Mac4Ever Refurb Store Guide d'achat Apple - Des conseils sur toute la gamme Apple Débuter sur Mac
Mac4Ever.com - Toute l\'actualité Apple, iPhone, iPad, iPod et Mac - Mise à jour quotidienne
Actu Dossiers Forum Photos/Podcasts Petites Annonces
Icône recherche
Annuler la recherche
3961 connectés

Introduction aux Firewalls !

Tout ce qui touche les logiciels sur Mac

Modérateurs : Odibi, Bicus, FXF, Nix, beheme

Message par Neobugs le 16/11/03, 1:00

[html]<div class="title1"><span>I) Introduction aux ports et aux protocoles TCP/UDP :</span></div><br />
<br />
Avant de rentrer dans le vif du sujet, voici une petite explication de ce que sont les ports et les protocoles de connexion, utilisés tous les jours par des applications nécessitant simultanément des accès au Web (exemple navigateur Web et mail).<br />
<br />
<span class="title2">1) Les protocoles :</span><br />
<br />
Nous ne verrons ici que deux protocoles : TCP et UDP :<br />
<br />
• Le protocole TCP permet aux deux clients de contrôler l'état de la transmission établie (à l'aide d'accusés de réception) : c'est un protocole orienté connexion. Ce protocole assure tout un tas de remaniement des données en provenance du protocole IP. La première chose à savoir est qu'il permet d'assurer des échanges sûrs sans que les routeurs n'aient à contrôler eux-mêmes les données. <br />
La seconde concerne directement notre sujet initial. TCP permet le multiplexage/démultiplexage (concentration des 'canaux' de transmission en un seul et vice-versa; eh oui vous n'avez qu'une seule connexion la plupart du temps).<br />
<br />
• Le protocole UDP est lui nettement plus simple, les données sont envoyées sans que la communication entre les deux machines soit établie et sans que la bécane réceptrice n'envoie d'accusés de réception. Bref, il n'y a pas de contrôle d'erreur de transmission, le protocole n'est pas orienté connexion.<br />
<br />
<span class="title2">2) Les ports :</span><br />
<br />
Le multiplexage/démultiplexage est permis grâce aux ports : Le n° du port est attaché à une ip. Exemple simple : Safari et Mail envoient simultanément des requêtes. Celles-ci seront découpées en paquets identifiés part l'ip et le port auquels ils sont assignés. Ces paquets seront envoyés par les applications du client, mélangés lors du multiplexage, transportés via votre connexion, puis triés lors du démultiplexage et enfin réceptionnés par les 'applications' du serveur. En principe, chaque application nécessitant une transmission via un réseau (local ou externe), a un port défini par défaut.<br />
<br />
De 0 à 1023, ce sont les ports réservés (Well Known Ports) désignés officiellement par l'<a href="http://www.iana.org/assignments/port-numbers" target="_blank">IANA</a>. Ils sont la plupart du temps seulement utilisable par les processus système (root) (ça dépend de l'OS ; sous OSX c'est le cas)<br />
De 1024 à 49151, ce sont les ports 'enregistrés <br />
De 49152 à 65535, ce sont les ports dynamiques ou privés<br />
<br />
Voici quelques listes indicatives : <br />
<a href="http://www.ixus.net/modules.php?name=Ixus_Nettools&d_op=PortsIP1" target="_blank">Liste en français</a><br />
<a href="http://www.networksorcery.com/enp/protocol/ip/ports00000.htm " target="_blank">Liste en anglais</a><br />
<a href="http://www.blocus-zone.com/modules/nsections/images/portip.htm" target="_blank">Liste des ports dits 'sensibles'</a><br />
<br />
Comme vous l'aurez compris, il existe des dizaines de milliers de ports, assignés ou non par défaut, par souci de simplicité. Si vous décidez de changer le port par défaut d'une application, telle que mlnet pour l'accès au réseau edonkey, il est conseillé d'utiliser ceux à partir de 1024, tant qu'une autre application n'utilise pas le même port en question. Si vous ne voulez aucun problème, prenez un port à partir de 49152.<br />
<br />
<div class="title1"><span>II) Le Firewall :</span></div><br />
<br />
<span class="title2">1) Fonction du Firewall :</span><br />
<br />
Entrons dans le vif du sujet : un firewall permet de contrôler l'entrée et la sortie des données grâce entre autres à l'ouverture/fermeture des ports -> Il filtre les paquets de données entrants et/ou sortants.<br />
<br />
Ce contrôle avancé permet théoriquement de limiter l'exploitation de failles par des hackers.<br />
<br />
Suivant la complexité du firewall et le degré de sécurité (nombre d'options configurées), il sera, en plus d'être capable de n'autoriser la communication qu'avec certains ports, de repérer et interdire en conséquence des connexions suspectes, des tentatives d'intrusion via des 'exploit' etc...<br />
<br />
<b>Important :</b> Le principe de tout firewall, se base sur le fait d'autoriser tout ce qui n'est pas interdit ou de refuser toute transmission définie comme 'interdite'. Dans le but d'assurer une sécurisation maximale, mais cependant contraignante, il est conseillé d'avoir recours à la première solution.<br />
<br />
Le filtrage des paquets se fait grâce à l'examen de l'en-tête de chaque paquet où sont stockées toutes les informations de transmissions. C'est grâce à ces dernières que la firewall saura si il faudra ou non bloquer chacun des paquets, mais cela implique une configuration avancée préalable du firewall : définir les transmissions autorisées, manipulation plus couramment appelée 'ouverture de port'.<br />
<br />
<span class="title2">2) Réglages du firewall :</span><br />
<br />
Les autorisations/interdictions seront définies à l'aide de 'règles'. Chacune d'entre-elles comportera les informations nécessaires à son rôle. Ce sont les informations qu'on retrouve à peu de choses près dans l'en-tête des paquets, à savoir :<br />
<br />
-ip d'origine <br />
-ip de destination <br />
-protocole du paquet <br />
-port auquel il est associé<br />
<br />
Sauf qu'avec les règles, on a la possibilité de ne pas être obligé d'ajouter une règle pour chaque ip d'origine, ce qui serait fastidieux. On peut donc définir des 'plages' de ports. Par exemple, toutes les ip de 192.168.1.1 à 192.168.1.10.<br />
<br />
Ainsi, une règle d'autorisation ressemblera à ça : <br />
<br />
-Autorisation de réception : oui <br />
-ip d'origine <br />
-ip de destination (a priori votre bécane, ou dans les cas du firewall d'un routeur : l'un d'une des bécanes de votre réseau local ) <br />
-protocole du paquet (TCP ou UDP ici) <br />
-port auquel il est associé (définit en fonction de l'application)<br />
<br />
<b>a) Exemple :</b><br />
<br />
À ce stade, le plus simple est d'étudier un exemple. Si on veut interdire tous les accès sauf pour le service web, voici les règles à spécifier :<br />
<br />
Règle de réception n°1, ayant la priorité sur toutes les autres règles : <br />
<br />
-Autorisation de réception : oui <br />
-ip d'origine : toute en provenance du web (0.0.0.0 à 255.255.255.255) <br />
-ip de destination : à priori votre bécane (par exemple 192.168.1.2) <br />
-protocole des paquets : TCP <br />
-port auquel Apache est associé, réception de pages web via votre navigateur : 80<br />
<br />
Règle de réception n°x, n'ayant aucune priorité sur toutes les autres règles : <br />
-Autorisation de réception : non <br />
-ip d'origine : toute en provenance du web (0.0.0.0 à 255.255.255.255) <br />
-ip de destination : à priori votre bécane (par exemple 192.168.1.2) <br />
-protocoles des paquets : TCP et UDP <br />
-ports : tous (0 à 65535)<br />
<br />
Ainsi, toutes les communications seront stoppées sauf la réception des paquets TCP de toutes origines, à destination du port 80, aboutissant aux navigateurs Web de votre Mac.<br />
<br />
<b>b) Généralisation :</b><br />
<br />
• Ce principe est applicable à tous les firewalls existants. La manière de spécifier la priorité des règles et leurs paramètres, prédéfinit ou non, dépend ensuite de chaque firewall.<br />
<br />
• Il vous faudra ouvrir les ports spécifiés par chaque application, nécessitant un accès au(x) réseau(x).<br />
<br />
• C'est le même principe qui est appliqué pour les routeurs, ayant (presque toujours) un firewall intégré. L'ouverture des ports et la redirection des paquets vers la machine voulue se fait dans la page des réglages NAT.<br />
<br />
• Quant aux paramètres permettant un filtrage applicatif, une détection des attaques courantes etc... ils dépendent des firewalls utilisés et donc ne seront pas abordés ici.<br />
<br />
<div class="title1"><span>III) Utilité d'un firewall :</span></div><br />
<br />
Un firewall, n'est véritablement efficace que si il est paramétré au poil près, en connaissance des protocoles et ports utilisés afin de bloquer tout le reste, en appliquant une politique de sécurité globale stricte au sein de votre réseau local, ce qui est rarement le cas. Prenons un simple exemple, vous téléchargez un petit soft qui a l'air sympa, le lancez et, à votre insu il ouvrira temporairement un des ports, ordonnera le rapatriement d'un troyen et voilà, votre firewall ne vous aura protégé de rien... Il existe des firewalls permettant de surveiller ce genre d'activité, mais pareil, il faut passer un temps fou à le paramétrer correctement pour qu'il soit véritablement efficace, et encore, les hackers trouveront toujours une solution plus 'discrète' d'outre-passer le firewall.<br />
<br />
Quant à l'utilité d'un firewall pour particulier, c'est plutôt une protection dérisoire. Je m'explique, c'est déjà pas évident d'hacker un client OS X alors si les acharnés qui tenteront une telle attaque, en ont les compétences, ils auront aussi très certainement celles pour faire outrepasser votre firewall.<br />
<br />
Vous êtes-vous déjà posé la question : quel est l'intérêt pour un hacker de prendre d'assault votre Mac ? Presque aucun, il préférera se rabattre sur un client Windows non sécurisé et bien plus facilement hackable<br />
<br />
Considérez que le niveau de sécurité par défaut est assez élevé pour que toute protection grand public supplémentaire soit futile, car le niveau du hacker devra forcément être déjà sacrément bon avec la configuration par défaut, tellement qu'à ce niveau, ce n'est pas un firewall qui l'arrêtera et de toute façon il préférera des systèmes bourrés de failles, pour éviter toute perte de temps inutile.<br />
<br />
<div class="title1"><span>IV) Quelques firewalls et utilitaires :</span></div><br />
<br />
<span class="title2">ipfw (), le firewall intégré à Mac OS X :</span><br />
<br />
• Je vous conseille <a href="http://www.opendoor.com/whosthere/" target="_blank">SunShield</a> ou <a href="http://personalpages.tds.net/%7Ebrian_hill/brickhouse.html" target="_blank">BrickHouse</a> pour paramétrer le firewall intégré.<br />
<br />
• Indispensable pour prévenir le 'phoning home' entre autres: <a href="http://www.obdev.at/products/littlesnitch/" target="_blank">Little Snitch</a><br />
<br />
• Indispensable pour bloquer les ips des associations anti-P2P : <a href="http://www.macanime.net/download/PeerVanguard2.dmg.sitx" target="_blank">PeerVanguard</a> (Faites un contrôle-click->dl car Safari ne gère pas le format .sitx)<br />
<br />
<span class="title2">NetBarrier :</span><br />
<br />
Firewall payant facilement paramétrable, à conseiller aux novices, pourvu de très nombreuses fonctions anti-exploits, anti-intrusion etc...<br />
<br />
Pour ceux que ça intéresse, voici <a href="http://www.macdk.com/phpBB2/viewtopic.php?t=2167&start=0" target="_blank">un petit tutorial sur le paramétrage de NetBarrier</a> ![/html]
Avatar de l’utilisateur
Neobugs
Jeune Tourteau de Mac4Ever
 
Message(s) : 60
Inscription : 17/03/01, 1:00
Localisation : Strasbourg, France

soft

Message par Contributeur le 17/11/03, 23:20

Venant du monde Linux/Unix je pense qu'il doit exister une interface pour ipfw libre, je n'ai pu trouve de tel soft pour le moment si vous avez des liens, merci par avance.
Car mettre une interface payante sur un outils libre j'aime pas du tout.
Avatar de l’utilisateur
Contributeur
Vénérable Gros - Admin
 
Message(s) : 10998
Inscription : 17/11/03, 0:52

Et avec Webmin ?

Message par Contributeur le 18/11/03, 0:28

Peut-être que grâce à Webmin on peut s'en sortir avec plus facilité et gratuitement...A tester...
Ici :
http://www.webmin.com/
Avatar de l’utilisateur
Contributeur
Vénérable Gros - Admin
 
Message(s) : 10998
Inscription : 17/11/03, 0:52

Soft

Message par Contributeur le 18/11/03, 0:49

Il existe *L*http://www.opendoor.com/whosthere/
*/A*sunShield.*/L*
Sinon si vous cherchez des softs libres ou non pour OSX, y'a klk sites à visiter :
*L*http://frtracker.com/*/A*• Frtracker.com*/L*
*L*http://www.macupdate.com/*/A*• MacUpdate.com*/L*
*L*http://www.versiontracker.com/*/A*• VersionTracker.com*/L*
Avatar de l’utilisateur
Contributeur
Vénérable Gros - Admin
 
Message(s) : 10998
Inscription : 17/11/03, 0:52

NetBarrier et "phoning home

Message par Contributeur le 18/11/03, 8:53

En complément à cet article, NetBarrier, dans sa dernière version, compatible Panther (X3), dispose d'une fonction pour prévenir le "Phoning home" ; cette fonction est activable dans l'onglet "Applications" du panneau "Antivandale". Plus besoin de Little Snicht donc.
Avatar de l’utilisateur
Contributeur
Vénérable Gros - Admin
 
Message(s) : 10998
Inscription : 17/11/03, 0:52

Et en PDF ?....

Message par Contributeur le 18/11/03, 10:49

Salut à toute l'équipe M4E !

Avez vous déjà pensé à mettre vos docs au format PDF ? Elles sont souvent intéressantes et complètes, mais supposent d'être visionnées en ligne... Alors qu'il peut être confortable d'en avoir une version papier.

Bonne rédaction :)
Avatar de l’utilisateur
Contributeur
Vénérable Gros - Admin
 
Message(s) : 10998
Inscription : 17/11/03, 0:52

donc

Message par Contributeur le 18/11/03, 12:19

si j ai bien compris c'est pas la peine que je m'embète à activer le coupe feu qui se trouve dans préférences systeme/partage ??
Avatar de l’utilisateur
Contributeur
Vénérable Gros - Admin
 
Message(s) : 10998
Inscription : 17/11/03, 0:52

...

Message par Contributeur le 18/11/03, 23:53

> Plus besoin de Little Snicht donc.
Euh oui, si on est prêt à payer NetBarrier qui est plutôt cher...

> si j ai bien compris c'est pas la peine que je m'embète à activer le coupe feu qui se trouve dans préférences systeme/partage ??

Ben à priori...non... ^_^
Avatar de l’utilisateur
Contributeur
Vénérable Gros - Admin
 
Message(s) : 10998
Inscription : 17/11/03, 0:52

réponse PDF à crashbike

Message par Contributeur le 25/11/03, 16:59

PDF, c'est en natif dans l'aperçu avant impression, sous OS X... sauf avec Quark XPress, évidemment.
Et sous windows, pour ceux qui y sont, on aura avantage à les générer avec un driver Apple PostScriptColor redirigé sur un fichier que l'on convertira avec GhostScript... c'est pas aussi simple, mais c'est gratuit. et fiable. Sur PC, ça c'est précieux...
Avatar de l’utilisateur
Contributeur
Vénérable Gros - Admin
 
Message(s) : 10998
Inscription : 17/11/03, 0:52

Hacker vs Crackers

Message par Contributeur le 21/12/03, 4:05

Attention aux termes employés. Un hacker est une personne avec de très bonnes connaissances techniques, capable d'effectuer des hacks, c'est à dire, trouver des failles, ou encore des astuces mais jamais dans un but inavouable. Le cracker, perfide par définition, n'a pas toujours de bonnes bases techniques (souvent grace aux sites webs qui mâchent le travail) mais les exploite à mauvais escient. CQFD.
Avatar de l’utilisateur
Contributeur
Vénérable Gros - Admin
 
Message(s) : 10998
Inscription : 17/11/03, 0:52

Re...

Message par Contributeur le 28/12/03, 21:02

En principe les hackers répondent à cette définition mais dans les faits, quelques-uns ne se contente pas de l'évolution de leurs connaissances et de l'information, attribuant ainsi une mauvais réputation aux hackers. Ces renégats sont normalement alors appelé "pirates", terme bien trop souvent mal utilisé par les diverses presses.

Quand aux crackers ce n'est pas du tout leur rôle ! Attention, ces derniers ne sont que des programmeurs se cantonnant dans la cassage de codes et de protections de logiciel.
Avatar de l’utilisateur
Contributeur
Vénérable Gros - Admin
 
Message(s) : 10998
Inscription : 17/11/03, 0:52

lien sunshield

Message par Contributeur le 23/01/04, 6:39

en bas de la page sur les firewall (section logiciel art 455), le lien vers Sunshield envoie vers Who s there, le sniffer de OpenDoor le dev. de Doorstop (aujourd hui Norton Personal Firewall)
le lien info et download pour Sunshield en français est
http://homepage.mac.com/opalliere/shield_features.html
Avatar de l’utilisateur
Contributeur
Vénérable Gros - Admin
 
Message(s) : 10998
Inscription : 17/11/03, 0:52

Site intéressant pour les IP .

Message par Contributeur le 17/05/04, 15:05

Ouais je suis sûre qu'un bon fwl comme netbarrier est assez bon, mais little snitch en plus de netbarrier c mieux car netbarrier balance aussi des tonnes d'infos à notre issu ...

http://www.manoubi.com

(j'ai découvert ce site via osxfacile) et il me semble assez bien fait pour comprendre la sécu sous mac.

Avatar de l’utilisateur
Contributeur
Vénérable Gros - Admin
 
Message(s) : 10998
Inscription : 17/11/03, 0:52

détailler

Message par Contributeur le 25/02/05, 16:53

est-il possible de détailler les thèmes dont vous parlez.(les pares-feu)
Avatar de l’utilisateur
Contributeur
Vénérable Gros - Admin
 
Message(s) : 10998
Inscription : 17/11/03, 0:52

transformationd'unemachinelinuxenrouteur

Message par Contributeur le 13/11/05, 13:40

QUOI FAIRE
Avatar de l’utilisateur
Contributeur
Vénérable Gros - Admin
 
Message(s) : 10998
Inscription : 17/11/03, 0:52

Suivant

Retour vers Discussions générales sur tous les logiciels

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 0 invité(s)

Conseils d'achat

  • Macintosh

  • iPhone, iPad & iPod

iMac 27" 5k Indicateur rouge Informations 03/2019 2099 € L'iMac 27" (Retina) a été mis à jour le 18 mars 2019 avec des modèles Coffee Lake ( 6 à 8 coeurs) et des GPU Radeon Vega. Vous pouvez acheter sans crainte, les iMac ne sont mis à jour qu'une fois tous les 12/18 mois en moyenne. Une mise à jour n'est pas à écarter début 2020 !
iMac 21,5" 4k Indicateur orange Informations 03/2019 1499 € L'iMac 21,5" (Retina) a été mis à jour le 18 mars 2019 avec des modèles Coffee Lake ( 6 à 8 coeurs) et des GPU Radeon Vega. Les iMac ne sont mis à jour qu'une fois tous les 12/18 mois en moyenne. Une mise à jour est donc probable autour du printemps 2020 ! En attendant, privilégiez plutôt le Refurb !
Apple TV 4k Indicateur rouge Informations 09/2017 199 € L'Apple TV 4k est une petite évolution de l'Apple TV pour les téléviseurs 4k. Il gère le HDR, le HDMI 2a et tous les codecs récents. Si vous avez une télévision OLED 4k, il s'agit du modèle idéal. Son prix est raisonnable par rapport à la version HD, qui reste au catalogue. Attention, une rumeur évoque un modèle plus puissant pour la fin 2019.
iMac Indicateur rouge Informations 06/2017 1299 € L'iMac 21,5" (non Retina) a été mis à jour le 5 juin 2017 avec Thunderbolt 3 et puces Kaby-Lake. On attendait des modèles Coffee Lake (à 6 coeurs) d'ici le courant du printemps/été 2019 mais Apple n'a pas renouvelé cette version.. qui ne vaut plus vraiment le coup en 2019.
iMac Pro Indicateur rouge Informations 12/2017 5499 € L'iMac Pro est actuellement le Mac le plus puissant du marché, même s'il a déjà 2 bonnes années d'existence. Apple a rajouté une petite option GPU Vega 64X et 256Go de RAM courant mars 2019, mais rien de bien folichon. N'hésitez pas à consulter nos tests et nos vidéos avant de vous décider ! A noter qu'Apple va sortir un Mac Pro fin 2019, donc si vous n'êtes pas trop pressé, il sera + modulaire...
Mac Mini Indicateur orange Informations 10/2018 899 € Le Mac mini a été mis à jour fin 2018 avec un tout nouveau CPU à 4 coeurs. Une mise à jour est souhaitable en ce démi/mi 2020, que ce soit au niveau du CPU ou des SSD, un peu justes pour le prix. Attention toutefois, Apple laisse souvent "mourrir" les Mac mini pendant plusieurs années
Mac Pro Indicateur vert Informations 12/2019 6499 € Le nouveau Mac Pro est enfin là ! Certes, sont prix est élevé, mais la cible est très claire : les ultra-pro. Vous pouvez acheter sans crainte, (presque) tout est modifiable dans le temps et les modules MPX sont proposés à part par Apple.
MacBook Pro 13" Indicateur vert Informations 05/2020 1499 € Le MacBook Pro 13" a été mis à jour le 04 mai 2020 avec les nouveaux claviers Magic Keyboard (enfin fiables) et des puces de 10e génération sur le haut de gamme. Vous pouvez acheter sans risque (regardez nos tests !), un modèle 14" est envisagé pour fin 2020 ou début 2021.
MacBook Pro 16" Indicateur vert Informations 11/2019 2699 € Le MacBook Pro 15" est remplacé par un modèle 16" le 13 novembre 2019 avec de nombreuses nouveautés : grosse batterie de 100Wh, clavier totalement revu, touche ESC physique, nouveau GPU AMD (5500M) et du stockage plus généreux. Apple propose depuis juin 2020 une option GPU (5600M) très puissante (voir notre test). Pas de MAJ probable avant fin 2020, voire début 2021.
MacBook Air Indicateur vert Informations 03/2020 1199 € Le MacBook Air a été mis à jour en mars 2020 : processeur à 4 coeurs, nouveau clavier (qui ne se bloque plus) et stockage doublé pour le même prix ! Cette nouvelle version est bien plus intéressante, n'hésitez pas à voir nos tests !
Apple TV 2015 Indicateur rouge Informations 10/2015 159 € L'Apple TV 2015 est sortie fin 2015 et Apple le garde au catalogue malgré l'arrivée de la version 4k. Avec en prime, une petite baisse de prix ! Si vous n'avez pas de TV 4k, cela reste une bonne affaire.
À découvrir sur Mac4Ever
b 1 
app
A propos | Mentions légales | Contacts | Emploi | RSS | Apps