Dans ma PME (réseau 20 postes) nous avons une connec adsl oleane avec un
routeur loué à oleane (compris dans le prix de l'abonnement).
Je me rends compte que la sécu n'est pas optimale puisque le routeur
"répond" à des requetes externes (ports "closed" et non "stealth")
Donc je voudrais faire installer un firewall (est ce bien la bonne
solution?). Que me conseillez vous, soft ou hard? Sachant que le PC
derrière le routeur est aussi le serveur de fichier et qu'il faudrait
pas trop le faire ramer
Il faudra bien faire changer la config du routeur afin que le firewall
passe "devant" le routeur et que les ports soient "stealth" non?
Au fait, pour faire ça, faut-il impérativement un proxy, ou un firewall est-il capable de couper automatiquement la connexion dès qu'il voit un "^User-Agent: .*MSIE" ?
Ca dépend ce que tu appelle un FW (meuuuuuh non je ne suis pas normand :) ). Pour certains ça reste sur les couches basses (jusqu'à 4 on va dire) pour d'autre ça inclus les proxies applicatifs.
Mais bon vu ta question je suppose que tu es dans le premier groupe, alors en principe il faut un proxy. Mais histoire de simplifier (sic) le tout tu as des snort-inline qui peuvent aussi être utilisés pour faire ce que tu demande (tu dois créer des signatures pour) mais ce n'est pas, à mon sens, la démarche la plus simple[1]. Au moins avec le proxy c'est installé facilement et rapidement sans avoir à vérifier comment les paquets sont envoyés (découpage tcp) puisqu'il doit avoir toute la demande pour jouer les mandataires. Maintenant la charge machine dépend de ce qui va être demandé à la bête et de la BP.
Eric
[1] tu peux aussi créer un bout de code pour par exemple, mais ça ne me semble pas être la demande!
-- L'invulnérable : Je ne pense pas etre piratable, infectable par un trojen oui! Vu sur fcs un jour de mars 2004.
"Fabien LE LEZ" a écrit
Au fait, pour faire ça, faut-il impérativement un proxy, ou un
firewall est-il capable de couper automatiquement la connexion dès
qu'il voit un "^User-Agent: .*MSIE" ?
Ca dépend ce que tu appelle un FW (meuuuuuh non je ne suis pas normand :) ).
Pour certains ça reste sur les couches basses (jusqu'à 4 on va dire) pour
d'autre ça inclus les proxies applicatifs.
Mais bon vu ta question je suppose que tu es dans le premier groupe, alors
en principe il faut un proxy. Mais histoire de simplifier (sic) le tout tu
as des snort-inline qui peuvent aussi être utilisés pour faire ce que tu
demande (tu dois créer des signatures pour) mais ce n'est pas, à mon sens,
la démarche la plus simple[1]. Au moins avec le proxy c'est installé
facilement et rapidement sans avoir à vérifier comment les paquets sont
envoyés (découpage tcp) puisqu'il doit avoir toute la demande pour jouer les
mandataires. Maintenant la charge machine dépend de ce qui va être demandé à
la bête et de la BP.
Eric
[1] tu peux aussi créer un bout de code pour par exemple, mais ça ne me
semble pas être la demande!
--
L'invulnérable :
Je ne pense pas etre piratable, infectable par un trojen oui!
Vu sur fcs un jour de mars 2004.
Au fait, pour faire ça, faut-il impérativement un proxy, ou un firewall est-il capable de couper automatiquement la connexion dès qu'il voit un "^User-Agent: .*MSIE" ?
Ca dépend ce que tu appelle un FW (meuuuuuh non je ne suis pas normand :) ). Pour certains ça reste sur les couches basses (jusqu'à 4 on va dire) pour d'autre ça inclus les proxies applicatifs.
Mais bon vu ta question je suppose que tu es dans le premier groupe, alors en principe il faut un proxy. Mais histoire de simplifier (sic) le tout tu as des snort-inline qui peuvent aussi être utilisés pour faire ce que tu demande (tu dois créer des signatures pour) mais ce n'est pas, à mon sens, la démarche la plus simple[1]. Au moins avec le proxy c'est installé facilement et rapidement sans avoir à vérifier comment les paquets sont envoyés (découpage tcp) puisqu'il doit avoir toute la demande pour jouer les mandataires. Maintenant la charge machine dépend de ce qui va être demandé à la bête et de la BP.
Eric
[1] tu peux aussi créer un bout de code pour par exemple, mais ça ne me semble pas être la demande!
-- L'invulnérable : Je ne pense pas etre piratable, infectable par un trojen oui! Vu sur fcs un jour de mars 2004.
Nicob
On Fri, 16 Jul 2004 12:28:03 +0000, trewan wrote:
- les portables sortant parfois du LAN ont un firewall personnel
Les ordis sont tous connectés au net via le routeur . Tu veux dire qu'il faut à tous un firewall?
Non, je parlais des portables qui vont de temps en temps en clientèle ou bien sur des salons, formations, etc. C'est ce que je voulais dire par "sortant parfois du LAN".
Nicob
On Fri, 16 Jul 2004 12:28:03 +0000, trewan wrote:
- les portables sortant parfois du LAN ont un firewall personnel
Les ordis sont tous connectés au net via le routeur . Tu veux dire qu'il
faut à tous un firewall?
Non, je parlais des portables qui vont de temps en temps en clientèle ou
bien sur des salons, formations, etc. C'est ce que je voulais dire par
"sortant parfois du LAN".
- les portables sortant parfois du LAN ont un firewall personnel
Les ordis sont tous connectés au net via le routeur . Tu veux dire qu'il faut à tous un firewall?
Non, je parlais des portables qui vont de temps en temps en clientèle ou bien sur des salons, formations, etc. C'est ce que je voulais dire par "sortant parfois du LAN".
