Moins de virus avec IPCop? Comment?

[windu50]

Bonsoir a tous, voila j'ai un serveur IPCop depuis une semaine (interface verte+rouge).
Je scanne mon ordi une fois par semaine avec des logiciels tels que spybot, asquared, avast...
et je me rend compte que j'ai autant de spyware qu'avant d'avoir IPCop.
Je n'est modifié aucun parametres dans IPCop ils sont tous par défaut si quelqu'un pourrait me dire ce que je dois faire ce serait sympa. Merci d'avance

[Franck78]

Salut
Quoi faire? Facile!

Utiliser le bon élément au bon endroit par exemple.
Apprendre par coeur se site: http://assiste.com.free.fr/

IPCop est un firewall.
XYZ est un antivirus.


Bye

[windu50]

Merci, ok il me faut donc un antivirus mais je croyais qu' a la base ipcop sécurisait pas mal, car la c'est pareil qu'avant

[shwing]

Merci, ok il me faut donc un antivirus mais je croyais qu' a la base ipcop sécurisait pas mal, car la c'est pareil qu'avant

Il faut que tu comprennes qu'un firewall et un antivirus, ont la même mission: protéger
mais te protéger des choses différentes.

Le firewall contrôle qui vient se connecter sur ton ordinateur, et quels logiciels vont sur internet.

L'antivirus repère les bouts de programmes contenant du code malveillant.

Conseils à lire: http://sebsauvage.net/safehex.html

[windu50]

Merci de ces réponses, donc IPCop sert juste de pare feu il me faut donc un antivirus en+. Je peux en mettre un sur ipcop? Si oui lequel?Ou dois je en mettre un sur chaque pc? (Ce qui est le cas actuellement)

Une autre question: vu que ipcop fait pare feu est ce que je peux desinstaller mes firewalls sur mes pc (kerio+black ice)?

Merci

[jdh]

IPCOP, comme tout autre firewall, filtre des flux réseaux, mais il n'effectue pas d'analyse sur les fichiers (sauf addons idoine).

Bien sur qu'il faut un antivirus sur chaque poste, mais il faudrait aussi disposer d'un firewall même de base sur chaque PC : celui de Windows XP SP2 est acceptable pour le flux entrant (plus simple et plus léger que Kerio).

L'intérêt d'un firewall comme IPCOP c'est d'effectuer du filtrage général pour l'ensemble du réseau. (Et il faut filtrer en entrée et en sortie !).

Cela ne dispense pas chaque PC d'avoir sa propre sécurité : antivirus, firewall, windows update, antispyware.


Il faut avoir en tête qu'un firewall n'est qu'un élément de la sécurité : il en faut un mais ce n'est pas LA securité totale (bien au contraire). Le pire danger c'est de se croire protégé après avoir installé tout et tout ! Chaque élément est à choisir avec soin et à bien ajuster.

Le site cité par shwing est très bien fait et explique tout cela mieux que moi !

[Mahoru`Tsunemi]

pour l'antivirus il le faut sur chaque poste, mais je ne suis pas d'accord avec le firewall enfin a moitié
si nous sommes dans un réseau sur ethernet filaire contrôlé les firewall sur chaque poste ne vérifie que les données sortante ou entrante des autre PC qui sont de confiance. Et s'il y a des données sortante non voulu (spyware) l'antivirus a mal fait son boulot (oui la plus part des antivirus font aussi antispyware maintenant ^^). et puis un firewall c'est bien mais quelqu'un sans connaissance va toujours accepter et donc il ne servira a rien.

après, dans un réseau non sur ou non contrôler (wifi, CPL...) la ils servent a quelque chose. mais la ipcop entre en jeux avec l'interface blue mais ce serai trop long d'expliquer :p

petite parenthèse, avec SNORT on peu filtré les packet qui passent, mais je n'ai jamais réussis a m'en servir donc je ne connais pas ses possibilité.

[Gandalf]

petite parenthèse, avec SNORT on peu filtré les packet qui passent, mais je n'ai jamais réussis a m'en servir donc je ne connais pas ses possibilité.

Grosse parenthèse : SNORT ne filtre absolument rien, il ne fait que remonter des alertes qui suivent des schémas bien définis, en aucun cas il ne peut "réagir" face à ces alertes. Il lui faut un autre outil type guardian sur IPCOP pour provoquer une action suite à une alerte de SNORT.

[jdh]

Ce qu'il faut :

- un firewall général avec 2 interfaces : l'une sur Internet, l'autre sur le réseau local : IPCOP ou autre
- sur chaque PC : un antivirus
- sur chaque PC : windows update régulier avec toutes les maj critiques
- sur chaque PC : un antispyware
- sur chaque PC : un firewall : au moins celui de Windows XP SP2

Concernant les firewalls "personnels",

- Windows XP SP2 fournit un firewall très basic qui n'effectue qu'un filtrage en entrée de flux réseau. C'est un minimum
- les produits commerciaux ou libres (genre ZoneAlarm, Sunbelt/Kerio, ...) sont des firewalls filtrant les flux réseaux mais aussi par application (Outlook a le doit de faire du pop3 et du smtp).

Les produits commerciaux ou libres sont surement un peu trop complexe de base, avec une tendance à accepter, en effet, tout par défaut ce qui est très mauvais. C'est donc pourquoi je recommande plutôt d'activer le firewall XP SP2 avec les bonnes exceptions.

[Mahoru`Tsunemi]

petite parenthèse, avec SNORT on peu filtré les packet qui passent, mais je n'ai jamais réussis a m'en servir donc je ne connais pas ses possibilité.

Grosse parenthèse : SNORT ne filtre absolument rien, il ne fait que remonter des alertes qui suivent des schémas bien définis, en aucun cas il ne peut "réagir" face à ces alertes. Il lui faut un autre outil type guardian sur IPCOP pour provoquer une action suite à une alerte de SNORT.

ha il me semblais qu'il fessais un filtrer quand même. donc ca ne sert absolument a rien ?

- sur chaque PC : un firewall : au moins celui de Windows XP SP2

- Windows XP SP2 fournit un firewall très basic qui n'effectue qu'un filtrage en entrée de flux réseau. C'est un minimum

justement non, ipcop fait déjà un filtrage entrant. ce qui fait qu'il ne sert a rien a par obliger a configurer 2 fois le routage/ouverture de port.
après le filtrage sortant est serte intéressant mais si un virus est la, il peu si le firewall est non-protéger (càd utilisable juste par l'utilisateur admin et ne pas tourner avec l'utilisateur admin) changer ses règles ou le désactiver complètement. malheureusement sous windows XP la 2eme règle n'es pas respecter 90% du temps par les particulier (nous sortons le cas entreprise qui est totalement différent )

[Gandalf]

ha il me semblais qu'il fessais un filtrer quand même. donc ca ne sert absolument a rien ?

Ben si ça sert à quelquechose .... puisqu'il peut t'indiquer si une attaque particulière a lieu ou pas, c'est déjà pas mal non ! A toi ensuite d'agir en conséquence, il va quand même pas bosser à ta place en plus !

PS : pitié, un effort sur l'orthographe, c'est dur à lire ....

[ccnet]

ha il me semblais qu'il fessais un filtrer quand même. donc ca ne sert absolument a rien ?

C'est vraiment très dur de lire les osts dans une langue qui n'est pas la notre ... Merci pour les efforts à venir.

Snort ne filtre ni peu ni beaucoup. Il relève des "signatures", des paquets ou ensemble de paquets potentiellement anonceur d'une attaque, d'une tentative d'intrusion, ou autre agression. Il stocke le tout dans des journaux et peut, suivant configuration, envoyer des alertes.
Il est aussi possible qu'il communique avec un firewall via un greffon (un addon). Le firewall peut alors modifier les règles actives. Cela ne relève pas du fonctionnement standard de Snort. Et ce n'est pas sans risque même si cela semble séduisant sur le papier.

Tout cela est loin d'être totalement inutile, mais réclame une attention très régulière. Donc des moyens humains.

[jdh]

Je réaffirme que le firewall XP SP2 est à activer SYSTEMATIQUEMENT sur chaque PC qui en dispose.

La raison est très simple : le firewall général est une protection périphérique mais ne protège pas les PC les uns des autres.

Imaginons qu'un visiteur arrive avec son portable et se plugue dans le réseau local, il a la possibilité de mettre pas mal de bazar sans polluer Internet.

Autre cas, un utilisateur copie des données sur sa clé USB, travaille le soir avec sur son PC infesté, et revient sur le PC du bureau le lendemain : il va mettre le bazar lui aussi.

Il faut donc
ET une bonne protection périphérique (le firewall général du type IPCOP par exemple avec filtrage en sortie),
ET une protection minimale en entrée sur chaque PC c'est à dire le firewall de XP SP2.



NB : en ce qui me concerne, j'utilise une suite complète pour les PC de mon entreprise : antivirus, antispy , firewall, contrôle applicatif, et (mini-)contrôle IDS. Et j'en suis content : un nmap sur un PC et il bloque tout au 5eme scan.

[yvesrobert]

Jdh, peux-tu donner le nom de ta suite miraculeuse?
Merci d'avance...

[jdh]

Il y a beaucoup de suites "de sécurité" qui font antivirus/antispy/firewall/ctl appli/mini ids.

Chacune de ces suites possède des avantages et des inconvénients.

On trouve par exemple :
- Kaspersky : Business space security
- F-Secure : Corporate suite ou Entreprise suite
- McAfee : Total protection entreprise ou small business
- Symantec : Client Security

J'utilise avec satisfaction une de ces suites pour plus de 130 postes. (J'ai déjà fait de la pub alors stop !).

L'intérêt d'utiliser une de ces suites est la possibilité d'administrer globalement les réglages de chaque PC.