Discussion :

[Artemus24]

Salut à tous.

Je suis sous Windows 10 Pro version 1607 et j'ai installé [color=red]Comodo FireWall Internet Security Pro 10[color].
Depuis quelques jours je bidouille avec, afin de bloquer les échanges entre mon ordinateur et des serveurs de Windows.
Entre autre, j'ai bloqué tout ce qui concerne les échanges IP avec Explorer.exe et Svchost.exe.
Pour l'instant, je n'ai rencontré aucun problème sur mon ordinateur.

J'ai trouvé aussi le moyen de ne pas confiner (HIPS) des programmes à moi que j'utilise régulièrement.
Par exemple des batchs pour lancer des scripts sur les bases de données.
Ou encore des programmes écrits en C/C++.

J'utilise WampServer, et j'ai pu configurer les règles du FireWall pour apache et MySql.
Pour l'instant, ça a l'air de fonctionner normalement.

Ce que j'aimerai faire, c'est augmenter la sécurité en ayant des alertes sur des intrusions non désirées.
Le problème, c'est que j'ignore comment une intrusion non désirée peut se faire.
Par exemple, si une connexion entrante tente d'utiliser un port, comment dois-je configurer mon FireWall pour avoir une alerte, voire aussi le confiner ou le bloquer ?

Autrement dit, j'aimerai savoir comment vous avez résolu vos problèmes de sécurités avec Comodo ?

@+

[Artemus24]

Salut à tous.

Après une quinzaine de jours d'utilisation du pare-feu COMODO, j'ai préféré le désinstaller car il ne correspond pas à mes attentes.
Je ne sais pas si cela provient de bugs ou si je ne suis pas arrivé à le configurer normalement, mais en gros c'est une passoire !

1) j'ai détruit toutes les règles des programmes, pensant que le pare-feu allait me les bloquer, eh bien non, il n'y a aucune alerte !
Il faut comprendre que par défaut, tout ce qui est entrant est bloqué, tandis que tout ce qui est sortant, en principe, est autorisée.
Je n'ai vu nulle part, l'une ou l'autre de ces règles, ce qui laisse supposer que par défaut tout est autorisé.
Le principe d'un pare-feu est de filtrer les flux entrants et sortants en signalant par une alerte les règles inexistantes sur un programme.

2) j'ai constaté que CIS (Comodo Internet Security Pro 10) modifie des règles existantes, ce qui implique une instabilité sur le long terme.
Je prends comme exemple la règle "system", qui déjà à ma grande surprise existant au préalable mais sous l'orthographe française "système".
Or elle correspond au processus dont PID = 4.
Je l'ai associé à une règle prédéfinie et CIS la retransforme en règle personnalisée en ajoutant de nouvelle règle que je ne désirais pas.

3) j'ai rencontré des problèmes d'affichages des flux entrants et sortants pour les règles globales.
Sans comprendre pourquoi, certaines requêtes ne s'affichent pas.
Il est alors nécessaire de créer une règle dans les règles de programmes pour les voir s'afficher.
Autrement dit, on ne peut pas visualiser dans la globalité, tout ce qui se passe au niveau des requêtes entrantes et sortantes.
C'est le cœur même de la sécurité, de voir ce qui se passe !

4) par extension du §3), cela veut dire que l'on doit créer une règle par programme pour contrôler ce qui se passe.
Sauf que je n'ai pas compris comment s'articule les règles par programmes vis-à-vis des règles globales.

Est-ce que la règle programme se suffit à elle même ou pas ?
Autrement dit, si une règle programme existe alors les règles globales ne sont pas traitées.
Ou bien cela dépend de la façon de créer les règles.

4-a) créer des règles entrantes au niveau globales et créer des règles sortantes au niveau du programme.

4-b) créer des règles entrantes et sortantes mais avec un filtrage différents.
Par exemple au niveau globale, filtrer par rapport aux adresse IP et au niveau programme, filtrer par rapport aux ports et aux protocoles.

Que soit dans le cas 4-a) ou 4-b), je ne suis pas arrivé à filtrer correctement les flux !
Il y a toujours des flux qui sont bloqués ou autorisés sans comprendre pourquoi.

En fait, tout ce passe comme si plusieurs règles étaient activées alors que je me suis toujours débrouillé pour que toutes les règles soient exclusives.
Par exemple, pour un programme, une seule règle sur les ports HTTP entrantes et donc une autre règles sur les ports HTTP sortantes.
Mais aussi pour le global, un filtrage sur les adresses IP. Ce qui faut au maximum deux règles traitées !

5) je ne suis pas arrivé à interdire des adresses IP ! Il y a pourtant un bouton qui permet d'exclure les adresses IP, mais cela ne fonctionne pas.
Je me suis retrouvé bloqué sur toutes les adresses valides, comme si le bouton exclure signifiait autoriser ce que je désire interdire et interdire ce que je voulais valider.

6) je n'ai rien compris comme fonctionne le HIPS. J'ai trouvé que cela était trop compliquer à paramétrer.
Et je me suis retrouvé avec des programmes en confinements, qui sont totalement bloqués.
Du coup, pour continuer de travailler, j'ai désactiver le HIPS.

7) il m'a détecté des virus dans tous mes programmes écrits en 'C/C++'. Et bien sûr, CIS m'a supprimé les exécutables !

8) je désirais seulement le pare-feu et voilà que lors de l'installation je me retrouve avec au moins quatre applications que j'ai dû désinstaller.

En conclusion.
J'ai cherché sur le net le meilleur pare-feu gratuit et c'est COMODO qui est sorti du lot.
J'ai même regardé des didacticiels sous forme de vidéo qui ne servent strictement à rien sinon à vous faire perdre votre temps.
Je n'ai trouvé aucun exemple sur comment paramétrer un cas particulier.
Et bien sûr aucune documentation même en anglais sur le produit.

Je déconseille vivement ce produit qui est une arnaque !

@+

[Simplet 75]

Bonjour

Cela fait près de dix ans que j'utilise Comodo Firewall 10 : successivement avec les antivirus Avira, Kaspersky et désormais Bitdefender.
C'est probablement le meilleur pare-feu logiciel du marché et qui plus avec IPS et gratuit.
Si vous voulez bloquer l'ensemble des connexions entrantes vous pouvez choisir l'option "Cacher les ports" dans la fenêtre "Fonctions du pare-feu" ou créer une règle de blocage des entrants dans les règles globales.
Avant de supprimer des règles ou de les modifier, prenez connaissance du manuel 2017 de l'utilisateur chapitre 6.2.3 "Firewall settings" pp 424-510/647 et ne supprimez ou ne modifiez les règles pour Windows que si vous êtes expérimenté, ce qui, d'après votre courriel, ne semble pas être le cas.

Cordialement

Simplet 75

[Artemus24]

Salut Simplet 75.

Pourquoi avez-vous déterré ce vieux sujet à près de onze mois ?
Comme je l'ai indiqué, je l'ai désinstallé car c'est une vrai passoire.
Je préfère le firewall de windows qui est bien plus facile à configurer et répond à mes attentes.

ne supprimez ou ne modifiez les règles pour Windows que si vous êtes expérimenté, ce qui, d'après votre courriel, ne semble pas être le cas.

Désolé de vous contredire, mais je suis suffisamment expérimenté sous windows pour entreprendre des configurations, à la condition que cela fonctionne.

@+

[steph78630]

Bonjour,

selon moi (mais ce n'est que mon avis), Windows restera Windows avec ses qualités et défauts, et lorsque l'on souhaite accroitre la sécurité de façon un peu sérieuse, il faut installer un pare-feu en amont.

Sans aller dans l'achat de matériel onéreux, il existe des solutions gratuites sous Linux du genre IPCop (ou son fork IPFire) qui font correctement le taf en récupérant un vieux PC.

Cordialement

[chrtophe]

Le problème est le même. Un firewall mal configuré est soit une passoire,soit pose des problèmes d'accès. L’avantage des produits comme les firewalls personnels est de faciliter et simplifier les choses et va aussi empêcher de faire des règles contradictoires.

Comme je l'ai indiqué, je l'ai désinstallé car c'est une vrai passoire.

Je pense que c'est plutôt un problème de config.

[steph78630]

J'ai essayé des outils tierces comme Norton Internet Security ou ZoneAlarm qui étaient de vraies passoires (mais ça c'était avant...) et j'espère que Comodo FIS est meilleur !

Le problème est le même. Un firewall mal configuré est soit une passoire,soit pose des problèmes d'accès. L’avantage des produits comme les firewalls personnels est de faciliter et simplifier les choses et va aussi empêcher de faire des règles contradictoires.

Chrtophe tu as raison, mais entre l'efficacité du pare-feu de Windows (?!) / surcouche logicielle Comodo (payante) et un pare-feu gratuit en amont sous Linux from scratch, je pense qu'il n'y a pas photo...

Et quitte à passer du temps sur la configuration du pare-feu, une solution comme IPFire a l'avantage de réaliser les paramétrages une seule fois pour toute l'infra et indépendamment de la (ré)installation des autres machines > Et puis, en + du pare-feu IPFire, il n'est pas interdit de laisser le pare-feu de Windows activé (hé hé)...

[Artemus24]

Salut steph78630.

Windows restera Windows avec ses qualités et défauts, et lorsque l'on souhaite accroitre la sécurité de façon un peu sérieuse, il faut installer un pare-feu en amont.

Pourquoi en amont ? Est-ce dans du matériel professionnel, genre routeur, faisant aussi office de pare-feu ?
Ma réponse est non car ce n'est pas ce genre de sécurité que je recherche.

Après avoir testé COMODO, j'ai constaté que certaines règles que j'ai configuré ne fonctionnent pas, voire même se modifient toutes seules.
Et j'ai aussi constaté des intrusions venant de COMODO ??? Même en les bloquants, les intrusions reviennent.
Autrement dit des flux entrants et sortants ayant comme adresses IP, celles de la société COMODO.
Si j'installe un pare-feu, ce n'est pas pour avoir une porte dérobée de la part de COMODO.

Je pense que c'est plutôt un problème de config.

Peut-être, mais j'ai constaté que le paramétrage était plutôt compliqué à mettre en oeuvre.

On a beau critiquer le pare-feu de Windows, je pense qu'il est simple d'usage et fonctionne parfaitement.

J'ai essayé des outils tierces comme Norton Internet Security ou ZoneAlarm qui étaient de vraies passoires (mais ça c'était avant...) et j'espère que Comodo FIS est meilleur !

Meilleur dans les passoires, peut-être !
Mais comment faire conviance dans une société qui viendrait sécuriser votre ordinateur, en ayant une porte dérobée ?

Et puis, en + du pare-feu IPFire, il n'est pas interdit de laisser le pare-feu de Windows activé (hé hé)...

Grosse connerie parce que vous aurez des règles constradictoires.

@+

[chrtophe]

Mais comment faire conviance dans une société qui viendrait sécuriser votre ordinateur, en ayant une porte dérobée ?

C'est pas forcément une porte dérobée, décoches "activer l'analyse comportementale" et tu auras peut-être plus de dialogues vers Comodo.

Après avoir testé COMODO, j'ai constaté que certaines règles que j'ai configuré ne fonctionnent pas, voire même se modifient toutes seules.

Ce genre de produit est capable de modifier automatiquement des règles incohérentes.

Citation Envoyé par steph78630
Et puis, en + du pare-feu IPFire, il n'est pas interdit de laisser le pare-feu de Windows activé (hé hé)...
Grosse connerie parce que vous aurez des règles constradictoires.

Pas forcément. Si 2 comportements sont contradictoires (ex : une règle laissant passer sur le firewall ipfire, et une contraire sur windows ne laissant pas passer), la règle la plus restrictive permettra un blocage.

[steph78630]

Ma réponse est non car ce n'est pas ce genre de sécurité que je recherche.

Pas sûr, le pare-feu IPFire est un système autonome (OS + pare-feu) qui :

- S'installe sur une machine (physique ou virtuelle) qui lui est exclusivement dédiée (côté ressources demandées, un PC en fin de vie est suffisant),

- S'intercale (par exemple) entre la box / routeur et le switch Ethernet / LAN du réseau à protéger donc en amont du PC sous Windows (requiert au minimum 2 cartes réseau qui correspondent aux 2 réseaux RED et GREEN à surveiller)

- Est la solution de sécurité ultime - En tout cas je ne connais pas mieux (après l'ajout d'un pare-feu matériel souvent onéreux)

- Est utilisé par des particuliers "avertis", mais aussi par de nombreuses (petites ou pas) entreprises / PME / etc.

Grosse connerie parce que vous aurez des règles constradictoires.

Comme l'a précisé @Chrtophe, pas forcément :

- En personnalisant les règles sous IPFire (ce qui profite à tous les PC situés en aval - ceux de vos collègues ou de votre domicile - notamment filtre URL inclus pour les enfants)

- En laissant les règles du pare-feu de Windows par défaut en réseau privé et en les personnalisant pour un réseau public (dans le cas du déplacement du PC par exemple car généralement, on n'emmène pas son IPFire avec soi).

[Artemus24]

Salut à tous.

Je tiens à préciser que Comodo n'est plus installé sur mon ordinateur.

C'est pas forcément une porte dérobée, décoches "activer l'analyse comportementale" et tu auras peut-être plus de dialogues vers Comodo.

En visualisant les flux entrants et sortants, je me suis aperçu, à l'époque, qu'il y a des échanges avec COMODO.
Je crois me souvenir que j'ai décoché le paramétrage automatique du pare-feu.

Ce genre de produit est capable de modifier automatiquement des règles incohérentes.

Il n'y a pas de règles incohérentes. J'ai essayé de bloquer des flux entrants et sortants vers Microsoft.
Peu après le démarrage de mon ordinateur, les règles (systèmes) étaient modifiées afin de les autoriser à nouveau.
J'ai donné dans mon premier message plus d'explication sur ce que j'ai trouvé bizarre comme comportement.
Au final, j'ai préféré utiliser le pare-feu Windows qui est plus stable et plus facile à configurer.

Pas sûr

Pourquoi remettre mon choix en cause ?

@+

[steph78630]

Pourquoi remettre mon choix en cause ?

Pas du tout Artemus, je pensais que vous n'aviez peut-être pas tous les éléments alors j'apportais quelques précisions sur une autre solution possible (c'est un peu le but d'un forum de discussion n'est-ce pas, nous ne sommes pas obligé d'être toujours d'accord ça serait monotone et puis votre sujet commençait par "Avez-vous des conseils à me donner...?").

Pas de soucis, je vous laisse décider.

A+

[Artemus24]

Salut steph78630.

Le but de ce sujet était d'avoir de l'aide.
Or comme vous l'avez constaté, personne ne m'a répondu durant onze mois.

Je ne suis pas arrivé à faire ce que je voulais avec COMODO.
Je l'ai désinstallé et j'ai préféré m'investir dans le pare-feu de Windows.

En fait, j'ai cherché à me protéger contre le protocole SMB (Server Message Block).
J'ai essayé de comprendre comment fonctionne ce protocole et ensuite, j'ai modifié mon pare-feu afin de laisser filtrer le protocole dans mon réseau local et de l'interdire en entrant et en sortant vers internet.

Le pare-feu n'est plus d'actualité car mon problème est résolu.

@+

[steph78630]

OK ça roule...!

Est-ce qu'un gentil administrateur pourrait basculer ce sujet dans la section SECURITE ? Il me semble qu'il serait mieux là-bas mais peut-être que je me trompe.

Cordialement, Stéphane

[chrtophe]

Le sujet concerne Comodo sous Windows 10, il peut donc rester dans cette section.

En fait, j'ai cherché à me protéger contre le protocole SMB (Server Message Block).

Le protocole SMB n'est pas fait pour être routé. Si tu passes par un routeur/BOX avec du NAT, tu ne peux pas communiquer en SMB avec l’extérieur. Les attaques Wannacry ou équivalents de l'année dernière infectent d'abord un poste via un mail malveillant, puis se répandent ensuite sur les autres postes du réseau local. Je pense que c'était le but de vouloir te protéger de SMB.

Le but de ce sujet était d'avoir de l'aide.
Or comme vous l'avez constaté, personne ne m'a répondu durant onze mois.

Cela peut tout simplement signifier que personne ne savait répondre, ou que les éventuelles personnes compétentes n'ont pas vu le message.

Je ne suis pas arrivé à faire ce que je voulais avec COMODO.
Je l'ai désinstallé et j'ai préféré m'investir dans le pare-feu de Windows.

Ce n'est pas forcément une mauvaise chose. Les produits comme Comodo sont en général plus user-friendly mais aussi plus cadrés.

Citation Envoyé par chrtophe
Ce genre de produit est capable de modifier automatiquement des règles incohérentes.
Il n'y a pas de règles incohérentes. J'ai essayé de bloquer des flux entrants et sortants vers Microsoft.

J'entendais par là que le produit va en général t’empêcher par exemple de créer par erreur une règle interdisant à tout navigateur de faire du http.