Besoin conseils et avis

On 08 Sep 2003 12:09:34 GMT, "Eric" <ericpro@free.fr> wrote:

Bonjour,

Nous désirons atteindre le meilleur niveau de protection possible, tout en
sachant que la protection absolue n'existe pas,
C'est déja bien d'en être conscient ;)

Mes questions sont relatives au choix technologique d'une solution firewall
:
- boitier ou pas boitier (PC + firewall soft)
Les firewalls "hard" ont la réputation d'avoir une meilleure

fiabilité. On branche, on configure, ca marche et on y touche plus.

- proxy ou pas proxy (HTTP, FTP, SMTP)
Le proxy sert à économiser de la bande passante et éventuellement à

filtrer les accès vers le web. As-tu besoin d'une des deux
utilisations ?

- DMZ ou pas DMZ
Non, vu que tes serveurs ne doivent pas êtres visibles de l'extérieur.

La DMZ ne sert que dans ce cas-là, pour isoler les serveurs visibles
de tout le monde (ton réseau local + internet).

- qu'apporte réellement le filtrage applicatif ?
Une plus grosse sécurité contre les virus, vers et cie.

Meme si tu as du filtrage applicatif, il vaut mieux garder un
antivirus à jour sur chaque poste.

- faut-il isoler le serveur de mail ? Cela dépend-il de la présence d'un
proxy ?
Comment marche-t-il ? il va chercher le courrier par lui-même ou bien

il le recoit ? Vous avez une adresse IP fixe sur votre ligne ADSL ?


Par contre le firewall que tu comptes prendre doit être "stateful",
càd faire du filtrage sur les paquets selon leur sens d'arrivée.

Léo.

Dans sa prose, Leo Wauters nous ecrivait :

- boitier ou pas boitier (PC + firewall soft)
Les firewalls "hard" ont la réputation d'avoir une meilleure fiabilité.

On branche, on configure, ca marche et on y touche plus.

Sauf que assez souvent, c'est exactement la même chose qu'un PC avec un
logiciel adapté, au packaging près.

- proxy ou pas proxy (HTTP, FTP, SMTP)
Le proxy sert à économiser de la bande passante et éventuellement à

filtrer les accès vers le web.

Non. Un proxy, ça mandate des connexions. Ce qui permet d'économiser de
la BP, c'est un cache. Par exemple, en quoi un proxy SMTP te permet
d'économiser de la bande passante ? Ce qui permet d'économiser de la BP
est un cache, et ça ne s'applique pas à tous les protocoles (pas à SMTP
par exemple).

- qu'apporte réellement le filtrage applicatif ?
Une plus grosse sécurité contre les virus, vers et cie.

Non plus.
Le filtrage applicatif permet de vérifier que le protocole utilisé dans
une session donnée est bien ce qu'on s'attend à y voir, et
éventuellement à filtrer certains requêtes de ce protocole. Alors
effectivement, tu peux par exemple spécifier que les objets de tel ou tel
type MIME ou avec une extension .machin sont interdits, mais ça ne vaut
clairement pas un bon AV pour ce type de choses.
L'intérêt du filtrage applicatif, c'est de réduire le champ d'action
protocolaire à son minimum.

Par contre le firewall que tu comptes prendre doit être "stateful",
càd faire du filtrage sur les paquets selon leur sens d'arrivée.

Le filtrage stateful, c'est un filtrage qui est capable d'associer un
paquet donné à une session en cours, quel que soit son sens. Un filtre
statique comme ipchains sait filtrer un paquet selon son sens d'arrivée
: il suffit de préciser l'interface d'entrée et éventuellement celle de
sortie.

--
BOFH excuse #99:

SIMM crosstalk.

Les firewalls "hard" ont la réputation d'avoir une meilleure fiabilité.
On branche, on configure, ca marche et on y touche plus.

Sauf que assez souvent, c'est exactement la même chose qu'un PC avec un
logiciel adapté, au packaging près.

J'en suis conscient, mais j'ai le sentiment qu'un PC est plus complexe à
installer, administrer, mettre à jour et réparer en cas de panne. L'idée est
aussi d'y passer le moins de temps possible. Peut-être au-je tort de croire
ça ?

- proxy ou pas proxy (HTTP, FTP, SMTP)
Le proxy sert à économiser de la bande passante et éventuellement à

filtrer les accès vers le web.

Non. Un proxy, ça mandate des connexions. Ce qui permet d'économiser de
la BP, c'est un cache. Par exemple, en quoi un proxy SMTP te permet
d'économiser de la bande passante ? Ce qui permet d'économiser de la BP
est un cache, et ça ne s'applique pas à tous les protocoles (pas à SMTP
par exemple).

Peux-tu donc me dire concrètement ce que m'apporte un proxy SMTP, HTTP ou
FTP ?
Nous n'avons pas de serveur web donc je suppose que le proxy HTTP ne nous
servira à rien ou pas grand chose.

- qu'apporte réellement le filtrage applicatif ?
Une plus grosse sécurité contre les virus, vers et cie.

Non plus.
Le filtrage applicatif permet de vérifier que le protocole utilisé dans
une session donnée est bien ce qu'on s'attend à y voir, et
éventuellement à filtrer certains requêtes de ce protocole. Alors
effectivement, tu peux par exemple spécifier que les objets de tel ou tel
type MIME ou avec une extension .machin sont interdits, mais ça ne vaut
clairement pas un bon AV pour ce type de choses.
L'intérêt du filtrage applicatif, c'est de réduire le champ d'action
protocolaire à son minimum.

Est-ce indispensanble, est-ce que ça apporte une meilleure protection à
notre réseau ?
Toutes nos machines (serveurs et stations) sont protégées par un antivirus.
En faut-il un aussi sur le firewall ? Sur le proxy ?

Par contre le firewall que tu comptes prendre doit être "stateful",
càd faire du filtrage sur les paquets selon leur sens d'arrivée.

Le filtrage stateful, c'est un filtrage qui est capable d'associer un
paquet donné à une session en cours, quel que soit son sens. Un filtre
statique comme ipchains sait filtrer un paquet selon son sens d'arrivée
: il suffit de préciser l'interface d'entrée et éventuellement celle de
sortie.

Quid de la DMZ selon toi ? Est-ce indispensable dans notre configuration,
sachant que nous n'hébergeons pas de site Web, que nous avons un serveur FTP
mais sans accès public et nous avons un serveur de messagerie Exchange (qui
reçoit les mails, ip fixe, cf réponse de Léo)

Ma question est peut-être idiote, mais un proxy et une DMZ répondent-ils à
la même problématique de protection ou sont-ils complémentaires, en général
et dans mon cas particulier ?

En tout cas, merci Cédric pour ton aide précieuse.

- boitier ou pas boitier (PC + firewall soft)
Les firewalls "hard" ont la réputation d'avoir une meilleure

fiabilité. On branche, on configure, ca marche et on y touche plus.

C'est bien ce qui m'intéresse !

- proxy ou pas proxy (HTTP, FTP, SMTP)
Le proxy sert à économiser de la bande passante et éventuellement à

filtrer les accès vers le web. As-tu besoin d'une des deux
utilisations ?

Non, pas particulièrement.

- DMZ ou pas DMZ
Non, vu que tes serveurs ne doivent pas êtres visibles de l'extérieur.

La DMZ ne sert que dans ce cas-là, pour isoler les serveurs visibles
de tout le monde (ton réseau local + internet).

Mon serveur de messagerie doit être accessible de l'extérieur dans la mesure
où c'est lui qui reçoit les mails, non ?

- qu'apporte réellement le filtrage applicatif ?
Une plus grosse sécurité contre les virus, vers et cie.

Meme si tu as du filtrage applicatif, il vaut mieux garder un
antivirus à jour sur chaque poste.

C'est le cas.

- faut-il isoler le serveur de mail ? Cela dépend-il de la présence d'un
proxy ?
Comment marche-t-il ? il va chercher le courrier par lui-même ou bien

il le recoit ? Vous avez une adresse IP fixe sur votre ligne ADSL ?

Il reçoit le courier. Et nous avons une ip fixe. Comment peut-on dans ce cas
protéger efficacement ce serveur de messagerie ?

Par contre le firewall que tu comptes prendre doit être "stateful",
càd faire du filtrage sur les paquets selon leur sens d'arrivée.
Léo.

Merci pour ton aide Léo.

Dans sa prose, Eric nous ecrivait :

Sauf que assez souvent, c'est exactement la même chose qu'un PC avec un
logiciel adapté, au packaging près.
J'en suis conscient, mais j'ai le sentiment qu'un PC est plus complexe à

installer, administrer, mettre à jour et réparer en cas de panne.

L'acquisition d'une "boîte" présente deux intérêts par rapport à
l'installation d'un PC dédié :

1. On dispose d'outils de configuration user-friendly
2. On dispose d'un support

L'avantage du PC dédié sous Linux ou BSD par exemple réside dans la
maîtrise totale de l'installation et son évolutivité. On a tout sous la
main et on n'est pas limité par des soucis de licence dès qu'on veut
ajouter une fonctionnalité.

Mais le point qu'il ne faut pas oublier, c'est que configurer un firewall,
avec une GUI sympathique, une interface Web ou une ligne de commandes,
demande des connaissances. Et là, tu peux acheter ce que tu veux,
personne n'y pourra rien.

L'idée est aussi d'y passer le moins de temps possible. Peut-être
au-je tort de croire ça ?

Cela dépend du produit et de la manière dont tu le connaîtras. Cela va
aussi dépendre de ce que tu veux faire avec.

Peux-tu donc me dire concrètement ce que m'apporte un proxy SMTP, HTTP
ou FTP ?

Il permet de s'assurer que par lui ne passeront que du SMTP, du HTTP ou du
FTP selon le cas. En outre, tu pourras avoir un contrôle accru sur ce que
les utilisateurs feront de ces accès (URL, méthodes, etc.).

Nous n'avons pas de serveur web donc je suppose que le proxy HTTP ne
nous servira à rien ou pas grand chose.

Tu pourras mettre à profit un proxy pour limiter ce que _tes_
utilisateurs auront le droit de faire sur Internet. D'ailleurs, le terme
de proxy désigne génériquement un outil qui sert à mandater les
requêtes d'utilisateurs locaux vers Internet. Le mandatement de requêtes
externes vers des serveurs internes est qualifié de reverse-proxy.

Est-ce indispensanble, est-ce que ça apporte une meilleure protection
à notre réseau ?

C'est un plus, en effet.
En outre, si tu utilises un proxy HTTP, tu pourras utiliser un proxy qui
fait _aussi_ du cache, ce qui apporte encore des fonctionnalités
intéressantes.

Toutes nos machines (serveurs et stations) sont protégées par un
antivirus. En faut-il un aussi sur le firewall ? Sur le proxy ?

Un antivirus de messagerie est une bonne idée. C'est assez simple à
mettre en place. Des antivirus pour les flux HTTP et FTP me semblent un
investissement pas forcément utile dans un premier temps (sauf si on a
les moyens évidemment).

Mais, sur le sujet du scan des échanges réseau, il ne faut pas perdre de
vue un point important. L'antivirus ne peut scanner que des pièces
transmises en clair. De fait, tout document chiffré ou compresser avec un
outil inconnu du moteur de scan passera sans aucun problème. C'est
pourquoi l'antivirus sur la machine cliente (finale) est _indispensable_,
ainsi qu'une méthode efficace de mise à jour régulière sans
intervention humaine.

Quid de la DMZ selon toi ? Est-ce indispensable dans notre
configuration, sachant que nous n'hébergeons pas de site Web, que nous
avons un serveur FTP mais sans accès public et nous avons un serveur de
messagerie Exchange (qui reçoit les mails, ip fixe, cf réponse de
Léo)

Oui, dès qu'un serveur est accessible de l'extérieur, il faut une DMZ,
sur laquelle on place le serveur en question. La gestion efficace du
courrier est quelque chose d'un peu difficile en terme d'architecture et
nécessite en général 2 DMZ.

La première héberge un relai simple, pour ne pas placer dans une zone
accessible le serveur qui stocke le courrier, même temporairement. La
seconde DMZ sert à placer le serveur qui stocke le courrier. Pourquoi une
2e DMZ ? Parce qu'on veut en général éviter que le relai de la
première DMZ envoie son courrier directement dans le LAN.

Internet
|
|
Exchange---FW----relai SMTP
|
|
LAN

En tout état de cause, j'éviterai de laisser mon Exchange en frontal sur
le net. Si tu utilises un proxy pour tes utilisateurs, place le sur la
seconde DMZ.

Ma question est peut-être idiote, mais un proxy et une DMZ
répondent-ils à la même problématique de protection ou sont-ils
complémentaires, en général et dans mon cas particulier ?

Non. Le proxy répond à un problématique de flux locaux vers Internet,
alors que la DMZ répond à la problématique des flux venant d'Internet
vers le SI local.

--
BOFH excuse #20:

divide-by-zero error

L'acquisition d'une "boîte" présente deux intérêts par rapport à
l'installation d'un PC dédié :

1. On dispose d'outils de configuration user-friendly

On peut administrer iptables par webmin-firewall (je ne sais pas ce que
ça vaut, mais je viens de vérifier que cela existe bien).

2. On dispose d'un support

Le support de Cisco, par exemple, ne vaut *rien* à côté du support de la
communauté libre. Bon, il vaut pas *vraiment* rien, mais pas loin.

L'avantage du PC dédié sous Linux ou BSD par exemple réside dans la
maîtrise totale de l'installation et son évolutivité. On a tout sous la
main et on n'est pas limité par des soucis de licence dès qu'on veut
ajouter une fonctionnalité.

Ca, c'est l'avantage qui doit faire que, à mon avis, on ne doit pas se
poser de questions (surtout quand on fait des choses pas forcément très
standard, parce que quand une fonctionnalité ne correspond pas à un
besoin d'un certain nombre d'utilisateurs, elle n'existe pas sur la
"boite", mais sera (plus ou moins) facilement ajoutable sur le PC dédié,
ne serait-ce que parce que les programmes qui tournent dessus sont
ouverts, et que l'on peut leur faire faire des choses que l'auteur n'a
même pas envisagé (à côté de ça, on peut faire des grosses conneries,
mais voir ton paragraphe suivant).

Mais le point qu'il ne faut pas oublier, c'est que configurer un firewall,
avec une GUI sympathique, une interface Web ou une ligne de commandes,
demande des connaissances. Et là, tu peux acheter ce que tu veux,
personne n'y pourra rien.

[SNIP le reste]

Merci pour les explications très pédagogiques.

pierre

--
Pierre LALET
lalet@enseirb.fr -- http://www.enseirb.fr/~lalet
Clé publique PGP : http://www.enseirb.fr/~lalet/pierre_lalet.asc
Empreinte de la clé : B6B8 0F89 2220 DF8B 0F3B C0C0 773E 15E6 A878 FC7E

Pierre LALET nous disait récement dans fr.comp.securite
<news:bjkdsh$f0e$1@news.u-bordeaux.fr> :


[Firewall "hardware" Vs firewall logiciel]

L'avantage du PC dédié sous Linux ou BSD par exemple réside dans
la maîtrise totale de l'installation et son évolutivité. On a
tout sous la main et on n'est pas limité par des soucis de
licence dès qu'on veut ajouter une fonctionnalité.

Ca, c'est l'avantage qui doit faire que, à mon avis, on ne doit
pas se poser de questions [...]

Je ne suis pas vraiment d'accord sur le fait que cet avantage devrait
prévaloir, et cela malgré le "surtout [...]" qui suivait.
Certes, l'adaptabilité est un avantage indéniable, mais uniquement
pour quelqu'un qui s'y connait. Lorsque l'on voit que la plus part des
"admin" des PME/PMI sont choisis parce qu'ils ont un ordinateur chez
eux[1], je ne suis pas convaincu que leur mettre un PC dédié entre les
mains soit la meilleure chose à faire. Du moins pas sans leur fournir
aussi les moyens de l'administrer au quotidien sans créer plus de
problèmes que le fait d'avoir opté pour un PC dédié n'en a enlèvé.


[1]
J'exagère un peu, l'informatique familliale se démocratisant, on les
choisis parce qu'ils ont nunux.
--
"Si ceux qui disent du mal de moi savaient exactement ce que je
pense d'eux , ils en diraient bien davantage."
Sacha Guitry

Dans sa prose, Pierre LALET nous ecrivait :

L'avantage du PC dédié sous Linux ou BSD par exemple réside dans la
maîtrise totale de l'installation et son évolutivité. On a tout sous
la main et on n'est pas limité par des soucis de licence dès qu'on
veut ajouter une fonctionnalité.
Ca, c'est l'avantage qui doit faire que, à mon avis, on ne doit pas se

poser de questions [...]

Non. L'avantage qui amha doit faire pencher la balance sans appel
lorsqu'on fait de la sécurité, c'est le fait d'avoir un système libre,
donc ouvert.

http://www.netexit.com/~sid/pres/0307_LSM03_Libre_Secu.pdf

--
JP: ET à quand un Quicktime for Unix ?.. :-(((
SP: Pour coloriser les lignes de commande ??!
-+- SP in Guide du Macounet Pervers : Unixian Graffiti -+-

Je ne suis pas vraiment d'accord sur le fait que cet avantage devrait
prévaloir, et cela malgré le "surtout [...]" qui suivait.
Certes, l'adaptabilité est un avantage indéniable, mais uniquement
pour quelqu'un qui s'y connait. Lorsque l'on voit que la plus part des
"admin" des PME/PMI sont choisis parce qu'ils ont un ordinateur chez
eux[1], je ne suis pas convaincu que leur mettre un PC dédié entre les
mains soit la meilleure chose à faire. Du moins pas sans leur fournir
aussi les moyens de l'administrer au quotidien sans créer plus de
problèmes que le fait d'avoir opté pour un PC dédié n'en a enlèvé.

En fait, on trouve suffisament de documentation sur le net pour que
quelqu'un qui ne connait que vaguement Linux soit capable de monter
assez rapidement un système convenable (c'est-à-dire, au moins aussi
convenable que ce qu'il aurait fait avec un matériel tout prêt) et
adapté aux besoins.

pierre

--
Pierre LALET
lalet@enseirb.fr -- http://www.enseirb.fr/~lalet
Clé publique PGP : http://www.enseirb.fr/~lalet/pierre_lalet.asc
Empreinte de la clé : B6B8 0F89 2220 DF8B 0F3B C0C0 773E 15E6 A878 FC7E

Pierre LALET nous disait récement dans fr.comp.securite
<news:bjkpvo$jiu$1@news.u-bordeaux.fr> :

[...] je ne suis pas convaincu que leur mettre un PC dédié entre les
mains soit la meilleure chose à faire. Du moins pas sans leur
fournir aussi les moyens de l'administrer au quotidien sans créer
plus de problèmes que le fait d'avoir opté pour un PC dédié n'en a
enlèvé.

En fait, on trouve suffisament de documentation sur le net pour
que quelqu'un qui ne connait que vaguement Linux soit capable de
monter assez rapidement un système convenable (c'est-à-dire, au
moins aussi convenable que ce qu'il aurait fait avec un matériel
tout prêt) et adapté aux besoins.

Monter c'est bien, mais c'est de tout ce qu'il y a *après* dont je
parle. Tout ce qui peut mettre en l'air la sécurité de la machine sans
que personne ne s'en rende compte, justement parce que personne ne sait
comment elle fonctionne réellement. Et là, les boîtes noires présentent
un avantage de taille, on ne peut pas (ou presque) les mettre en vrac.


--
"Si ceux qui disent du mal de moi savaient exactement ce que je
pense d'eux , ils en diraient bien davantage."
Sacha Guitry