MISE AU POINT: FIREWALL !!!!!

MISE AU POINT: FIREWALL !!!!! - Windows & Software

Marsh Posté le 12-05-2001 à 08:35:08    

Bon, comme je n'arrète pas de voir des posts sur les firewall dans lesquels on propose à des particuliers des solutions d'entreprise, je vais faire quelques mises au point.
 
1°Qu'est ce qu'un firewall?
 
Tout d'abord, sortez vous de l'idée qu'un firewall est un programme particulier ou un boitier externe. Un firewall c'est, dans sa forme la plus primitive, UN ROUTEUR! Donc par pitié, la prochaine fois qu'on vous demande un firewall, éviter de répondre "prend plutôt un routeur". Pour être tout a fait clair, un firewall est un ensemble d'outils destiné a sécurisé une partie d'un rezo des données extérieurs. Le schéma le plus classique de firewall pour une entreprise est le suivant:
 
Internet<-->routeur<-->bastion<-->routeur<-->rezo interne
 
2° Qu'est ce qu'un routeur?
 
Un routeur est une machine (soft ou hard) composé de 2 cartes rezo minimum et d'un table de correspondance d'adresses. Quand un paquet arrive sur une carte, son adresse est comparée a la table et il est redirigé vers la carte conrrespondantes qui le renvoie. Si l'on décide de bloquer certaines adresses d'entrée ou de sortie, on obtient déja un petit firewall. Un routeur ne nécéssite pas beaucoup de puissance et un vieux 486 suffit (A moins d'avoir un très gros rezo).
 
3° Qu'est-ce qu'un bastion?
 
C'est une machine qui s'occupe principalement du transcodage d'adresse entre le rezo interne et externe. C'est la que sont stockée toutes les données publiques (qui viennent ou vont vers l'extérieur), comme un site web par exemple. C'est cette machine qui va également faire le criptage/décryptage de données en cas de VPN. Accessoirement, elle peut aussi faire office de proxy, cad qu'elle stocke les dernière pages consultées pour éviter les temps de latence sur internet. Une telle machine demande beaucoup plus de puissance qu'un routeur et dépend fortement du traffic interne/externe.
 
4° Qu'est-ce qu'un VPN?
 
Pour faire simple et court, c'est un procédé de cryptage de données entre deux points pour lesquels la liaison n'est pas sécurisée.
 
5° Qu'est-ce qu'un personal firewall?
 
La plupart du temps, c'est un mini-routeur qui n'a qu'une entrées et une sortie (votre ordi et internet via votre provider), c'est pour cela qu'il reste discret et ne prend presque pas de ressource. Certains intègrent également des parties du bastion. C'est le cas de winproxy qui permet donc le partage de connection, le rôle de proxy ainsi que celui de firewall (et meme serveur DHCP).
 
6° Que risque un particulier?
 
Pour peu qu'il ne soit pas infecté par un troyen et qu'il n'aie pas laisser le partage de HD ouvert a l'extérieur, un particulier n'a aucun risque de se faire hacker, car les petits branleurs ne sauront pas passer un blackice ou un tiny, et les vrais connaisseurs n'en ont strictement rien a foutre de votre petit parc de 3 ordi. Evidemment, ce n'est pas la peine de tenter le diable en allant insulter les hackeurs sur leurs chat irc :D
 
 
Voila, voila.

Reply

Marsh Posté le 12-05-2001 à 08:35:08   

Reply

Marsh Posté le 12-05-2001 à 09:50:41    

Oula, il y a pas mal de chose qui me gene dans tout ce que tu dis Gizmo .... Ce qui me gene le plus, c'est le mélange firewall/routeur que tu fais .... Ce que tu affirmes si fort s'applique pt etre a un particulier mais pas en entreprise.
Ce n'est pas du tout la meme chose un routeur et firewall .... dire qu'un firewall est juste composé d'un 2 routeur et d'un "bastion" est completement faux ..... Ceci est une solution legère pour remplacer un firewall, mais ce n'est pas un firewall ....
 
Contrairement à ce que tu dis, un firewall est un soft tournant sur une machine a part entière (généralement sous Unix) et qui a pour fonction de securisé un réseau ... il n'est pas question ici de routage. En fait, gérer un firewall, c'est gerer des regles.  c'est a dire que l'administrateur va definr quelles adresses ip ou quel ports tcp peuvent traverser ou non le firewall.  
 
Alors que la fonction d'un routeur est uniquement de router, c'est a dire d'acheminer des données d'un point à un autre .... Un routeur n'est generalement pas un pc mais une boite, ils peuvent etre de la taile d'un decodeur ou de la taille de votre écran mais ce n'est pas un PC. Il est vrai qu'il existe plein de routeur soft tournant sur un PC, mais ce ne sont pas des vrais routeurs et ils ne sont generalement pas utilisé par les entreprises qui veulent reellement securiser leur réseau ....
 
Je suis tout fait d'accord avec toi pour toute la partie concernant les particuliuer et les rezo dit personnel et je te felicite pour cette belle explication  .... mais si tu parles d'entreprise, ne raconte pas trop de connerie qd meme, car bcp de monde risque de te croire sur parole alors que c'est pas tout a fait ca ...
 
Bon, voila .... bye!
 ;)

Reply

Marsh Posté le 12-05-2001 à 10:04:01    

Euh, ben en fait, je vois pas trop ou j'ai fais de faute, car vu ton expliquation un routeur ne sert a rien, vu qu'il ne sert qu'a transcoder une adresse, ce que le bastion fait déja. Par contre si tu lui indique des règles, comme on peut le faire sur tout bon routeur, cela devient une partie de firewall.
 
Ce que j'ai repris comme schéma est peut-être simpliste, mais c'est pour ne pas trop rentrer dans les détails avec toutes les variantes. Et pour ce qui est de son rapport avec les entreprises, j'ai juste un peu simplifié le schéma utilisé par Elf/Total/Fina.
 
Je persite a dire qu'un bon firewall, ce n'est pas UN soft, mais un ensemble, qu'il soient sur la meme machine ou non, cette dernière solution étant bien meilleur.

Reply

Marsh Posté le 12-05-2001 à 10:05:09    

hum...
bof...
...
 
ba tiens, on peut quand meme faire un routeur avec une carte reseau... en lui attibuant 2 IP


---------------
---------------
Reply

Marsh Posté le 12-05-2001 à 10:06:28    

tico a écrit a écrit :

hum...
bof...
...
 
ba tiens, on peut quand meme faire un routeur avec une carte reseau... en lui attibuant 2 IP




 
Dans ce cas la tu as une formidable brèche dans ta sécurité.

Reply

Marsh Posté le 12-05-2001 à 10:12:27    

C'est quoi tes 2 IP  ? :D


---------------
Ratures - Cuisine
Reply

Marsh Posté le 12-05-2001 à 11:40:39    

tico a écrit a écrit :

hum...
bof...
...
 
ba tiens, on peut quand meme faire un routeur avec une carte reseau... en lui attibuant 2 IP




 
 
Moui ... si tu raisonne comme ca, tu peux meme dire que ta carte fait également office de firewall, non?  :)
 
Le seul point ou je ne suis pas d'accord avec vous, c'est au niveau des reseau professionnel ...  
D'ailleurs, je connais un peu le rezo de chez elf (j'ai un collègue qui bosse la bas) et leur reseau est disons... primaire ..! Ils sont en retard de quelques années la bas ... m'enfin, c'etait juste une parenthèse ....
 
Pour tenter de me faier comprendre, j'ai fait un schéma tres simplifié du reseau d'ou je bosse (c'est d'ailleurs un peu près le meme qui est utilisé chez france telecom) :
 
http://isildur4.multimania.com/rezo.jpg
 
Gizmo, on ne va pas mettre des "bastion" a chaque concentration de reseau quand meme ..? surtout que dans la realité, le nombre de réseau différents approche les 15OO ..! :)
 
Enfin, ce que j'en dis moi ;)
 
Bye !

Reply

Marsh Posté le 12-05-2001 à 11:41:55    

isildur4 a écrit a écrit :

 
 
 
Moui ... si tu raisonne comme ca, tu peux meme dire que ta carte fait également office de firewall, non?  :)
 
Le seul point ou je ne suis pas d'accord avec vous, c'est au niveau des reseau professionnel ...  
D'ailleurs, je connais un peu le rezo de chez elf (j'ai un collègue qui bosse la bas) et leur reseau est disons... primaire ..! Ils sont en retard de quelques années la bas ... m'enfin, c'etait juste une parenthèse ....
 
Ca je dis pas le contraire, mais c'est un choix volontaire, les points sensibles sont nettement mieux gardés
 
Pour tenter de me faier comprendre, j'ai fait un schéma tres simplifié du reseau d'ou je bosse (c'est d'ailleurs un peu près le meme qui est utilisé chez france telecom) :
 
http://isildur4.multimania.com/rezo.jpg
 
Gizmo, on ne va pas mettre des "bastion" a chaque concentration de reseau quand meme ..? surtout que dans la realité, le nombre de réseau différents approche les 15OO ..! :)
 
Non, on est absolument pas obliger de mettre des bastions partout, c'est une étape suplémentaire dans la protection, pas une obligation, d'ailleurs, si je regarde bien ton dessin, le "firewall" et le proxy forment un bastion. Par contre je comprend pas bien: vos serveur font partie intégrante du rézo principal, c'est pas un peu dangereux? D'habitude, on se contente d'un image dans le principal qui est rechargés sur le serveur environ une fois toutes les 2 heures.
 
Enfin, ce que j'en dis moi ;)
 
Bye !



 

[edit]--Message édité par gizmo--[/edit]

Reply

Marsh Posté le 12-05-2001 à 11:57:04    

Votre schema, c'est pour agence locale de FT (cf ref a France Telecom)
Pas plus, cas c'est bien plus complexe que ça chez FT, meme en essayant de la synthetiser comme vous le faites.


---------------
---------------
Reply

Marsh Posté le 12-05-2001 à 12:14:22    

tico > c'est bien plus compliqué que ca aussi où je bosse (caisse d'epargne) ... mais je sais que notre reseau s'approche un peu du leur :)  
 
gizmo> c'est tres simplifié là :)  
Effectivement, le firewall et cie forme un bastion, nous sommes d'accord :) ....
Pour les serveurs web, tu as egalment tout a fait raison, les clients se connectent et font des requetes sur un serveur dedié (qu'on appel "Agent externe" ), ce serveur fait une requete sur un autre serveur (nomé "agent interne" ) et ce dernier fait une requete sur le serveur web, et le retour se fait par le meme chemin ... Donc le client ne rentre jamais dans le reseau :)
 
bye :)
 
PS: si ca continue... on va finir par arriver a la conclusion que nous racontions la meme chose .... mais d'une manière differente ! :lol:

Reply

Marsh Posté le 12-05-2001 à 12:14:22   

Reply

Marsh Posté le 12-05-2001 à 13:08:42    

j'ai rien compris  :D


---------------
[:pop%20satory]Close the Net, Open the World...
Reply

Marsh Posté le 12-05-2001 à 16:47:14    

l'idée d'un topic sur les firewalls est une bonne chose, mais il ne faut pas non plus dériver dans les confrontations du style qui est le plus fort.
Dans le cas d'un particulier il est quasiment inutile d'avoir un routeur, sauf le cas ou il heberge un site ou autre.
 
Le firewall n'est indispensable que dans le cas de réseaux 'attaquables', celui d'entreprises par exemple.
Effectivement Gizmo fait très bien de rappeller la différence fondamentale entre chaque 'objet' du réseau, depuis le routeur jusqu'au bastion.
Et si je ne cesse de répéter en long, en large et en travers que les firewalls logiciels sont inutile, c'est parce qu'ils renvoient rarissimement une réponse d'ip non-allouée, et que dès lors qu'un ptit pirate en herbe qui en a après vous connais l'ip et sait qu'un pc y est ataché, il peut faire claquer le firewall.
Le fait est qu'il n'est que logiciel, et au bout d'un moment ne supporte plus la fréquence des 'attaques', et ne filtre plus correctement les données entrantes.
Mais il suffit de ne pas partager son disque comme un petzouille pour être à l'abri.
Un firewall matériel intègre quand à lui une 'intelligence' qui l'utilisateur lui confère.
Il est programmé pour répondre à une situation donnée par une réponse donnée, et le fait qu'un processeur lui soit quasiment dédié optimise les chances qu'il bloque tout sans exceptions.
Certains bons firewalls, dans le cas d'une connexion à haut débit sont conçus pour faire 'taire' l'agresseur en lui renvoyant à un rythme souvent plus soutenu un flot de donnée qui sature sa bande passante, retardant la fréquence de ses attaques.
De la même façon il log les évènements de façon très pointue et permet non seulement de faire la différence entre une trame mal adressée et une réelle tentative de piratage.

Reply

Marsh Posté le 12-05-2001 à 17:02:03    

j'ai pas tout tout compris, mais quand même plus interessant que de savoir si on peut monter de la SDRAM 133 sur une carte mère dont le FSB tourne à 66.
 
 Si je résume (==>Krapaud) un particulier lambda n'a pas trop de soucis à se faire.
 Au pire, on formate (éventuellement), on re-installe son image ghost et puis basta.
 Effectivement je n'ai personnellement pas envie d'aller faire chier un mec (de plus j'en suis bien incapable).


---------------
"Quand la merde vaudra de l’or, le cul des pauvres ne leur appartiendra plus. "
Reply

Marsh Posté le 12-05-2001 à 17:07:26    

un particulier n'a de risques que s'il est assez con pour activer chez lui un trojan (sachant quand même que tous les antivirus les detectent).

Reply

Marsh Posté le 12-05-2001 à 17:16:35    

krapaud a écrit a écrit :

l'idée d'un topic sur les firewalls est une bonne chose, mais il ne faut pas non plus dériver dans les confrontations du style qui est le plus fort.




 
On se confronte pas, on échange nos points de vue :D
 
ps: merci pour ta contribution :jap:

Reply

Marsh Posté le 12-05-2001 à 17:20:26    

:lol:  :lol:

Reply

Marsh Posté le 12-05-2001 à 17:59:57    

Salut à tous !!!
 
Moi j'y connais pour ainsi dire rien en réseaux. Aussi j'essaie d'apprendre en lisant par ci par là ce que je peux glaner sur les réseaux simples...
 
Je voudrais, uniquement pour mon plaisir perso et apprendre un peu par la pratique, faire un petit réseau chez moi.
 
J'ai un vieux 486 avec 8 Mo de RAM, Un portable PIII 800, un PC de Bureau ATHLON 650@715 et un PENTIUM 200.
 
Mon idée était de mettre mon 486 en tant que routeur/firewall (en fait je sais plus trop comment appeler ça maintenant ,-)) )entre ma connection cable internet et mes 3 autres PC en faisant tourner dessus le routeur soft de tinysoftware, les 4 machines étant reliées à un switch. Qu'en pensez vous et comment pouvez vous qualifier la sécurité obtenue avec un tel petit réseau ???
Quels conseils pouvez vous me donner ?
 
Merci pour votre éclairage qui ne va pas manquer de m'intéresser !!!

Reply

Marsh Posté le 12-05-2001 à 18:04:02    

t'as malheureusement pas assez de ram sur ton 486, disons qu'il lui en faut mini 16 pour avoir un rendu correct, vu que le noyau de ton routeur serait chargé en ram, enfin si tu prends une soluce linux

Reply

Marsh Posté le 12-05-2001 à 18:12:05    

Attention à l'architecture :  
 
PC Internet <=> PC Firewall
                       |
                    Switch
                 /    |    \
              PC01  PC02  Pxx
 
 
Ton PC "Internet" ne doit pas être relié au switch, sinon le "firewall" ( PC firewall ) ne sert à rien ...


---------------
http://www.hardfr.org/ [HardFr]
Reply

Marsh Posté le 12-05-2001 à 19:10:35    

Beh alors je dois faire comment ???

Reply

Marsh Posté le 12-05-2001 à 19:28:33    

gizmo a écrit a écrit :

 
 
On se confronte pas, on échange nos points de vue :D
 
ps: merci pour ta contribution :jap:




 
Tout a fait d'accord .... il n'est pas question de voir qui est le plus fort ou le moin fort ....  :)
J'aime discuter reseaux moi :)  
D'ailleurs, c'est un peu pour ca que j'en ai fait mon boulot ! ;)
 
Sinon, Krapaud, merci d'avoir recentrer ce topic que j'ai legerement fait devié de sa vocation première (et j'en suis désolé)  :jap:    
 
Bye !

Reply

Marsh Posté le 12-05-2001 à 19:44:30    

Itorx a écrit a écrit :

Beh alors je dois faire comment ???




 
Deja, tu te trouve un peu de mémoire pour mettre sur ton 486 ...
 
ensuite tu branche tout ca comme la dit bruno, cad :
 
Cable --- PC Routeur/firewall ( :D ) --- switch  
                                         /  |  \
                                        /   |   \
                                      PC1  PC2  Portable
 
Tu pourra deja pas mal t'amuser, et ca sera deja suffisament securisé :)
 
Bye !

Reply

Marsh Posté le 12-05-2001 à 20:00:12    

Scusez moi d'insister mais comme je l'ai dis je débute vraiment... alors s'il vous plait, je le relie à quoi mon pc internet si ce n'est au switch ??? Y un truc que je pige pas là...

Reply

Marsh Posté le 12-05-2001 à 20:20:05    

ya pas de mal :)
 
Va faire un tour ici :
http://www.clubic.com/l/a/431-1.html
 
Ca sera certainement beaucoup plus clair  ;)
 
Bye !

Reply

Marsh Posté le 12-05-2001 à 20:40:35    

merci a Gizmo pour son topic, je nai pas tout pigé mais bravo a vous tous...


---------------
[:found]
Reply

Marsh Posté le 12-05-2001 à 20:49:50    

Merci pour le lien Isildur4...cependant sur le shéma du site si je comprends bien...le PC routeur/firewall est bien connecté à internet par une carte réseau et au switch par l'autre carte réseau...donc je comprends toujours pas ce que disais Bruno31 plus haut !!???

Reply

Marsh Posté le 12-05-2001 à 20:59:51    

Bruno31, corrige moi si je me trompe :D
 
En fait, il a ecrit PC Internet <=> PC firewall comme toi tu ecris PC routeur/firewall (ou PC Internet/firewall) ... tu voies ? Le Pc Internet et le PC Firewall correspondent a ton 486 ...
Bye !
:)

Reply

Marsh Posté le 12-05-2001 à 21:04:13    

Itorx a écrit a écrit :

Scusez moi d'insister mais comme je l'ai dis je débute vraiment... alors s'il vous plait, je le relie à quoi mon pc internet si ce n'est au switch ??? Y un truc que je pige pas là...




 
l'idéal c'est :  
internet->pc qui fait routeur/firewall par le biais d'un systeme comme Linux Router Project (noyau système, config mini= 486 16 mo ram)->reseau interne

Reply

Marsh Posté le 13-05-2001 à 02:24:12    

Up!

Reply

Marsh Posté le 13-05-2001 à 11:06:26    

Le problème dans mon cas c'est que j'utilise (à mon corps dépendant et à renforts de grands regrets) AOL par le NCNUMERICABLE. Or vous savez tous que AOL CABLE c'est une belle merde. Et donc je ne peux pas utiliser un serveur Linux...car AOL n'aime QUE win95/98/Me mais surtout pas W2K et encore moins Linux !!!
 
Du coup j'ai installé sur mon 486DX266 avec 8Mo RAM Win 95B avec AOL 5 et Winroute de Tinysoftware...et évidemment comme vous me le disiez c'est un vrai limace !!! ,-)))
 
Je crois que je vais acheter un PC tout neuf pour 3000 FF étant donné que j'ai déjà la Carte Graphique, la mémoire, l'écran, le disk dur...il me reste à me procurer 1 proc, 1 MB et 1 boitier. Pour 2000 FF ça doit être faisable à l'aise !!!
 
En tout cas merci pour vos conseils/suggestions...je vous tiens au courant de mon installation même si personne n'en à rien à fiche !!! ,-)))

Reply

Marsh Posté le 13-05-2001 à 16:52:13    

Itorx a écrit a écrit :

Le problème dans mon cas c'est que j'utilise (à mon corps dépendant et à renforts de grands regrets) AOL par le NCNUMERICABLE. Or vous savez tous que AOL CABLE c'est une belle merde. Et donc je ne peux pas utiliser un serveur Linux...car AOL n'aime QUE win95/98/Me mais surtout pas W2K et encore moins Linux !!!
 
Du coup j'ai installé sur mon 486DX266 avec 8Mo RAM Win 95B avec AOL 5 et Winroute de Tinysoftware...et évidemment comme vous me le disiez c'est un vrai limace !!! ,-)))
 
Je crois que je vais acheter un PC tout neuf pour 3000 FF étant donné que j'ai déjà la Carte Graphique, la mémoire, l'écran, le disk dur...il me reste à me procurer 1 proc, 1 MB et 1 boitier. Pour 2000 FF ça doit être faisable à l'aise !!!
 
En tout cas merci pour vos conseils/suggestions...je vous tiens au courant de mon installation même si personne n'en à rien à fiche !!! ,-)))




 
moi je viens de m'offrir une becanne de rêve :D
un 133 avec 16 ram, et c'est bcp trop pour un routeur :D
mais ca m'a couté 400frs pour la config, sachant que l'écran ne me sert à rien.

Reply

Marsh Posté le 15-05-2001 à 14:37:00    

:bounce:

Reply

Marsh Posté le 15-05-2001 à 14:56:09    

Je voudrais juste rajouter qu'un bon FIREWALL (en entreprise), ce n'est pas seulement une bonne machine, avec un bon logiciel, c'est aussi du personnel compétent pour l'administrer.

Reply

Marsh Posté le 15-05-2001 à 14:58:50    

ces personnes sont des admins réseau ou des admins système?

Reply

Marsh Posté le 15-05-2001 à 15:30:07    

Où je bosse, des admins rezo ...

Reply

Marsh Posté le 15-05-2001 à 15:34:23    

voir des experts en sécu qui ne font que ça.
 
Jet

Reply

Marsh Posté le 15-05-2001 à 16:17:49    

jet->oui mais ceux que je connais qui font ça c'est un autre niveau et en général ils sont plutotdans des administrations que dans des grosses boites, ou alors ils font du consulting.

Reply

Marsh Posté le 15-05-2001 à 16:43:22    

Admin RZO C clair ...
 
J'suis Admin Systeme, ben, je regarde :)
 
C super délicat la conf d'un firewall ( sur un routeur, un vrai, Cisco 4500 par exemple, pour info, chez cisco tu prends les 2 premiers chiffres et ca donne le prix du routeur en KF, mais je m'égare ... ).
 
La conf est enorme, y a des acces-lists de plusieurs dizaines de pages avec pleins de chiffres, de ports, etc ... plus les serveurs d'authentification ( CiscoSecure alias Tacacs ), etc .
 
Le genre de truc, tu fais une connerie, tu coupes 300 clients :ouch: alors, Fo être spécialisé un minimum qd même.
 
Perso, j'arrive a peu près a comprendre une conf mais de la à la refaire les yeux fermés ... y'a du travail ( faudrait que j'arrete le forum et tout et tout :D )


---------------
http://www.hardfr.org/ [HardFr]
Reply

Marsh Posté le 15-05-2001 à 16:44:19    

krapaud a écrit a écrit :

jet->oui mais ceux que je connais qui font ça c'est un autre niveau et en général ils sont plutotdans des administrations que dans des grosses boites, ou alors ils font du consulting.




 
on peut être dans une administration & dans une grosse boite ( FT - Transpac ) :D :D :D


---------------
http://www.hardfr.org/ [HardFr]
Reply

Marsh Posté le 15-05-2001 à 16:53:18    

ouais, j'ai jamais touché un gros vrai firewall, ni un gros vrai routeur...
 
c'est chiant de débuter :D

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed