Firewall matériel ou logiciel ? - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 25-07-2005 à 14:54:06
Je viens de trouver ça : http://fr.comp.securite.free.fr/firewall.txt
Je cite :
___________________________________________________________________________
[...]
2.3 - Quelle est la différence entre un firewall logiciel et firewall
matériel ?
C'est simple, il n'y a pas de différence, ou si peu.
D'un côté, vous avez votre ordinateur, sur lequel tourne un
firewall logiciel. De l'autre, vous avez une boîte, plus ou moins
grosse, à qui l'on donne le doux nom de "firewall matériel" et qui,
de part son prix, n'est absolument pas destiné aux particuliers.
Seulement, dans cette boîte se cache rien de moins qu'un
ordinateur, généralement réduit à sa plus simple expression et
conçu spécifiquement pour cela. Et sur cet ordinateur, on trouve un
firewall logiciel.
[...]
___________________________________________________________________________
Donc je me réponds à moi même en quelques sortes . J'aimerai tout de même d'autres avis.
Marsh Posté le 25-07-2005 à 15:21:07
A mon avis il y a moins de risque de failles de sécurité sur un firewall hard que sur un soft car sur le soft tu as aussi les failles de l'OS. Maintenant, les hard sont pas non plus parfait...
Les hard ne consomment pas de ton cpu.
Enfin, vu le prix de certains routeur/firewall en hard, ça vaut quand même le coup par rapport à un pc dédié !
Marsh Posté le 25-07-2005 à 15:22:00
Ben un vieil ordi, faut en avoir un, ça prend de la place et ça fait du bruit. Alors que ton petit boîtier tu le poses et tu t'en occuppes plus, il ferme sa gueule.
Marsh Posté le 25-07-2005 à 15:27:08
Un firewall hard c'est rare qd même.
Même les grand constructeurs font des FW soft.
Un netfilter bien configuré sur un linux sécurisé peut faire assez bien voir mieux qu'un cisco, ...
Marsh Posté le 25-07-2005 à 15:35:37
ZeBib a écrit : Un firewall hard c'est rare qd même. |
Je me suis mal exprimé, le hard, je pensais juste à un routeur qui utilise un firewall en soft
Marsh Posté le 25-07-2005 à 20:43:44
http://www.thinkitx.com/wrap_1d-1-339-1-c.html
plus
http://www.m0n0.ch/wall/
Et tu as ton firewall "hard"
Marsh Posté le 25-07-2005 à 21:15:54
Il n'y a pas d'interet (pour le particulier en tout cas) a acheter un firewall materiel qui ne fait QUE firewall. Mais par contre, ce genre de solution se retrouve sur les routeurs. Et même si une vieille machine peut aussi faire un bon routeur, on gagne pas mal (en silence, espace, consommation, maintenance etc...) a s'acheté un routeur/firewall "materiel"
Marsh Posté le 26-07-2005 à 05:20:55
Mon routeur firewall netgear casse toutes les réponses ping , les scan de port , et bloque ou non les services que l'on créé .
Super efficace , pour à peu pres 100 , le tout biensur dans routeur à la base .
Jamais eut à me plaindre .
Marsh Posté le 26-07-2005 à 05:28:43
nuitn0ire a écrit : Mon routeur firewall netgear casse toutes les réponses ping , les scan de port , et bloque ou non les services que l'on créé . |
Mon logiciel iptables ignore toutes les requêtes ping extérieures, les scans de ports, et bloque ou non les services réseaux que l'on spécifie.
Super efficace, pour à peu près 0,00 , le tout bien sûr avec routage activé (ipforwarding et table NAT iptables)
Marsh Posté le 26-07-2005 à 05:32:28
THRAK a écrit : Mon logiciel iptables ignore toutes les requêtes ping extérieures, les scans de ports, et bloque ou non les services réseaux que l'on spécifie. |
Mon wrt54g fais routeur wifi
Plus serieusement, c'est quand même moins d'emmerde lorsque qu'on veut une solution complete (routeur/firewall).
Marsh Posté le 26-07-2005 à 05:39:18
sebchap a écrit : Mon wrt54g fais routeur wifi |
Sérieusement je ne vois pas de quoi tu parles.
Marsh Posté le 26-07-2005 à 05:48:16
THRAK a écrit : Sérieusement je ne vois pas de quoi tu parles. |
Pas ou peu de configuration (c'est censé marcher tout de suite), pas de bruit, prend pas de place, ne consomme pas grand chose (toujours en comparaison de la machine faisant routeur). T'es moins tenté de mettre le tout dernier noyau qui va te faire manger un kernel panic ou encore pire, te failler ton routeur . Je pense que c'est moins cher (contestable), même si la machine utilisée pour faire routeur est deja acheté depuis longtemps (et rentabilisée).
Après, les avantages d'avoir une machine dediée, c'est que tu peux faire d'autre truc dessus, comme heberger un serveur ftp, apache etc...
Je trouve que ca se vaut. Si on est un debutant et qu'on a pas de vieille machine, la solution prete-a-marcher est quand même mieux.
Et pour le wifi, ca doit sans doute être moins galere
Marsh Posté le 26-07-2005 à 05:59:40
sebchap a écrit : Pas ou peu de configuration (c'est censé marcher tout de suite), pas de bruit, prend pas de place, ne consomme pas grand chose (toujours en comparaison de la machine faisant routeur). T'es moins tenté de mettre le tout dernier noyau qui va te faire manger un kernel panic ou encore pire, te failler ton routeur . Je pense que c'est moins cher (contestable), même si la machine utilisée pour faire routeur est deja acheté depuis longtemps (et rentabilisée). |
Je suis d'accord, seule contrainte : faire attention à la marque/modèle du routeur/firewall que tu achètes, parce qu'il y en a qui sont sacrément merdiques (ya pas de terme plus approprié, désolé) et tu te retrouves à chercher pendant 3 heures pourquoi tu arrives pas à pinguer une machine sur ton réseau privé alors que tout est correctement configuré (faut pas rire ça arrive plus souvent qu'on le pense ).
Si tu as une machine sous GNU/Linux que tu laisses tourner et que tu utilises couramment etc, l'emploi d'un firewall/routeur matériel est alors facultatif selon moi ; au prix de quelques effort tu te configures iptables ou tu installes un front-end avec des règles pour iptables (genre fwbuilder) si tu as un peu de mal à te dépatouiller avec la syntaxe utilisée.
Sinon c'est vrai qu'un routeur/firewall wifi matériel c'est tout de même bien pratique
Marsh Posté le 26-07-2005 à 06:13:09
En fait, si mes parents n'avait pas voulu de wifi et si les ordis qui marche la nuit existait chez moi (), c'est ce que j'aurais fait
Donc la, je m'amuse tout seul comme un con à configurer iptables alors que je suis deja derriere un routeur/firewall . S'pour le fun
Marsh Posté le 26-07-2005 à 09:13:21
sebchap a écrit : Après, les avantages d'avoir une machine dediée, c'est que tu peux faire d'autre truc dessus, comme heberger un serveur ftp, apache etc... |
Une règle d'or de la sécurité est de ne jamais mettre , sur la même machine , firewall et serveurs divers . Sans quoi votre firewall ne vous servira en rien face à quelqu'un décidé coute que coute à s'introduire sur votre réseau .
La raison est très simple , en soit un firewall logiciel (actif ou passif) est codé de façon très propre (en général ;p) et n'est qu'une suite de règles d'output et input avec des variantes de configuration , rien de plus . Un serveur web ou autre , ça par contre , c'est très lourd , souvent codé avec les pieds et donc contient bien souvent des oublis ou failles , engendrant , lorsqu'on sait les exploiter , des attaques diverses telles que buffer overflow , dos et j'en passe .
Autrement dit , placer sur votre machine qui fait office de firewall une suite de serveur revient à plus ou moins court terme compromettre la sécurité et donc l'integrité même de celle-ci .
En d'autre terme : pourquoi vouloir fermer à clef la porte de sa verranda si c'est pour laisser entre-ouverte celle de sa cave ?
C'est pour ça qu'en soit , placer firewall et serveurs divers sur la même machine ne sert à rien .
Car en soit , un firewall fait quoi ?
- détection des scans de ports
- réaction pour certain (placer par exemple l'ip du curieux dans hosts.deny)
- création de log et envois par email
- refuser certain types de paquet par filtrage de paquet
- filtrage applicatif
Maintenant , placez sur un bête serveur linux votre firewall et par exemple une vieille version de war-ftpd . Votre firewall va reperer le neuneu qui scan comme une brute , va probablement le bloquer . en revanche pas dit qu'il repere celui qui opere de façon passive . celui-ci va choper le banner de votre serveur ftp , se renseigner sur les vulnérabilités de celui-ci , forger son exploit et hop , récuperer un shell root sur la machine qui était sensé vous proteger . Votre beau firewall n'y a vu que du feu et un intru est sur votre réseau
Si vous voulez jouer la carte de la sécurité , commencez par mettre en place une politique de sécurité sévère : chrooter vos users et appli , ne charger pas de module inutile dans votre kernel ou même au sein même de vos serveur , tenez vous au courant des dernieres vulnérabilités , limitez vos accès , controlez vos logs , tenez à jour vos logiciels etc..
Ce que je veux dire , c'est qu'il est inutile de s'emmerder avec firewall si on ne respecte pas certaine regles de base .
Ou bien , pour ceux qui en ont les moyens (quoi qu'au prix où certains sont) , procurez vous un routeur-firewall (les netgear sont très corrects) .
voilà , désolé d'avoir été un peu brouillon , mais j'ai très peu dormis
Marsh Posté le 26-07-2005 à 10:05:06
C'est en gros à quoi je pensais nuitn0ire , mais toi tu as tout expliqué
Je confirme, netgear c'est très bien (utilisateur d'un routeur/firewall/wifiG netgear wrtchéplukoi heureux) Ca permet en plus de brancher des potes sans se prendre la tête quand ils viennent avec leur portable
Marsh Posté le 26-07-2005 à 19:29:54
Avant j'avait une vieille bécane qui faisait routeur/firewall. Je l'ai changé contre un wrt54g.
C'est moins d'emmerdes, ma mère ne me tanne plus pour l'éteindre(), ça fait pas de bruit, toussa.
Par contre, il y a certaines fonctionnalités de PF que je ne retrouve pas. Il y aurait surement moyen avec Open-WRT, mais je perdrait l'interface web, et donc une grande partie de l'interet de la machine.
Marsh Posté le 26-07-2005 à 20:23:00
Une question nuitn0ire, sur le fond je suis totalement d'accord avec toi. Mais si on met un serveur sur le routeur (truc debile vu les problemes de charge mais bon...) et qu'on configure le serveur pour ecouter localhost:X , et qu'ensuite dans notre FW on fait du NAT depuis notre IP externe vers localhost (jamais fait, je sais meme pas si c'est faisable facilement ...) et qu'on chroot l'appli, du point de vue strictement securité d'acces ça revient a peu pres au meme que la mettre sur une machine differente non? Le gros probleme restant bien entendu que le serveur va bouffer une tonne de resources, ce qui risque de mettre a genoux toute la becanne en cas de charge serveur+fw
Marsh Posté le 26-07-2005 à 22:33:44
Pour que tes serveurs (apache,mysql etc..) bouffent un max de ressources et mettent à genou ta machine , il faut que côté client il y est de la demande , on est d'accord ? Partant du postulat que tu as une connexion 8 mb/s avec un débit montant de 32ko/s , ta connexion elle même , trop faible (pour l'upload) va d'elle même limiter les accès à tes serveurs , donc implicitement on peut considerer que ta machine ne sera jamais à genou à cause du trop grand nombre de requetes .
Biensur ceci est valable si du côté serveur tout est bien configuré , que le code php que tu héberges est pas merdique ou que des requetes sql sont pas codées avec des * ou d'une façon très sale .
maintenant pour répondre à ta premiere question.. j'avoue pas avoir saisi ce que tu entends par "qu'on configure le serveur pour ecouter localhost:X" . De plus à ma connaissance , c'est généralement depuis le routeur qu'on met en place le NAT , pas depuis le firewall . Donc à moins d'éclaircir ta question , je peux pas te répondre .
Celà dit , au passage chrooter une appli ne suffira pas forcément pour empêcher de sortir du chroot . Si ton noyau n'a pas un module par exemple qui empêche le double chroot , il est tout à fait possible de sortir de prison .
En fait tout ces trucs sont une sommes d'éléments , qui , individuellement sont inutiles .
Exemple ici , l'histoire du chroot . Inutile de chrooter quoi que ce soit si d'entrée on ne limite pas les possibilités de sortir de prison , avec un patch comme grsec (par exemple) , il est tout à fait possible d'empecher le double chroot , une méthode pour s'évader .
Marsh Posté le 26-07-2005 à 22:47:13
Donc, je vais essayer d'eclairsir un peu mes propos .
Quand je parle de mettre a genou le serveur, c'est bien evident qu'avec la bande passante d'un privé c'est impossible ou presque de faire assez de requetes "standard" pour y arriver, je parle effectivement plutot d'exploiter une faille du serveur (par exemple faille dans le PHP) pour tuer le serveur ... enfin passons.
Quand je parle de serveur ecoutant uniquement localhost:X , je parle par exemple d'un serveur Apache a qui il sera specifiquement dit dans son httpd.conf qu'il ne doit tenir compte que des requetes lui parvenant de 127.0.0.1:80, ce qui est en general une bonne regle sur un poste de travail de developpeur afin d'eviter qu'un petit malin sappe le boulot en cours.
Pour le NAT, je sais par exemple qu'avec les iptables il est possible de definir un certain nombre de regles de routage ... Ce que fait enfait un routeur quand tu configure le NAT
Pour finir, quand je parlais de chrooter le serveur, je pensais ala chrooter correctement bien entendu ... si c'est pour mettre en place un chroot-passoire autant ne pas en parler.
J'espere avoir été suffisamment clair
Esox
Marsh Posté le 26-07-2005 à 23:02:00
nuitn0ire a écrit : |
Ca c'est pas une politique de sécurité, ce sont les mesure que tu mets en place pour appliquer une politique.
Mais comme t'as pas beaucoup dormis, je te pardonne
Et vous pouvez arreter de parler de "firewall hard" pour un boitier Soekris avec iptables ou un modem-routeur Netgear, ca reste du soft tout bete ces bestioles.
Marsh Posté le 26-07-2005 à 23:11:00
Je suis d'accord avec toi AirbaT sur le point du routeur qui n'est autre qu'un mini ordinateur + fw logiciel (ce qui a été dit plusieurs fois d'ailleurs) , mais dans ce cas le fw "hardware" n'existe pas non? Ou alors c'est l'admin qui tire la prise du serveur s'il voit que les logs partent trop en live
Marsh Posté le 26-07-2005 à 23:58:35
esox_ch a écrit : Je suis d'accord avec toi AirbaT sur le point du routeur qui n'est autre qu'un mini ordinateur + fw logiciel (ce qui a été dit plusieurs fois d'ailleurs) , mais dans ce cas le fw "hardware" n'existe pas non? Ou alors c'est l'admin qui tire la prise du serveur s'il voit que les logs partent trop en live |
Si ça existe, des cartes avec circuits intégrés pour remplacer certains traitement faits en soft. Ca se fait chez Cisco par exemple, ça coute la peau du cul et ca ne sert que pour pouvoir traiter un gros débit sans mettre à genoux les procs des routeurs/pix.
Mais à 30k la carte, moi aussi j'achete le Netgear ou le Linksys.
Marsh Posté le 27-07-2005 à 00:12:28
Oki merci beaucoup pour l'info L'année prochaine je commance des etudes d'electronique / informatique .. j'espere qu'on verra ce genre de truc
Marsh Posté le 27-07-2005 à 03:21:20
THRAK a écrit : |
J ai toujours cru qu un firewall soft permettait de controler aussi les connexions sortantes (et entrantes, mais a priori c est fait par le routeur fw) des processus, ce qu un firewall hard ne fait pas a priori (ou je me trompe, mais j ai pas vraiment trouvé).
Je crois que je suis pas clair
J ai chez moi une gentoo qui fait office de routeur/fw , mais ca m a pas empeché de rajouter un fw soft a ma mere sur son win, histoire de pas laisser des connexions sortantes suspectes sans qu elles en soit avertie, même si elle n y pompe pas grand chose. Si c est faisable sans etre en local, je suis tout ouïe.
Marsh Posté le 27-07-2005 à 03:21:36
ZeBib a écrit : Un firewall hard c'est rare qd même. |
Un firewall hardware c'est pas rare du tout, c'est utilisé souvent quand tu as un parc de machines derrière et du pognon.
Après par contre pour ce qui est des différences, on peut dire qu'un Firewall hardware est un PC peu puissant dédié à faire l'équivalent d'iptables, parfois avec des fonctionnalités en plus, il est plus ou moins modifié, l'OS est plus ou moins optimisé pour ça.
Un firewall hardware sera souvent moins encombrant, plus fiable niveau taux de pannes/plantages, plus performant pour les bons modèles, permettra plus facilement de faire du failover et de stacker plusieurs équipements redondés, sera plus secure et demandera pas des mises à jours régulières. Pis tu l'achètes, tu pose tes 20 lignes de règles et c'est bon, pas besoin d'installer et monopoliser une box Linux.
Après pour ce que ça fait c'est du pareil au même, le prix des firewall c'est de l'entubage profond ( je parle pas des routeurs/firewall à 2 balles maison mais de ce qui se fait en firewall pour serveur ) et netfilter sais très bien gérer tout ça quand on le maîtrise.
Donc en gros pour moi c'est une question de fric, de fiabilité et de temps à passer pour mettre en place.
Marsh Posté le 27-07-2005 à 08:06:23
THRAK a écrit : Mon logiciel iptables ignore toutes les requêtes ping extérieures |
merci de bloquer le protocole de base d'internet.
Marsh Posté le 27-07-2005 à 09:31:56
Taz a écrit : merci de bloquer le protocole de base d'internet. |
Un ping c'est juste un message icmp "echo request"
Il ne bloque pas tous les messages ICMP...
Marsh Posté le 27-07-2005 à 09:34:49
l0ky a écrit : Un ping c'est juste un message icmp "echo request" |
Tu bloques pas l'ICMP quand tu bloques le ping toi ?
Je suis assez de l'avis de TAZ, bloquer le ping c'est quand même pas terrible, alors qu'on peut très bien le limiter en nombre de requêtes par seconde pour les protections.
Marsh Posté le 27-07-2005 à 09:38:30
Sly Angel a écrit : Tu bloques pas l'ICMP quand tu bloques le ping toi ? |
Bah non , avec iptables tu peux choisir le type de messages icmp que tu veux bloquer avec --icmp-type echo-request
iptables -p icmp -h
edit: ou tout simplement par /proc/sys/net/ipv4/icmp_echo_ignore_all
Marsh Posté le 27-07-2005 à 09:42:14
l0ky a écrit : Bah non , avec iptables tu peux choisir le type de messages icmp que tu veux bloquer avec --icmp-type echo-request |
Oui non mais d'accord, mais ça change quoi concrétement ? Parce que l'ICMP c'est quand même à la base principalement pour le ping...
Marsh Posté le 27-07-2005 à 09:43:54
boff, pas spécialement
2 messages sur 34.
Citation : |
Marsh Posté le 27-07-2005 à 09:44:36
J'ai dit concrétement
Marsh Posté le 27-07-2005 à 15:58:48
Bloquer le ping c'est mignon pour faire joujou chez soi, mais quand on veut bosser sur un vrai parc... on remercie le ping, on le vénère et on lui fait une statue.
Et faudra aussi m'expliquer pourquoi bloquer un echo-request et laisser passser un redirect, par exemple.
Marsh Posté le 27-07-2005 à 16:01:08
Mes redirects sont bloqués également sur mon Firewall
Le bloquage de ping c'est juste pour les pings provenant de l'extérieurs. Sur mon LAN et dans le réseau interne de mon labo ils sont acceptés...
Marsh Posté le 27-07-2005 à 16:39:10
Ca me semble bizarre vos remarques sur le ping :
J'indique que mon logiciel iptables ignore les requêtes ping _extérieures_ (j'aurai du préciser extérieures à mon réseau local, c'est à dire uniquement en provenance de l'internet). C'est très pratique contre les scripts à la con qui scannent perpétuellement le net à la recherche d'un hôte pour faire un scan de port, trouver une vulnérabilité et l'infecter, etc : on pingue mon adresse depuis le web, iptables ne répond pas au ping (le ping n'est même pas rejeté, il est ignoré), pour le script à la con pas de retour de ping=pas d'hôte=pas de port à scanner, pas de machine à infecter à cette adresse...
Autrement comme l'indique AirbaT c'est totalement stupide de bloquer l'ICMP par exemple avec l'option echo_ignore_all ; ne plus pouvoir pinguer les propres machine de son réseau... ou alors il faut être complètement paranoïaque, mais là autant débrancher la bécane du réseau, c'est tout de suite plus simple et plus efficace
Marsh Posté le 27-07-2005 à 17:06:05
Bah disons qu'avec cette mentalité moi je m'amuserais aussi à dégager le ping possible sur forum.hardware.fr et quand le serveur déconne ( oui ça arrive jamais mais bon ) les gens peuvent pas trop savoir si ça vient d'eux, du serveur, si c'est le réseau ou le site. C'est assez chiant de pas avoir le ping.
Je suis d'accord que ça évite certains scripts, mais c'est une fausse protection, il suffit qu'un script ne fasse pas de check par ping et teste directement une url et la faille est exploitée directement...
Marsh Posté le 27-07-2005 à 17:09:14
1) le scan de port, y a pas que ICMP
2) ICMP c'est loin de n'être que le ping
3) bref tu bloques un truc pour de fausses raisons sans savoir à quoi ça sert ...
Marsh Posté le 25-07-2005 à 14:52:06
Bonjour,
A voir des distributions linux comme Ipcop et Monowall, je me demande quel est l'interet d'un firewall matériel ...
Dans les 2 cas, le système ne peut pas être modifié ( sur CD si c'est logiciel, et qlques disquettes pour sauvegarder la config en plusieurs exemplaires ; dans une mémoire morte quand c'est matériel avec un dump possible de la mémoire aussi) et le système est protégé aussi.
Quel est donc l'interet d'acheter un big firewall qui coute bcp d'euros qd une vieille machine peut faire aussi bien voire plus ??
Merci d'avance.