- proxy ou pas proxy (HTTP, FTP, SMTP)
Le proxy sert à économiser de la bande passante et éventuellement à
filtrer les accès vers le web. As-tu besoin d'une des deux
utilisations ?
Non, pas particulièrement.
- proxy ou pas proxy (HTTP, FTP, SMTP)
Le proxy sert à économiser de la bande passante et éventuellement à
filtrer les accès vers le web. As-tu besoin d'une des deux
utilisations ?
Non, pas particulièrement.
- proxy ou pas proxy (HTTP, FTP, SMTP)
Le proxy sert à économiser de la bande passante et éventuellement à
filtrer les accès vers le web. As-tu besoin d'une des deux
utilisations ?
Non, pas particulièrement.
Ah c'est sur que prendre un bonhomme juste pour monter la machine,
ça ne suffira pas, il faut quelqu'un qui reste et administre la
machine.
Quand à mettre la boite noire en vrac, bein si, ça arrive, et là, tu
es dans une situation difficile si tu n'as personne qui suive
l'actualité de la sécurité informatique et administre la
bestiole [...]
Ah c'est sur que prendre un bonhomme juste pour monter la machine,
ça ne suffira pas, il faut quelqu'un qui reste et administre la
machine.
Quand à mettre la boite noire en vrac, bein si, ça arrive, et là, tu
es dans une situation difficile si tu n'as personne qui suive
l'actualité de la sécurité informatique et administre la
bestiole [...]
Ah c'est sur que prendre un bonhomme juste pour monter la machine,
ça ne suffira pas, il faut quelqu'un qui reste et administre la
machine.
Quand à mettre la boite noire en vrac, bein si, ça arrive, et là, tu
es dans une situation difficile si tu n'as personne qui suive
l'actualité de la sécurité informatique et administre la
bestiole [...]
Ah c'est sur que prendre un bonhomme juste pour monter la machine,
ça ne suffira pas, il faut quelqu'un qui reste et administre la
machine.
Ce qui était implicite dans mon message. Le problème c'est "il faut
que cette personne *sache* l'administrer".
Donc la boite noire n'est pas mise en vrac par la personne qui
l'administre, donc ça ne répond pas à ma question.
Il faudrait peut-être (et cela ne s'adresse pas à toi en particulier)
arrêter de partir du principe que nunux étant plus sûr, la réponse à
toute question contenant "je veux protéger mon réseau" doit être
"nunux".
Comme le dit si bien Cédric, et c'est aussi marqué dans la
FAQ, l'important c'est avant tout de savoir s'occuper de son firewall.
Alors certes, une solution sous Windows ou une boite noire n'est pas
aussi avantageuse au niveau du filtrage qu'une solution sous nunux ;
mais si l'utilisateur final sait s'en servir, et bien qu'il utilise
cette solution. Du moins, pour ce qui concerne Windows, le temps de se
former à nunux.
Si la sécurité informatique s'accorde mal des compromis, elle ne tient
tout simplement pas la route si personne n'est à même de l'administrer
correctement. Il vaut donc mieux une sécurité moyenne, dont l'on
connait les limites mais que l'on sait gérer, à une sécurité que l'on
croit tip-top parce que l'on a suivit aveuglément le manuel, mais dont
l'on ignore si elle l'est vraiment, parce que l'on ne sait pas ce que
l'on a fait, pourquoi on l'a fait, et comment le refaire au cas où.
Ah c'est sur que prendre un bonhomme juste pour monter la machine,
ça ne suffira pas, il faut quelqu'un qui reste et administre la
machine.
Ce qui était implicite dans mon message. Le problème c'est "il faut
que cette personne *sache* l'administrer".
Donc la boite noire n'est pas mise en vrac par la personne qui
l'administre, donc ça ne répond pas à ma question.
Il faudrait peut-être (et cela ne s'adresse pas à toi en particulier)
arrêter de partir du principe que nunux étant plus sûr, la réponse à
toute question contenant "je veux protéger mon réseau" doit être
"nunux".
Comme le dit si bien Cédric, et c'est aussi marqué dans la
FAQ, l'important c'est avant tout de savoir s'occuper de son firewall.
Alors certes, une solution sous Windows ou une boite noire n'est pas
aussi avantageuse au niveau du filtrage qu'une solution sous nunux ;
mais si l'utilisateur final sait s'en servir, et bien qu'il utilise
cette solution. Du moins, pour ce qui concerne Windows, le temps de se
former à nunux.
Si la sécurité informatique s'accorde mal des compromis, elle ne tient
tout simplement pas la route si personne n'est à même de l'administrer
correctement. Il vaut donc mieux une sécurité moyenne, dont l'on
connait les limites mais que l'on sait gérer, à une sécurité que l'on
croit tip-top parce que l'on a suivit aveuglément le manuel, mais dont
l'on ignore si elle l'est vraiment, parce que l'on ne sait pas ce que
l'on a fait, pourquoi on l'a fait, et comment le refaire au cas où.
Ah c'est sur que prendre un bonhomme juste pour monter la machine,
ça ne suffira pas, il faut quelqu'un qui reste et administre la
machine.
Ce qui était implicite dans mon message. Le problème c'est "il faut
que cette personne *sache* l'administrer".
Donc la boite noire n'est pas mise en vrac par la personne qui
l'administre, donc ça ne répond pas à ma question.
Il faudrait peut-être (et cela ne s'adresse pas à toi en particulier)
arrêter de partir du principe que nunux étant plus sûr, la réponse à
toute question contenant "je veux protéger mon réseau" doit être
"nunux".
Comme le dit si bien Cédric, et c'est aussi marqué dans la
FAQ, l'important c'est avant tout de savoir s'occuper de son firewall.
Alors certes, une solution sous Windows ou une boite noire n'est pas
aussi avantageuse au niveau du filtrage qu'une solution sous nunux ;
mais si l'utilisateur final sait s'en servir, et bien qu'il utilise
cette solution. Du moins, pour ce qui concerne Windows, le temps de se
former à nunux.
Si la sécurité informatique s'accorde mal des compromis, elle ne tient
tout simplement pas la route si personne n'est à même de l'administrer
correctement. Il vaut donc mieux une sécurité moyenne, dont l'on
connait les limites mais que l'on sait gérer, à une sécurité que l'on
croit tip-top parce que l'on a suivit aveuglément le manuel, mais dont
l'on ignore si elle l'est vraiment, parce que l'on ne sait pas ce que
l'on a fait, pourquoi on l'a fait, et comment le refaire au cas où.
Donc la boite noire n'est pas mise en vrac par la personne qui
l'administre, donc ça ne répond pas à ma question.
Je voulais juste dire qu'un routeur Linux (ou *BSD) ne se mettra
pas plus en vrac tout seul qu'une 'boite noire'.
Comme le dit si bien Cédric, et c'est aussi marqué dans la
FAQ, l'important c'est avant tout de savoir s'occuper de son
firewall.
Effectivement, et je prétends qu'il n'est pas plus facile
d'adminitrer une boite noire qu'une bécane sous Linux.
Alors certes, une solution sous Windows ou une boite noire n'est
pas aussi avantageuse au niveau du filtrage qu'une solution sous
nunux ;
Effectivement, c'est le moins que l'on puisse dire.
Faire quelque chose de correct requiert [...]
dans les deux cas un investissement (à mon avis plus important dans
le cas d'une boite noire ou de windows, justement parce qu'on a aucun
moyen de savoir ce que fait *vraiment* la bête, et qu'on ne peut pas
faire des tests *exhaustifs* pour le savoir).
Donc à choisir, autant que cet effort soit fait sous Linux (bon, en
fait, pour le fw/routage/nat j'ai un faible pour OpenBSD, comme ça tu
verras que je ne suis pas un vil pro-linux-à-tout-prix).
Donc la boite noire n'est pas mise en vrac par la personne qui
l'administre, donc ça ne répond pas à ma question.
Je voulais juste dire qu'un routeur Linux (ou *BSD) ne se mettra
pas plus en vrac tout seul qu'une 'boite noire'.
Comme le dit si bien Cédric, et c'est aussi marqué dans la
FAQ, l'important c'est avant tout de savoir s'occuper de son
firewall.
Effectivement, et je prétends qu'il n'est pas plus facile
d'adminitrer une boite noire qu'une bécane sous Linux.
Alors certes, une solution sous Windows ou une boite noire n'est
pas aussi avantageuse au niveau du filtrage qu'une solution sous
nunux ;
Effectivement, c'est le moins que l'on puisse dire.
Faire quelque chose de correct requiert [...]
dans les deux cas un investissement (à mon avis plus important dans
le cas d'une boite noire ou de windows, justement parce qu'on a aucun
moyen de savoir ce que fait *vraiment* la bête, et qu'on ne peut pas
faire des tests *exhaustifs* pour le savoir).
Donc à choisir, autant que cet effort soit fait sous Linux (bon, en
fait, pour le fw/routage/nat j'ai un faible pour OpenBSD, comme ça tu
verras que je ne suis pas un vil pro-linux-à-tout-prix).
Donc la boite noire n'est pas mise en vrac par la personne qui
l'administre, donc ça ne répond pas à ma question.
Je voulais juste dire qu'un routeur Linux (ou *BSD) ne se mettra
pas plus en vrac tout seul qu'une 'boite noire'.
Comme le dit si bien Cédric, et c'est aussi marqué dans la
FAQ, l'important c'est avant tout de savoir s'occuper de son
firewall.
Effectivement, et je prétends qu'il n'est pas plus facile
d'adminitrer une boite noire qu'une bécane sous Linux.
Alors certes, une solution sous Windows ou une boite noire n'est
pas aussi avantageuse au niveau du filtrage qu'une solution sous
nunux ;
Effectivement, c'est le moins que l'on puisse dire.
Faire quelque chose de correct requiert [...]
dans les deux cas un investissement (à mon avis plus important dans
le cas d'une boite noire ou de windows, justement parce qu'on a aucun
moyen de savoir ce que fait *vraiment* la bête, et qu'on ne peut pas
faire des tests *exhaustifs* pour le savoir).
Donc à choisir, autant que cet effort soit fait sous Linux (bon, en
fait, pour le fw/routage/nat j'ai un faible pour OpenBSD, comme ça tu
verras que je ne suis pas un vil pro-linux-à-tout-prix).
Je voulais juste dire qu'un routeur Linux (ou *BSD) ne se mettra
pas plus en vrac tout seul qu'une 'boite noire'.
Oui, mais j'ai dû mal à imaginer un utilisateur lambda bombardé
responsable de la sécurité du réseau faire un "rm -Rf *" dans le cadre
de l'administration de la boite noire. Par contre je n'ai aucun mal à
l'imaginer faire la même chose sur la machine nunux[1]
Lorsque tu administres une bécane sous nunux, tu es obligé de passer
par le système, alors que les boites noires offre le plus souvent
(lorsqu'elles n'offrent pas que ça) une couche d'abstration permettant
de ne travailler que sur la configuration elle-même.
Tu auras beau
faire tous les efforts que tu veux, ouvrir en grand le port 514, même
si les logs de la boite noire sont gérés par syslog tu seras à l'abris
du poisonning des dit-logs. Alors que sur une passerelle-filtrante sous
nunux, il te suffit, dans les mêmes conditions, d'oublier le flag qui
va bien pour que syslogd bouffe tout ce que l'on veut bien lui donner.
Non, ce n'est pas le moins que l'on puisse dire. Bien configuré une
passerelle-filtrante dédiée sous Windows permet de protéger
*efficacement* un réseau domestique de quelques postes. Ce n'est pas ce
que l'on peut faire de mieux, mais c'est efficace.
Faire quelque chose de correct requiert [...]
Il n'est pas question de faire quelque chose de correct, mais de ne
pas pouvoir faire quelque chose de dramatique, ce qui est différent.
dans les deux cas un investissement (à mon avis plus important dans
le cas d'une boite noire ou de windows, justement parce qu'on a aucun
moyen de savoir ce que fait *vraiment* la bête, et qu'on ne peut pas
faire des tests *exhaustifs* pour le savoir).
Pardon ? Je ne sais pas ce que fait mon windows, c'est un fait. Par
contre je sais exactement ce qu'il ne fait, puisque j'ai configuré
l'IPFilter de la passerelle-filtrante pour bloquer tout ce que je ne
veux pas le voir faire. Et c'est la même chose pour une boite noire. A
partir de là, la sauce interne on s'en moque un peu, du moment que le
code du filtre n'est pas troué, ce qui se saurait très vite. Le seul
vrai risque vient d'une mauvaise configuration du-dit filtre par
l'utilisateur, et là le risque est exactement le même pour une bécane
sous nunux.
Et boum, troué parce que l'on ne sait pas vraiment ce que l'on fait.
*Tous*, on a un jour ou l'autre troué une passerelle à cause d'une
faute de frappe ou d'une fausse manip. La seule chose qui nous
différencie d'un utilisateur lambda qui aura suivi une doc trouvée sur
la toile étant que l'on s'en rend compte parce que l'on sait ce que
l'on fait.
Je vais prendre un exemple tout con, une doc qui circule sur la toile
[SNIP l'exemple intéressant, mais qui ne parle pas de passerelles]
Je voulais juste dire qu'un routeur Linux (ou *BSD) ne se mettra
pas plus en vrac tout seul qu'une 'boite noire'.
Oui, mais j'ai dû mal à imaginer un utilisateur lambda bombardé
responsable de la sécurité du réseau faire un "rm -Rf *" dans le cadre
de l'administration de la boite noire. Par contre je n'ai aucun mal à
l'imaginer faire la même chose sur la machine nunux[1]
Lorsque tu administres une bécane sous nunux, tu es obligé de passer
par le système, alors que les boites noires offre le plus souvent
(lorsqu'elles n'offrent pas que ça) une couche d'abstration permettant
de ne travailler que sur la configuration elle-même.
Tu auras beau
faire tous les efforts que tu veux, ouvrir en grand le port 514, même
si les logs de la boite noire sont gérés par syslog tu seras à l'abris
du poisonning des dit-logs. Alors que sur une passerelle-filtrante sous
nunux, il te suffit, dans les mêmes conditions, d'oublier le flag qui
va bien pour que syslogd bouffe tout ce que l'on veut bien lui donner.
Non, ce n'est pas le moins que l'on puisse dire. Bien configuré une
passerelle-filtrante dédiée sous Windows permet de protéger
*efficacement* un réseau domestique de quelques postes. Ce n'est pas ce
que l'on peut faire de mieux, mais c'est efficace.
Faire quelque chose de correct requiert [...]
Il n'est pas question de faire quelque chose de correct, mais de ne
pas pouvoir faire quelque chose de dramatique, ce qui est différent.
dans les deux cas un investissement (à mon avis plus important dans
le cas d'une boite noire ou de windows, justement parce qu'on a aucun
moyen de savoir ce que fait *vraiment* la bête, et qu'on ne peut pas
faire des tests *exhaustifs* pour le savoir).
Pardon ? Je ne sais pas ce que fait mon windows, c'est un fait. Par
contre je sais exactement ce qu'il ne fait, puisque j'ai configuré
l'IPFilter de la passerelle-filtrante pour bloquer tout ce que je ne
veux pas le voir faire. Et c'est la même chose pour une boite noire. A
partir de là, la sauce interne on s'en moque un peu, du moment que le
code du filtre n'est pas troué, ce qui se saurait très vite. Le seul
vrai risque vient d'une mauvaise configuration du-dit filtre par
l'utilisateur, et là le risque est exactement le même pour une bécane
sous nunux.
Et boum, troué parce que l'on ne sait pas vraiment ce que l'on fait.
*Tous*, on a un jour ou l'autre troué une passerelle à cause d'une
faute de frappe ou d'une fausse manip. La seule chose qui nous
différencie d'un utilisateur lambda qui aura suivi une doc trouvée sur
la toile étant que l'on s'en rend compte parce que l'on sait ce que
l'on fait.
Je vais prendre un exemple tout con, une doc qui circule sur la toile
[SNIP l'exemple intéressant, mais qui ne parle pas de passerelles]
Je voulais juste dire qu'un routeur Linux (ou *BSD) ne se mettra
pas plus en vrac tout seul qu'une 'boite noire'.
Oui, mais j'ai dû mal à imaginer un utilisateur lambda bombardé
responsable de la sécurité du réseau faire un "rm -Rf *" dans le cadre
de l'administration de la boite noire. Par contre je n'ai aucun mal à
l'imaginer faire la même chose sur la machine nunux[1]
Lorsque tu administres une bécane sous nunux, tu es obligé de passer
par le système, alors que les boites noires offre le plus souvent
(lorsqu'elles n'offrent pas que ça) une couche d'abstration permettant
de ne travailler que sur la configuration elle-même.
Tu auras beau
faire tous les efforts que tu veux, ouvrir en grand le port 514, même
si les logs de la boite noire sont gérés par syslog tu seras à l'abris
du poisonning des dit-logs. Alors que sur une passerelle-filtrante sous
nunux, il te suffit, dans les mêmes conditions, d'oublier le flag qui
va bien pour que syslogd bouffe tout ce que l'on veut bien lui donner.
Non, ce n'est pas le moins que l'on puisse dire. Bien configuré une
passerelle-filtrante dédiée sous Windows permet de protéger
*efficacement* un réseau domestique de quelques postes. Ce n'est pas ce
que l'on peut faire de mieux, mais c'est efficace.
Faire quelque chose de correct requiert [...]
Il n'est pas question de faire quelque chose de correct, mais de ne
pas pouvoir faire quelque chose de dramatique, ce qui est différent.
dans les deux cas un investissement (à mon avis plus important dans
le cas d'une boite noire ou de windows, justement parce qu'on a aucun
moyen de savoir ce que fait *vraiment* la bête, et qu'on ne peut pas
faire des tests *exhaustifs* pour le savoir).
Pardon ? Je ne sais pas ce que fait mon windows, c'est un fait. Par
contre je sais exactement ce qu'il ne fait, puisque j'ai configuré
l'IPFilter de la passerelle-filtrante pour bloquer tout ce que je ne
veux pas le voir faire. Et c'est la même chose pour une boite noire. A
partir de là, la sauce interne on s'en moque un peu, du moment que le
code du filtre n'est pas troué, ce qui se saurait très vite. Le seul
vrai risque vient d'une mauvaise configuration du-dit filtre par
l'utilisateur, et là le risque est exactement le même pour une bécane
sous nunux.
Et boum, troué parce que l'on ne sait pas vraiment ce que l'on fait.
*Tous*, on a un jour ou l'autre troué une passerelle à cause d'une
faute de frappe ou d'une fausse manip. La seule chose qui nous
différencie d'un utilisateur lambda qui aura suivi une doc trouvée sur
la toile étant que l'on s'en rend compte parce que l'on sait ce que
l'on fait.
Je vais prendre un exemple tout con, une doc qui circule sur la toile
[SNIP l'exemple intéressant, mais qui ne parle pas de passerelles]
Je voulais juste dire qu'un routeur Linux (ou *BSD) ne se mettra
pas plus en vrac tout seul qu'une 'boite noire'.
Oui, mais j'ai dû mal à imaginer un utilisateur lambda bombardé
responsable de la sécurité du réseau faire un "rm -Rf *" dans le cadre
de l'administration de la boite noire. Par contre je n'ai aucun mal à
l'imaginer faire la même chose sur la machine nunux[1]
Hum... faudrait voir à pas non plus prendre les personnes n'ayant que
peu de connaissances en informatique pour des abrutis finis. Le mec qui
fait (en root) un "rm -rf *", sans savoir ce qu'il fait, je n'y crois
pas une seconde. Genre il a tapé précisément cette commande et ces
arguments...
Lorsque tu administres une bécane sous nunux, tu es obligé de passer
par le système, alors que les boites noires offre le plus souvent
(lorsqu'elles n'offrent pas que ça) une couche d'abstration permettant
de ne travailler que sur la configuration elle-même.
Si tu veux dire qu'on peut avoir des outils pour configurer sans passer
par la ligne de commande, sous Linux il y a Webmin.
Non, ce n'est pas le moins que l'on puisse dire. Bien configuré une
passerelle-filtrante dédiée sous Windows permet de protéger
*efficacement* un réseau domestique de quelques postes. Ce n'est pas ce
que l'on peut faire de mieux, mais c'est efficace.
Et est-ce que tu ne mettrais pas plus de temps à installer / patcher
(oui, parce que sinon c'est pas la peine) / configurer *proprement* le
NAT / Routage / Filtrage que tu n'en mettrais en suivant la doc
(remarquable) d'OpenBSD ?
Faire quelque chose de correct requiert [...]
Il n'est pas question de faire quelque chose de correct, mais de ne
pas pouvoir faire quelque chose de dramatique, ce qui est différent.
OK. Une boite qui tient un minimum à son informatique peut-elle se
contenter de ne "pas pouvoir faire quelque chose de dramatique" ? Ou
doit-elle au moins essayer de faire quelque chose de correct ?
Effectivement, et dans ce cas ton windows il ne fait pas passerelle,
donc tu sais à peu près ce qu'il fait sur le réseau. Je parlais du cas
où windows *est* la passerelle. Quant à la boite noire, je ne parle pas
de savoir ce qu'elle fait en interne, mais plutôt de comment elle traite
des cas "tordus".
Pour le cas du code du filtre troué, "ce qui se saurait très vite",
dis-tu, peux-tu me dire combien de temps Cisco a mis pour corriger le
fameux DoS récent (pas depuis la découverte "officielle" de la faille,
mais depuis que Cisco vend des produits qui sont vulnérables à cette
attaque) ?
Je voulais juste dire qu'un routeur Linux (ou *BSD) ne se mettra
pas plus en vrac tout seul qu'une 'boite noire'.
Oui, mais j'ai dû mal à imaginer un utilisateur lambda bombardé
responsable de la sécurité du réseau faire un "rm -Rf *" dans le cadre
de l'administration de la boite noire. Par contre je n'ai aucun mal à
l'imaginer faire la même chose sur la machine nunux[1]
Hum... faudrait voir à pas non plus prendre les personnes n'ayant que
peu de connaissances en informatique pour des abrutis finis. Le mec qui
fait (en root) un "rm -rf *", sans savoir ce qu'il fait, je n'y crois
pas une seconde. Genre il a tapé précisément cette commande et ces
arguments...
Lorsque tu administres une bécane sous nunux, tu es obligé de passer
par le système, alors que les boites noires offre le plus souvent
(lorsqu'elles n'offrent pas que ça) une couche d'abstration permettant
de ne travailler que sur la configuration elle-même.
Si tu veux dire qu'on peut avoir des outils pour configurer sans passer
par la ligne de commande, sous Linux il y a Webmin.
Non, ce n'est pas le moins que l'on puisse dire. Bien configuré une
passerelle-filtrante dédiée sous Windows permet de protéger
*efficacement* un réseau domestique de quelques postes. Ce n'est pas ce
que l'on peut faire de mieux, mais c'est efficace.
Et est-ce que tu ne mettrais pas plus de temps à installer / patcher
(oui, parce que sinon c'est pas la peine) / configurer *proprement* le
NAT / Routage / Filtrage que tu n'en mettrais en suivant la doc
(remarquable) d'OpenBSD ?
Faire quelque chose de correct requiert [...]
Il n'est pas question de faire quelque chose de correct, mais de ne
pas pouvoir faire quelque chose de dramatique, ce qui est différent.
OK. Une boite qui tient un minimum à son informatique peut-elle se
contenter de ne "pas pouvoir faire quelque chose de dramatique" ? Ou
doit-elle au moins essayer de faire quelque chose de correct ?
Effectivement, et dans ce cas ton windows il ne fait pas passerelle,
donc tu sais à peu près ce qu'il fait sur le réseau. Je parlais du cas
où windows *est* la passerelle. Quant à la boite noire, je ne parle pas
de savoir ce qu'elle fait en interne, mais plutôt de comment elle traite
des cas "tordus".
Pour le cas du code du filtre troué, "ce qui se saurait très vite",
dis-tu, peux-tu me dire combien de temps Cisco a mis pour corriger le
fameux DoS récent (pas depuis la découverte "officielle" de la faille,
mais depuis que Cisco vend des produits qui sont vulnérables à cette
attaque) ?
Je voulais juste dire qu'un routeur Linux (ou *BSD) ne se mettra
pas plus en vrac tout seul qu'une 'boite noire'.
Oui, mais j'ai dû mal à imaginer un utilisateur lambda bombardé
responsable de la sécurité du réseau faire un "rm -Rf *" dans le cadre
de l'administration de la boite noire. Par contre je n'ai aucun mal à
l'imaginer faire la même chose sur la machine nunux[1]
Hum... faudrait voir à pas non plus prendre les personnes n'ayant que
peu de connaissances en informatique pour des abrutis finis. Le mec qui
fait (en root) un "rm -rf *", sans savoir ce qu'il fait, je n'y crois
pas une seconde. Genre il a tapé précisément cette commande et ces
arguments...
Lorsque tu administres une bécane sous nunux, tu es obligé de passer
par le système, alors que les boites noires offre le plus souvent
(lorsqu'elles n'offrent pas que ça) une couche d'abstration permettant
de ne travailler que sur la configuration elle-même.
Si tu veux dire qu'on peut avoir des outils pour configurer sans passer
par la ligne de commande, sous Linux il y a Webmin.
Non, ce n'est pas le moins que l'on puisse dire. Bien configuré une
passerelle-filtrante dédiée sous Windows permet de protéger
*efficacement* un réseau domestique de quelques postes. Ce n'est pas ce
que l'on peut faire de mieux, mais c'est efficace.
Et est-ce que tu ne mettrais pas plus de temps à installer / patcher
(oui, parce que sinon c'est pas la peine) / configurer *proprement* le
NAT / Routage / Filtrage que tu n'en mettrais en suivant la doc
(remarquable) d'OpenBSD ?
Faire quelque chose de correct requiert [...]
Il n'est pas question de faire quelque chose de correct, mais de ne
pas pouvoir faire quelque chose de dramatique, ce qui est différent.
OK. Une boite qui tient un minimum à son informatique peut-elle se
contenter de ne "pas pouvoir faire quelque chose de dramatique" ? Ou
doit-elle au moins essayer de faire quelque chose de correct ?
Effectivement, et dans ce cas ton windows il ne fait pas passerelle,
donc tu sais à peu près ce qu'il fait sur le réseau. Je parlais du cas
où windows *est* la passerelle. Quant à la boite noire, je ne parle pas
de savoir ce qu'elle fait en interne, mais plutôt de comment elle traite
des cas "tordus".
Pour le cas du code du filtre troué, "ce qui se saurait très vite",
dis-tu, peux-tu me dire combien de temps Cisco a mis pour corriger le
fameux DoS récent (pas depuis la découverte "officielle" de la faille,
mais depuis que Cisco vend des produits qui sont vulnérables à cette
attaque) ?
Hum... faudrait voir à pas non plus prendre les personnes n'ayant
que peu de connaissances en informatique pour des abrutis finis.
Le mec qui fait (en root) un "rm -rf *", sans savoir ce qu'il
fait, je n'y crois pas une seconde. Genre il a tapé précisément
cette commande et ces arguments...
Tu auras beau faire tous les efforts que tu veux, ouvrir en grand le
port 514, même si les logs de la boite noire sont gérés par syslog
tu seras à l'abris du poisonning des dit-logs. Alors que sur une
passerelle-filtrante sous nunux, il te suffit, dans les mêmes
conditions, d'oublier le flag qui va bien pour que syslogd bouffe
tout ce que l'on veut bien lui donner.
Mouais, tu marques un demi point. Parce que je ne vois pas le plus
idiot des admins laisser ouvert le port 514 (UDP je suppose),
Non, ce n'est pas le moins que l'on puisse dire. Bien configuré
une passerelle-filtrante dédiée sous Windows permet de protéger
*efficacement* un réseau domestique de quelques postes. Ce n'est
pas ce que l'on peut faire de mieux, mais c'est efficace.
Et est-ce que tu ne mettrais pas plus de temps à installer /
patcher (oui, parce que sinon c'est pas la peine) / configurer
*proprement* le NAT / Routage / Filtrage que tu n'en mettrais en
suivant la doc (remarquable) d'OpenBSD ?
Faire quelque chose de correct requiert [...]
Il n'est pas question de faire quelque chose de correct, mais de
ne pas pouvoir faire quelque chose de dramatique, ce qui est
différent.
OK. Une boite qui tient un minimum à son informatique peut-elle se
contenter de ne "pas pouvoir faire quelque chose de dramatique" ?
Ou doit-elle au moins essayer de faire quelque chose de correct ?
Effectivement, et dans ce cas ton windows il ne fait pas passerelle,
donc tu sais à peu près ce qu'il fait sur le réseau. Je parlais du
cas où windows *est* la passerelle.
Quant à la boite noire, je ne parle pas de savoir ce qu'elle fait en
interne, mais plutôt de comment elle traite des cas "tordus".
Pour le cas du code du filtre troué, "ce qui se saurait très
vite", dis-tu, peux-tu me dire combien de temps Cisco a mis pour
corriger le fameux DoS récent (pas depuis la découverte "officielle"
de la faille, mais depuis que Cisco vend des produits qui sont
vulnérables à cette attaque) ?
[SNIP l'exemple intéressant, mais qui ne parle pas de
passerelles]
Oui et ? Tu crois qu'en suivant l'interface graphique de ton Cisco
(ou celle de ton Windows) tout neuf, tu ne prends aucun risque de
te tromper?
Hum... faudrait voir à pas non plus prendre les personnes n'ayant
que peu de connaissances en informatique pour des abrutis finis.
Le mec qui fait (en root) un "rm -rf *", sans savoir ce qu'il
fait, je n'y crois pas une seconde. Genre il a tapé précisément
cette commande et ces arguments...
Tu auras beau faire tous les efforts que tu veux, ouvrir en grand le
port 514, même si les logs de la boite noire sont gérés par syslog
tu seras à l'abris du poisonning des dit-logs. Alors que sur une
passerelle-filtrante sous nunux, il te suffit, dans les mêmes
conditions, d'oublier le flag qui va bien pour que syslogd bouffe
tout ce que l'on veut bien lui donner.
Mouais, tu marques un demi point. Parce que je ne vois pas le plus
idiot des admins laisser ouvert le port 514 (UDP je suppose),
Non, ce n'est pas le moins que l'on puisse dire. Bien configuré
une passerelle-filtrante dédiée sous Windows permet de protéger
*efficacement* un réseau domestique de quelques postes. Ce n'est
pas ce que l'on peut faire de mieux, mais c'est efficace.
Et est-ce que tu ne mettrais pas plus de temps à installer /
patcher (oui, parce que sinon c'est pas la peine) / configurer
*proprement* le NAT / Routage / Filtrage que tu n'en mettrais en
suivant la doc (remarquable) d'OpenBSD ?
Faire quelque chose de correct requiert [...]
Il n'est pas question de faire quelque chose de correct, mais de
ne pas pouvoir faire quelque chose de dramatique, ce qui est
différent.
OK. Une boite qui tient un minimum à son informatique peut-elle se
contenter de ne "pas pouvoir faire quelque chose de dramatique" ?
Ou doit-elle au moins essayer de faire quelque chose de correct ?
Effectivement, et dans ce cas ton windows il ne fait pas passerelle,
donc tu sais à peu près ce qu'il fait sur le réseau. Je parlais du
cas où windows *est* la passerelle.
Quant à la boite noire, je ne parle pas de savoir ce qu'elle fait en
interne, mais plutôt de comment elle traite des cas "tordus".
Pour le cas du code du filtre troué, "ce qui se saurait très
vite", dis-tu, peux-tu me dire combien de temps Cisco a mis pour
corriger le fameux DoS récent (pas depuis la découverte "officielle"
de la faille, mais depuis que Cisco vend des produits qui sont
vulnérables à cette attaque) ?
[SNIP l'exemple intéressant, mais qui ne parle pas de
passerelles]
Oui et ? Tu crois qu'en suivant l'interface graphique de ton Cisco
(ou celle de ton Windows) tout neuf, tu ne prends aucun risque de
te tromper?
Hum... faudrait voir à pas non plus prendre les personnes n'ayant
que peu de connaissances en informatique pour des abrutis finis.
Le mec qui fait (en root) un "rm -rf *", sans savoir ce qu'il
fait, je n'y crois pas une seconde. Genre il a tapé précisément
cette commande et ces arguments...
Tu auras beau faire tous les efforts que tu veux, ouvrir en grand le
port 514, même si les logs de la boite noire sont gérés par syslog
tu seras à l'abris du poisonning des dit-logs. Alors que sur une
passerelle-filtrante sous nunux, il te suffit, dans les mêmes
conditions, d'oublier le flag qui va bien pour que syslogd bouffe
tout ce que l'on veut bien lui donner.
Mouais, tu marques un demi point. Parce que je ne vois pas le plus
idiot des admins laisser ouvert le port 514 (UDP je suppose),
Non, ce n'est pas le moins que l'on puisse dire. Bien configuré
une passerelle-filtrante dédiée sous Windows permet de protéger
*efficacement* un réseau domestique de quelques postes. Ce n'est
pas ce que l'on peut faire de mieux, mais c'est efficace.
Et est-ce que tu ne mettrais pas plus de temps à installer /
patcher (oui, parce que sinon c'est pas la peine) / configurer
*proprement* le NAT / Routage / Filtrage que tu n'en mettrais en
suivant la doc (remarquable) d'OpenBSD ?
Faire quelque chose de correct requiert [...]
Il n'est pas question de faire quelque chose de correct, mais de
ne pas pouvoir faire quelque chose de dramatique, ce qui est
différent.
OK. Une boite qui tient un minimum à son informatique peut-elle se
contenter de ne "pas pouvoir faire quelque chose de dramatique" ?
Ou doit-elle au moins essayer de faire quelque chose de correct ?
Effectivement, et dans ce cas ton windows il ne fait pas passerelle,
donc tu sais à peu près ce qu'il fait sur le réseau. Je parlais du
cas où windows *est* la passerelle.
Quant à la boite noire, je ne parle pas de savoir ce qu'elle fait en
interne, mais plutôt de comment elle traite des cas "tordus".
Pour le cas du code du filtre troué, "ce qui se saurait très
vite", dis-tu, peux-tu me dire combien de temps Cisco a mis pour
corriger le fameux DoS récent (pas depuis la découverte "officielle"
de la faille, mais depuis que Cisco vend des produits qui sont
vulnérables à cette attaque) ?
[SNIP l'exemple intéressant, mais qui ne parle pas de
passerelles]
Oui et ? Tu crois qu'en suivant l'interface graphique de ton Cisco
(ou celle de ton Windows) tout neuf, tu ne prends aucun risque de
te tromper?
