Aller au contenu


Filtrer en sortie


  • Vous ne pouvez pas répondre à ce sujet
9 replies to this topic

#1 Kreuzn1

Kreuzn1

    Voyageur de l'espace

  • Zimien
  • PipPip
  • 23 Messages :

Posté 23 décembre 2014 - 09:06

Filtrer en sortie…

 

 

 

Vous n'êtes pas sans avoir remarqué que le pare feu de Windows ne filtre pas par défaut en sortie, pour corriger ce qui peut paraître comme une erreur vous avez intégré depuis longtemps que Comodo, Outpost etc... sont les meilleurs firewalls, et qu'ils sont indispensables, et pourtant.

 

 

Le but du filtrage.

 

Sauf si vous avez installé malgré vous un malware, rien de dangereux ne sortira de votre ordinateur vers internet, rien d'indiscret ? Peut être pas, mais là c'est le navigateur et ses addons qu'il faut voir. Donc si en surfant ou en consultant vos mails vous dites « non » à chaque invite de l'UAC, vous n'aurez jamais besoin de filtrer en sortie.

 

 

La difficulté de bien filtrer.

 

Si vous avez installé un malware, ou êtes en train de l'installer, le filtrage en sortie (bien fait) peut vous sauver la mise, en effet le dropper a besoin d'une sortie pour installer le payload, ou le troyen en a besoin aussi pour fournir des informations, mais vous devez avoir déjà de sérieuses connaissances en réseau pour le faire, ce qui est très rare, pour un navigateur il est assez facile de se rappeler qu'il faut autoriser les ports 53 (UDP), 80 et 443 en TCP, mais pour les autres innombrables processus…

 

Une difficulté supplémentaire existe par l'attitude de certains malwares qui utilisent des techniques de fuite, heureusement très rares car la plupart des gens utilisant le pare feu Windows elles sont pratiquement sans utilité, le cas le plus courant est celui d'un malware se faisant passer pour explorer.exe par exemple, votre beau pare feu filtrant en sortie risque d'autoriser s'il n'étudie pas en détail le chemin du processus à filtrer.

 

 

Les solutions proposées.

 

On vous a abreuvé depuis longtemps avec du filtrage de fuite à grands coups de HIPS, sans toujours vous expliquer qu'il faut d'abord bien filtrer en entrée.

 

La plupart des suites antivirus ou pare feu tiers (Comodo, Outpost etc..), activés par défaut, sont des produits « grand public », qui filtrent très large pour ne pas poser de questions très difficiles, et ne filtreront finement (s'ils le peuvent) que si vous passez au mode dit « avancé » ou « parano », qui filtre régulièrement sur ce mode ? Personne, ou presque, ou alors il ne faut pas examiner le jeu de règles…

 

Le problème majeur est celui ci.

 

Aucun pare feu actuel (sauf pour XP) ne crochète le noyau pour bloquer un flux sortant, c'est impossible à cause du patchguard sur un système en 64 bits, tous les pare feu proactifs « sandboxent » temporairement le trafic afin de l'étudier et de l'autoriser ou on, s'ils savent bien le faire…

L'ennui c'est que vos antivirus (les bons) font la même chose, d'où les conflits possibles, donc si vous avez Bitdefender ou Eset antivirus avec Comodo ou Outpost, même en bricolant dans les exceptions ça va mal se passer, consultez donc les forums pour le vérifier.

 

 

L'antimalwares de Windows peut convenir avec Outpost ou autre, c'est un choix à faire si vous avez des connaissances en réseau, pas de conflit possible puisque que le blocage comportemental est assuré par l'UAC, le scrutin de liste et l'heuristique statistique de Windows Defender ne peuvent pas entrer en conflit avec l'heuristique dynamique des pare feu proactifs.

 

Mais si vous voulez un antivirus performant il va falloir vous contenter du pare feu par défaut de Windows, qui lui est excellent pour le filtrage entrant, son seul problème ?… les gens qui disent « oui » quand il y a une invite de l' UAC, ne l'oubliez pas.


Ce message a été modifié par Kreuzn1 - 23 décembre 2014 - 19:57 .


#2 EboO

EboO

    le lavaboO ^^'

  • Modérateur
  • PipPipPipPipPipPipPipPipPip
  • 4 898 Messages :
  • Gender:Male

Posté 23 décembre 2014 - 14:16

Bonjour,

 

Vaste sujet :D

Sur la question de dire non lors du surf ou en lisant les mails on est d'accord que c'est un premier pas. En revanche pas sûr que cela suffise, je pense que certains malteras arriveront à faire le boulot sans alerte UAC.

Je dis ça je travaille avec un pc sous windows 7 à jour, UAC au max, un filtre web et defender activé. Et je ne suis pas très inquiet.

Les recommandations de bonne pratique sont plus efficaces qu'un antivirus ou autre, Vigen nous en fait la démonstration régulièrement.

 

 

Filtrer en sortie ça peut sauver la vie une fois mais je pense que les dégâts seront faits avant dans la plupart des cas.


"Il ne faut pas compter sur ceux qui créent les problèmes pour les résoudre". Albert Einstein
"La nature ne fait rien en vain, et le plus est vain quand le moins suffit". Isaac Newton


#3 brandodu31

brandodu31

    15+15+1

  • Zimien
  • PipPipPipPipPipPipPipPip
  • 1 911 Messages :
  • Gender:Male

Posté 23 décembre 2014 - 21:54

bonjour

 

j ai utilisé pendant un an ,online armor+ MSE , aucun conflit ,aucun malware .

 

et je confirme que ça fonctionnait bien ensemble avec une impression de légereté .



#4 Mandrake

Mandrake

    Touriste Phobosien

  • Zimien
  • PipPipPipPip
  • 92 Messages :

Posté 27 décembre 2014 - 12:03

Bonjour,

 

effectivement si on met les suites de sécurité (Eset, Bitdefender....) avec Comodo ou Outpost on peut avoir des conflits. Mais il faut prendre uniquement l'antivirus, et dans ce cas il est possible de rajouter Comodo ou Outpost.

Actuellement je teste sur une machine virtuel le combo Comodo firewall avec Bitdefender Antivirus et tout fonctionne correctement ( à part la lourdeur de Bitdefender :fou:, mais ça c'est une autre histoire).

Pour ma part j'ai désactivé l'UAC, car je le trouve trop facile à bypasser. J'ai lancé des infections et l'UAC ne bronchait pas.


Windows 7 64Bits


#5 EboO

EboO

    le lavaboO ^^'

  • Modérateur
  • PipPipPipPipPipPipPipPipPip
  • 4 898 Messages :
  • Gender:Male

Posté 27 décembre 2014 - 13:44

Je tente la config que j'ai citée plus haut avec le pare feu de ci modo et that's all.

"Il ne faut pas compter sur ceux qui créent les problèmes pour les résoudre". Albert Einstein
"La nature ne fait rien en vain, et le plus est vain quand le moins suffit". Isaac Newton


#6 Kreuzn1

Kreuzn1

    Voyageur de l'espace

  • Zimien
  • PipPip
  • 23 Messages :

Posté 30 décembre 2014 - 09:26

Bonjour,

 

 

Au sujet de la coexistence de modules proactifs antivirus et pare feu, voici ce que conseillent les modérateurs du forum officiel d'Eset.

 

 

  • Group: ESET Moderators

  • Posts: 2,730

  • Kudos: 909

  • Joined: 08-February 13

Posted 23 October 2014 - 05:02 PM

Leave HIPS in ESET enabled and switch to Smart mode. If some issues occur, disable HIPS in OP (Outpost firewall).

With HIPS disabled in ESET, neither Self-defense nor Advanced memory scanner and Exploit blocker will work.

(le « smart mode » est le mode intelligent)

 

 

Un autre avis est celui de Bitdefender, je me rappelle d'une discussion sur leur forum où le support technique expliquait que, du moment qu'il y avait deux pilotes sur un système qui faisaient la même chose, on ne pouvait jamais être certain que les choses se passeraient bien, en plus des exclusions réciproques je crois me rappeler qu'il était conseillé de neutraliser un pilote du pare feu dans le registre… pas une mince affaire, et sans garantie, ce qui était précisé.

 

 

Qaunt à Kaspersky antivirus qui crochète le trafic avec son NIDS, essayez donc de bloquer une règle sortante avec un pare feu proactif (Outpost, Comodo, Online armor), ça sort quand même, c'est Kaspersky qui commande...


Ce message a été modifié par Kreuzn1 - 30 décembre 2014 - 09:31 .


#7 EboO

EboO

    le lavaboO ^^'

  • Modérateur
  • PipPipPipPipPipPipPipPipPip
  • 4 898 Messages :
  • Gender:Male

Posté 30 décembre 2014 - 20:46

Tu donnes pas mal d'informations. Aurais tu des conseils sur certains produits ? Ou sur une conduite à tenir raisonnable (pas d'excès de solutions de sécurité)

"Il ne faut pas compter sur ceux qui créent les problèmes pour les résoudre". Albert Einstein
"La nature ne fait rien en vain, et le plus est vain quand le moins suffit". Isaac Newton


#8 Kreuzn1

Kreuzn1

    Voyageur de l'espace

  • Zimien
  • PipPip
  • 23 Messages :

Posté 31 décembre 2014 - 09:07

Tu donnes pas mal d'informations. Aurais tu des conseils sur certains produits ? Ou sur une conduite à tenir raisonnable (pas d'excès de solutions de sécurité)

 

Je n'ai pas beaucoup de conseils à donner en matière d'antivirus, je ne suis pas un spécialiste, de toute façon en cas d'attaque virale de haut niveau ceux ci sont souvent bousculés (fudder), pour monsieur tout le monde c'est malgré tout indispensable, Kaspersky, G Data, et Bitdefender sont biens et réguliers sur le long terme, Eset est le plus léger, utile pour les jeux, et son HIPS est puissant en réglage manuel, mais casse pied.

 

Le plus efficace est de virer Java en premier, de n'autoriser Flash (à jour) qu'au coup par coup, et d'avoir Windows 8 et donc son lecteur adobe (pas celui d'Adobe Flash), installer un exploit devient difficile dans ces conditions.

Reste l'intrusion réseau, pirater un réseau à distance ce n'est pas à la portée de n'importe qui heureusement, sur un réseau familial si on a sur la box :

- mis un bon mot de passe (ne pas laisser « admin/admin »).

- activé le pare feu (de la box).

- désactivé UPnP.

- vérifié l'absence de DMZ ou règles NAT (attention aux enfants…).

- si wifi, vérifier si présence de clé WPA, et l'absence de pearing.

Les portes sont fermées, ne reste plus qu'à ne pas cliquer sur n'importe quoi et à dire « non » à l'UAC.



#9 EboO

EboO

    le lavaboO ^^'

  • Modérateur
  • PipPipPipPipPipPipPipPipPip
  • 4 898 Messages :
  • Gender:Male

Posté 31 décembre 2014 - 14:00

Des règles de bon sens qu'il est bon de rappeler de temps à autre :)

 

EDIT : un petit tour dans la config de ma livebox n'a pas été vain, l'upnp était activé et une règle active. J'ai dégagé tout ça, d'autant que je ne trouve pas l'ip de l'appareil qui utilisait cette règle. Dans le doute changement de mot de passe dans la foulée. Hop !


"Il ne faut pas compter sur ceux qui créent les problèmes pour les résoudre". Albert Einstein
"La nature ne fait rien en vain, et le plus est vain quand le moins suffit". Isaac Newton


#10 alexp79

alexp79

    Deimosien

  • Zimien
  • PipPipPipPipPipPip
  • 350 Messages :
  • Gender:Male
  • Location:Alpes

Posté 24 janvier 2015 - 22:10

Bonsoir,

 

J'ai UPnP activé dans les paramètres de la box mais pas de règles actives, si je le désactive ça ne risque pas de faire foirer la connexion auto avec la PS3 et les messengers par ex?


Trendmicro antivirus

 




0 utilisateur(s) en train de lire ce sujet

0 membre(s), 0 invité(s), 0 utilisateur(s) anonyme(s)