Welcome Guest ( Log In | Register )

 
Reply to this topicStart new topic
> Partie Firewall De Bitdefender: Quelle Galère
ekacnet
post Apr 2 2009, 09:38 PM
Post #1


Newbie


Group: Members
Posts: 8
Joined: 28-February 08
Member No.: 10,561



Ces derniers jours j'ai fait quelques tests avec la dernière version de BD (3.0.6).

En mode power desktop, c'est pas réellement opérable. A chaque nouveau réseau rencontré on a une question du type "Etes vous dans un réseau sécurisé (type domaine Active Directory)" ou "Etes vous dans un réseau d'école/zone libre accès". Quand on est en entreprise on aimerai bien que l'utilisateur n'ai pas trop de choix ... (c'est pour ça que le mode limité existe vous allez me dire ...). C'est dommage car il semble que ce mode possède une gestion un peu plus intélligente des zones dans le cas d'un profil non sécurisé (cad capable de comprendre que certain réseau sont sécurisé: cas d'une connexion VPN depuis un hotspot wifi ...).

Dans le cadre de l'utilisation dans mon entreprise j'aimerais idéalement faire en sorte que le firewall ne fonctionne pas quand on est dans l'AD (du moins que pour l'interface réseau qui est directement reliée au réseau qui permet de joindre l'AD) et que sinon tout soit bloqué sauf le trafic DHCP et le trafic (ie. utilisation dans un hotspot wifi) mais que l'utilisateur puisse 3/4 minutes désactiver son firewall (ou mieux une partie seulement telle que la résolution de nom + HTTP/HTTPS) afin qu'il puisse établir une connexion VPN lorsqu'il est dans un hotspot wifi (ou toute autre zone où il faut faire 2/3 opérations sur une interface et potentiellement acheter un peu de crédit pour le hotspot).

Mais bon malheureusement ça n'existe pas (bien que je pense que ça devrait pas être super dur de l'implémenter ... pour la 3.0.7/3.0.8 ?)
Alors j'aimerais laisser un minimum de port ouvert et permettre un minimum d'application de sortir (de façon a être sûr que les utilisateurs vont bien mettre en place leur VPN ce qui m'assure qu'ils passent par toute notre infrastructure sécurisée même quand ils sont sur la route et non pas seulement sur l'antivirus et le firewall installé sur un Windows ... ).

De prime abord il semble pas vraiment faisable de dire à bitdefender bon pour les interfaces où tu voies l'AD tu ouvres tout et pour celles où tu ne voies pas l'AD tu ne laisse passer que le DHCP/DNS et le flux VPN et le web en tout cas depuis un profil d'administration centralisé sur la console serveur BitDefender (alors que bizarrement quand je lis la documentation du client j'ai l'impression que c'est +/- possible).

Heureusement je peux désactiver le firewall sur la pseudo interface réseau du client VPN et donc je sais que tout ce qui va passer par cette interface ne sera pas filtré ça tombe bien c'est ce que je veux. Il ne me reste plus alors qu'a trouver une solution pour bloquer presque tout quand on est pas de le réseau dans l'entreprise: profil par défaut. Et puis une fois le profil par défaut créé je fais une nouvelle règle de sécurité pour changer les règles de firewall pour pour le profil en cours (ça sous-entends que l'on fait toute l'initialisation avec le PC initialement connecté au réseau de l'entreprise bon c'est pas supra déconnant comme hypothèse).


J'ai donc fait un profil par défaut qui bloque à peu près tout sauf firefox + openvpn + les requêtes DNS + bitdefender agent (pour que l'agent puisse encore se connecter au serveur afin que je puisse pousser dans deuxième temps les modifications pour le profile en cours (cad: connecté au réseau de l'entreprise).


Mais bon en fait ça ne marche pas: j'arrive à me connecter à Internet avec Opera et IE (alors que je bloque tout sauf firefox), j'arrive à browser les share réseau (mais j'ai par contre par kerberos qui passe), si je fais un nmap sur la machine windows j'ai des ports d'ouvert ...
En gros c'est un peu la merde ... Alors peut être que j'ai loupé un truc ... Mais je trouve vraiment que les modèles de politique pour la partie firewall de bitdefender sont assez nulles ...

J'attache le settings.xml + profiles.xml + profile par défaut de mon firewall.


Attached File(s)
Attached File  settings.xml ( 191bytes ) Number of downloads: 1
Attached File  enterprise_fw_global_profile_.xml ( 13.3K ) Number of downloads: 1
Attached File  profiles.xml ( 468bytes ) Number of downloads: 1
 
Go to the top of the page
 
+Quote Post
Guest_Florent_*
post Apr 9 2009, 04:39 PM
Post #2





Guests






Bonjour,

Pour éviter la demande de savoir sur quel type de réseau on est connecté, mais qui impose la même configuration quelque soit le réseau, il existe l'option 'profil généric'.

Je pense que cela peut aussi régler le problème de navigateur que vous évoquez.
Quelle est l'action par défaut que vous avez choisie ?

Cdlt





Go to the top of the page
 
+Quote Post
MagicOPromotion
post May 27 2009, 10:23 PM
Post #3


Newbie


Group: Members
Posts: 8
Joined: 29-April 09
From: England
Member No.: 23,738



Est-ce quon peut espérer avoir la suite très prochainement ????

Cest trop CRUEEEEEELLLLLLLLLL

Est-ce quelle est terminée ?

Merci, merci

Gwen
Go to the top of the page
 
+Quote Post
Guest_Florent_*
post May 28 2009, 01:51 PM
Post #4





Guests






Bonjour

De quoi parlez-vous ?
Qu'attendez-vous ?

Cdlt
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic
1 User(s) are reading this topic (1 Guests and 0 Anonymous Users)
0 Members:

 



RSS Lo-Fi Version Time is now: 18th September 2014 - 09:50 AM