Eviter Invasion De Nos Macs, Firewalls - comment faire? Options

[Presto]

J'ai un copain sur PC et connection internet par modem. Il a installé un firewall qui détecte beaucoup de 'pings' chaque fois qu'il se connecte.

J'aimerais savoir comment faire pour proteger nos macs.

[akopian]

Bah t'inquiètes Presto…

L'autre thread m'a rendu curieux… et pour ceux qu'ils le sont tapez dans un moteur de recherche ce qui suit :
"US Army" microsoft
"US Army" internet
"champ de bataille électronique"
"guerre de l'information"

La réalité dépasse sans problème la fiction, mais du moment que ça nous empêche pas de b…

[lepetitmartien]

En système 9 tu t'en tape, sauf si tu utilise un système 8.x avec un open transport antédiluvien tu ne risque rien (ping of death, mais c'est vieuuuuuuuuuuux)

Tu te fais pinggé, mais il ne peut pas aller plus loin.

Sous X c'est un autre problème, mais le système à un firewall a minima qui fait son boulot, il existe des solutions plus avancées de protection mais je suis limite compétant pour en parler.

un moyen simple de protéger et aussi le plus efficace en terme de sécurité dans l'absolu est d'avoir un firewall externe en général dans un routeur/switch ethernet, il y a des soluces pour modem USB ADSL aussi tu t'en tire pour 120-300 € et tout est bloqué avant le mac. mais je le conseillerai pour les OSX en ethernet surtout.

Pour l'instant nous avons de la chance, sous X cela ne durera peut-être pas.

[akopian]

Il a aussi d'après ce que j'ai pu lire le problème de "microsoft internet explorer" qui serait prévu pour avoir "des fuites"… en tout cas sur PC… sur mac ????

Ce que j'ai pu lire confirme aussi ce que tu dis p'tit martien , mac os est imunisé parceque c'est… mac os.

Y a pas de quoi s'frapper l'bourrichon…

Bon j' presque fini ce truc sur les controleurs midi… personne va rien comprendre… m'enfin…

[Francois Déchery]

bon quelques explications s'impose (j'en ai deja parle dans quelques thred sur ADSL ou internet)

une attaque ('qu'est sensee protéger un firewall) exploite forcement un trou de sécurité dans un serveur. cad

Vous avez un ordinateur, avec un systeme de base (linux debian par exemple) et vous le connecter au net, jusque la aucun risque.
S'il y a des serveur allumé par defaut (Windows, Linux, MacOSX), ou que vous mettez en place vous meme, un petit malin sur le net, s'il en a la connaissance technique suffisante, peut exploiter un 'bug' du serveur (trou de securité) pour 'rentrer' sur vortre ordi (selon le serveur dont il exploite le trou, son champ d'action est +ou- limité)
La methode d'attaque est souvent celle ci. Des milliers de personnes (hackers) passent leur temps a scanner toutes les IPs du net (ordi connecté au net, y compris le votre) en leur envoyant un 'ping' (allo t'es la, reponse oui j'suis la). Si le pind repond pas, ils passent a la suivante, sinon il font un 'scan port' pour detecter les serveur qui repondent (chaque serveur est sur un port different) syur votre machine. Une fois qu'il ont trouvé un serveur, il essaye les different trou de securité connu du serveur pour essayer de rentrer ou simplement faire planter votre ordi.
Toute cette procedure est completement automatique (via des app. spécialiées)

Par defaut, tout les ordis (os9 compris) repondent au 'ping' qui en soi n'est pas dangereux et qui ne fait que confirmer electroniquement qu'une machine est presente a l'autre bout. Par contre sous MacOS avant le 10, il n'y a AUCUN serveur allumé par defaut, donc aucun danger. Le seul serveur qu'on peut allumer c'est le partage de fichier AppleShare (port 548) qui, etatnt peut repadu (5% des ordi) n'est pas tres exploité question faille de securité (je crois pas qu'il y ai d'attaque connue, mais je suis pas specialite. evidemment si vous avez mis un login/pass bidon (genre mac/'') un petit malin aura d'autant plus de facilité a tester des dizaine de combinaison de login/pass et de tomber sur la bonne. Donc si vous utilisez le partage de fichier et que vous etes connecté au net, il suffit de penser a mettre un login/pass pas trop bidon, et vous etes en totale securité.

Sur OSX, ca se corse, pasque ya plien de serveur, dont certains sont allumé, et d'autres sont tres facile a allumer (pref sys/partage). De plus ces serveur sont des gros standart unix, donc il existe des failles de securité que les hackers connaissent (on n'est plus dans le cadre de notre platforme minoritaire, donc meconnue, comme sous 9, mais dans le cas d'une machine unix, parfaitement connue)
C'est la qu'il devient important de faire attention a quoi rentre depuis l'exterieur, et c'est la que le firewall intervient.
Le role du firewall est de couper les connection depuis le net -> votre machine, port par port, et meme en fonction de certaine sources (vous pouvez par exemple autorisez votre pote a se connecter depuis chez lui vers vous, mais couper l'acces pour lke reste de la planete). OSX, comme tout unix qui se respecte, a un firewall tres puissant intégré, qu'il suffit de parameter simplement depuis 'pref system'. SI vous voulez parametrer plus, je vous conseille vivement de prendre un shareware/freeare qui interface le firewall integré, plutot que d'acheter un aautre logiciels (genre norton ou netbarrier) qui risque plus de foutre la zone qu'autre chose. en effet, le firewall agit au plus bas niveau de la couche reseau, et ca peut facilement foutre la zone si vous en mettez un deuxieme (en plus de celui intégré).
Concernant les reglages, vu que ca peut devenir compliqué de fermer certains port quand on ignore leur role exact, sans risquer de fermer certains services qui en ont besoins meme quand vous n'avez que le client (REal, stream quicktime, IRC, hotline, carracho...), une bonne technique consiste a fermer le port du 'ping' . En effet, comme la plupart des tentative de connection sur votre machine commence par un ping, si vous l'avez fermé, un programme de scan d'un hacker passera son chemin si votre ping ne repond pas (ca equivaut a l'autre bout a 'pas de machine dispo sur cette IP'). Le seul risque c'est si ya un hacker qui vous en veut personnellement, et qui s'acharne sur votre machine personnellement (ce qui implique quand meme qu'il connaisse votre IP, qui varie si vous etes en adsl/cable ou modem, sans avoir acheter le service d'IP fixe). Dans ce cas, il essayera tout les serveur allumé sur la machine, et s'il yen a un connu qui repond et qu'il connait la faille, aie aie aie

Ce qu'il faut savoir c'est que les fabriqaunt de firewall feront tout pour fourguer leur came, quitte a vous expliquer que votre machine n'est qu'un vaste gruyere... Mais avec un minimun de precaution, vous l'aurez compris, il n'y a pas grand risque.

Par contre c'est vrai qu'il y a un nombre phenomenal de scan sur le net, et que si vous mettez un logiciel qui le detecte, vous verrez des dizaine de tentative de connection sur votre ordi, mais sans danger si vous etes sous 9, ou que vous n'avez pas activé de serveur, ou que vous avez fermé le ping...


HTH

[Presto]

Merci beaucoup. Et vive OS9

J'allais te demander si tu voulais donner ce text à notre rédac en chef pour en faire un article, mais....ce sera peutêtre un défis pour les hackers. Mauvaise idée.

[lepetitmartien]

Pas de pb de défi, en OS8/9 cela à fait l'objet d'un concours, qui a tourné au bénéfice de macOS. Les failles de sécutités étant celles de logiciels tiers (fonctionnalités supplémentaires apportées à un serveur web standard lui aussi sans faille connue à ce moment là).

Je me souviens de l'intervention de Soif et Yuku qui avaient été extensives je crois, chercher au printemps…

[benji]

Donc, les Net Barier ou autres firewall pour OS9 c'est de l'arnaque pure et simple? Ca tombe bien j'en ai jamais eu

Autre chose, les Virus? J'ai entendu dire qu'il en existait une soixantaine sous OS9 contre des milliers pour windows, c'est vrai? Et sous OSX, y'en a deja?

[Francois Déchery]

les virus, c'est effectivement tres rare sous MacOS.... rien de comparable avec windows --> c'est aussi ca l'avantage d'etre sur une platforme minoritaire: un fab de virus va preferer fairre son oeuvre sur 90% des ordi plutot que sur 5%.

Pour OSX c'est different, on va recolter tout ceux pour unix....
Ca se corse, mais je pense qu'il ya des moyens de lutte plus efficace aussi.
Yuku?

[wilfriedprotozoa...]

Hep hep hep, on va un peu vite là ...

Pour le firewall :
il est vrai que OS9 est mieux protégé que OSX, qui reste bien protégé. Cependant, déconseiller un NetBarrier n'est pas forcément un bon conseil.
Même sous Jaguar, le firewall (avec interface dans les prefs) est assez rudimentaire, même si sa protection est très robuste.
Avec NetBarrier (que j'utilise depuis longtemps), l'on a accès à des configurations standard mais que l'on peut personnaliser.
Par exemple, on peut interdire l'envoi de certaines infos (genre numéro de CB ou mot de passe) par tout logiciel tiers (y compris Internet Explorer).
Or, si le firewall de base OSX laisse sortir les paquets Web, un méchant plug-in ou trou de sécurité Internet Explorer pourra venir bouffer ces infos sans que le firewall OSX ne le sache ...
Mais il est vrai que les risques restent limités.

Par contre, il y a une solution assez élégante : la borne Airport.
La nouvelle dispose d'un firewall intégré, et en plus, on peut être en masquage d'adresse IP.
En gros, le hacker verra l'adresse IP de la borne, mais pas directement de votre Mac. Si la borne répond au ping, elle n'a aucun serveur installé ... donc le hacker se verra bloqué.

Pour les virus, il faut rester très prudent.
Les virus Unix, ok, il y en a quelques uns qui tourneront sous OSX.
Mais les virus macro Office, eux, ils sont bien plus faciles à porter sous MacOS (9 et X confondus).
Certes, en utilisant les 2 systèmes, l'on voit que l'on a 1000 fois moins d'attaques de virus sous MacOS (c'est pour çà que maintenant, au boulot, l'on passe tous sous Mac) ... mais il suffit d'une attaque qui passe, et c'est la zone.
Je recommande là VirusBarrier qui est moins pénible à l'usage que Norton.

Note : je ne fais pas de pub pour Intego, hein ... mais c'est vrai que leurs prix lors de l'AppleExpo étaient à tomber par terre (çà veut dire pas cher) ... et Norton nous a bien foutu la zone sur PC au boulot, donc maintenant, l'on se méfie ...

[Francois Déchery]

ar contre, il y a une solution assez élégante : la borne Airport.
La nouvelle dispose d'un firewall intégré, et en plus, on peut être en masquage d'adresse IP.
En gros, le hacker verra l'adresse IP de la borne, mais pas directement de votre Mac. Si la borne répond au ping, elle n'a aucun serveur installé ... donc le hacker se verra bloqu

tu est sur de pas melanger l'IP masquerading (NAT) ,l'IP forwarding et le firewall
C'est pas la meme chose, meme si souvent les routeurs (comme airport) peuvent proposer les 3 fonctions en un.

Il est evident que quand tu fait du masquerading sans forwarding, les machines du LAN ne risquent pas d'etre affectées, et la seul un firewall int-->ext est eventuellement necessaire...

Je maintient que les solutions genre Netbarriers/norton personnal firewall apportent plus d'ennuis (sans savoir exactement ce qu'on configure et pourquoi) que de reelles solutions, et au prix d'une dégradation importante des perf. Le firewall de OSX est autrement plus robuste, tres puissant et gratuit de surcoit . et en plus OSX fait du forwarding et du masquerading...
Bon c'est sur qu'il faut mettre les mains un peu dans le camboui, ou trouver une belle GUI en shareware.. mais au final t'es pas emm...
ENfin bon, j'suis pas non plus specialiste, et je laisse a Yukulele le soin de nous eclairer par son experience linuxienne...

[wilfriedprotozoa...]

Vi vi, j'ai bien fait un cumul de tout ce que sait faire la borne Airport
Ce n'est pas sa fonction "Firewall" qui permet de faire du NAT et forwarding

Maintenant, je maintiens moi aussi que si le FWall OSX permet de faire plein de choses en protection pure (c'est à dire bloquer l'accès de la machine pour certains protocoles ou sur certains ports), il ne permet pas de contrôler ce que font les logiciels tiers sur les ports et protocoles autorisés par le FWall.

A titre d'exemple, je n'utilise que le FWall OSX pour le blocage des protocoles et ports (il prend de toute manière la main sur NetBarrier), et j'utilise NetBarrier surtout pour sa fonction "filtre des données envoyées" et pour la surveillance des activités réseau

Maintenant, que penses-tu de mes explications pour les virus ?

[deleted]

Pour OSX c'est different, on va recolter tout ceux pour unix....
Ca se corse, mais je pense qu'il ya des moyens de lutte plus efficace aussi.

Hein? Récolter les virus d'unix? Mais lesquels? Moi j'en connais pas...

Par contre y'a des failles (plus ou moins critiques) dans la plupart des daemons, et comme dans tous les softs en général d'ailleurs. Le terme virus est ambigu: si tu reçois un éxecutable malicieux (conçu pour te crasher ton disque ou le formater) en pièce jointe par mail, et que tu le lances sans vraiment savoir ce qu'il fait, c'est aussi un virus pour vous?

L'avantage de netbarrier, c'est qu'il peut agir au niveau application, ie interdire à tel soft (sur la même machine que lui) d'envoyer des données, ou à tel autre d'en recevoir (style zonealarm sur pc). Très pratique qd même côté client.
Mais sans interet pour un LAN conséquent. Là, un routeur intégrant un firewall, ou une machine dédiée sous bsd ou linux avec 2 ports ethernet est bien plus performante et puissante.

Netbarrier est un firewall pour une seule et unique station, connectée au net.
Je serai intéressé de savoir comment il se comporte avec un routeur soft comme ipnetrouter, afin de connecter une 2eme machine (mini-LAN)... Qqn?

Y'a aussi des softs d'audit et d'analyse qui permettent de repérer les attaques les plus courantes (deny of service, etc.) et de bloquer automatiquement, netbarrier a t'il cette fonctionnalité (comme zonealarm)?

Pous os X, jetez un oeil sur BrickHouse (GUI) qui permet de gérer simplement les possibilités énormes du "packet filtering" (aka ipfw) sous X (la même que sous bsd). Totalement inconnu pour moi, qui suis habitué à iptables sous linux... :-(

C'était quoi la question déjà? ;-)

Bye.

[Francois Déchery]

j'utilise NetBarrier surtout pour sa fonction "filtre des données envoyées" et pour la surveillance des activités réseau  

Ca c'est tres bien, mais pour ceux qui comprennent ce qu'ils font exactement et pourquoi (je parle pas de toi)...

J'dis ca parce que tu verrais le nombre de mails que je recois de personnes qui n'arrivent pas:
- a se connecter aux annonces (pasque ils ont mis un fitre dans NetBarrier pour soi-disant filtrer les bannieres)
- a se logger (pasque ils filtrent les 'dangereux' cookies)
- a cliquer sur un lien (pasque ils ont filtré le terrible 'HTTP REFERER')
- etc....

Ca c'est le feedback que j'ai sur MacMusic, mais evidemment ils ont des problèmes similaires sur d'autres sites....

Alors les NetBarrier et autre, je trouve que ca leur amenent plus d'ennuis qu'autre chose.
Pour ceux qui savent ce qu'ils font vraiment, c'est une autre histoire

[wilfriedprotozoa...]

Bon, alors pour les "spécialistes" :
. oui, on peut bloquer des attaques via NetBarrier (interdiction d'une IP "attaqueuses" temporairement ou définitivement ... c'est donc assez limité)
. oui, on peut le mettre derrière un routeur soft (paramétrage "Serveur local connecté à Internet"), mais la configuration exige alors un peu de doigté.

Virus UNIX : d'accord sur les executables ... mais pour les "débutants", çà arrive de cliquer n'importe où et de lancer n'importe quoi ...

Virus macros et autres : je confirme que çà commence à arriver pour IE 5 OSX et Office X ... vous voulez un exemple en pièce jointe