabber, soap, xhtml ..... ) et notament au schemas il devient TRES simple de faire un proxy efficace en regardant si le protocole est respecter a la lettre tout en ayant des actions en cas d'erreur. (j'ai mis le xhtml dans le cas des erreurs volontaire des balises non ferm'ees)
Pourquoi avoir parler de proxy ? Qui permet de savoir que konqueror n'est pas utiliser en tant que sous processus via injection de code ou autre... enfin je parlais de Konqueror parce que son ouverture multi-protocole le rend beaucoup plus difficile a cerner.
desol'e pour le clavier qwerty
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk
[^] # Re: Un peu comme ça ?
Posté par -=[ silmaril ]=- (site web personnel) . Évalué à 2.
Oui enfin sans vouloir etre désagréable ce n'est pas le manque d'accents qui ma le plus gêné dans ton message, les phrases non terminées, les expressions étranges, le manque de ponctuation et aussi la conjugaison par contre ...
[^] # Re: Un peu comme ça ?
Posté par Zorro (site web personnel) . Évalué à 3.
Par ex., on pourrait savoir pourquoi certaines Mandriva passent leur temps à se connecter à un certain serveur ns2.moondrake.net, sans rien expliquer... Comme c'est décrit ici : http://linuxfr.org/~Montaigne/20454.html
[^] # Re: Un peu comme ça ?
Posté par Anonyme . Évalué à 2.
[^] # Re: Un peu comme ça ?
Posté par Zorro (site web personnel) . Évalué à 2.
Quand on lance Nvu pour la première fois, il envoit un ping, un seul !, à son serveur pour compter le nombre d'installation et suivre la popularité du logiciel. Et bien même pour un seul ping, il a l'honnêteté de prévenir, de demander la permission et de dire ce qui est envoyé exactement, et d'indiquer à quoi ça va servir.
Que Mandriva ne le fasse pas est vraiment très très douteux, je trouve.
[^] # Re: Un peu comme ça ?
Posté par Nicolas Boulay (site web personnel) . Évalué à 2.
"La première sécurité est la liberté"
[^] # Re: Un peu comme ça ?
Posté par Yannick P. . Évalué à 2.
[^] # Re: Un peu comme ça ?
Posté par Nicolas Boulay (site web personnel) . Évalué à 2.
"La première sécurité est la liberté"
[^] # Re: Un peu comme ça ?
Posté par Yannick P. . Évalué à 1.
[^] # Re: Un peu comme ça ?
Posté par Nicolas Boulay (site web personnel) . Évalué à 2.
"La première sécurité est la liberté"
[^] # Re: Un peu comme ça ?
Posté par Yannick P. . Évalué à 2.
Tout le monde est déjà censé connaitre la loi, on peut pas non plus être censé comprendre tout l'informatique, et toute la médecine, et toute la ferronerie, et...
[^] # Re: Un peu comme ça ?
Posté par Anonyme . Évalué à 1.
1°) Ce n'est pas installé par défaut alors qu'ils en parlent sur la boîte
2°) Ça repose sur la Network applet (qui pue d'après les commentaires)
3°) Ça n'a rien à voir avec ZoneAlarm, ça ne fait que de t'informer (avec ZoneAlarm et équivalent, tu peux autoriser ou interdire un programme à accéder à internet)
4°) Ça te spamme de messages informatifs tant que tu n'as pas interdit le truc
5°) Ça a tendance à prendre le réseau local et Cups comme une menace extérieur et à te spammer indéfiniment
Bon, j'arrête là, parce que j'ai lu beaucoup de critique sur ce truc, et que les autres sont dans le même genre. Personnellement je n'utilise pas et je ne connais pas, car je suis allergique à la netapplet (knemo est beaucoup mieux).
En tout cas, j'ai l'impression que Program Guard fonctionne quant à lui comme ZoneAlarm, avec une autorisation/interdiction gérée au niveau du programme.
[^] # Re: Un peu comme ça ?
Posté par yoho (site web personnel) . Évalué à 3.
1) possible, à toi de nous dire quand tu auras essayé
2) si les commentaires s'appuient sur les commentaires maintenant...
3) faux
4) faux
5) faux
[^] # Re: Un peu comme ça ?
Posté par lezardbreton . Évalué à 3.
# URL
Posté par jcs (site web personnel) . Évalué à 7.
# Module = inconvénient.... pourquoi ?
Posté par lefred . Évalué à 1.
PS: Je n'ai pas encore testé cette solution
[^] # Re: Module = inconvénient.... pourquoi ?
Posté par Adrien BUSTANY (site web personnel) . Évalué à 2.
# Inutile à mon avis
Posté par un_brice (site web personnel) . Évalué à 10.
Ou si t'est plus sournoi tu attends que l'utilisateur lance son navigateur et tu t'y attache pour lui faire faire ce que tu veut en plus. Au pire je suppose qu'il doit y avoir moyen d'envoyer des éléments de clics sur la fenêtre qui pose des questions.
Cf. le Misc sur le sujet : aucun firewall "interractif" ne résistait à ces techniques...
Donc ces outils ne servent pas à grand chose, surtout quand le moteur du firewall gère les états (cas de Netfilter) : plus besoin de fonctionner par ports et par application, il suffit de dire ce qu'on autorise à émettre sur le réseau, et les paquets entrants en découlent... au pire on peut toujours blacklister les signatures de quelques vers. C'est à la fois plus fiable et plus efficace - surtout qu'on s'epargne les popups du firewall, que j'imagine déroutantes pour un débutant.
Bon ceci dit, je suis un peu injuste : ça a un interêt sous windows, parce que l'on peut légitimement se méfier des backdoors ("spywares") de quelques un des centaines de logiciels qu'il faut rajouter pour reproduire les fonctionalité d'un simple KDE.
Comme généralement ces outils se traquassent même pas à contourner un firewall ça marche... même chose pour la plupart des vers (impliqués par la difficulté de mettre à jour toutes les applications du système, faute d'outil centralisé).
Mais sur un système GNU/Linux, tenu automatiquement à jour par les outils de la distrib, avec que des logiciels libres, éprouvés et signés GPG par le mainteneur du paquet, ça servirait à rien. Parce que si un type est assez doué pour injecter une backdoor là dedans, c'est pas un pseudo-firewall qui l'en découragera.
[^] # Re: Inutile à mon avis
Posté par SaintGermain . Évalué à 1.
J'aimerais bien retrouver l'article afin de mettre en garde à ceux qui font aveuglément confiance à leur firewall 'interactif'...
Ou juste un petit scan si tu as le temps (ce ne doit pas être beaucoup plus illégal que de me prêter le magazine...)
[^] # Re: Inutile à mon avis
Posté par beleys (site web personnel) . Évalué à 1.
MISC 21, pour le sommaire, suivez le ien :
http://www.sommaire-des-sommaires.info/article.php3?id_artic(...)
[l] Non, non, je ne suis pas lourd avec ce site :D [/l]
[^] # Re: Inutile à mon avis
Posté par iznogoud . Évalué à 3.
Même si c'est bidon, tu lui mets de la poudre devant les yeux et tu caches un firewall configuré à la main ou par interface, mais qui soit passif, et là tu es content :
* son ordinateur a la sécurité que tu voulais lui donner
* Mme Michu est contente parce qu'elle peut être "active" et avoir l'impression de contrôler la machine. Elle se sent plus en sécurité, et elle dira plus facilement : "ha oui, vraiment, linux et les logiciels libres, c'est bien !"
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 1.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Inutile à mon avis
Posté par iznogoud . Évalué à -1.
Je dirais plutôt que là, ce machin, c'est un peu comme ce qui est écrit sur ton volant qui a un airbag. Tu sais qu'il est là et que tu peux compter sur lui. Quant à savoir l'utilité technique du fait que c'est écrit, c'est autre chose. Ca rassure, simplement.
Avoir deux protections, une active et une passive, ce n'est pas un schéma qui peut s'appliquer aux airbags... Faut arrêter de comparer ce qui n'est pas comparable.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 2.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Inutile à mon avis
Posté par Yannick P. . Évalué à 3.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 1.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Inutile à mon avis
Posté par Yannick P. . Évalué à 3.
[^] # Re: Inutile à mon avis
Posté par kassoulet (site web personnel) . Évalué à 2.
hahaha je voudrais bien voir ça :)
[^] # Re: Inutile à mon avis
Posté par phoenix (site web personnel) . Évalué à 1.
Les utilisateurs vont alors croire que Linux est pourris, ne comprendront toujours rien au système de paquets, dirons que les logiciels install n'importe quoi, n'importe où.
Ah l'arrivé du monde propriétaire sous Linux !
[ironie]J'attend avec impatience ce moment[/ironie]
[^] # Re: Inutile à mon avis
Posté par yoho (site web personnel) . Évalué à 3.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.