Bonjour à tous,
Connexion via un routeur NAT faisant également office de modem ADSL.
Les postes du LAN ayant pour gateway le routeur Internet.
J'ai implémenté quelques règles de forwarding, afin d'atteindre
depuis l'extérieur certaines applications bien spécifiques. De ce
fait, je pars du principe, que mon réseau est *relativement* protégé
niveau couche IP des attaques de l'extérieur, en dehors des ports
forwardés bien évidemment.
Par contre, on est d'accord qu'en sortie (donc du LAN vers le net),
il n'y a aujourd'hui pas de filtrage au niveau IP, puisque mon
routeur NAT ne fait pas de filtrage. De ce fait, mon réseau n'est
pas protégé de ce côté là, c'est à dire qu'il peut permettre à
n'importe quel programme de me pirater de l'intérieur en négociant
des connexions avec l'extérieur.
Le seul moyen de s'en prémunir étant à mon sens :
- un firewall matériel filtrant IP les paquets en sortie
- et/ou un proxy
Pour moi, la première solution semble avoir ses limites, dans le
sens où je vais forcément devoir ouvrir des ports en sortie, ne
serait ce que les connexions vers les ports 25, 80, 110 et 443 et
pour n'importe quelle IP de destination, sinon pas d'utilisation du
net possible.
J'imagine que les programmes malveillants style trojans vont
utiliser justement ces ports non ?
La seconde solution me parait, je me trompe peut-etre (d'où la
raison de mon post!) plus judicieuse. Je ne parle pas là d'un
proxy cache, mais juste d'un proxy faisant comme de la nat
masquerade. De ce fait, mes postes de travail n'auraient plus
besoin d'avoir l'@ IP de la gateway dans leur config IP (->
cela est il intéressant niveau sécurité ?).
Mais cela n'est pas non plus trop restrictif ?
Je sais bien que je tombe dans le compromis à trouver entre trop de
sécurité et pas assez, le trop induisant une administration
difficilement gérable.
D'avance merci pour vos lumières.
Bonjour à tous,
Connexion via un routeur NAT faisant également office de modem ADSL.
Les postes du LAN ayant pour gateway le routeur Internet.
J'ai implémenté quelques règles de forwarding, afin d'atteindre
depuis l'extérieur certaines applications bien spécifiques. De ce
fait, je pars du principe, que mon réseau est *relativement* protégé
niveau couche IP des attaques de l'extérieur, en dehors des ports
forwardés bien évidemment.
Par contre, on est d'accord qu'en sortie (donc du LAN vers le net),
il n'y a aujourd'hui pas de filtrage au niveau IP, puisque mon
routeur NAT ne fait pas de filtrage. De ce fait, mon réseau n'est
pas protégé de ce côté là, c'est à dire qu'il peut permettre à
n'importe quel programme de me pirater de l'intérieur en négociant
des connexions avec l'extérieur.
Le seul moyen de s'en prémunir étant à mon sens :
- un firewall matériel filtrant IP les paquets en sortie
- et/ou un proxy
Pour moi, la première solution semble avoir ses limites, dans le
sens où je vais forcément devoir ouvrir des ports en sortie, ne
serait ce que les connexions vers les ports 25, 80, 110 et 443 et
pour n'importe quelle IP de destination, sinon pas d'utilisation du
net possible.
J'imagine que les programmes malveillants style trojans vont
utiliser justement ces ports non ?
La seconde solution me parait, je me trompe peut-etre (d'où la
raison de mon post!) plus judicieuse. Je ne parle pas là d'un
proxy cache, mais juste d'un proxy faisant comme de la nat
masquerade. De ce fait, mes postes de travail n'auraient plus
besoin d'avoir l'@ IP de la gateway dans leur config IP (->
cela est il intéressant niveau sécurité ?).
Mais cela n'est pas non plus trop restrictif ?
Je sais bien que je tombe dans le compromis à trouver entre trop de
sécurité et pas assez, le trop induisant une administration
difficilement gérable.
D'avance merci pour vos lumières.
Bonjour à tous,
Connexion via un routeur NAT faisant également office de modem ADSL.
Les postes du LAN ayant pour gateway le routeur Internet.
J'ai implémenté quelques règles de forwarding, afin d'atteindre
depuis l'extérieur certaines applications bien spécifiques. De ce
fait, je pars du principe, que mon réseau est *relativement* protégé
niveau couche IP des attaques de l'extérieur, en dehors des ports
forwardés bien évidemment.
Par contre, on est d'accord qu'en sortie (donc du LAN vers le net),
il n'y a aujourd'hui pas de filtrage au niveau IP, puisque mon
routeur NAT ne fait pas de filtrage. De ce fait, mon réseau n'est
pas protégé de ce côté là, c'est à dire qu'il peut permettre à
n'importe quel programme de me pirater de l'intérieur en négociant
des connexions avec l'extérieur.
Le seul moyen de s'en prémunir étant à mon sens :
- un firewall matériel filtrant IP les paquets en sortie
- et/ou un proxy
Pour moi, la première solution semble avoir ses limites, dans le
sens où je vais forcément devoir ouvrir des ports en sortie, ne
serait ce que les connexions vers les ports 25, 80, 110 et 443 et
pour n'importe quelle IP de destination, sinon pas d'utilisation du
net possible.
J'imagine que les programmes malveillants style trojans vont
utiliser justement ces ports non ?
La seconde solution me parait, je me trompe peut-etre (d'où la
raison de mon post!) plus judicieuse. Je ne parle pas là d'un
proxy cache, mais juste d'un proxy faisant comme de la nat
masquerade. De ce fait, mes postes de travail n'auraient plus
besoin d'avoir l'@ IP de la gateway dans leur config IP (->
cela est il intéressant niveau sécurité ?).
Mais cela n'est pas non plus trop restrictif ?
Je sais bien que je tombe dans le compromis à trouver entre trop de
sécurité et pas assez, le trop induisant une administration
difficilement gérable.
D'avance merci pour vos lumières.
Laurent Merlet a wroté :Bonjour à tous,
Bonjour,Connexion via un routeur NAT faisant également office de modem ADSL.
Les postes du LAN ayant pour gateway le routeur Internet.
J'ai implémenté quelques règles de forwarding, afin d'atteindre
depuis l'extérieur certaines applications bien spécifiques. De ce
fait, je pars du principe, que mon réseau est *relativement* protégé
niveau couche IP des attaques de l'extérieur, en dehors des ports
forwardés bien évidemment.
Si c'est tel que vous l'avez décrit çi-dessus sans rien de plus, je
suis tenté de dire non : un routeur NAT ne protège de rien, il faut
filtrer pour protéger. Mais je vais supposer que c'est déjà le cas
puisque si vous forwardez certains ports, c'est que les autres sont
filtrés, implicitement.Par contre, on est d'accord qu'en sortie (donc du LAN vers le net),
il n'y a aujourd'hui pas de filtrage au niveau IP, puisque mon
routeur NAT ne fait pas de filtrage. De ce fait, mon réseau n'est
pas protégé de ce côté là, c'est à dire qu'il peut permettre à
n'importe quel programme de me pirater de l'intérieur en négociant
des connexions avec l'extérieur.
Je trouve que votre expression "pirater de l'intérieur" est ambigüe.
D'après ce que vous décrivez, vous êtes exposé à une éventuelle fuite
de données vers l'extérieur, ou à un usage de la connexion Internet
par les postes du LAN qui n'est pas prévue et peut le cas échéant
s'avérer abusive. Mais même en prenant toutes les précautions sur la
façon d'accéder à l'extérieur depusi le LAN, vous n'empêcherez pas en
cela un usager du réseau local de "pirater" un autre poste de ce même
LAN (et c'est en cela que je trouve l'expression ambigüe).
Le seul moyen de s'en prémunir étant à mon sens :
- un firewall matériel filtrant IP les paquets en sortie
- et/ou un proxy
Oui, mais pas seulement.Pour moi, la première solution semble avoir ses limites, dans le
sens où je vais forcément devoir ouvrir des ports en sortie, ne
serait ce que les connexions vers les ports 25, 80, 110 et 443 et
pour n'importe quelle IP de destination, sinon pas d'utilisation du
net possible.
Je ne suis pas d'accord : si vous n'avez pas de proxy, beaucoup de FAI
en proposent, et vous pouvez fort bien limiter l'accès via les ports
80 & 443 à l'IP de ce seul proxy, de même que vous pouvez limiter les
accès 25 & 110 au seul serveur de messagerie de votre FAI. C'est un
choix, ce n'est pas une "protection" contre tout, mais ça restreint
déjà les accès et quelques risques, vous n'êtes donc pas obligé de
tout ouvrir.J'imagine que les programmes malveillants style trojans vont
utiliser justement ces ports non ?
Certains, oui. Mais vous en bloquerez déjà un certain nombre : par
exemple Back Orifice sur le port 31337, Netbus sur 12345 ...
Si cependant un troyen utilise le port 80 pour passer inaperçu dans le
trafic web, il ne sera effectivement pas filtré, pas plus qu'un petit
malin ouvrant une session ssh vers son serveur chez lui, si le serveur
écoute le port 443.La seconde solution me parait, je me trompe peut-etre (d'où la
raison de mon post!) plus judicieuse. Je ne parle pas là d'un
proxy cache, mais juste d'un proxy faisant comme de la nat
masquerade. De ce fait, mes postes de travail n'auraient plus
besoin d'avoir l'@ IP de la gateway dans leur config IP (->
cela est il intéressant niveau sécurité ?).
Oui c'est intéressant, parce que les postes de votre résau n'enverront
plus systématiquement toutes leurs requêtes hors LAN vers cette
passerelle, et donc vers l'extérieur. Par contre, un proxy ne faisant
basiquement que du NAT n'empêchera pas les fuites de données, ni
n'empêchera un trafic parasite de sortir en empruntant un port connu
comme le port 80. Mais pour cela, il faut pouvoir filtrer aux niveaux
applicatifs, ce qui est nettement plus compliqué et lourd en
investissement. On peut se contenter d'une solution intéermédiaire,
avec une passerelle de NAT seule autorisée à sortir, ne transmettant
que certaisn flux vers certaines destinations, voire le cas échéant
relayant l'accès au web via un proxy, qui autoriserait les listes,
noires, les restrictions par extensions de fichier, une protection
antivirale, etc. . Tout dépend jusqu'où vous êtes disposé à aller.Mais cela n'est pas non plus trop restrictif ?
Vous êtes le seul à pouvoir répondre à cette question :
- A quels risques votre LAN doit-il faire face ?
- Combien (en temps / efforts / argent) êtes-vous disposé à investir
pour couvrir ces risques ?
- Quel niveau de sécurité comptez-vous y appliquer ?
- Les efforts et les investissements pour y parvenir sont-ils
justifiés ? En quoi ?
La réponse à ces questions vous fournira une ébauche de réponse à
celle que vous posez, mais en tant que responsable de ce réseau vous
seul pouvez y répondre.Je sais bien que je tombe dans le compromis à trouver entre trop de
sécurité et pas assez, le trop induisant une administration
difficilement gérable.
Oui, et c'est le cas quel que soit le réseau à gérer :) .
D'avance merci pour vos lumières.
HTH.
Merci à vous en revanche de ne plus poster votre message en plusieurs
exemplaires : ce n'est pas parce que vous n'avez pas eu de réponse que
le message n'est pas vu.
--
Guillaume
Laurent Merlet a wroté :
Bonjour à tous,
Bonjour,
Connexion via un routeur NAT faisant également office de modem ADSL.
Les postes du LAN ayant pour gateway le routeur Internet.
J'ai implémenté quelques règles de forwarding, afin d'atteindre
depuis l'extérieur certaines applications bien spécifiques. De ce
fait, je pars du principe, que mon réseau est *relativement* protégé
niveau couche IP des attaques de l'extérieur, en dehors des ports
forwardés bien évidemment.
Si c'est tel que vous l'avez décrit çi-dessus sans rien de plus, je
suis tenté de dire non : un routeur NAT ne protège de rien, il faut
filtrer pour protéger. Mais je vais supposer que c'est déjà le cas
puisque si vous forwardez certains ports, c'est que les autres sont
filtrés, implicitement.
Par contre, on est d'accord qu'en sortie (donc du LAN vers le net),
il n'y a aujourd'hui pas de filtrage au niveau IP, puisque mon
routeur NAT ne fait pas de filtrage. De ce fait, mon réseau n'est
pas protégé de ce côté là, c'est à dire qu'il peut permettre à
n'importe quel programme de me pirater de l'intérieur en négociant
des connexions avec l'extérieur.
Je trouve que votre expression "pirater de l'intérieur" est ambigüe.
D'après ce que vous décrivez, vous êtes exposé à une éventuelle fuite
de données vers l'extérieur, ou à un usage de la connexion Internet
par les postes du LAN qui n'est pas prévue et peut le cas échéant
s'avérer abusive. Mais même en prenant toutes les précautions sur la
façon d'accéder à l'extérieur depusi le LAN, vous n'empêcherez pas en
cela un usager du réseau local de "pirater" un autre poste de ce même
LAN (et c'est en cela que je trouve l'expression ambigüe).
Le seul moyen de s'en prémunir étant à mon sens :
- un firewall matériel filtrant IP les paquets en sortie
- et/ou un proxy
Oui, mais pas seulement.
Pour moi, la première solution semble avoir ses limites, dans le
sens où je vais forcément devoir ouvrir des ports en sortie, ne
serait ce que les connexions vers les ports 25, 80, 110 et 443 et
pour n'importe quelle IP de destination, sinon pas d'utilisation du
net possible.
Je ne suis pas d'accord : si vous n'avez pas de proxy, beaucoup de FAI
en proposent, et vous pouvez fort bien limiter l'accès via les ports
80 & 443 à l'IP de ce seul proxy, de même que vous pouvez limiter les
accès 25 & 110 au seul serveur de messagerie de votre FAI. C'est un
choix, ce n'est pas une "protection" contre tout, mais ça restreint
déjà les accès et quelques risques, vous n'êtes donc pas obligé de
tout ouvrir.
J'imagine que les programmes malveillants style trojans vont
utiliser justement ces ports non ?
Certains, oui. Mais vous en bloquerez déjà un certain nombre : par
exemple Back Orifice sur le port 31337, Netbus sur 12345 ...
Si cependant un troyen utilise le port 80 pour passer inaperçu dans le
trafic web, il ne sera effectivement pas filtré, pas plus qu'un petit
malin ouvrant une session ssh vers son serveur chez lui, si le serveur
écoute le port 443.
La seconde solution me parait, je me trompe peut-etre (d'où la
raison de mon post!) plus judicieuse. Je ne parle pas là d'un
proxy cache, mais juste d'un proxy faisant comme de la nat
masquerade. De ce fait, mes postes de travail n'auraient plus
besoin d'avoir l'@ IP de la gateway dans leur config IP (->
cela est il intéressant niveau sécurité ?).
Oui c'est intéressant, parce que les postes de votre résau n'enverront
plus systématiquement toutes leurs requêtes hors LAN vers cette
passerelle, et donc vers l'extérieur. Par contre, un proxy ne faisant
basiquement que du NAT n'empêchera pas les fuites de données, ni
n'empêchera un trafic parasite de sortir en empruntant un port connu
comme le port 80. Mais pour cela, il faut pouvoir filtrer aux niveaux
applicatifs, ce qui est nettement plus compliqué et lourd en
investissement. On peut se contenter d'une solution intéermédiaire,
avec une passerelle de NAT seule autorisée à sortir, ne transmettant
que certaisn flux vers certaines destinations, voire le cas échéant
relayant l'accès au web via un proxy, qui autoriserait les listes,
noires, les restrictions par extensions de fichier, une protection
antivirale, etc. . Tout dépend jusqu'où vous êtes disposé à aller.
Mais cela n'est pas non plus trop restrictif ?
Vous êtes le seul à pouvoir répondre à cette question :
- A quels risques votre LAN doit-il faire face ?
- Combien (en temps / efforts / argent) êtes-vous disposé à investir
pour couvrir ces risques ?
- Quel niveau de sécurité comptez-vous y appliquer ?
- Les efforts et les investissements pour y parvenir sont-ils
justifiés ? En quoi ?
La réponse à ces questions vous fournira une ébauche de réponse à
celle que vous posez, mais en tant que responsable de ce réseau vous
seul pouvez y répondre.
Je sais bien que je tombe dans le compromis à trouver entre trop de
sécurité et pas assez, le trop induisant une administration
difficilement gérable.
Oui, et c'est le cas quel que soit le réseau à gérer :) .
D'avance merci pour vos lumières.
HTH.
Merci à vous en revanche de ne plus poster votre message en plusieurs
exemplaires : ce n'est pas parce que vous n'avez pas eu de réponse que
le message n'est pas vu.
--
Guillaume
Laurent Merlet a wroté :Bonjour à tous,
Bonjour,Connexion via un routeur NAT faisant également office de modem ADSL.
Les postes du LAN ayant pour gateway le routeur Internet.
J'ai implémenté quelques règles de forwarding, afin d'atteindre
depuis l'extérieur certaines applications bien spécifiques. De ce
fait, je pars du principe, que mon réseau est *relativement* protégé
niveau couche IP des attaques de l'extérieur, en dehors des ports
forwardés bien évidemment.
Si c'est tel que vous l'avez décrit çi-dessus sans rien de plus, je
suis tenté de dire non : un routeur NAT ne protège de rien, il faut
filtrer pour protéger. Mais je vais supposer que c'est déjà le cas
puisque si vous forwardez certains ports, c'est que les autres sont
filtrés, implicitement.Par contre, on est d'accord qu'en sortie (donc du LAN vers le net),
il n'y a aujourd'hui pas de filtrage au niveau IP, puisque mon
routeur NAT ne fait pas de filtrage. De ce fait, mon réseau n'est
pas protégé de ce côté là, c'est à dire qu'il peut permettre à
n'importe quel programme de me pirater de l'intérieur en négociant
des connexions avec l'extérieur.
Je trouve que votre expression "pirater de l'intérieur" est ambigüe.
D'après ce que vous décrivez, vous êtes exposé à une éventuelle fuite
de données vers l'extérieur, ou à un usage de la connexion Internet
par les postes du LAN qui n'est pas prévue et peut le cas échéant
s'avérer abusive. Mais même en prenant toutes les précautions sur la
façon d'accéder à l'extérieur depusi le LAN, vous n'empêcherez pas en
cela un usager du réseau local de "pirater" un autre poste de ce même
LAN (et c'est en cela que je trouve l'expression ambigüe).
Le seul moyen de s'en prémunir étant à mon sens :
- un firewall matériel filtrant IP les paquets en sortie
- et/ou un proxy
Oui, mais pas seulement.Pour moi, la première solution semble avoir ses limites, dans le
sens où je vais forcément devoir ouvrir des ports en sortie, ne
serait ce que les connexions vers les ports 25, 80, 110 et 443 et
pour n'importe quelle IP de destination, sinon pas d'utilisation du
net possible.
Je ne suis pas d'accord : si vous n'avez pas de proxy, beaucoup de FAI
en proposent, et vous pouvez fort bien limiter l'accès via les ports
80 & 443 à l'IP de ce seul proxy, de même que vous pouvez limiter les
accès 25 & 110 au seul serveur de messagerie de votre FAI. C'est un
choix, ce n'est pas une "protection" contre tout, mais ça restreint
déjà les accès et quelques risques, vous n'êtes donc pas obligé de
tout ouvrir.J'imagine que les programmes malveillants style trojans vont
utiliser justement ces ports non ?
Certains, oui. Mais vous en bloquerez déjà un certain nombre : par
exemple Back Orifice sur le port 31337, Netbus sur 12345 ...
Si cependant un troyen utilise le port 80 pour passer inaperçu dans le
trafic web, il ne sera effectivement pas filtré, pas plus qu'un petit
malin ouvrant une session ssh vers son serveur chez lui, si le serveur
écoute le port 443.La seconde solution me parait, je me trompe peut-etre (d'où la
raison de mon post!) plus judicieuse. Je ne parle pas là d'un
proxy cache, mais juste d'un proxy faisant comme de la nat
masquerade. De ce fait, mes postes de travail n'auraient plus
besoin d'avoir l'@ IP de la gateway dans leur config IP (->
cela est il intéressant niveau sécurité ?).
Oui c'est intéressant, parce que les postes de votre résau n'enverront
plus systématiquement toutes leurs requêtes hors LAN vers cette
passerelle, et donc vers l'extérieur. Par contre, un proxy ne faisant
basiquement que du NAT n'empêchera pas les fuites de données, ni
n'empêchera un trafic parasite de sortir en empruntant un port connu
comme le port 80. Mais pour cela, il faut pouvoir filtrer aux niveaux
applicatifs, ce qui est nettement plus compliqué et lourd en
investissement. On peut se contenter d'une solution intéermédiaire,
avec une passerelle de NAT seule autorisée à sortir, ne transmettant
que certaisn flux vers certaines destinations, voire le cas échéant
relayant l'accès au web via un proxy, qui autoriserait les listes,
noires, les restrictions par extensions de fichier, une protection
antivirale, etc. . Tout dépend jusqu'où vous êtes disposé à aller.Mais cela n'est pas non plus trop restrictif ?
Vous êtes le seul à pouvoir répondre à cette question :
- A quels risques votre LAN doit-il faire face ?
- Combien (en temps / efforts / argent) êtes-vous disposé à investir
pour couvrir ces risques ?
- Quel niveau de sécurité comptez-vous y appliquer ?
- Les efforts et les investissements pour y parvenir sont-ils
justifiés ? En quoi ?
La réponse à ces questions vous fournira une ébauche de réponse à
celle que vous posez, mais en tant que responsable de ce réseau vous
seul pouvez y répondre.Je sais bien que je tombe dans le compromis à trouver entre trop de
sécurité et pas assez, le trop induisant une administration
difficilement gérable.
Oui, et c'est le cas quel que soit le réseau à gérer :) .
D'avance merci pour vos lumières.
HTH.
Merci à vous en revanche de ne plus poster votre message en plusieurs
exemplaires : ce n'est pas parce que vous n'avez pas eu de réponse que
le message n'est pas vu.
--
Guillaume
