Selon Wikipedia, certains pare-feu à états peuvent être vulnérables - Que faire ?
Bonjour,
Voici l'extrait de l'article sur wikipédia :
source : pare-feu à états
C'est à la fin de la page :
Citation:
Vulnérabilités
Il existe un risque que les vulnérabilités dans les décodeurs de protocole individuels pourraient permettre à une personne malveillante de prendre le contrôle du pare-feu. Cette préoccupation souligne la nécessité de maintenir un logiciel de pare-feu à jour.
Certains pare-feu à états soulèvent également la possibilité que les hôtes individuels peuvent être trompés en sollicitant les connexions externes. Cette possibilité ne peut être complètement éliminée par l'audit du logiciel hôte.
Certains pare-feu peuvent être vaincus de cette manière par la simple visualisation d'une page web (soit avec Javascript activé, ou après avoir cliqué sur un bouton)4.
Si je comprends bien, le but du pirate c'est de pousser l'utilisateur à initier une connexion (en cliquant sur un lien dans email, par exemple). Ensuite, le le pirate (son script) pourra donc donc se connecter au réseau privé puisque le pare-feu verra que la connexion a un statut ESTABISHED.
On voit bien, comme le souligne wikipédia que dans ce cas, le pare-feu devient une passoire (voir dernière phrase).
La question quels sont les solutions pour ce genre de contournement ?
Je souligne qu'en réalité, ce n'est pas une faille du firewall puisqu'il ne laisse vraiment passé que les requette obéissant aux règles fixées par l'admin.
Et là, la règle : "si la connexion était déjà ÉTABLIE, accepte" est bien respecté, le firewall a donc bien fait son travail. Mais c'est l’utilisateur qui s'est fait trompé.
C'est un peu comme un utilisateur qui donne le code d'accès ou le double des clefs à un voleur qui l'a trompé.
Si le voleur accède à la pièce privée, ce n'est pas la faute de la serrure mais de l'utilisateur.
La question est donc :
Comment faire pour empêcher cela, TECHNIQUEMENT, svp (en dehors de la vigilance des utilisateur, dont personne ne peut vraiment compter dessus) ?
- Je ne pense pas non plus que la mise à jour du pare-feu corrige ce problème, puisqu'il ne s'agit pas d'une faille du firewall.
- Travaille dans une machine virtuelle complètement isolée, me semble pas très pratique pour une utilisation à long-terme.
Merci d'avance pour vos propositions.
A bientôt