Protection pare-feu : matérielle ou logicielle '

Le par  |  18 commentaire(s)
firewall logo 2

Pour réponse à cette question, Chris Swartz  Randy Rosel, du site O'Reily Network, ont mis en place un réseau  informatique ouvert au public.

Firewall logo 2Pour réponse à cette question, Chris Swartz  Randy Rosel, du site O'Reily Network, ont mis en place un réseau  informatique ouvert au public. Ils y ont ensuite intégré un serveur FTP ( File Transfert Protocol ) dont l'accès requiert la connaissance de son adresse IP ( Internet Protocol ), et ont ensuite effectué des tests de découverte et la pénétration du serveur FTP.


La découverte

Pour la découverte, deux méthodes ont été employées. Il y a tout d'abord, le reniflage du réseau ( avec le logiciel Ethereal dans le cas présent ), afin d'observer les paquets de données qui transitent, permettant ainsi de récupérer des données non protégées tels des adresses IP, des identifiants de connexion et les mots de passe associés. La seconde est la commande traceroute qui permet d'observer les différents noeuds du réseau, tels les routeurs, ou les serveurs.


La pénétration

Une fois la première phase de découverte passée, il reste l'étape la plus importante qui est la pénétration. Pour cela, il faut passer outre le pare-feu. Cinq méthodes ont donc été utilisées. La première est l'attaque de type Syn Flood Attack qui consiste à submerger le pare-feu de requêtes de connexion afin de le faire tomber. La seconde, nommée Garbage Attack, consiste à tester de manière aléatoire tous les ports de communication, afin de voir si l'un d'entre eux est libre, et l'exploiter pour pénétrer le réseau et le poste. Les deux tests suivants sont des tests de connectivité ( ping ) utilisant les protocoles réseau UDP ( User Datagram Protocol ) et TCP ( Transmission Control Protocol ) afin de voir si le pare-feu peut autoriser une fenêtre de taille importante. Cette fenêtre détermine la taille maximale des paquets qui peuvent être transmis. La cinquième et dernière méthode est le ping de la mort qui consiste à voir si le pare-feu peut laisser passer un paquet surdimensionné.


La conclusion : tout dépend de votre utilisation

Face à ces différentes attaques, un pare-feu matériel Cisco PIX et deux solutions pare-feu logicielles SmoothWall Express et OpenBSD, où ont été autorisées les communications sur les ports 80 ( port HTTP pour le web ) et 21 ( FTP pour le partage de fichiers ), ont été mis en place. Le pare-feu Cisco a bloqué toutes les attaques, tout en continuant d'autoriser les connexions qu'il a reconnues. Les deux solutions logicielles open source ne se sont pas montrées moins efficaces, mais moins complètes en termes d'outils d'observation et moins intuitives au niveau de l'interface utilisateur.

Les solutions comme celle de Cisco sont donc, au vu de leur prix élevé, plutôt destinées aux grandes entreprises et aux institutions, tandis que les solutions open source, moins chères à mettre en place mais moins complètes, ne peuvent contenter que les particuliers ou les très petites entreprises.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #158999
le PIX c'est quand même pas la panacée... surtout en terme de sniffing et autre débogage.. sans parler des comportements aléatoires et/ou des bugs...

La solution open-source est beaucoup plus efficace, mais c'est sûr, elle nescéssite un peu d'apprentissage (plus qu'un clickodrome en tout cas)..

Les grandes entreprises n'ont pas vraiment d'intérêts à utiliser des systèmes propriétaires si ils disposent de compétences sur l'open source.

La meilleure des solutions reste encore l'utilisation des plusieurs solutions firewall simultanément...(ne pas mettre tous ses oeufs dans le même panier)
Le #159024
Le PIX dans une bonne utilisation est loin du clickodrome.
De plus, niveau bug, il n'y a pas grand chose a dire.

Maintenant, pour une PME, je suis aussi partisant de linux+netfilter ou openBSD+pf
Le #159026
Pour une PME, avoir un linux ou openBSD nécessite quelqu'un qui sait et qui a le temps de s'en occuper. L'avantage de la solution propriétaire, c'est que c'est eux qui installe la boite et s'en occupe.
Ca dépend donc des cas.
Le #159028
Rien ne vaut un firewall logiciel sur chaque pc c'est la seule façon d'être précis par application et utilisateur.
Le #159029
Jvachez: tu sort, et tu laisses les grands discuter.
Le #159030
le problème avec les solution par poste, c'est que les utilisateurs finissent toujours par les désactiver, parce qu'un de leur logiciel de passe pas

mais l'idéal est une solution matériel ou logiciel comme dans l'article avec en plus une solution par poste

puisque passer le premier firewall c'est bien, mais passer à travers 2 firewall, nos actions sont plutot limité rendu au 2e
Le #159032
Salut à tous !

Ah non ! jvachez il reste ! C'est le seul à réussir la prouesse de troller en permancence tout en me faisant marrer...

Un art, que j'vous dit
Le #159034
un seul truc à dire : IPcop powa !

on autorise dessus ce que l'on veut en entrée ou en sortie et le reste est bloqué. point.
Le #159037
+1 Asriel
un bon IPcop sous une bonne vieille *BSD bien configuré, et hop, d'une pierre 2 coups : primo, je protège mon réseau interne, deuxio, je recycle une vieille babasse (un pauv'vieux 300MHz est amplement suffisant pour cette tâche) =
Le #159040
@waxime: tout dépend du contexte. Dans pas mal de cas, on doit pouvoir empêcher l'utilisateur de désactiver le firewall et d'installer des cochonneries.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]