#26 Le 25/04/2008, à 13:09
- ddmdllt
Re : virus antivirus
Le "à moins que ..." a tout son sens, ce n'est pas un pur hasard s'il était là...
Par défaut, dans les versions anciennes, le "pare-feu" est plus qu'assez permissif.
Ton "pour peu qu'il soit bien configuré via les iptables qui peuvent etres ecrites via le GUI Firestarter" est une condition en effet plus que nécessaire pour que le rôle de pare-feu soit rempli à 100%. Je crois savoir que sous la dapper (version LTS quand même), Firestarter n'est pas installé par défaut, et la plupart des gens vont laisser netfilter dans une configuration où ça protection est limitée. On peut donc ne pas être satisfait du pare-feu qui est "de toute façon" installé.
C'est certes assez efficace (je parle de ce qui est par défaut), mais ça ne résout pas tout ce que l'on peut attendre d'un parefeu. Il n'y a donc par défaut, si l'on ne considère pas le noyau, aucun pare-feu supplémentaire installé.
Note: Je n'ai jamais dit que toutes les fonctionalités qu'un parefeu puisse procurer soient nécessaires...
Dernière modification par ddmdllt (Le 25/04/2008, à 13:22)
Hors ligne
#27 Le 25/04/2008, à 13:38
- iuchiban
Re : virus antivirus
Je crois savoir que sous la dapper (version LTS quand même), Firestarter n'est pas installé par défaut
Ben sous Gutsy non plus. Firestarter n'est qu'une interface qui permet de configurer plus facilement les iptables (plutot que de passer par un fichier contenant les descritpions, etc.)
Dans tous les cas, de base, les netfilters ne filtrent rien. Tu as 2 solutions ensuite :
- permissif : tu ne bloques rien sauf une blacklist
- bloquant : tu bloques toute communication sauf une whitelist (port 80, 21, 125, etc.)
Mais aujourd'hui, de toute façon derrière la box du FAI, ca protège déjà suffisamment, sauf si on est paranoïaque extrême, mais dans ce cas là, on a déjà installé un bastion en DMZ, avec proxy etc. 
C'est depuis que Chuck Norris a laissé la vie sauve à un manchot que l'on dit que Linux est libre.
Chuck Norris n'a pas besoin d'éditer son premier message pour ajouter [Résolu]. Chuck Norris est toujours [Résolu], quoi qu'il arrive.
Hors ligne
#28 Le 25/04/2008, à 21:47
- ddmdllt
Re : virus antivirus
Euh, je crois savoir que les box des FAI ne protègent en général qu'en mode routeur NAT, que des connections entrantes, et que si l'IPv6 n'est pas activé (en IPv6, plus de NAT nécessaire).
La freebox n'est par exemple pas en routeur par défaut (donc beaucoup de débutants la laissent en bridge).
Mais le plus important sous linux, c'est le comportement lorsqu'"on ne filtre rien":
* Les connections entrantes ne peuvent êtres méchantes que si un programme mal conçu écoute le port.
* Les connections sortantes ne sont un problème que si on ne peut pas avoir confiance dans les programmes utilisés.
Et là sous Linux, il y a nettement moins de soucis que sous Windows, surtout en se limitant à pratiquement que des programmes libres. Quelques raisons:
* Les programmes qui utilisent le réseau le font souvent pour une bonne raison
* L'approche Open-Source diminue le risque de failles et peu d'auteurs de logiciels libres s'amuseraient à essayer de diffuser un spyware...
* Le système n'est pas trop pourri à la base
Il est donc même inutile la plupart du temps de chercher à installer/configurer un filtrage supplémentaire (sauf lorsque l'on tombe sur des gens qui installent un serveur ssh, sans forcément savoir pourquoi,le tout avec des mots de passe bidons)
Hors ligne