Filtrer en sortie…
Vous n'êtes pas sans avoir remarqué que le pare feu de Windows ne filtre pas par défaut en sortie, pour corriger ce qui peut paraître comme une erreur vous avez intégré depuis longtemps que Comodo, Outpost etc... sont les meilleurs firewalls, et qu'ils sont indispensables, et pourtant.
Le but du filtrage.
Sauf si vous avez installé malgré vous un malware, rien de dangereux ne sortira de votre ordinateur vers internet, rien d'indiscret ? Peut être pas, mais là c'est le navigateur et ses addons qu'il faut voir. Donc si en surfant ou en consultant vos mails vous dites « non » à chaque invite de l'UAC, vous n'aurez jamais besoin de filtrer en sortie.
La difficulté de bien filtrer.
Si vous avez installé un malware, ou êtes en train de l'installer, le filtrage en sortie (bien fait) peut vous sauver la mise, en effet le dropper a besoin d'une sortie pour installer le payload, ou le troyen en a besoin aussi pour fournir des informations, mais vous devez avoir déjà de sérieuses connaissances en réseau pour le faire, ce qui est très rare, pour un navigateur il est assez facile de se rappeler qu'il faut autoriser les ports 53 (UDP), 80 et 443 en TCP, mais pour les autres innombrables processus…
Une difficulté supplémentaire existe par l'attitude de certains malwares qui utilisent des techniques de fuite, heureusement très rares car la plupart des gens utilisant le pare feu Windows elles sont pratiquement sans utilité, le cas le plus courant est celui d'un malware se faisant passer pour explorer.exe par exemple, votre beau pare feu filtrant en sortie risque d'autoriser s'il n'étudie pas en détail le chemin du processus à filtrer.
Les solutions proposées.
On vous a abreuvé depuis longtemps avec du filtrage de fuite à grands coups de HIPS, sans toujours vous expliquer qu'il faut d'abord bien filtrer en entrée.
La plupart des suites antivirus ou pare feu tiers (Comodo, Outpost etc..), activés par défaut, sont des produits « grand public », qui filtrent très large pour ne pas poser de questions très difficiles, et ne filtreront finement (s'ils le peuvent) que si vous passez au mode dit « avancé » ou « parano », qui filtre régulièrement sur ce mode ? Personne, ou presque, ou alors il ne faut pas examiner le jeu de règles…
Le problème majeur est celui ci.
Aucun pare feu actuel (sauf pour XP) ne crochète le noyau pour bloquer un flux sortant, c'est impossible à cause du patchguard sur un système en 64 bits, tous les pare feu proactifs « sandboxent » temporairement le trafic afin de l'étudier et de l'autoriser ou on, s'ils savent bien le faire…
L'ennui c'est que vos antivirus (les bons) font la même chose, d'où les conflits possibles, donc si vous avez Bitdefender ou Eset antivirus avec Comodo ou Outpost, même en bricolant dans les exceptions ça va mal se passer, consultez donc les forums pour le vérifier.
L'antimalwares de Windows peut convenir avec Outpost ou autre, c'est un choix à faire si vous avez des connaissances en réseau, pas de conflit possible puisque que le blocage comportemental est assuré par l'UAC, le scrutin de liste et l'heuristique statistique de Windows Defender ne peuvent pas entrer en conflit avec l'heuristique dynamique des pare feu proactifs.
Mais si vous voulez un antivirus performant il va falloir vous contenter du pare feu par défaut de Windows, qui lui est excellent pour le filtrage entrant, son seul problème ?… les gens qui disent « oui » quand il y a une invite de l' UAC, ne l'oubliez pas.
Ce message a été modifié par Kreuzn1 - 23 décembre 2014 - 19:57 .