je souhaiterai installer un firewall pour ma boite (si, si totalement
inexistant aujourd'hui;-))
pour le moment les pc sont partages en postes a postes sous windows avec une
config comme ca :
PC-------switch-------routeur-------modem ADSL
!
PC
Nous souhaitons monter un reseau digne de ce nom donc achat d'un serveur (je
risque d'ailleurs de reposer d'autres questions par la suite)
Dans un premier temps : installer un Firewall
L'idée est de mettre une machine qui restera par la suite.
J'ai actuellement un celeron 300MHz 64Mo RAM a dispostion + achat prévu d'un
onduleur (d'ailleurs si vous avez des conseils, désolé je sais ce n'est pas
le bon forum)
1. Est-ce suffisant ? sinon que faut-il au minimum
Nous souhaiterions mettre un linux dessus avec juste un firewall
2. Est-ce une bonne idee ?
Que me conseillez vous comme version de linux et firewall
3. Où mettre ce firewall ?
avant le routeur?
PC-------switch--------firewall---------routeur-------modem ADSL
!
PC
Après ?
PC-------switch--------routeur---------firewall-------modem ADSL
!
PC
Sachant que le serveur sera j'imagine par la suite branche sur le swith ?
Sinon avez vous des URL a me proposer sur ce sujet ?
(installation de firewall, reseau, achat de materiel,...)
Merci d'avance de vos reponses, je viens de m'en occuper et c'est un peu le
bazar, il y a tout a faire.
J'ai déjà travaillé sur de l'existant mais je n'ai jamais tout monté de A à
Z. et j'avoue ne me suis pas pose toutes ces questions auparavant ;-)
DeadCow nous disait récement dans fr.comp.securite <news:3f5a1521$0$28883$ :
"Stephane Catteau" a écrit dans le message
Bien sûr. Comme ça l'attaquant utilisera le serveur pour entrer sur la machine, et il aura la main mise sur l'ensemble du réseau... On ne met *jamais* de serveur sur un firewall ! Enfin, excepté le sshd d'OpenSSH pour éviter de trop user les chaussures.
Pour utiliser le serveur il faut déja qu'il le pirate, hors, avec seulement apache et le firewall bien configuré, il va avoir du mal.
Ah bon ? Il suffit *d'une* faille sur Apache, et le firewall est compromis. Et il ne suffit pas de patcher en temps et en heure, ça ne protège pas des "zero days". De tout façon, il n'y a pas qu'Apache et le filtre qui tourne sur le firewall, il y a aussi les scripts. Que l'un d'eux soit mal écrit ou ai une faille, et le firewall est compromis là aussi.
Quel est cette assertion : "On ne met *jamais* de serveur sur un firewall"?
C'est une assertion élémentaire en matière de sécurité informatique. Un firewall est fait pour protéger un réseau, pas pour proposer un service.
Ca dépend pleinement du degré de sécurité qu'on vise.
Pas vraiment non.
-- "Si ceux qui disent du mal de moi savaient exactement ce que je pense d'eux , ils en diraient bien davantage." Sacha Guitry
DeadCow nous disait récement dans fr.comp.securite
<news:3f5a1521$0$28883$626a54ce@news.free.fr> :
"Stephane Catteau" <stephane@sc4x.net> a écrit dans le message
Bien sûr. Comme ça l'attaquant utilisera le serveur pour entrer sur
la machine, et il aura la main mise sur l'ensemble du réseau... On
ne met *jamais* de serveur sur un firewall ! Enfin, excepté le sshd
d'OpenSSH pour éviter de trop user les chaussures.
Pour utiliser le serveur il faut déja qu'il le pirate, hors, avec
seulement apache et le firewall bien configuré, il va avoir du
mal.
Ah bon ? Il suffit *d'une* faille sur Apache, et le firewall est
compromis. Et il ne suffit pas de patcher en temps et en heure, ça ne
protège pas des "zero days". De tout façon, il n'y a pas qu'Apache et
le filtre qui tourne sur le firewall, il y a aussi les scripts. Que
l'un d'eux soit mal écrit ou ai une faille, et le firewall est
compromis là aussi.
Quel est cette assertion : "On ne met *jamais* de serveur sur un
firewall"?
C'est une assertion élémentaire en matière de sécurité informatique.
Un firewall est fait pour protéger un réseau, pas pour proposer un
service.
Ca dépend pleinement du degré de sécurité qu'on vise.
Pas vraiment non.
--
"Si ceux qui disent du mal de moi savaient exactement ce que je
pense d'eux , ils en diraient bien davantage."
Sacha Guitry
DeadCow nous disait récement dans fr.comp.securite <news:3f5a1521$0$28883$ :
"Stephane Catteau" a écrit dans le message
Bien sûr. Comme ça l'attaquant utilisera le serveur pour entrer sur la machine, et il aura la main mise sur l'ensemble du réseau... On ne met *jamais* de serveur sur un firewall ! Enfin, excepté le sshd d'OpenSSH pour éviter de trop user les chaussures.
Pour utiliser le serveur il faut déja qu'il le pirate, hors, avec seulement apache et le firewall bien configuré, il va avoir du mal.
Ah bon ? Il suffit *d'une* faille sur Apache, et le firewall est compromis. Et il ne suffit pas de patcher en temps et en heure, ça ne protège pas des "zero days". De tout façon, il n'y a pas qu'Apache et le filtre qui tourne sur le firewall, il y a aussi les scripts. Que l'un d'eux soit mal écrit ou ai une faille, et le firewall est compromis là aussi.
Quel est cette assertion : "On ne met *jamais* de serveur sur un firewall"?
C'est une assertion élémentaire en matière de sécurité informatique. Un firewall est fait pour protéger un réseau, pas pour proposer un service.
Ca dépend pleinement du degré de sécurité qu'on vise.
Pas vraiment non.
-- "Si ceux qui disent du mal de moi savaient exactement ce que je pense d'eux , ils en diraient bien davantage." Sacha Guitry
Jean-Claude
Bonsoir et merci pour la reponse.
Alors si je comprends bien ca signifie que sur mon poste PC(passerelle-firewall) il faut, si je veux etre plus secure, que je rajoute une 3eme carte reseau pour creer une 3eme interface dediée plus specifiquement aux serveurs ?
C'est a dire (si j'ai bien compris) que mon schema
PC -------switch--------PC(passerelle-firewall)---------modemADSL | PC
deviendrait :
PC -------switch--------PC(passerelle-firewall)---------modemADSL | | PC PC server (FTP, HTTP ..)
C'est bien ca ? cette 3eme interface ou 3eme zone , est ce bien ce que l'on appelle une DMZ ?
Merci de vos reponses et conseils eclaires. J.C
Bonsoir et merci pour la reponse.
Alors si je comprends bien ca signifie que sur mon poste
PC(passerelle-firewall) il faut, si je veux etre plus secure,
que je rajoute une 3eme carte reseau pour creer une 3eme interface
dediée plus specifiquement aux serveurs ?
C'est a dire (si j'ai bien compris) que mon schema
PC -------switch--------PC(passerelle-firewall)---------modemADSL
|
PC
deviendrait :
PC -------switch--------PC(passerelle-firewall)---------modemADSL
| |
PC PC server (FTP, HTTP ..)
C'est bien ca ?
cette 3eme interface ou 3eme zone , est ce bien ce que l'on appelle
une DMZ ?
Alors si je comprends bien ca signifie que sur mon poste PC(passerelle-firewall) il faut, si je veux etre plus secure, que je rajoute une 3eme carte reseau pour creer une 3eme interface dediée plus specifiquement aux serveurs ?
C'est a dire (si j'ai bien compris) que mon schema
PC -------switch--------PC(passerelle-firewall)---------modemADSL | PC
deviendrait :
PC -------switch--------PC(passerelle-firewall)---------modemADSL | | PC PC server (FTP, HTTP ..)
C'est bien ca ? cette 3eme interface ou 3eme zone , est ce bien ce que l'on appelle une DMZ ?
Merci de vos reponses et conseils eclaires. J.C
Eric Razny
"DeadCow" a écrit dans le message de news:3f5a1521$0$28883$
"Stephane Catteau" a écrit dans le message news:
Bien sûr. Comme ça l'attaquant utilisera le serveur pour entrer sur la machine, et il aura la main mise sur l'ensemble du réseau... On ne met *jamais* de serveur sur un firewall ! Enfin, excepté le sshd d'OpenSSH pour éviter de trop user les chaussures.
Pour utiliser le serveur il faut déja qu'il le pirate, hors, avec seulement
apache et le firewall bien configuré, il va avoir du mal.
Quel est cette assertion : "On ne met *jamais* de serveur sur un firewall"?
Ca dépend pleinement du degré de sécurité qu'on vise.
C'est une assertion qui part du : dans la mesure du possible[1] on évite de mettre plusieurs services sur la même machine. Ainsi si une machine est compromise via une faille dans un service les autres restent intactes.
Le code d'un FW est assez bien audité en général et on est en droit de supposer que c'est un des système qui a le moins de faille (se rappeler néanmoins des problèmes ipfilter avec ftp[2]). Il a de plus une position souvent critique (ex: protection contre les flux CIFS venant de l'extérieur...).
Hors si tu fais tourner un service troué sur ton FW on peut prendre éventuellement la main sur la machine (je te rappelle que rien n'empêche de binder un shell sur le port 80 et que le FW laissera passer le tout comme flux http ; ça marche bien aussi avec sendmail, etc). A partir de là on peut faire tout un tas de truc amusants (genre jouer avec le nat pour faire faire un tour à tes paquets sur ma machine espion, mumuse avec les winmachins derrieres, qui se croyaient bien à l'abris).
Apache, même bien configuré est parfois sujet à des problèmes (mod_dav il n'y a pas si longtemps par exemple). Donc, pour moi, c'est ton assertion qui me parait un peu légère[3] :)
Eric
[1] C'est souvent essentiellement un problème de budget. [2] encore qu'il n'en résultait pas la compromission de la machine, mais des paquets qui passent alors qu'ils ne devraient pas, ce qui est somme toutes gênant pour un FW :) Accessoirement profiter qu'un service tourne sous BSD/Linux pour ajouter une couche de FW peut se défendre. Il y a aussi des inconvénients (règles à gérer à de multiples endroits, risque, malgré tout, que ce soit la couche FW qui soit le point de compromission etc.). [3] même en ajoutant patché au bon moment à ton raisonnement n'empèche pas les exploits avant divulgation de la faille. Plus tu as de services, plus tu as de problèmes potentiels.
"DeadCow" <deadcow-remove-this@free.fr> a écrit dans le message de
news:3f5a1521$0$28883$626a54ce@news.free.fr...
"Stephane Catteau" <stephane@sc4x.net> a écrit dans le message news:
bjcbgl.3vvf1u7.1@sc4x.org...
Bien sûr. Comme ça l'attaquant utilisera le serveur pour entrer sur la
machine, et il aura la main mise sur l'ensemble du réseau... On ne met
*jamais* de serveur sur un firewall ! Enfin, excepté le sshd d'OpenSSH
pour éviter de trop user les chaussures.
Pour utiliser le serveur il faut déja qu'il le pirate, hors, avec
seulement
apache et le firewall bien configuré, il va avoir du mal.
Quel est cette assertion : "On ne met *jamais* de serveur sur un
firewall"?
Ca dépend pleinement du degré de sécurité qu'on vise.
C'est une assertion qui part du :
dans la mesure du possible[1] on évite de mettre plusieurs services sur la
même machine.
Ainsi si une machine est compromise via une faille dans un service les
autres restent intactes.
Le code d'un FW est assez bien audité en général et on est en droit de
supposer que c'est un des système qui a le moins de faille (se rappeler
néanmoins des problèmes ipfilter avec ftp[2]). Il a de plus une position
souvent critique (ex: protection contre les flux CIFS venant de
l'extérieur...).
Hors si tu fais tourner un service troué sur ton FW on peut prendre
éventuellement la main sur la machine (je te rappelle que rien n'empêche de
binder un shell sur le port 80 et que le FW laissera passer le tout comme
flux http ; ça marche bien aussi avec sendmail, etc). A partir de là on peut
faire tout un tas de truc amusants (genre jouer avec le nat pour faire faire
un tour à tes paquets sur ma machine espion, mumuse avec les winmachins
derrieres, qui se croyaient bien à l'abris).
Apache, même bien configuré est parfois sujet à des problèmes (mod_dav il
n'y a pas si longtemps par exemple).
Donc, pour moi, c'est ton assertion qui me parait un peu légère[3] :)
Eric
[1] C'est souvent essentiellement un problème de budget.
[2] encore qu'il n'en résultait pas la compromission de la machine, mais des
paquets qui passent alors qu'ils ne devraient pas, ce qui est somme toutes
gênant pour un FW :)
Accessoirement profiter qu'un service tourne sous BSD/Linux pour ajouter une
couche de FW peut se défendre. Il y a aussi des inconvénients (règles à
gérer à de multiples endroits, risque, malgré tout, que ce soit la couche FW
qui soit le point de compromission etc.).
[3] même en ajoutant patché au bon moment à ton raisonnement n'empèche pas
les exploits avant divulgation de la faille. Plus tu as de services, plus tu
as de problèmes potentiels.
"DeadCow" a écrit dans le message de news:3f5a1521$0$28883$
"Stephane Catteau" a écrit dans le message news:
Bien sûr. Comme ça l'attaquant utilisera le serveur pour entrer sur la machine, et il aura la main mise sur l'ensemble du réseau... On ne met *jamais* de serveur sur un firewall ! Enfin, excepté le sshd d'OpenSSH pour éviter de trop user les chaussures.
Pour utiliser le serveur il faut déja qu'il le pirate, hors, avec seulement
apache et le firewall bien configuré, il va avoir du mal.
Quel est cette assertion : "On ne met *jamais* de serveur sur un firewall"?
Ca dépend pleinement du degré de sécurité qu'on vise.
C'est une assertion qui part du : dans la mesure du possible[1] on évite de mettre plusieurs services sur la même machine. Ainsi si une machine est compromise via une faille dans un service les autres restent intactes.
Le code d'un FW est assez bien audité en général et on est en droit de supposer que c'est un des système qui a le moins de faille (se rappeler néanmoins des problèmes ipfilter avec ftp[2]). Il a de plus une position souvent critique (ex: protection contre les flux CIFS venant de l'extérieur...).
Hors si tu fais tourner un service troué sur ton FW on peut prendre éventuellement la main sur la machine (je te rappelle que rien n'empêche de binder un shell sur le port 80 et que le FW laissera passer le tout comme flux http ; ça marche bien aussi avec sendmail, etc). A partir de là on peut faire tout un tas de truc amusants (genre jouer avec le nat pour faire faire un tour à tes paquets sur ma machine espion, mumuse avec les winmachins derrieres, qui se croyaient bien à l'abris).
Apache, même bien configuré est parfois sujet à des problèmes (mod_dav il n'y a pas si longtemps par exemple). Donc, pour moi, c'est ton assertion qui me parait un peu légère[3] :)
Eric
[1] C'est souvent essentiellement un problème de budget. [2] encore qu'il n'en résultait pas la compromission de la machine, mais des paquets qui passent alors qu'ils ne devraient pas, ce qui est somme toutes gênant pour un FW :) Accessoirement profiter qu'un service tourne sous BSD/Linux pour ajouter une couche de FW peut se défendre. Il y a aussi des inconvénients (règles à gérer à de multiples endroits, risque, malgré tout, que ce soit la couche FW qui soit le point de compromission etc.). [3] même en ajoutant patché au bon moment à ton raisonnement n'empèche pas les exploits avant divulgation de la faille. Plus tu as de services, plus tu as de problèmes potentiels.
tagada
Bonjour,
Tout d'abord merci à tous de vos réponses éclairées. A priori je pense donc à cette solution. En plus on partage notre ADSL avec un autre service qui n'a qu'a se mettre directement sur notre routeur et se debrouiller de son coté. (chacun ses problemes non ? ;-))
PC Administration X ! ! PC-------switch-------------firewall-------------routeur-------modem ADSL ! ! PC Serveur
Serveur de fichier dans un premier temps, puis d'applications par la suite.(je rajoute un switch sur la patte Serveur j'imagine?) Le firewall serait donc mon celeron de 64Mo avec 3 cartes réseaux et j'ai pensé à IPCOP en priorité sinon à OpenDSB
Juste une autre quetion : Si je souhaite mettre en place un serveur Web, Mail,...par la suite dois je les mettre sur la meme patte que les serveurs du LAN ou rajouter un autre firewall sur le routeur avec une autre patte?
Merci encore
cordialement
tagada
Bonjour,
Tout d'abord merci à tous de vos réponses éclairées.
A priori je pense donc à cette solution.
En plus on partage notre ADSL avec un autre service qui n'a qu'a se mettre
directement sur notre routeur et se debrouiller de son coté.
(chacun ses problemes non ? ;-))
PC
Administration X
!
!
PC-------switch-------------firewall-------------routeur-------modem ADSL
! !
PC Serveur
Serveur de fichier dans un premier temps, puis d'applications par la
suite.(je rajoute un switch sur la patte Serveur j'imagine?)
Le firewall serait donc mon celeron de 64Mo avec 3 cartes réseaux et j'ai
pensé à IPCOP en priorité sinon à OpenDSB
Juste une autre quetion :
Si je souhaite mettre en place un serveur Web, Mail,...par la suite dois je
les mettre sur la meme patte que les serveurs du LAN ou rajouter un autre
firewall sur le routeur avec une autre patte?
Tout d'abord merci à tous de vos réponses éclairées. A priori je pense donc à cette solution. En plus on partage notre ADSL avec un autre service qui n'a qu'a se mettre directement sur notre routeur et se debrouiller de son coté. (chacun ses problemes non ? ;-))
PC Administration X ! ! PC-------switch-------------firewall-------------routeur-------modem ADSL ! ! PC Serveur
Serveur de fichier dans un premier temps, puis d'applications par la suite.(je rajoute un switch sur la patte Serveur j'imagine?) Le firewall serait donc mon celeron de 64Mo avec 3 cartes réseaux et j'ai pensé à IPCOP en priorité sinon à OpenDSB
Juste une autre quetion : Si je souhaite mettre en place un serveur Web, Mail,...par la suite dois je les mettre sur la meme patte que les serveurs du LAN ou rajouter un autre firewall sur le routeur avec une autre patte?
Merci encore
cordialement
tagada
Cedric Blancher
Dans sa prose, DeadCow nous ecrivait :
Pour utiliser le serveur il faut déja qu'il le pirate, hors, avec seulement apache et le firewall bien configuré, il va avoir du mal.
Suffit de regarder l'historique d'Apache en terme de failles, et surtout tout ce qu'il est possible de faire avec, c'est justement le sujet du thread, on site dynamique mal développé. Un simple directory traversal sur un site possédant un script d'upload peut assez rapidement aboutir à un shell par exemple.
Quel est cette assertion : "On ne met *jamais* de serveur sur un firewall"? Ca dépend pleinement du degré de sécurité qu'on vise.
Je dirai que ça dépend surtout des ressources dont on dispose. N'importe qui a tendance à vouloir le meilleur niveau de sécurité possible, mais ce qui pousse à faire des compromis, c'est qu'on n'a pas forcément les moyens de le faire. Ne serait-ce que parce qu'on n'a pas, par exemple, toutes les machines nécessaires sous la main, ou encore le temps à y consacrer.
--
Trou du cul. Arnaud. Pourquoi est-ce que tu signes tes messages deux fois ?
-+- MV in GFA : Bien structurer sa réponse -+-
Dans sa prose, DeadCow nous ecrivait :
Pour utiliser le serveur il faut déja qu'il le pirate, hors, avec
seulement apache et le firewall bien configuré, il va avoir du mal.
Suffit de regarder l'historique d'Apache en terme de failles, et surtout
tout ce qu'il est possible de faire avec, c'est justement le sujet du
thread, on site dynamique mal développé. Un simple directory traversal
sur un site possédant un script d'upload peut assez rapidement aboutir à
un shell par exemple.
Quel est cette assertion : "On ne met *jamais* de serveur sur un
firewall"? Ca dépend pleinement du degré de sécurité qu'on vise.
Je dirai que ça dépend surtout des ressources dont on dispose. N'importe
qui a tendance à vouloir le meilleur niveau de sécurité possible, mais
ce qui pousse à faire des compromis, c'est qu'on n'a pas forcément les
moyens de le faire. Ne serait-ce que parce qu'on n'a pas, par exemple,
toutes les machines nécessaires sous la main, ou encore le temps à y
consacrer.
--
Trou du cul.
Arnaud.
Pourquoi est-ce que tu signes tes messages deux fois ?
Pour utiliser le serveur il faut déja qu'il le pirate, hors, avec seulement apache et le firewall bien configuré, il va avoir du mal.
Suffit de regarder l'historique d'Apache en terme de failles, et surtout tout ce qu'il est possible de faire avec, c'est justement le sujet du thread, on site dynamique mal développé. Un simple directory traversal sur un site possédant un script d'upload peut assez rapidement aboutir à un shell par exemple.
Quel est cette assertion : "On ne met *jamais* de serveur sur un firewall"? Ca dépend pleinement du degré de sécurité qu'on vise.
Je dirai que ça dépend surtout des ressources dont on dispose. N'importe qui a tendance à vouloir le meilleur niveau de sécurité possible, mais ce qui pousse à faire des compromis, c'est qu'on n'a pas forcément les moyens de le faire. Ne serait-ce que parce qu'on n'a pas, par exemple, toutes les machines nécessaires sous la main, ou encore le temps à y consacrer.
--
Trou du cul. Arnaud. Pourquoi est-ce que tu signes tes messages deux fois ?
-+- MV in GFA : Bien structurer sa réponse -+-
Stephane Catteau
Eric Razny nous disait récement dans fr.comp.securite <news:3f5a4e8f$0$27583$ :
[...] Accessoirement profiter qu'un service tourne sous BSD/Linux pour ajouter une couche de FW peut se défendre. Il y a aussi des inconvénients (règles à gérer à de multiples endroits, risque, malgré tout, que ce soit la couche FW qui soit le point de compromission etc.).
Tu veux dire par là lancer IPFilter/IPChain/autre sur la machine serveur ? *Si* l'on suit le principe un service/une machine il n'y a guère d'inconvénient puisque les règles sont : 1) Bloquer tout ce qui vient d'une adresse IP attribuée à un serveur 2) Laisser passer le trafic à destination du service qui tourne 3) Laisser passer le trafic pour sshd 4) Bloquer tout
Si l'on prend soin de placer les serveurs dans une plage d'adresses IP bien définie et séparée de celle utilisée par les postes de travail le seul moment où l'on aura à modifier les règles, c'est lorsque l'on change le service qui tourne sur la machine.
-- "Si ceux qui disent du mal de moi savaient exactement ce que je pense d'eux , ils en diraient bien davantage." Sacha Guitry
Eric Razny nous disait récement dans fr.comp.securite
<news:3f5a4e8f$0$27583$626a54ce@news.free.fr> :
[...] Accessoirement profiter qu'un service tourne sous BSD/Linux
pour ajouter une couche de FW peut se défendre. Il y a aussi des
inconvénients (règles à gérer à de multiples endroits, risque,
malgré tout, que ce soit la couche FW qui soit le point de
compromission etc.).
Tu veux dire par là lancer IPFilter/IPChain/autre sur la machine
serveur ? *Si* l'on suit le principe un service/une machine il n'y a
guère d'inconvénient puisque les règles sont :
1) Bloquer tout ce qui vient d'une adresse IP attribuée à un serveur
2) Laisser passer le trafic à destination du service qui tourne
3) Laisser passer le trafic pour sshd
4) Bloquer tout
Si l'on prend soin de placer les serveurs dans une plage d'adresses IP
bien définie et séparée de celle utilisée par les postes de travail le
seul moment où l'on aura à modifier les règles, c'est lorsque l'on
change le service qui tourne sur la machine.
--
"Si ceux qui disent du mal de moi savaient exactement ce que je
pense d'eux , ils en diraient bien davantage."
Sacha Guitry
Eric Razny nous disait récement dans fr.comp.securite <news:3f5a4e8f$0$27583$ :
[...] Accessoirement profiter qu'un service tourne sous BSD/Linux pour ajouter une couche de FW peut se défendre. Il y a aussi des inconvénients (règles à gérer à de multiples endroits, risque, malgré tout, que ce soit la couche FW qui soit le point de compromission etc.).
Tu veux dire par là lancer IPFilter/IPChain/autre sur la machine serveur ? *Si* l'on suit le principe un service/une machine il n'y a guère d'inconvénient puisque les règles sont : 1) Bloquer tout ce qui vient d'une adresse IP attribuée à un serveur 2) Laisser passer le trafic à destination du service qui tourne 3) Laisser passer le trafic pour sshd 4) Bloquer tout
Si l'on prend soin de placer les serveurs dans une plage d'adresses IP bien définie et séparée de celle utilisée par les postes de travail le seul moment où l'on aura à modifier les règles, c'est lorsque l'on change le service qui tourne sur la machine.
-- "Si ceux qui disent du mal de moi savaient exactement ce que je pense d'eux , ils en diraient bien davantage." Sacha Guitry
Stephane Catteau
Jean-Claude nous disait récement dans fr.comp.securite <news: :
Alors si je comprends bien ca signifie que sur mon poste PC(passerelle-firewall) il faut, si je veux etre plus secure, que je rajoute une 3eme carte reseau pour creer une 3eme interface dediée plus specifiquement aux serveurs ?
Oui.
[Snip]
C'est bien ca ?
Oui.
cette 3eme interface ou 3eme zone , est ce bien ce que l'on appelle une DMZ ?
Oui aussi. C'est parfait, tu as tout compris, un exploit lorsque l'on connait la valeur de mes gribouillis lorsqu'ils ne sont pas en ASCII-art ;-)
Merci de vos reponses et conseils eclaires.
De rien.
-- "Si ceux qui disent du mal de moi savaient exactement ce que je pense d'eux , ils en diraient bien davantage." Sacha Guitry
Jean-Claude nous disait récement dans fr.comp.securite
<news:20030907012425.6f98142e.jcDOTaygalenq@NOSPAMwanadoo.fr> :
Alors si je comprends bien ca signifie que sur mon poste
PC(passerelle-firewall) il faut, si je veux etre plus secure,
que je rajoute une 3eme carte reseau pour creer une 3eme interface
dediée plus specifiquement aux serveurs ?
Oui.
[Snip]
C'est bien ca ?
Oui.
cette 3eme interface ou 3eme zone , est ce bien ce que l'on appelle
une DMZ ?
Oui aussi. C'est parfait, tu as tout compris, un exploit lorsque l'on
connait la valeur de mes gribouillis lorsqu'ils ne sont pas en
ASCII-art ;-)
Merci de vos reponses et conseils eclaires.
De rien.
--
"Si ceux qui disent du mal de moi savaient exactement ce que je
pense d'eux , ils en diraient bien davantage."
Sacha Guitry
Jean-Claude nous disait récement dans fr.comp.securite <news: :
Alors si je comprends bien ca signifie que sur mon poste PC(passerelle-firewall) il faut, si je veux etre plus secure, que je rajoute une 3eme carte reseau pour creer une 3eme interface dediée plus specifiquement aux serveurs ?
Oui.
[Snip]
C'est bien ca ?
Oui.
cette 3eme interface ou 3eme zone , est ce bien ce que l'on appelle une DMZ ?
Oui aussi. C'est parfait, tu as tout compris, un exploit lorsque l'on connait la valeur de mes gribouillis lorsqu'ils ne sont pas en ASCII-art ;-)
Merci de vos reponses et conseils eclaires.
De rien.
-- "Si ceux qui disent du mal de moi savaient exactement ce que je pense d'eux , ils en diraient bien davantage." Sacha Guitry
Stephane Catteau
Eric Razny nous disait récement dans fr.comp.securite <news:3f5b28a9$0$27592$ :
"Stephane Catteau" a écrit dans le message de
1) Bloquer tout ce qui vient d'une adresse IP attribuée à un serveur 2) Laisser passer le trafic à destination du service qui tourne 3) Laisser passer le trafic pour sshd 4) Bloquer tout [Snip]
C'est bien ce que je fais, surtout que ça prend 5mn par serveur :) Et encore, je ne laisse passer le traffic sshd que de quelques ip
C'est l'idéal, mais il faut bien penser ses adresses IP, pour ne pas avoir à faire de modif' par la suite.
-je passe par le fw d'habitude quand j'entre chez le client, et de chez lui physiquement d'un seul poste quand je ne suis pas sur le serveur lui même-. C'est pas la panacée mais ça limite encore les risques.
Chez moi c'est une chose que tu ne pourrais pas faire, l'adresse IP du firewall est interdite de séjour sur tous les postes.
Mon seul soucis, pour ne pas me faire reprendre de volée, était de préciser que le logiciel de FW lui même peut être une porte d'entrée (genre un exploit buf-ov avec des paquets spéciaux, un module patch-o-matiqué qui déconne...).
Et hop, comment faire la différence entre Eric en visite chez un client, et un vilain pas bô qui est sur le firewall ? ;-)
Je précisais néanmoins que c'était très peu probable car ce genre de code est conçu dès le départ avec soin et bien surveillé par la communauté.
Heureusement d'ailleurs, mais il faut prévoir l'imprévisible. C'est tout le charme de la sécurité informatique d'ailleurs.
-- "Si ceux qui disent du mal de moi savaient exactement ce que je pense d'eux , ils en diraient bien davantage." Sacha Guitry
Eric Razny nous disait récement dans fr.comp.securite
<news:3f5b28a9$0$27592$626a54ce@news.free.fr> :
"Stephane Catteau" <stephane@sc4x.net> a écrit dans le message de
1) Bloquer tout ce qui vient d'une adresse IP attribuée à un
serveur
2) Laisser passer le trafic à destination du service qui
tourne
3) Laisser passer le trafic pour sshd
4) Bloquer tout
[Snip]
C'est bien ce que je fais, surtout que ça prend 5mn par serveur :)
Et encore, je ne laisse passer le traffic sshd que de quelques ip
C'est l'idéal, mais il faut bien penser ses adresses IP, pour ne pas
avoir à faire de modif' par la suite.
-je passe par le fw d'habitude quand j'entre chez le client, et de
chez lui physiquement d'un seul poste quand je ne suis pas sur le
serveur lui même-. C'est pas la panacée mais ça limite encore les
risques.
Chez moi c'est une chose que tu ne pourrais pas faire, l'adresse IP du
firewall est interdite de séjour sur tous les postes.
Mon seul soucis, pour ne pas me faire reprendre de volée, était de
préciser que le logiciel de FW lui même peut être une porte
d'entrée (genre un exploit buf-ov avec des paquets spéciaux, un
module patch-o-matiqué qui déconne...).
Et hop, comment faire la différence entre Eric en visite chez un
client, et un vilain pas bô qui est sur le firewall ? ;-)
Je précisais néanmoins que c'était très peu probable car ce genre de
code est conçu dès le départ avec soin et bien surveillé par la
communauté.
Heureusement d'ailleurs, mais il faut prévoir l'imprévisible. C'est
tout le charme de la sécurité informatique d'ailleurs.
--
"Si ceux qui disent du mal de moi savaient exactement ce que je
pense d'eux , ils en diraient bien davantage."
Sacha Guitry
Eric Razny nous disait récement dans fr.comp.securite <news:3f5b28a9$0$27592$ :
"Stephane Catteau" a écrit dans le message de
1) Bloquer tout ce qui vient d'une adresse IP attribuée à un serveur 2) Laisser passer le trafic à destination du service qui tourne 3) Laisser passer le trafic pour sshd 4) Bloquer tout [Snip]
C'est bien ce que je fais, surtout que ça prend 5mn par serveur :) Et encore, je ne laisse passer le traffic sshd que de quelques ip
C'est l'idéal, mais il faut bien penser ses adresses IP, pour ne pas avoir à faire de modif' par la suite.
-je passe par le fw d'habitude quand j'entre chez le client, et de chez lui physiquement d'un seul poste quand je ne suis pas sur le serveur lui même-. C'est pas la panacée mais ça limite encore les risques.
Chez moi c'est une chose que tu ne pourrais pas faire, l'adresse IP du firewall est interdite de séjour sur tous les postes.
Mon seul soucis, pour ne pas me faire reprendre de volée, était de préciser que le logiciel de FW lui même peut être une porte d'entrée (genre un exploit buf-ov avec des paquets spéciaux, un module patch-o-matiqué qui déconne...).
Et hop, comment faire la différence entre Eric en visite chez un client, et un vilain pas bô qui est sur le firewall ? ;-)
Je précisais néanmoins que c'était très peu probable car ce genre de code est conçu dès le départ avec soin et bien surveillé par la communauté.
Heureusement d'ailleurs, mais il faut prévoir l'imprévisible. C'est tout le charme de la sécurité informatique d'ailleurs.
-- "Si ceux qui disent du mal de moi savaient exactement ce que je pense d'eux , ils en diraient bien davantage." Sacha Guitry
lessaid Abderrahman
"tagada" a écrit dans le message de news: 3f5aedb2$0$20953$
Bonjour,
Tout d'abord merci à tous de vos réponses éclairées. A priori je pense donc à cette solution. En plus on partage notre ADSL avec un autre service qui n'a qu'a se mettre directement sur notre routeur et se debrouiller de son coté. (chacun ses problemes non ? ;-))
PC Administration X ! ! PC-------switch-------------firewall-------------routeur-------modem ADSL ! ! PC Serveur
Serveur de fichier dans un premier temps, puis d'applications par la suite.(je rajoute un switch sur la patte Serveur j'imagine?) Oui
Le firewall serait donc mon celeron de 64Mo avec 3 cartes réseaux et j'ai pensé à IPCOP en priorité sinon à OpenDSB OpenBSD ;) ( www.openbsd.org )
Juste une autre quetion : Si je souhaite mettre en place un serveur Web, Mail,...par la suite dois je
les mettre sur la meme patte que les serveurs du LAN ou rajouter un autre firewall sur le routeur avec une autre patte? Il y a une petite confusion de ce coté :
La 3e patte de ton firewall serviras pour les serveur qui auront des services externe tel que le Web ou le mail. Mais un serveur de fichier peut se trouver sur le Lan de tes postes. Ceci est donc risqué car tu met ton serveur de fichier dans la DMZ, ce qui ne serais pas juste dans une politique de sécurité : Si une personne arrive a prendre possesion de ton serveur WEB ou MAIL, il pourrais alors avoir accès aux fichiers et aux applications, ce qui engendrerais le contrôle de ton réseaux. Car il luis suffis de mettre un ver/trojan/keylogeur qui serai lancer en même temps que l'application ( ou fichier [1] ) sur un Poste du Lan.
"tagada" <tagada@wanadoo.nospam.fr> a écrit dans le message de news:
3f5aedb2$0$20953$7a628cd7@news.club-internet.fr...
Bonjour,
Tout d'abord merci à tous de vos réponses éclairées.
A priori je pense donc à cette solution.
En plus on partage notre ADSL avec un autre service qui n'a qu'a se mettre
directement sur notre routeur et se debrouiller de son coté.
(chacun ses problemes non ? ;-))
PC
Administration X
!
!
PC-------switch-------------firewall-------------routeur-------modem ADSL
! !
PC Serveur
Serveur de fichier dans un premier temps, puis d'applications par la
suite.(je rajoute un switch sur la patte Serveur j'imagine?)
Oui
Le firewall serait donc mon celeron de 64Mo avec 3 cartes réseaux et j'ai
pensé à IPCOP en priorité sinon à OpenDSB
OpenBSD ;) ( www.openbsd.org )
Juste une autre quetion :
Si je souhaite mettre en place un serveur Web, Mail,...par la suite dois
je
les mettre sur la meme patte que les serveurs du LAN ou rajouter un autre
firewall sur le routeur avec une autre patte?
Il y a une petite confusion de ce coté :
La 3e patte de ton firewall serviras pour les serveur qui auront des
services externe
tel que le Web ou le mail.
Mais un serveur de fichier peut se trouver sur le Lan de tes postes.
Ceci est donc risqué car tu met ton serveur de fichier dans la DMZ, ce qui
ne serais
pas juste dans une politique de sécurité :
Si une personne arrive a prendre possesion de ton serveur WEB ou MAIL, il
pourrais alors
avoir accès aux fichiers et aux applications, ce qui engendrerais le
contrôle de ton réseaux.
Car il luis suffis de mettre un ver/trojan/keylogeur qui serai lancer en
même temps que l'application
( ou fichier [1] ) sur un Poste du Lan.
"tagada" a écrit dans le message de news: 3f5aedb2$0$20953$
Bonjour,
Tout d'abord merci à tous de vos réponses éclairées. A priori je pense donc à cette solution. En plus on partage notre ADSL avec un autre service qui n'a qu'a se mettre directement sur notre routeur et se debrouiller de son coté. (chacun ses problemes non ? ;-))
PC Administration X ! ! PC-------switch-------------firewall-------------routeur-------modem ADSL ! ! PC Serveur
Serveur de fichier dans un premier temps, puis d'applications par la suite.(je rajoute un switch sur la patte Serveur j'imagine?) Oui
Le firewall serait donc mon celeron de 64Mo avec 3 cartes réseaux et j'ai pensé à IPCOP en priorité sinon à OpenDSB OpenBSD ;) ( www.openbsd.org )
Juste une autre quetion : Si je souhaite mettre en place un serveur Web, Mail,...par la suite dois je
les mettre sur la meme patte que les serveurs du LAN ou rajouter un autre firewall sur le routeur avec une autre patte? Il y a une petite confusion de ce coté :
La 3e patte de ton firewall serviras pour les serveur qui auront des services externe tel que le Web ou le mail. Mais un serveur de fichier peut se trouver sur le Lan de tes postes. Ceci est donc risqué car tu met ton serveur de fichier dans la DMZ, ce qui ne serais pas juste dans une politique de sécurité : Si une personne arrive a prendre possesion de ton serveur WEB ou MAIL, il pourrais alors avoir accès aux fichiers et aux applications, ce qui engendrerais le contrôle de ton réseaux. Car il luis suffis de mettre un ver/trojan/keylogeur qui serai lancer en même temps que l'application ( ou fichier [1] ) sur un Poste du Lan.
On 06 Sep 2003 20:59:31 GMT, Stephane Catteau wrote:
Quel est cette assertion : "On ne met *jamais* de serveur sur un firewall"?
C'est une assertion élémentaire en matière de sécurité informatique. Un firewall est fait pour protéger un réseau, pas pour proposer un service.
Ca dépend pleinement du degré de sécurité qu'on vise.
Pas vraiment non.
Et pourtant... Considérons le schéma suivant :
LAN --- Switch --- Passerelle --- ADSL --- Internet
Sur la passerelle tournent quelques services ainsi que le pare-feu. Le pare-feu refuse tout flux entrant venant d'Internet. Si l'on fait confiance aux utilisateurs ( ce qui est à priori le cas d'un reseau domestique ), je trouve la sécurité suffisante. Clairement, comme le dit Deadcow, cela depend du degré de sécurité voulu et de l'environement.
-- Olivier
On 06 Sep 2003 20:59:31 GMT, Stephane Catteau wrote:
Quel est cette assertion : "On ne met *jamais* de serveur sur un
firewall"?
C'est une assertion élémentaire en matière de sécurité informatique.
Un firewall est fait pour protéger un réseau, pas pour proposer un
service.
Ca dépend pleinement du degré de sécurité qu'on vise.
Pas vraiment non.
Et pourtant...
Considérons le schéma suivant :
LAN --- Switch --- Passerelle --- ADSL --- Internet
Sur la passerelle tournent quelques services ainsi que le pare-feu.
Le pare-feu refuse tout flux entrant venant d'Internet.
Si l'on fait confiance aux utilisateurs ( ce qui est à priori le cas
d'un reseau domestique ), je trouve la sécurité suffisante.
Clairement, comme le dit Deadcow, cela depend du degré de sécurité voulu
et de l'environement.
On 06 Sep 2003 20:59:31 GMT, Stephane Catteau wrote:
Quel est cette assertion : "On ne met *jamais* de serveur sur un firewall"?
C'est une assertion élémentaire en matière de sécurité informatique. Un firewall est fait pour protéger un réseau, pas pour proposer un service.
Ca dépend pleinement du degré de sécurité qu'on vise.
Pas vraiment non.
Et pourtant... Considérons le schéma suivant :
LAN --- Switch --- Passerelle --- ADSL --- Internet
Sur la passerelle tournent quelques services ainsi que le pare-feu. Le pare-feu refuse tout flux entrant venant d'Internet. Si l'on fait confiance aux utilisateurs ( ce qui est à priori le cas d'un reseau domestique ), je trouve la sécurité suffisante. Clairement, comme le dit Deadcow, cela depend du degré de sécurité voulu et de l'environement.
