Les Applications Ã* accepter/refuser avec un firewall ?!

Bonsoir,

Je ne sais pas quoi répondre Ã* certaines alertes du pare-feu. J'utilise
depuis longtemps Zone Alarm Free, mais avec le passage Ã* Vista, les alertes
ont quelques peu changés. Que dois-je répondre Ã* ces applications ? :

- Searchfilterhost.exe
- Explorer.exe
- Lsass.exe
- Wininit.exe
- Services.exe
- Searchindexer.exe
- Svchost.exe
- Dllhost.exe

Et surtout pourquoi ces applications doivent se connecter Ã* Internet ?
J'arrive pas Ã* comprendre.

Merci

Bonsoir !

Je vais en profiter pour passer un de mes refrains favoris : "Les
parefeux (logiciels sur les postes) sont inutiles et nocifs."

Le cas SVCHOST est symptomatique du manque de puissance / performance,
et donc de l'inutilité des parefeux logiciels sur les postes.

SVCHOST est un pont-logiciel ; un logiciel qui sert de relais entre des
DLL et le système. Autrement dit, lorsqu'un parefeu détecte SVCHOST, il
devrait chercher quel est le logiciel qui est derrière. De plus, il
devrait pouvoir être configuré différemment, selon les logiciels.

SVCHOST existe depuis Windows-2000 ; son utilisation s'est largement
répandue depuis XP ; c'est Ã* dire depuis 2002. Or, les parefeux ne
savent toujours pas le traiter correctement. Avec ton ZA, soit tu
autorises SVCHOST, et, du coup, tu autorises TOUS les logiciels qui
utilisent SVCHOST ; soit tu interdis SVCHOST, et tu bloqueras, aussi,
des logiciels légitimes.

@+

MCI

Je ne comprend pas trop ce que vous voulez dire par "inutilité". Même
Microsoft dans Windows Vista propose un pare-feu qui contrôle les sortis.

Et cela paraît même important non ?
Très franchement, j'aimerais ne plus avoir de pare-feu. Cela fais encore un
logiciel en plus qui ralentit le système.

Mais cela me paraît presque obligatoire aujourd'hui de possèder un pare-feu.

Sinon vous me parler de Svchost. Mais il y en Ã* bien d'autres que j'ai écrit
dans mon premier message.

Merci

Non ?

Bonjour !

Je m'excuse, mais j'étais parti faire une conférence, au Pycon-08
(Paris).
Bref...

> Je ne comprend pas trop ce que vous voulez dire par "inutilité". Même
> Microsoft dans Windows Vista propose un pare-feu.

Qu'il y ait un parefeu dans Vista ne veut pas dire qu'il faille
l'utiliser tout le temps. AMHA, c'est utile pour une machine connectée Ã*
Internet par un modem (ADSL ou RTC).

Par contre, dès que l'on est derrière un routeur, ou une box qui "fait"
routeur (pour les FB, il faut les configurer), on ne craint pas les
intrusions. Rien ne va rentrer tout seul, de l'extérieur.


> Windows Vista propose un pare-feu qui contrôle les sorties.

Si une machine n'est pas infectée, il est légitime que des logiciels se
connectent, pour chercher des mises Ã* jour, pour gérer des abonnements,
pour avoir des informations, etc. Dans ce cas, un parefeu ne sert Ã*
rien.

Si une machine contient un malware qui se connecte Ã* l'extérieur :
- le parefeu le signalera... par moment (un malware qui se connecte
via Internet-Explorer, ou Firefox, ou Opera, ne sera pas détecté).
- si le parefeu l'a détecté, il va, au mieux, bloquer la sortie, mais
il ne supprimera pas le problème. Alors que la (vraie) solution, c'est
d'éradiquer le malware.
Donc, un parefeu peut, dans certains cas, limiter les dégâts, mais il ne
règle rien.

Maintenant, si l'on se souvient du grand nombre de messages de demandes
d'aide, suite Ã* des logiciels bloqués par des parefeux ; si l'on mesure
(comme vous l'avez fait), le ralentissement important des machines
(surtout des connexions), on se pose vite la question de l'utilité de
ces outils. Ou, plus judicieusement, de savoir quand les utiliser.


Perso, je préfère utiliser des logiciels comme SSM (System Safety
Monitor), ou PSurv. Ces logiciels contrôlent l'exécution des processus
et/ou des services. Dès qu'un processus non prévu (non souhaité) se
lance, il est supprimé. Ainsi, l'exécution des programmes indésirables
est rejetée. C'est quand même mieux que de les laisser faire, et de ne
bloquer que leurs sortie, non ?


Je dois toutefois signaler que certains pensent autrement. Notamment les
commerciaux des éditeurs de parefeux ;o)


@-salutations
--
Michel Claveau

"MCI (ex do ré Mi chel la si do) [MVP]" a écrit :

> Bonjour !
>
> Je m'excuse, mais j'étais parti faire une conférence, au Pycon-08
> (Paris).
> Bref...

Pas de soucis !

> Par contre, dès que l'on est derrière un routeur, ou une box qui "fait"
> routeur (pour les FB, il faut les configurer), on ne craint pas les
> intrusions. Rien ne va rentrer tout seul, de l'extérieur.

Je n'ai pas réellement configuré ma box. J'ai juste activé le mode routeur,
puis désactivé la réponse au ping. Pour le reste j'ai laissé comme c'était.

> Maintenant, si l'on se souvient du grand nombre de messages de demandes
> d'aide, suite Ã* des logiciels bloqués par des parefeux ; si l'on mesure
> (comme vous l'avez fait), le ralentissement important des machines
> (surtout des connexions), on se pose vite la question de l'utilité de
> ces outils. Ou, plus judicieusement, de savoir quand les utiliser.

Il et bien lÃ* le soucis. Beaucoup recommande un pare-feu bi-directionnel,
mais jamais on explique réellement que faut-il accepter, que faut-il bloquer
?...! Ce serait génial que Microsoft explique ce qu'est tel où tel processus,
et pourquoi il tente une connexion Ã* Internet. Dans tout les tutos (sur les
pare-feux où même les HIPS), il et indiqué de ne pas accepter ce que l'on ne
connaît pas... Oui mais on connait pas grand chose !

> Perso, je préfère utiliser des logiciels comme SSM (System Safety
> Monitor), ou PSurv. Ces logiciels contrôlent l'exécution des processus
> et/ou des services. Dès qu'un processus non prévu (non souhaité) se
> lance, il est supprimé. Ainsi, l'exécution des programmes indésirables
> est rejetée. C'est quand même mieux que de les laisser faire, et de ne
> bloquer que leurs sortie, non ?

J'utilise Spybots, mais je désactive systèmatiquement son option (qui n'est
pas un HIPS), mais qui gère les modifications de registre. Et encore une
fois, on a jamais de réelle explication sur le pourquoi du comment.

Merci beaucoup pour vos réponses. Je sais que par exemple Comodo profite
d'un HIPS performant. Mais c'est aussi un pare-feu. Je ne savais pas que des
HIPS se faisait seul (Ã* chaque fois je voyait des logiciels qui faisait
pare-feu ET Hips). Je vais voir cela de plus près.

Merci