Journal Program Guard, le Zone Alarm de Linux

Posté par  (site web personnel) .
Étiquettes : aucune
0
5
jan.
2006
Si linux dispose de solutions de firewall efficaces et variées au niveau de l'utilisation (des appels à iptables à la configuration de nuFw), je ne connaissais pas jusqu'à maintenant de firewall "interactif" pour linux. Si Firestarter permet une surveillance et une modification du firewall via une inerface GTK, il ne detecte pas pour autant les nouveaux programmes qui tentent d'accéder à internet, comme un Zone Alarm le ferait sous windows en affichant une (horripilante à la longue) popup du style : le programme lambda tente d'accéder à internet, etc.
Program Guard est constitué d'un module pour le noyau, d'un daemon et d'une interface GTK optionnelle. Configuré en mode "Static", il s'utilise comme n'importe quel firewall avec des règles définies à l'avance dans un fichier de configuration. En revanche, il propose aussi un mode "Query" qui affiche une popup lorsqu'un programme non reconnu tente d'accéder à internet.
Le programme est actuellement en bêta mais semble utilisable (je ne l'ai pas encore testé), le seul inconvénient pour moi est la présence d'un module pour le noyau (il n'y aurait pas moyen de faire une sorte de netstat pour voir quel programme se connecte où ?).
Si pour le "power user", cette solution ne présente aucun intérêt, elle est en revanche profitable au néophyte qui voudra faire marcher (a|x)mule par exemple et qui ne connaît pas le concept de port ou autres concepts réseau.
Evidemment, il faut aussi éviter que l'utilisateur soit noyé dans les popups d'autorisation, c'est à mon avis ensuite au distribs de livrer un paquet avec des règles de bases configurées.
Projet à suivre donc...

Note que j'ai mentionné Zone Alarm, mais j'aurais aussi pu parler de Kerio ou autre...
  • # Un peu comme ça ?

    Posté par  . Évalué à 3.

    • [^] # Re: Un peu comme ça ?

      Posté par  (site web personnel) . Évalué à 1.

      Effectivement, j'avais déjà vu le projet de Mandriva, en revanche sur leur page ils ne mentionnent que les attaques d'utilisateurs externes, et non les règles de contrôle d'accès à internet pour les programmes de l'utilisateur (cette fonction est peut être aussi integrée).
      • [^] # Re: Un peu comme ça ?

        Posté par  (site web personnel) . Évalué à 0.

        J'ai du mal à y voir une utilité vue que tu maitrises tout sous linux.

        "La première sécurité est la liberté"

        • [^] # Re: Un peu comme ça ?

          Posté par  . Évalué à 7.

          J'ai du mal à voir l'utilité des interfaces graphiques vue que tu maitrises tout avec la ligne de commande.

          ...

          bon plus sérieusement, l'utilisateur lambda (le fameux!) n'a peut être pas envie de savoir quels ports il doit ouvrir pour utiliser bittorrent (pour télécharger sa distrib' préférée) ou son client IM pour faire fonctionner sa webcam (exemples pris au hasard).
          Bref, ça peut être un logiciel utile, pas forcément à un geek averti, mais à qq1 qui n'a pas envie d'apprendre à écrire un règle iptable, surement ;)
          • [^] # Commentaire supprimé

            Posté par  . Évalué à 2.

            Ce commentaire a été supprimé par l’équipe de modération.

            • [^] # Re: Un peu comme ça ?

              Posté par  (site web personnel) . Évalué à 1.

              Pourquoi vouloir fermer tout ses ports sortant et ouvrir au compte-goutte ?

              Bittorrent et la webcam d'un IM, il faut surtout des ports entrants.

              L'intérêt d'un truc comme ça est double : interdire des applications sortantes, et autoriser des ports entrants sans comprendre ce qu'est un port et ce qu'est iptables.
            • [^] # Re: Un peu comme ça ?

              Posté par  (site web personnel) . Évalué à -3.

              arg ..

              NON le danger le plus souvent vient de l'int'erieur aller on va citer faille client irc client de messagerie navigateur web bon la derniere a la mode c'est le WMF c'est une faille windows mais ca ne rend pas inhumain les dev linux.

              La s'ecurite n'est pas qu'une affaire de SERVEUR mais aussi de clients et du reste bizarrement ces derniers sont plus 'elever en nombre et en font donc des proies facile, et r^ever.
              Enfin et on verra aussi que les particuliers ne d'epensent pas beaucoup d'argent dans la s'ecurite non plus.

              Proxy appplication sont cotes serveurs, a part 2-3 tentatives sur les mails, les IM voir p2p et encore les produits existant ne donnent pas des resultats probant.

              Vous remarquerez qu'un protocole aussi simple que le web a mis des annees pour avoir des proxy applicatifs dignent de ce nom pourtant le protocole est connu et normaliser.
              Pour tout ce qui est protocole fermer a part implementation d'un proxy (ce qui revient a dire en terme de pub que le produit est pas tres secure)

              Par contre grace aux XML (jabber, soap, xhtml ..... ) et notament au schemas il devient TRES simple de faire un proxy efficace en regardant si le protocole est respecter a la lettre tout en ayant des actions en cas d'erreur. (j'ai mis le xhtml dans le cas des erreurs volontaire des balises non ferm'ees)

              Pourquoi avoir parler de proxy ? Qui permet de savoir que konqueror n'est pas utiliser en tant que sous processus via injection de code ou autre... enfin je parlais de Konqueror parce que son ouverture multi-protocole le rend beaucoup plus difficile a cerner.

              desol'e pour le clavier qwerty

              http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk

              • [^] # Re: Un peu comme ça ?

                Posté par  (site web personnel) . Évalué à 2.

                > desol'e pour le clavier qwerty

                Oui enfin sans vouloir etre désagréable ce n'est pas le manque d'accents qui ma le plus gêné dans ton message, les phrases non terminées, les expressions étranges, le manque de ponctuation et aussi la conjugaison par contre ...
            • [^] # Re: Un peu comme ça ?

              Posté par  (site web personnel) . Évalué à 3.

              Ça peut être juste un outil de plus pour savoir qui se connecte et pourquoi.
              Par ex., on pourrait savoir pourquoi certaines Mandriva passent leur temps à se connecter à un certain serveur ns2.moondrake.net, sans rien expliquer... Comme c'est décrit ici : http://linuxfr.org/~Montaigne/20454.html
              • [^] # Re: Un peu comme ça ?

                Posté par  . Évalué à 2.

                Il semblerait que ce soit parce que net_monitor tourne http://www.linuxquestions.org/questions/showthread.php?p=188(...) (en même temps, comme j'ai viré tout leur bouzin maison net_*, j'ai pas été emmerdé).
                • [^] # Re: Un peu comme ça ?

                  Posté par  (site web personnel) . Évalué à 2.

                  Certes. Mais c'est dommage que ça ne soit que des spéculations, devinées ou déduites, sur un forum. La moindre des choses, à l'heure de la paranoïa sur les spywares, fishing et autres virus, serait une informations claire et transparente de la part de Mandriva, au moment du lancement de l'application en question.
                  Quand on lance Nvu pour la première fois, il envoit un ping, un seul !, à son serveur pour compter le nombre d'installation et suivre la popularité du logiciel. Et bien même pour un seul ping, il a l'honnêteté de prévenir, de demander la permission et de dire ce qui est envoyé exactement, et d'indiquer à quoi ça va servir.
                  Que Mandriva ne le fasse pas est vraiment très très douteux, je trouve.
          • [^] # Re: Un peu comme ça ?

            Posté par  (site web personnel) . Évalué à 2.

            Si tu sais ce que tu fais sur ta machine, tu n'a limite pas besoin d'un firewall personnel.

            "La première sécurité est la liberté"

            • [^] # Re: Un peu comme ça ?

              Posté par  . Évalué à 2.

              Un utilisateur lambda ne sait pas toujours ce qu'il fait réellement: du moins, il n'a pas toujours conscience des tenants et aboutissants quand il exécute telle ou telle action. Et on ne peut pas lui demander de se pencher sur iptables pour le configurer aux petits oignons...
              • [^] # Re: Un peu comme ça ?

                Posté par  (site web personnel) . Évalué à 2.

                c'est pas sur iptable qu'il doit se pencher mais sur les servers installés sur sa machine.

                "La première sécurité est la liberté"

                • [^] # Re: Un peu comme ça ?

                  Posté par  . Évalué à 1.

                  Et s'il ne sait pas que tel logiciel fait serveur? (va dire à mon père "- Attention, aMule se met en serveur quand tu le démarre! - Il fait le café aussi?!?"). Autant que ce soit un logiciel de type Zone Alarm qui le prévienne...
                  • [^] # Re: Un peu comme ça ?

                    Posté par  (site web personnel) . Évalué à 2.

                    C'est vrai c'est aussi embétant si l'utilisateur ne sait pas lire.

                    "La première sécurité est la liberté"

                    • [^] # Re: Un peu comme ça ?

                      Posté par  . Évalué à 2.

                      Savoir lire c'est une chose, comprendre ce qu'on lit, quand c'est particulièrement technique, c'en est une autre...
                      Tout le monde est déjà censé connaitre la loi, on peut pas non plus être censé comprendre tout l'informatique, et toute la médecine, et toute la ferronerie, et...
    • [^] # Re: Un peu comme ça ?

      Posté par  . Évalué à 1.

      D'après ce que j'ai pu lire sur l'Interactive Firewall de Mandriva :
      1°) Ce n'est pas installé par défaut alors qu'ils en parlent sur la boîte
      2°) Ça repose sur la Network applet (qui pue d'après les commentaires)
      3°) Ça n'a rien à voir avec ZoneAlarm, ça ne fait que de t'informer (avec ZoneAlarm et équivalent, tu peux autoriser ou interdire un programme à accéder à internet)
      4°) Ça te spamme de messages informatifs tant que tu n'as pas interdit le truc
      5°) Ça a tendance à prendre le réseau local et Cups comme une menace extérieur et à te spammer indéfiniment

      Bon, j'arrête là, parce que j'ai lu beaucoup de critique sur ce truc, et que les autres sont dans le même genre. Personnellement je n'utilise pas et je ne connais pas, car je suis allergique à la netapplet (knemo est beaucoup mieux).

      En tout cas, j'ai l'impression que Program Guard fonctionne quant à lui comme ZoneAlarm, avec une autorisation/interdiction gérée au niveau du programme.
      • [^] # Re: Un peu comme ça ?

        Posté par  (site web personnel) . Évalué à 3.

        Des critiques sans avoir essayé ?

        1) possible, à toi de nous dire quand tu auras essayé
        2) si les commentaires s'appuient sur les commentaires maintenant...
        3) faux
        4) faux
        5) faux
  • # URL

    Posté par  (site web personnel) . Évalué à 7.

    Tu as oublié l'URL : http://pgrd.sourceforge.net/
  • # Module = inconvénient.... pourquoi ?

    Posté par  . Évalué à 1.

    Le "firewallding" au niveau du noyau c'est ce qui fait quand-même la robustesse d'un système comme Linux (ou dérivés...et cousins). Donc je ne vois pas pourquoi c'est un inconvénient dans ce cas précis. Sauf si il faut a chaque tentative décharger et recharger le module.

    PS: Je n'ai pas encore testé cette solution
    • [^] # Re: Module = inconvénient.... pourquoi ?

      Posté par  (site web personnel) . Évalué à 2.

      Ce n'est pas un inconvénient technique, mais le fait qu'à chaque changement de noyau, t'es bon pour le recompilation. Note aussi que les bugs en kernel space sont quand même plus ennuyeux... Enfin comme tu le souligne, c'est assez mineur comme dérangement, juste que je préfère les solutions "user space".
  • # Inutile à mon avis

    Posté par  (site web personnel) . Évalué à 10.

    Ce genre de logiciels c'est de l'huile de serpent. N'importe quel processus utilisateur peut faire faire son sale boulot par un autre : par exemple tu fait passer tes comunication à destination d'Internet par un lancement d'IE ou de Firefox en fenêtre cachée et hop c'est fini.
    Ou si t'est plus sournoi tu attends que l'utilisateur lance son navigateur et tu t'y attache pour lui faire faire ce que tu veut en plus. Au pire je suppose qu'il doit y avoir moyen d'envoyer des éléments de clics sur la fenêtre qui pose des questions.
    Cf. le Misc sur le sujet : aucun firewall "interractif" ne résistait à ces techniques...

    Donc ces outils ne servent pas à grand chose, surtout quand le moteur du firewall gère les états (cas de Netfilter) : plus besoin de fonctionner par ports et par application, il suffit de dire ce qu'on autorise à émettre sur le réseau, et les paquets entrants en découlent... au pire on peut toujours blacklister les signatures de quelques vers. C'est à la fois plus fiable et plus efficace - surtout qu'on s'epargne les popups du firewall, que j'imagine déroutantes pour un débutant.

    Bon ceci dit, je suis un peu injuste : ça a un interêt sous windows, parce que l'on peut légitimement se méfier des backdoors ("spywares") de quelques un des centaines de logiciels qu'il faut rajouter pour reproduire les fonctionalité d'un simple KDE.
    Comme généralement ces outils se traquassent même pas à contourner un firewall ça marche... même chose pour la plupart des vers (impliqués par la difficulté de mettre à jour toutes les applications du système, faute d'outil centralisé).

    Mais sur un système GNU/Linux, tenu automatiquement à jour par les outils de la distrib, avec que des logiciels libres, éprouvés et signés GPG par le mainteneur du paquet, ça servirait à rien. Parce que si un type est assez doué pour injecter une backdoor là dedans, c'est pas un pseudo-firewall qui l'en découragera.
    • [^] # Re: Inutile à mon avis

      Posté par  . Évalué à 1.

      Tu peux préciser de quel numéro de Misc tu parles ?
      J'aimerais bien retrouver l'article afin de mettre en garde à ceux qui font aveuglément confiance à leur firewall 'interactif'...

      Ou juste un petit scan si tu as le temps (ce ne doit pas être beaucoup plus illégal que de me prêter le magazine...)
    • [^] # Re: Inutile à mon avis

      Posté par  . Évalué à 3.

      En fait, moi j'y vois une utilité. Ca rassure. Libre à toi après de cacher un firewall un peu plus blindé derrière, mais à côté, tu dis à Mme. Michu que regardez, là je vous ai mis une petite icône en bas à droite, si jamais quelqu'un essaye de vous attaquer, vous en serez avertie, et vous pourrez empêcher l'attaque.

      Même si c'est bidon, tu lui mets de la poudre devant les yeux et tu caches un firewall configuré à la main ou par interface, mais qui soit passif, et là tu es content :
      * son ordinateur a la sécurité que tu voulais lui donner
      * Mme Michu est contente parce qu'elle peut être "active" et avoir l'impression de contrôler la machine. Elle se sent plus en sécurité, et elle dira plus facilement : "ha oui, vraiment, linux et les logiciels libres, c'est bien !"
      • [^] # Commentaire supprimé

        Posté par  . Évalué à 1.

        Ce commentaire a été supprimé par l’équipe de modération.

        • [^] # Re: Inutile à mon avis

          Posté par  . Évalué à -1.

          Comparaison bidon, mais bon...
          Je dirais plutôt que là, ce machin, c'est un peu comme ce qui est écrit sur ton volant qui a un airbag. Tu sais qu'il est là et que tu peux compter sur lui. Quant à savoir l'utilité technique du fait que c'est écrit, c'est autre chose. Ca rassure, simplement.
          Avoir deux protections, une active et une passive, ce n'est pas un schéma qui peut s'appliquer aux airbags... Faut arrêter de comparer ce qui n'est pas comparable.
          • [^] # Commentaire supprimé

            Posté par  . Évalué à 2.

            Ce commentaire a été supprimé par l’équipe de modération.

    • [^] # Re: Inutile à mon avis

      Posté par  . Évalué à 3.

      Mais est-ce qu'avec l'avènement de Linux, à terme, on ne risquerait pas de voir apparaitre une floppée de logiciels un peu moins libre et un peu bourrés de spywares fournis par des société à but lucratif qui inciteraient Mr Toulmonde à installer leur logiciel, plutôt qu'un libre aussi bien sinon mieux, à grand coup de propag...publicité? Là ca sera bien utile ce genre de "firewall interactif".
      • [^] # Commentaire supprimé

        Posté par  . Évalué à 1.

        Ce commentaire a été supprimé par l’équipe de modération.

        • [^] # Re: Inutile à mon avis

          Posté par  . Évalué à 3.

          C'est même certain, mais on trouvera des version d'installation pour tel ou tel logiciel proprio pour tel ou tel distrib sur les sites des éditeurs (on peut même imaginer que tout les constructeurs développeront des drivers pour Linux...)
        • [^] # Re: Inutile à mon avis

          Posté par  (site web personnel) . Évalué à 2.

          oui mais tu aurais une pub "plein de nouveaux emoticones pour gaim" avec un .deb a télécharger

          hahaha je voudrais bien voir ça :)
      • [^] # Re: Inutile à mon avis

        Posté par  (site web personnel) . Évalué à 1.

        Oui je vois bien des binaires auto-extractible t'installant le logiciel avec InstallShield écris quelque part, des banières publicitaire qui s'affiche en haut du logiciel, des fenêtres qui s'ouvre de partout, des joiles écrans bleu, des patch au noyau pour ajouter l'adware qui fera fonctionner le super beau logiciel qui n'amêne rien de plus que l'équivalent libre, les utilisateurs loggé en administrateur pour faire les tâches ménagères.

        Les utilisateurs vont alors croire que Linux est pourris, ne comprendront toujours rien au système de paquets, dirons que les logiciels install n'importe quoi, n'importe où.

        Ah l'arrivé du monde propriétaire sous Linux !

        [ironie]J'attend avec impatience ce moment[/ironie]
        • [^] # Re: Inutile à mon avis

          Posté par  (site web personnel) . Évalué à 3.

          Oui je vois bien des binaires auto-extractible t'installant le logiciel avec InstallShield -> Ça, il y en a déjà beaucoup ! il suffit d'ouvrir les yeux sur n'importe quel acrobat, skype ou même les drivers nvidia pour voir que ce sont des binaires auto-extractilbles.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.