Le firewall de Leopard est une passoire

[bompi]

A l'époque, il en existait certains, mais je n'ai aucune idée si ceux-ci fonctionnent encore :
sunShield , FirewalkX , et certainement encore d'autres dont je ne me rappelle plus. A tester si cela fonctionne toujours encore sous Leopard (que je n'ai pas encore ).

Ces outils sont bien. SunShield vient avec des modèles.
Mais ce n'est pas super évident.

Ce que j'aime bien dans LittleSnitch (dans le sens de la sortie), c'est son côté pratique et bien pensé, très Mac OS, quoi. Si le monsieur voulait bien nous faire un truc du même genre en entrée, je prendrais

À voir : il y a aussi le toujours intéressant Webmin, dont la version pour Thaï Gueur avait bigrement progressé. Reste à ce qu'il fonctionne sous Lé Peurde.

 

[Meow the Catz]

C'est pas un firewall webmin, c'est un gestionnaire graphique pour serveurs linux... Après il y a des modules graphiques pour gérer iptables certes...

 

[bompi]

:siffle:

On peut installer Webmin sur OS X (Tiger en tous cas) et la partie pare-feu est dans la section Networking.

 

[pentaracing]

En fait je ne comprends pas tout la. Si je configure 'Bloquer toutes les connexions entrantes' je ne crains rien. Si ?

 

[Capmari]

J'ai lu quelque part qu'il valait mieux cocher la case "Définir l'accès aux applications" du firewall et ensuite cliquer sur Avancé et choisir le mode furtif.
Ca change quelque chose ?:siffle:

 

[Einbert]

Le mode furtif est ce qui permet d'être "invisible", resp. ta machine ne répondra pas au ping . Par contre il semblerait que ntp reste tjrs et encore trop bavard... Une fois que j'aurai Leopard, je vais modifier /etc/ntp.conf pour qu'il soit un peu moins bavard. Si j'ai le temps demain, je vais faire un test demain sur Tiger.

++

 

[bompi]

On pourrait attendre du mode furtif qu'il en fasse un peu plus ; en clair que tous les ports soient fermés.

 

[Einbert]

Le firewall de Leopard fait à nouveau parler de lui :
http://www.heise-security.co.uk/news/98492
http://www.heise-security.co.uk/articles/98120

Décidément, le firewall de Leopard n'est pas encore au point, même si l'idée de base est bonne. Avec Leopard le filtering se fait au niveau applicatif et non au niveau packet comme c'est le cas sur Tiger. Seul petit hic, le firewall signe les applications qui ont le droit de sortir et cela cause des problèmes avec certaines applications qui checkent également l'intégrité de leur programme au démarrage; du coup, Skype ou WoW ne démarre plus et la seul solution est de tout réinstaller, ce qui n'est pas vraiment ça ... Du coup, on se croirait presque sur Windows !
Un thread à propos du problème Skype sur Leopard a par ailleurs déjà été ouvert : http://forums.macg.co/vbulletin/showthread.php?t=191499&highlight=skype

++

 

[iditude]

Saut à tous,

Le logiciel WaterRoof permet de gérer le ipfw de manière très précise et en graphique (Gui)

Il vient d'être mis à jour pour Leopard...

Voici le lien : http://www.hanynet.com/waterroof/

A+

 

[iota]

Salut.

Moi, ce que je comprends pas, c'est qu'en activant "tout bloquer" Amsn arrive a se connecter et on arrive a discuter...

Rien d'étonnant.
L'option "tout bloquer" permet d'interdir toutes les connexions entrantes.

Avec AMSN, tu es l'initiateur de la connexion (sortante donc), normal qu'on puisse te répondre.

@+
iota

 

[meltear]

c est purement logique, c est gros comme une maison
apple se dirige vers une politique a la microsoft.

le marché des antivirus et firewall n'a été jusqu ici pas aussi florissant que sur PC.
on vit dans un monde ou la sécurité a prit place forte et sous la panique les gens acheteront en masse.
plus d'argent (ca n est plus a prouver en ce qui concerne la politique d'apple)
apres, comme partout, il yya un risque que la clientele se mette en colere... et qu'elle quitte apple (pour pc? reste a voir, l'inverse est plus simple, et ... sur pc la sécurité est catastrophique... donc apple a tout a gazgner)

on a simplement pas le choix, et je doute que Jobs change quoique ce soit a cela.
a vrai dire, on est resté chanceux jusqu ici, j'aurai pensé que cela viendrait plus rapidement.


ah, le jour ou cette nevrose de la securité (pas qu en informatique biensure) sera passé en sujet secondaire, on serapassé dans une autre ere (... ou pas, en fait)

 

[bompi]

Non seulement ton post est difficilement lisible mais je ne vois pas où tu veux en venir.

Quoi qu'il en soit, pour ceux qui veulent avancer sur le sujet et ne pas se contenter de ce que fournit Apple au niveau graphique, on a déjà dit et redit qu'au niveau en-dessous (UN*X/Darwin) il y a un pare-feu plus qu'honnête et configurable simplement pour être protégé efficacement. Si on utilise de surcroît l'excellent et abordable LittleSnitch, on est paré.

Sans avoir à faire de grands discours qui ne sont pas à leur place (c'est un forum technique et pas une tribune anti- ou pro-Apple) et ne font guère avancer le Schmillblick.

 

[Dr Troy]

Si y'en a que ça interresse (je ne sais pas si c'est la meilleure solution), je met ma configuration IPFW (via WaterRoof).

Le principe c'est d'autoriser toutes les connexions locales et sur mon réseau local (192.168.10.0 à modifier en fonction de la configuration de votre réseau, et inutile si vous ne communiquez pas avec vos autres ordis), d'autoriser toutes les connexions que j'ouvre et d'interdire tout le reste. En gros je peux faire ce que je veux mais on ne peut pas se connecter à mon mac de l'exterieur.

 

[hoodini]

@Dr Troy : et si tu installe un programme qui s'y connecte à ton insu c'est là que littleS. intervient n'est ce pas ?

C'est que je me connecte souvent à d'autres réseaux. Comment paramètrer cet autre firewall de "bas niveau" ?

 

[bompi]

Avec LittleSnitch en effet.

 

[hoodini]

Alors voilà je viens de m'acheter LittleS. (bon marché tout de même) et je viens de me prendre waterroof, mais j'ai des doutes quand à son paramétrage.
Pour être totalement à l'abri il faudrait donc n'autoriser les entrées ET sorties que de certains logiciels et rendre entièrement hermétique l'accès au net donc ?
Mais si ces logiciels ont des failles Utilisées (tout du moins qui s'avère l'être par la suite) ?

 

[bompi]

Pour ce qui est des entrées, c'est simple : on peut tout interdire. Éventuellement, on peut ouvrir SSH (pour l'accès à distance). Reste seulement à autoriser l'entrée des paquets répondant à une requête émise au préalable.
Pour ce qui est des sorties, LS veille au grain et avertit.

 

[hoodini]

Je n'arrive à rien avec waterroof
Comment je pourrait éditer des règles comme quoi : bloquer toutes les connexions entrantes, et n'autoriser que quelques sorties ?

"Reste seulement à autoriser l'entrée des paquets répondant à une requête émise au préalable. "

Comment le faire ? J'utilise que peu de programme, safari pour le net, adium et sinon MAJ de quelques log

 

[bompi]

Waterroof te propose le jeu de règles qui va bien tout prêt.

 

[hoodini]

C'est Rule Sets !?
J'ai sélectionné Basic configuration and service, le temps de me plonger dans toutes les docs (celle de waterroof et d'autres sur l'ipfw) pendant ma semaine de vacance.

désolé si mes questions paraissent redondantes et traduisent mes peu de connaissances dans le sujet, et merci de tes réponses :zen: