Je suis "responsable" dans une association d'un réseau de 12 postes sous
windows 2000. Je voulais installer Linux, mais certains softs ne
tournent que sous windows et en plus les gens préfèrent avoir windows,
OS qu'ils ont chez eux.
- En haut j'ai un accés adsl, et collé derrière un petit modem routeur
avec tous les ports bloqués en entrée.
- Ensuite, juste aprés un étron poussif avec IPCop qui lui aussi bloque
tous les ports en entrée et autorise qq ports en sortie (http, pop,
smtp, ftp, 5222 (jabber), etc...)
- Enfin les postes sous Windows 2000 : Patché à jour, pas de partage de
dossiers, et, pour le moment Kerio 2.15 (que j'utilise depuis des années).
Que pensez-vous de cela ?
Le point faible est Kério il me semble et je continue à chercher un
petit firewall (les postes sont un "peu" vieux). gratuit si possible.
Sinon, pour le reste, c'est correct ?
Le Wed, 25 May 2005 13:10:54 +0000, BenLar a écrit :
Comme il y a redondance, on ne mettra pas les même fw et routeur pour éviter les failles...
Non, il n'y a pas redondance. Les flux ne peuvent pas entrer par les deux accès en même temps. Dès lors, en fonctionnement normal, on ne traverse qu'un routeur et qu'un firewall en même temps. S'il ya défaillance, l'autre firewall/routeur, ne prend pas la main pour autant.
Il faudrait une défaillance de lien pour qu'on ait une bascule sur l'autre accès.
-- TM> C'est cense representer quoi les ^W^W^" ? Ca représente toute l'étendue de l'incommensurable incapacité à comprendre Usenet de certains neuneus. -+- MLG in Guide du Neuneu d'Usenet : Usenet 1 - Neuneu 0 -+-
Le Wed, 25 May 2005 13:10:54 +0000, BenLar a écrit :
Comme il y a redondance, on ne mettra pas les même fw et routeur pour
éviter les failles...
Non, il n'y a pas redondance. Les flux ne peuvent pas entrer par les deux
accès en même temps. Dès lors, en fonctionnement normal, on ne traverse
qu'un routeur et qu'un firewall en même temps. S'il ya défaillance,
l'autre firewall/routeur, ne prend pas la main pour autant.
Il faudrait une défaillance de lien pour qu'on ait une bascule sur
l'autre accès.
--
TM> C'est cense representer quoi les ^W^W^" ?
Ca représente toute l'étendue de l'incommensurable incapacité à
comprendre Usenet de certains neuneus.
-+- MLG in Guide du Neuneu d'Usenet : Usenet 1 - Neuneu 0 -+-
Le Wed, 25 May 2005 13:10:54 +0000, BenLar a écrit :
Comme il y a redondance, on ne mettra pas les même fw et routeur pour éviter les failles...
Non, il n'y a pas redondance. Les flux ne peuvent pas entrer par les deux accès en même temps. Dès lors, en fonctionnement normal, on ne traverse qu'un routeur et qu'un firewall en même temps. S'il ya défaillance, l'autre firewall/routeur, ne prend pas la main pour autant.
Il faudrait une défaillance de lien pour qu'on ait une bascule sur l'autre accès.
-- TM> C'est cense representer quoi les ^W^W^" ? Ca représente toute l'étendue de l'incommensurable incapacité à comprendre Usenet de certains neuneus. -+- MLG in Guide du Neuneu d'Usenet : Usenet 1 - Neuneu 0 -+-
Fabien LE LEZ
On 25 May 2005 10:10:40 GMT, "BenLar" :
Ne peut-il pas intéresser des personnes qui veulent une machine pour rebondir ?
Bof... pour ça, y'a largement assez de machines sans aucune protection, inutile de perdre son temps avec une machine protégée.
On 25 May 2005 10:10:40 GMT, "BenLar" <benoit_lardy@yahoo.fr>:
Ne peut-il pas intéresser des personnes qui veulent une machine pour
rebondir ?
Bof... pour ça, y'a largement assez de machines sans aucune
protection, inutile de perdre son temps avec une machine protégée.
Mais là, si routeur3 tombe en panne, on est pas bon...
Cedric Blancher
Le Wed, 25 May 2005 13:59:07 +0000, BenLar a écrit :
je pensais à un truc du genre... acces1------routeur1--------fw1--------------- / | | / | | / | | / | routeur3 --------- LAN / | | / | | / | | / | | acces2------routeur2--------fw2--------------
Hormis le fait que le schéma soit illisible, un paquet qui entre ne passera que par FW1 ou FW2, mais pas le deux. C'est ce que j'essaye de te dire. Si tu veux et de la redondance, et l'utilisation de produits différents pour palier aux problèmes, ils te faut un truc comme ça :
FWn1 et FWn2 étant les mêmes produits, mais FW1n et FW2n étant des produits différents. Ainsi, tout paquet sortant ou entrant passe par un firewall de chaque type (FW1n et FW2n), et on est capable de récupérer en cas de faute d'un équipement à chaque étage. Pour le partage de charge, certains produits arrivent à le faire avec ce genre d'archi (sur parité de hash par exemple), mais le plus souvent, il faut des load balancers.
-- printk("Illegal format on cdrom. Pester manufacturer.n"); 2.2.16 /usr/src/linux/fs/isofs/inode.c
Le Wed, 25 May 2005 13:59:07 +0000, BenLar a écrit :
je pensais à un truc du genre...
acces1------routeur1--------fw1---------------
/ | |
/ | |
/ | |
/ | routeur3
--------- LAN
/ | |
/ | |
/ | |
/ | |
acces2------routeur2--------fw2--------------
Hormis le fait que le schéma soit illisible, un paquet qui entre ne
passera que par FW1 ou FW2, mais pas le deux. C'est ce que j'essaye de te
dire. Si tu veux et de la redondance, et l'utilisation de produits
différents pour palier aux problèmes, ils te faut un truc comme ça :
FWn1 et FWn2 étant les mêmes produits, mais FW1n et FW2n étant des
produits différents. Ainsi, tout paquet sortant ou entrant passe par un
firewall de chaque type (FW1n et FW2n), et on est capable de récupérer
en cas de faute d'un équipement à chaque étage. Pour le partage de
charge, certains produits arrivent à le faire avec ce genre d'archi (sur
parité de hash par exemple), mais le plus souvent, il faut des load
balancers.
--
printk("Illegal format on cdrom. Pester manufacturer.n");
2.2.16 /usr/src/linux/fs/isofs/inode.c
Le Wed, 25 May 2005 13:59:07 +0000, BenLar a écrit :
je pensais à un truc du genre... acces1------routeur1--------fw1--------------- / | | / | | / | | / | routeur3 --------- LAN / | | / | | / | | / | | acces2------routeur2--------fw2--------------
Hormis le fait que le schéma soit illisible, un paquet qui entre ne passera que par FW1 ou FW2, mais pas le deux. C'est ce que j'essaye de te dire. Si tu veux et de la redondance, et l'utilisation de produits différents pour palier aux problèmes, ils te faut un truc comme ça :
FWn1 et FWn2 étant les mêmes produits, mais FW1n et FW2n étant des produits différents. Ainsi, tout paquet sortant ou entrant passe par un firewall de chaque type (FW1n et FW2n), et on est capable de récupérer en cas de faute d'un équipement à chaque étage. Pour le partage de charge, certains produits arrivent à le faire avec ce genre d'archi (sur parité de hash par exemple), mais le plus souvent, il faut des load balancers.
-- printk("Illegal format on cdrom. Pester manufacturer.n"); 2.2.16 /usr/src/linux/fs/isofs/inode.c
Michel Arboi
On Wed May 25 2005 at 12:56, BenLar wrote:
- pallier au risque de faille sur un FW;
Et contrer une hypothétique backdoor -- les paranos sont persuadés que le Mossad peut entrer sur tous les FW-1 de la planète. Mais dans bien des cas, un des firewalls est configuré de façon beaucoup plus light que l'autre, donc ça ne sert pas à grand chose.
On Wed May 25 2005 at 12:56, BenLar wrote:
- pallier au risque de faille sur un FW;
Et contrer une hypothétique backdoor -- les paranos sont persuadés que
le Mossad peut entrer sur tous les FW-1 de la planète.
Mais dans bien des cas, un des firewalls est configuré de façon
beaucoup plus light que l'autre, donc ça ne sert pas à grand chose.
Et contrer une hypothétique backdoor -- les paranos sont persuadés que le Mossad peut entrer sur tous les FW-1 de la planète. Mais dans bien des cas, un des firewalls est configuré de façon beaucoup plus light que l'autre, donc ça ne sert pas à grand chose.
Olivier Masson
De cette manière, le flux traité par le fw est moins important puisque le routeur à déjà traiter une partie du flux.
j'y vois un intérêt et d'ailleurs je l'avais mis partiellement en place : placer un premier firewall (là je ne parle pas de load balancing) pour épurer le flux du nombre impressionnants de script kiddies qui déferlent chaque jour. Pour ma part, j'avais mis quelques règles iptables sur une machine tout pourrite et ensuite ça partait sur une machine avec Snort et Ntop. Ainsi, son boulot était moindre et les alertes qui remontaient étaient plus sérieuses. Le flux partait ensuite vers un ISA Server mais je ne gérais pas ça.
De cette manière, le flux traité par le fw est moins important
puisque le routeur à déjà traiter une partie du flux.
j'y vois un intérêt et d'ailleurs je l'avais mis partiellement en place :
placer un premier firewall (là je ne parle pas de load balancing) pour
épurer le flux du nombre impressionnants de script kiddies qui déferlent
chaque jour. Pour ma part, j'avais mis quelques règles iptables sur une
machine tout pourrite et ensuite ça partait sur une machine avec Snort
et Ntop. Ainsi, son boulot était moindre et les alertes qui remontaient
étaient plus sérieuses. Le flux partait ensuite vers un ISA Server mais
je ne gérais pas ça.
De cette manière, le flux traité par le fw est moins important puisque le routeur à déjà traiter une partie du flux.
j'y vois un intérêt et d'ailleurs je l'avais mis partiellement en place : placer un premier firewall (là je ne parle pas de load balancing) pour épurer le flux du nombre impressionnants de script kiddies qui déferlent chaque jour. Pour ma part, j'avais mis quelques règles iptables sur une machine tout pourrite et ensuite ça partait sur une machine avec Snort et Ntop. Ainsi, son boulot était moindre et les alertes qui remontaient étaient plus sérieuses. Le flux partait ensuite vers un ISA Server mais je ne gérais pas ça.
(¯`·..Yttrium ...·´¯)
"Corsica" a écrit dans le message de news: 4291d1ee$0$6828$
Bonjour à Tous
Je suis "responsable" dans une association d'un réseau de 12 postes sous windows 2000. Je voulais installer Linux, mais certains softs ne tournent que sous windows et en plus les gens préfèrent avoir windows, OS qu'ils ont chez eux.
- En haut j'ai un accés adsl, et collé derrière un petit modem routeur avec tous les ports bloqués en entrée. - Ensuite, juste aprés un étron poussif avec IPCop qui lui aussi bloque tous les ports en entrée et autorise qq ports en sortie (http, pop, smtp, ftp, 5222 (jabber), etc...) - Enfin les postes sous Windows 2000 : Patché à jour, pas de partage de dossiers, et, pour le moment Kerio 2.15 (que j'utilise depuis des années).
Que pensez-vous de cela ? Le point faible est Kério il me semble et je continue à chercher un petit firewall (les postes sont un "peu" vieux). gratuit si possible. Sinon, pour le reste, c'est correct ?
A+ et Bien le Bonjour de Corse
Bonjour,
Une fois encore pourquoi tant d'acharnement pour 12 postes.. Un seul Fw ferait trés trés bien l'affaire..! (S'il est bien configuré..!)
Tu mets 5 ceintures de sécurité en montant dans ta voiture ? Tu mets 12 preservatifs quand tu couches avec quelqu'un ? Tu prends toute la boite d'aspirine quand tu as mal au crane ? Tu Paies 7 fois tes impots pour etre sur que cela soit bien pris en compte ? Tu contractes 10 assurances pour ton logement ?
.....Donc, tu ne mets q'un Firewall sur ton réseau ...
Mais tu y prête toute l'attention nécessaire pour qu'il soit configuré correctement
Encore une fois aussi, bonjour en Corse ;-)
"Corsica" <spam.pubb2000@laposte.net> a écrit dans le message de news:
4291d1ee$0$6828$636a15ce@news.free.fr...
Bonjour à Tous
Je suis "responsable" dans une association d'un réseau de 12 postes sous
windows 2000. Je voulais installer Linux, mais certains softs ne
tournent que sous windows et en plus les gens préfèrent avoir windows,
OS qu'ils ont chez eux.
- En haut j'ai un accés adsl, et collé derrière un petit modem routeur
avec tous les ports bloqués en entrée.
- Ensuite, juste aprés un étron poussif avec IPCop qui lui aussi bloque
tous les ports en entrée et autorise qq ports en sortie (http, pop,
smtp, ftp, 5222 (jabber), etc...)
- Enfin les postes sous Windows 2000 : Patché à jour, pas de partage de
dossiers, et, pour le moment Kerio 2.15 (que j'utilise depuis des années).
Que pensez-vous de cela ?
Le point faible est Kério il me semble et je continue à chercher un
petit firewall (les postes sont un "peu" vieux). gratuit si possible.
Sinon, pour le reste, c'est correct ?
A+ et Bien le Bonjour de Corse
Bonjour,
Une fois encore pourquoi tant d'acharnement pour 12 postes..
Un seul Fw ferait trés trés bien l'affaire..!
(S'il est bien configuré..!)
Tu mets 5 ceintures de sécurité en montant dans ta voiture ?
Tu mets 12 preservatifs quand tu couches avec quelqu'un ?
Tu prends toute la boite d'aspirine quand tu as mal au crane ?
Tu Paies 7 fois tes impots pour etre sur que cela soit bien pris en compte ?
Tu contractes 10 assurances pour ton logement ?
.....Donc, tu ne mets q'un Firewall sur ton réseau ...
Mais tu y prête toute l'attention nécessaire pour qu'il soit configuré
correctement
"Corsica" a écrit dans le message de news: 4291d1ee$0$6828$
Bonjour à Tous
Je suis "responsable" dans une association d'un réseau de 12 postes sous windows 2000. Je voulais installer Linux, mais certains softs ne tournent que sous windows et en plus les gens préfèrent avoir windows, OS qu'ils ont chez eux.
- En haut j'ai un accés adsl, et collé derrière un petit modem routeur avec tous les ports bloqués en entrée. - Ensuite, juste aprés un étron poussif avec IPCop qui lui aussi bloque tous les ports en entrée et autorise qq ports en sortie (http, pop, smtp, ftp, 5222 (jabber), etc...) - Enfin les postes sous Windows 2000 : Patché à jour, pas de partage de dossiers, et, pour le moment Kerio 2.15 (que j'utilise depuis des années).
Que pensez-vous de cela ? Le point faible est Kério il me semble et je continue à chercher un petit firewall (les postes sont un "peu" vieux). gratuit si possible. Sinon, pour le reste, c'est correct ?
A+ et Bien le Bonjour de Corse
Bonjour,
Une fois encore pourquoi tant d'acharnement pour 12 postes.. Un seul Fw ferait trés trés bien l'affaire..! (S'il est bien configuré..!)
Tu mets 5 ceintures de sécurité en montant dans ta voiture ? Tu mets 12 preservatifs quand tu couches avec quelqu'un ? Tu prends toute la boite d'aspirine quand tu as mal au crane ? Tu Paies 7 fois tes impots pour etre sur que cela soit bien pris en compte ? Tu contractes 10 assurances pour ton logement ?
.....Donc, tu ne mets q'un Firewall sur ton réseau ...
Mais tu y prête toute l'attention nécessaire pour qu'il soit configuré correctement
Encore une fois aussi, bonjour en Corse ;-)
BenLar
En fait, dans mon idée, les paquets ne passaient pas par les 2 fw mais par le routeurs avec des fonctions de fw qui permette un premier filtrage (par exemple sur les ports) puis par le fw lui-même qui affine le flux résiduel (genre filtrage sur le contenu).
Tout ça pour dire qu'il n'est pas forcément inutile d'enchaîner des fw.
La redondance, c'était pour essayer d'illustrer. Mais c'est raté ;o)
En fait, dans mon idée, les paquets ne passaient pas par les 2 fw mais
par le routeurs avec des fonctions de fw qui permette un premier
filtrage (par exemple sur les ports) puis par le fw lui-même qui
affine le flux résiduel (genre filtrage sur le contenu).
Tout ça pour dire qu'il n'est pas forcément inutile d'enchaîner des
fw.
La redondance, c'était pour essayer d'illustrer. Mais c'est raté ;o)
En fait, dans mon idée, les paquets ne passaient pas par les 2 fw mais par le routeurs avec des fonctions de fw qui permette un premier filtrage (par exemple sur les ports) puis par le fw lui-même qui affine le flux résiduel (genre filtrage sur le contenu).
Tout ça pour dire qu'il n'est pas forcément inutile d'enchaîner des fw.
La redondance, c'était pour essayer d'illustrer. Mais c'est raté ;o)
Eric Razny
Le Wed, 25 May 2005 14:50:42 +0000, (¯`·..Yttrium ...·´¯) a écrit :
Une fois encore pourquoi tant d'acharnement pour 12 postes.. Un seul Fw ferait trés trés bien l'affaire..! (S'il est bien configuré..!)
Sortie de trojan sur les ports autorisés, tout ça...
Tu mets 5 ceintures de sécurité en montant dans ta voiture ?
Non mais j'ai l'airbag en prime, sans compter que la carrosserie est conçue pour plier convenablement en cas de choc.
Tu mets 12 preservatifs quand tu couches avec quelqu'un ?
Non parce que deux l'un sur l'autre c'est dangereux (ça risque de craquer) :) Blague à part ne confond pas deux méthodes différentes avec plusieurs fois la même.
Tu prends toute la boite d'aspirine quand tu as mal au crane ? Tu Paies 7 fois tes impots pour etre sur que cela soit bien pris en compte ? Tu contractes 10 assurances pour ton logement ?
Même commentaire
.....Donc, tu ne mets q'un Firewall sur ton réseau ...
et un fw perso sur chaque poste. Ceinture, bretelles, toussa... Sans compter AV, anti-spyware & co (On parle bien de Mme Michu comme utilisatrice, pas d'une personne 'aware' [1] n'est-ce pas?)
Accessoirment ton fw en sortie n'empêche pas les postes du LAN se s'attaquer avec le fw en sortie vers le wan.
Mais tu y prête toute l'attention nécessaire pour qu'il soit configuré correctement
Et pas que le fw. L'OS et les softs doivent aussi être à jour.
Eric.
[1] Je n'ai pas peu résister, pas tapper! :)
Le Wed, 25 May 2005 14:50:42 +0000, (¯`·..Yttrium ...·´¯) a écrit :
Une fois encore pourquoi tant d'acharnement pour 12 postes.. Un seul Fw
ferait trés trés bien l'affaire..! (S'il est bien configuré..!)
Sortie de trojan sur les ports autorisés, tout ça...
Tu mets 5 ceintures de sécurité en montant dans ta voiture ?
Non mais j'ai l'airbag en prime, sans compter que la carrosserie est
conçue pour plier convenablement en cas de choc.
Tu mets 12 preservatifs quand tu couches avec quelqu'un ?
Non parce que deux l'un sur l'autre c'est dangereux (ça risque de craquer) :)
Blague à part ne confond pas deux méthodes différentes avec plusieurs
fois la même.
Tu prends toute la boite d'aspirine quand tu as mal au crane ? Tu Paies 7 fois tes impots pour etre
sur que cela soit bien pris en compte ? Tu contractes 10 assurances pour
ton logement ?
Même commentaire
.....Donc, tu ne mets q'un Firewall sur ton réseau ...
et un fw perso sur chaque poste. Ceinture, bretelles, toussa...
Sans compter AV, anti-spyware & co (On parle bien de Mme Michu comme
utilisatrice, pas d'une personne 'aware' [1] n'est-ce pas?)
Accessoirment ton fw en sortie n'empêche pas les postes du LAN se
s'attaquer avec le fw en sortie vers le wan.
Mais tu y prête toute l'attention nécessaire pour qu'il soit configuré
correctement
Et pas que le fw. L'OS et les softs doivent aussi être à jour.
Le Wed, 25 May 2005 14:50:42 +0000, (¯`·..Yttrium ...·´¯) a écrit :
Une fois encore pourquoi tant d'acharnement pour 12 postes.. Un seul Fw ferait trés trés bien l'affaire..! (S'il est bien configuré..!)
Sortie de trojan sur les ports autorisés, tout ça...
Tu mets 5 ceintures de sécurité en montant dans ta voiture ?
Non mais j'ai l'airbag en prime, sans compter que la carrosserie est conçue pour plier convenablement en cas de choc.
Tu mets 12 preservatifs quand tu couches avec quelqu'un ?
Non parce que deux l'un sur l'autre c'est dangereux (ça risque de craquer) :) Blague à part ne confond pas deux méthodes différentes avec plusieurs fois la même.
Tu prends toute la boite d'aspirine quand tu as mal au crane ? Tu Paies 7 fois tes impots pour etre sur que cela soit bien pris en compte ? Tu contractes 10 assurances pour ton logement ?
Même commentaire
.....Donc, tu ne mets q'un Firewall sur ton réseau ...
et un fw perso sur chaque poste. Ceinture, bretelles, toussa... Sans compter AV, anti-spyware & co (On parle bien de Mme Michu comme utilisatrice, pas d'une personne 'aware' [1] n'est-ce pas?)
Accessoirment ton fw en sortie n'empêche pas les postes du LAN se s'attaquer avec le fw en sortie vers le wan.
Mais tu y prête toute l'attention nécessaire pour qu'il soit configuré correctement
Et pas que le fw. L'OS et les softs doivent aussi être à jour.
