Bonjours !
Une simple question, très courte : que pensez-vous de la sécurité apportée
par les routeurs/firewall en hard ? Je me demande si celui dont je dispose
(nexland isb pro) est aussi efficace qu'une machine dédiée avec une
distribution linux type IpCop dessus. J'aurais tendance à dire que ce les
firewalls hard sont de bonne qualité, et que les mauvais firewall sont ceux
qui sont mal configurés... Mais je suis un peu en désaccord avec un
collègue sur le sujet. Eclairez-moi pliz !
--
yoloosis
ICQ : 101663794
Jabber : yoloosis@jabber.org
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Xavier Roche
yoloosis wrote:
Une simple question, très courte : que pensez-vous de la sécurité apportée par les routeurs/firewall en hard ?
L'interêt du "hard", amha, c'est surtout:
- le matériel a été construit par des pros, qui ont en théorie fait en sorte que le fw soit fiable - le logiciel intégré n'est pas modifiable en général (eprom non flashable à distance) et donc des attaques type buffer overflow sont plus difficiles :)
Maintenant, une machine Linux ou BSD montée par un bon admin, et avec un / en read-only (et si possible un disque physiquement en ro, comme certains scsi), c'est aussi fiable qu'un routeur hard bien configuré.
Et, encore une fois, un routeur, c'est souvent une petite machine avec BSD/Linux embarqué sur une eprom. CQFD.
yoloosis wrote:
Une simple question, très courte : que pensez-vous de la sécurité apportée
par les routeurs/firewall en hard ?
L'interêt du "hard", amha, c'est surtout:
- le matériel a été construit par des pros, qui ont en théorie fait en
sorte que le fw soit fiable
- le logiciel intégré n'est pas modifiable en général (eprom non
flashable à distance) et donc des attaques type buffer overflow sont
plus difficiles :)
Maintenant, une machine Linux ou BSD montée par un bon admin, et avec un
/ en read-only (et si possible un disque physiquement en ro, comme
certains scsi), c'est aussi fiable qu'un routeur hard bien configuré.
Et, encore une fois, un routeur, c'est souvent une petite machine avec
BSD/Linux embarqué sur une eprom. CQFD.
Une simple question, très courte : que pensez-vous de la sécurité apportée par les routeurs/firewall en hard ?
L'interêt du "hard", amha, c'est surtout:
- le matériel a été construit par des pros, qui ont en théorie fait en sorte que le fw soit fiable - le logiciel intégré n'est pas modifiable en général (eprom non flashable à distance) et donc des attaques type buffer overflow sont plus difficiles :)
Maintenant, une machine Linux ou BSD montée par un bon admin, et avec un / en read-only (et si possible un disque physiquement en ro, comme certains scsi), c'est aussi fiable qu'un routeur hard bien configuré.
Et, encore une fois, un routeur, c'est souvent une petite machine avec BSD/Linux embarqué sur une eprom. CQFD.
Stephane Catteau
[Postage limité à fcs] yoloosis nous disait récement dans fr.comp.securite <news:4039d196$0$24963$ :
Une simple question, très courte : que pensez-vous de la sécurité apportée par les routeurs/firewall en hard ?
Qu'elle n'est ni plus importante que celle fournie par un routeur/firewall "soft", ni moins importante ; au final tout dépendra toujours de la personne qui s'en occupe et du contexte d'utilisation.
Un firewall "hard" est supposé mieux construit, plus compact et au final moins sensible à des failles par effets de bord[1]. De même, le caractère minimaliste du software embarqué, ainsi que l'interface de configuration, limite les risques d'erreur humaine. A contrario, l'adaptabilité est quasi nulle, ce qui fait du firewall "hard" la principale limite à une évolution des méthodes de travail ; ce qui n'est pas toujours un mal, puisque ça limite les changements sur un coup de tête. Pour autant, les firewalls "hard" et "soft" ont la même sensibilité aux failles, ce qui donne alors l'avantage aux firewalls "soft", qui sont patchables à volonté. Autre avantage, généralement l'on surveille plus attentivement les firewalls "soft", car l'on est conscient de ses faiblesses potentielles ; ce qui n'est pas le cas pour les firewalls "hard", dont la boîte est généralement conçue/designée pour donner confiance. Enfin, et ce n'est pas le moindre des points, ils sont l'un comme l'autre tributaire des connaissances de la personne qui en aura la charge.
Je me demande si celui dont je dispose (nexland isb pro) est aussi efficace qu'une machine dédiée avec une distribution linux type IpCop dessus.
En terme d'efficacité pure, "hard" et "soft" sont à égalité, puisque les premiers sont construits autour des seconds. Par contre, un firewall "hard" peut s'avérer moins efficace que sa version "soft" lorsqu'il s'agit de l'adapter à un besoin particulier bien précis. Pour prendre un exemple absurde (mais qui parlera à tout le monde), un firewall "hard" qui ne disposerait pas d'un proxy-ftp intégré à son filtre IP obligerait son utilisateur à faire quelques jongleries, laissant ainsi une brèche potentielle. Alors qu'il suffirait d'ajouter le-dit proxy au firewall "soft" pour régler le problème.
J'aurais tendance à dire que ce les firewalls hard sont de bonne qualité, et que les mauvais firewall sont ceux qui sont mal configurés...
Je suis d'accord avec toi, mais à condition que tu fasses commencer la configuration dès le bureau d'étude. Il suffit que le constructeur ait choisi un logiciel peu fiable, ou qu'il n'ait pas prévu de possibilité de patchage, pour qu'un firewall "hard" s'avère à éviter à tout prix.
[1] C'est-à-dire à des failles touchant des logiciels/commandes qui ne sont pas réellement utilisée pour la sécurité, mais qui sont présentes et utilisables sous certaines conditions. -- Les promesses sont à l'images des cuisses d'une belle femme. Plus elles sont fermes, plus on a envie de passer outre, pour s'elever vers une occupation plus plaisante... S. C.
[Postage limité à fcs]
yoloosis nous disait récement dans fr.comp.securite
<news:4039d196$0$24963$626a14ce@news.free.fr> :
Une simple question, très courte : que pensez-vous de la sécurité
apportée par les routeurs/firewall en hard ?
Qu'elle n'est ni plus importante que celle fournie par un
routeur/firewall "soft", ni moins importante ; au final tout dépendra
toujours de la personne qui s'en occupe et du contexte d'utilisation.
Un firewall "hard" est supposé mieux construit, plus compact et au
final moins sensible à des failles par effets de bord[1]. De même, le
caractère minimaliste du software embarqué, ainsi que l'interface de
configuration, limite les risques d'erreur humaine. A contrario,
l'adaptabilité est quasi nulle, ce qui fait du firewall "hard" la
principale limite à une évolution des méthodes de travail ; ce qui
n'est pas toujours un mal, puisque ça limite les changements sur un
coup de tête.
Pour autant, les firewalls "hard" et "soft" ont la même sensibilité
aux failles, ce qui donne alors l'avantage aux firewalls "soft", qui
sont patchables à volonté. Autre avantage, généralement l'on surveille
plus attentivement les firewalls "soft", car l'on est conscient de ses
faiblesses potentielles ; ce qui n'est pas le cas pour les firewalls
"hard", dont la boîte est généralement conçue/designée pour donner
confiance.
Enfin, et ce n'est pas le moindre des points, ils sont l'un comme
l'autre tributaire des connaissances de la personne qui en aura la
charge.
Je me demande si celui dont je dispose (nexland isb pro) est aussi
efficace qu'une machine dédiée avec une distribution linux type IpCop
dessus.
En terme d'efficacité pure, "hard" et "soft" sont à égalité, puisque
les premiers sont construits autour des seconds. Par contre, un
firewall "hard" peut s'avérer moins efficace que sa version "soft"
lorsqu'il s'agit de l'adapter à un besoin particulier bien précis.
Pour prendre un exemple absurde (mais qui parlera à tout le monde), un
firewall "hard" qui ne disposerait pas d'un proxy-ftp intégré à son
filtre IP obligerait son utilisateur à faire quelques jongleries,
laissant ainsi une brèche potentielle. Alors qu'il suffirait d'ajouter
le-dit proxy au firewall "soft" pour régler le problème.
J'aurais tendance à dire que ce les firewalls hard sont de bonne
qualité, et que les mauvais firewall sont ceux qui sont mal
configurés...
Je suis d'accord avec toi, mais à condition que tu fasses commencer la
configuration dès le bureau d'étude. Il suffit que le constructeur ait
choisi un logiciel peu fiable, ou qu'il n'ait pas prévu de possibilité
de patchage, pour qu'un firewall "hard" s'avère à éviter à tout prix.
[1]
C'est-à-dire à des failles touchant des logiciels/commandes qui ne
sont pas réellement utilisée pour la sécurité, mais qui sont présentes
et utilisables sous certaines conditions.
--
Les promesses sont à l'images des cuisses d'une belle femme. Plus elles
sont fermes, plus on a envie de passer outre, pour s'elever vers une
occupation plus plaisante... S. C.
[Postage limité à fcs] yoloosis nous disait récement dans fr.comp.securite <news:4039d196$0$24963$ :
Une simple question, très courte : que pensez-vous de la sécurité apportée par les routeurs/firewall en hard ?
Qu'elle n'est ni plus importante que celle fournie par un routeur/firewall "soft", ni moins importante ; au final tout dépendra toujours de la personne qui s'en occupe et du contexte d'utilisation.
Un firewall "hard" est supposé mieux construit, plus compact et au final moins sensible à des failles par effets de bord[1]. De même, le caractère minimaliste du software embarqué, ainsi que l'interface de configuration, limite les risques d'erreur humaine. A contrario, l'adaptabilité est quasi nulle, ce qui fait du firewall "hard" la principale limite à une évolution des méthodes de travail ; ce qui n'est pas toujours un mal, puisque ça limite les changements sur un coup de tête. Pour autant, les firewalls "hard" et "soft" ont la même sensibilité aux failles, ce qui donne alors l'avantage aux firewalls "soft", qui sont patchables à volonté. Autre avantage, généralement l'on surveille plus attentivement les firewalls "soft", car l'on est conscient de ses faiblesses potentielles ; ce qui n'est pas le cas pour les firewalls "hard", dont la boîte est généralement conçue/designée pour donner confiance. Enfin, et ce n'est pas le moindre des points, ils sont l'un comme l'autre tributaire des connaissances de la personne qui en aura la charge.
Je me demande si celui dont je dispose (nexland isb pro) est aussi efficace qu'une machine dédiée avec une distribution linux type IpCop dessus.
En terme d'efficacité pure, "hard" et "soft" sont à égalité, puisque les premiers sont construits autour des seconds. Par contre, un firewall "hard" peut s'avérer moins efficace que sa version "soft" lorsqu'il s'agit de l'adapter à un besoin particulier bien précis. Pour prendre un exemple absurde (mais qui parlera à tout le monde), un firewall "hard" qui ne disposerait pas d'un proxy-ftp intégré à son filtre IP obligerait son utilisateur à faire quelques jongleries, laissant ainsi une brèche potentielle. Alors qu'il suffirait d'ajouter le-dit proxy au firewall "soft" pour régler le problème.
J'aurais tendance à dire que ce les firewalls hard sont de bonne qualité, et que les mauvais firewall sont ceux qui sont mal configurés...
Je suis d'accord avec toi, mais à condition que tu fasses commencer la configuration dès le bureau d'étude. Il suffit que le constructeur ait choisi un logiciel peu fiable, ou qu'il n'ait pas prévu de possibilité de patchage, pour qu'un firewall "hard" s'avère à éviter à tout prix.
[1] C'est-à-dire à des failles touchant des logiciels/commandes qui ne sont pas réellement utilisée pour la sécurité, mais qui sont présentes et utilisables sous certaines conditions. -- Les promesses sont à l'images des cuisses d'une belle femme. Plus elles sont fermes, plus on a envie de passer outre, pour s'elever vers une occupation plus plaisante... S. C.
Stephane Catteau
[Postage réduit à fcs] Xavier Roche nous disait récement dans fr.comp.securite <news:c1cno8$fci$ :
yoloosis wrote:
Une simple question, très courte : que pensez-vous de la sécurité apportée par les routeurs/firewall en hard ?
L'interêt du "hard", amha, c'est surtout:
- le matériel a été construit par des pros, qui ont en théorie fait en sorte que le fw soit fiable
Oui mais non, tout dépend de ce que tu entends par "firewall". Si tu désignes l'ensemble de la bête, oui c'est plus fiable, entre autre parce qu'il n'y a rien d'inutile et parce que l'interaction entre les différents composants logiciels est supposée parfaitement gérée. Si par contre tu utilises ce terme pour désigner le seul filtre, il n'est pas plus fiable qu'un autre, puisque largement dépendant de la personne qui s'en occupera.
- le logiciel intégré n'est pas modifiable en général (eprom non flashable à distance) et donc des attaques type buffer overflow sont plus difficiles :)
Il me semble que la plupart des firewalls "hard" sont maintenant patchables. Mais ça laisse quand même une part de risque, puisqu'il faut attendre que le constructeur diffuse un patch.
-- Les promesses sont à l'images des cuisses d'une belle femme. Plus elles sont fermes, plus on a envie de passer outre, pour s'elever vers une occupation plus plaisante... S. C.
[Postage réduit à fcs]
Xavier Roche nous disait récement dans fr.comp.securite
<news:c1cno8$fci$1@s1.read.news.oleane.net> :
yoloosis wrote:
Une simple question, très courte : que pensez-vous de la sécurité
apportée par les routeurs/firewall en hard ?
L'interêt du "hard", amha, c'est surtout:
- le matériel a été construit par des pros, qui ont en théorie
fait en sorte que le fw soit fiable
Oui mais non, tout dépend de ce que tu entends par "firewall". Si tu
désignes l'ensemble de la bête, oui c'est plus fiable, entre autre
parce qu'il n'y a rien d'inutile et parce que l'interaction entre les
différents composants logiciels est supposée parfaitement gérée. Si par
contre tu utilises ce terme pour désigner le seul filtre, il n'est pas
plus fiable qu'un autre, puisque largement dépendant de la personne qui
s'en occupera.
- le logiciel intégré n'est pas modifiable en général (eprom non
flashable à distance) et donc des attaques type buffer overflow
sont plus difficiles :)
Il me semble que la plupart des firewalls "hard" sont maintenant
patchables. Mais ça laisse quand même une part de risque, puisqu'il
faut attendre que le constructeur diffuse un patch.
--
Les promesses sont à l'images des cuisses d'une belle femme. Plus elles
sont fermes, plus on a envie de passer outre, pour s'elever vers une
occupation plus plaisante... S. C.
[Postage réduit à fcs] Xavier Roche nous disait récement dans fr.comp.securite <news:c1cno8$fci$ :
yoloosis wrote:
Une simple question, très courte : que pensez-vous de la sécurité apportée par les routeurs/firewall en hard ?
L'interêt du "hard", amha, c'est surtout:
- le matériel a été construit par des pros, qui ont en théorie fait en sorte que le fw soit fiable
Oui mais non, tout dépend de ce que tu entends par "firewall". Si tu désignes l'ensemble de la bête, oui c'est plus fiable, entre autre parce qu'il n'y a rien d'inutile et parce que l'interaction entre les différents composants logiciels est supposée parfaitement gérée. Si par contre tu utilises ce terme pour désigner le seul filtre, il n'est pas plus fiable qu'un autre, puisque largement dépendant de la personne qui s'en occupera.
- le logiciel intégré n'est pas modifiable en général (eprom non flashable à distance) et donc des attaques type buffer overflow sont plus difficiles :)
Il me semble que la plupart des firewalls "hard" sont maintenant patchables. Mais ça laisse quand même une part de risque, puisqu'il faut attendre que le constructeur diffuse un patch.
-- Les promesses sont à l'images des cuisses d'une belle femme. Plus elles sont fermes, plus on a envie de passer outre, pour s'elever vers une occupation plus plaisante... S. C.
Xavier Roche
Stephane Catteau wrote:
Il me semble que la plupart des firewalls "hard" sont maintenant patchables. Mais ça laisse quand même une part de risque, puisqu'il faut attendre que le constructeur diffuse un patch.
Oui - et j'ai dit une connerie faute de précision: en général les attaques contre les routeurs (hard) sont moins fréquentes, car il est plus difficile d'"écraser" le code et surtout le code d'eprom faute de spécialistes (plus facile d'étudier du code x86 ou même sparc) de ces bêbêtes.
Et une curiosité http://downloads.securityfocus.com/vulnerabilities/exploits/UltimaRatioVegas.c
Mais en général, le gros problème, ce sont les routeurs avec mot de passe 1e niveau par défaut .. et dans ce cas on peut plus difficilement patcher l'admin
Stephane Catteau wrote:
Il me semble que la plupart des firewalls "hard" sont maintenant
patchables. Mais ça laisse quand même une part de risque, puisqu'il
faut attendre que le constructeur diffuse un patch.
Oui - et j'ai dit une connerie faute de précision: en général
les attaques contre les routeurs (hard) sont moins fréquentes,
car il est plus difficile d'"écraser" le code et surtout le code
d'eprom faute de spécialistes (plus facile d'étudier du code x86
ou même sparc) de ces bêbêtes.
Et une curiosité
http://downloads.securityfocus.com/vulnerabilities/exploits/UltimaRatioVegas.c
Mais en général, le gros problème, ce sont les routeurs avec mot de passe
1e niveau par défaut .. et dans ce cas on peut plus difficilement patcher
l'admin
Il me semble que la plupart des firewalls "hard" sont maintenant patchables. Mais ça laisse quand même une part de risque, puisqu'il faut attendre que le constructeur diffuse un patch.
Oui - et j'ai dit une connerie faute de précision: en général les attaques contre les routeurs (hard) sont moins fréquentes, car il est plus difficile d'"écraser" le code et surtout le code d'eprom faute de spécialistes (plus facile d'étudier du code x86 ou même sparc) de ces bêbêtes.
Et une curiosité http://downloads.securityfocus.com/vulnerabilities/exploits/UltimaRatioVegas.c
Mais en général, le gros problème, ce sont les routeurs avec mot de passe 1e niveau par défaut .. et dans ce cas on peut plus difficilement patcher l'admin
Olivier Cherrier
In article <c1cno8$fci$, Xavier Roche wrote:
Maintenant, une machine Linux ou BSD montée par un bon admin, et avec un / en read-only (et si possible un disque physiquement en ro, comme certains scsi), c'est aussi fiable qu'un routeur hard bien configuré.
C'est toujours bien pratique lorsque tu veux changer les règles !
Et, encore une fois, un routeur, c'est souvent une petite machine avec BSD/Linux embarqué sur une eprom. CQFD.
Oui, tout a fait. Ne pas s'imaginer qu'un firewall "hardware" ne contient que des condensateurs et résistances ...
In article <c1cno8$fci$1@s1.read.news.oleane.net>, Xavier Roche wrote:
Maintenant, une machine Linux ou BSD montée par un bon admin, et avec un
/ en read-only (et si possible un disque physiquement en ro, comme
certains scsi), c'est aussi fiable qu'un routeur hard bien configuré.
C'est toujours bien pratique lorsque tu veux changer les règles !
Et, encore une fois, un routeur, c'est souvent une petite machine avec
BSD/Linux embarqué sur une eprom. CQFD.
Oui, tout a fait. Ne pas s'imaginer qu'un firewall "hardware" ne
contient que des condensateurs et résistances ...
Maintenant, une machine Linux ou BSD montée par un bon admin, et avec un / en read-only (et si possible un disque physiquement en ro, comme certains scsi), c'est aussi fiable qu'un routeur hard bien configuré.
C'est toujours bien pratique lorsque tu veux changer les règles !
Et, encore une fois, un routeur, c'est souvent une petite machine avec BSD/Linux embarqué sur une eprom. CQFD.
Oui, tout a fait. Ne pas s'imaginer qu'un firewall "hardware" ne contient que des condensateurs et résistances ...
