Firewall non software..... - Sécurité - Windows & Software
Marsh Posté le 01-10-2003 à 23:39:02
the_oldster a écrit : Depuis un certain je me tate pour passer a un fw hardware.... histoire de gerer ca en externe une bonne fois pour toute. |
un petit pc qui ne fait pas de bruit, 2carte réseaux et une bonne distrib linux.
Marsh Posté le 01-10-2003 à 23:50:34
Citation : un petit pc qui ne fait pas de bruit, 2carte réseaux et une bonne distrib linux. |
le bleme j'y connais absolument rien a linux !!
Marsh Posté le 01-10-2003 à 23:53:37
the_oldster a écrit :
|
IPCOP ou Smoothwall sont deux très bonne distribution de linux en firewall, y a meme une plus recente d'un nom nouveau qui contient toute sortes d'outils d'aministrateur
Marsh Posté le 02-10-2003 à 02:33:39
C est pas le top le firewall materiel, non?
Tu dois ouvrir des ports , alors qu avec un firewall logiciel direct sur le PC,tu definis les droits d acces programme par programme...c est plus pratique pour les jeux sur le web,les servers n ont pas tous le meme port d ouvert
Marsh Posté le 02-10-2003 à 02:50:24
franck75 a écrit : C est pas le top le firewall materiel, non? |
quand une requete est faite de l'interieur vers l'exterieur tres souvent il ouvre le port et te permet de sortir faire tes conneries. par contre l'inverse il faut bien entendu ouvrir tes ports (et les router)
Marsh Posté le 02-10-2003 à 04:25:50
Oui, les firewall hardware ou pc exclusivement firewall, c est plus adapté a un reseau d entreprise qu a un PC de loirirs a la maison.
Marsh Posté le 02-10-2003 à 08:32:58
the_oldster a écrit :
|
Ben moi non plus et cela ne m'empeche pas d'utiliser ipcop pour partager/filtrer Internet sur un parc de 60 machines.
Bon j'exagère, j'ai bien du apprendre 2 ou 3 commandes : ifconfig, ls, vi.
Ipcop s'installe même sur de vieilles bécannes (genre P1 avec 16mo) en 20 minutes maxi (temps de gravage du cd contenant la distrib compris) et ne demande que des connaissances limitées pour le configurer. Ensuite la conf par défaut te donne une sécurité et une stabilité haut de gamme.
www.ipcop.org
www.ixus.net
et le jour où tu te sens plus d'attaque, alors tu peux ajouter/configurer des éléments à ta guise, ce que tu ne peux pas avec un firewall matériel.
Marsh Posté le 02-10-2003 à 09:06:16
the_oldster a écrit : Depuis un certain je me tate pour passer a un fw hardware.... histoire de gerer ca en externe une bonne fois pour toute. |
Le passage à un firewall hardware n'est pas neutre en terme financier et technique. Je confirme qu'il est plus utile de passer par une distribution Linux et deux cartes réseaux. C'est beaucoup plus simple et moins complexe !
Marsh Posté le 02-10-2003 à 09:22:00
the_oldster a écrit : Depuis un certain je me tate pour passer a un fw hardware.... histoire de gerer ca en externe une bonne fois pour toute. |
Le top serait un PC et un OpenBSD, un vrai OS "sécurisé".
Installation/Configuration/Mise en place: 30min
L'install de base suffit amplement (1 faille en 7 ans...)
En plus si tu as un vieux PC, ça tournera facile car c'est tres léger...
http://www.openbsd.org
Marsh Posté le 02-10-2003 à 11:03:06
BrotherS a écrit : |
A mon avis t'as pas souvent installé de firewall Hardware. Deux solutions, t'ouvre tout et tu ferme "pratiquement tout" ce doit être ta méthode alors forcément c'est logn de taper 65635 port TCP + 65535 ports UDP, soit tu ferme tout et tu ouvre les quelques ports nécessaire
http://www.ybet.be/internet20/ports_internet.htm
Pour la différence entre un port software et hardware:
1. tout logiciel (y compris linux) peut planter et récupérer des failles de sécurités. Bon d'accord, c'est pas Microsoft mais ...
2. Les firewall software bloquent (ou autorisent) les programmes . L'avantage, c'est que tu peux par exemple utilser kazaa (quoique depuis qu'il passe par le port 80). Le défaut, c'est que une fois que tu as dit oui, tout passe. Dans le cas d'un firewall hardware, dès qu'un port est bloqué, rien ne passe. Evidamment dès qu'un port est ouvert, tout passe . Quoiqu'avec le port 25, 80 et 110 pour une utilisation normale en IP et 0 et 53 (en sortie uniquement) pour le port UDP, c'est moins de temps que d'installer un linux sur un 486 de rebus.
3. L'avantage d'un firewall hardware reste un seul point d'administration et pas comme en software où chaque fois qu'un utilisateur a un message "...." soit un coup de téléphone ..., soit accepte.
J'ajouterais qu'on trouve des firewall hardware pour 100 € ... le prix d'une distribution linux achetée mais vous pouvez toujours télécharger les 700 MB sur les sites linux.
Marsh Posté le 02-10-2003 à 11:08:37
moi j utilise le FW intgré a mon routeur/modem alcatel et g eu mon premier probleme depuis 2 ans , port 80 et 443 ouvert sur le fw , les port sont nater , server visible sur le lan mais timeout sur le wan
Marsh Posté le 02-10-2003 à 11:11:26
the_oldster a écrit : Depuis un certain je me tate pour passer a un fw hardware.... histoire de gerer ca en externe une bonne fois pour toute. |
J'ai mis en place des Zyxel ZyWALL 10 (14 et 25 machines derrières) et du SonicWALL (80 machines derrières)... rien à signaler depuis la mise en place de ces Firewall, ce n'est pas aussi souple que certains logiciels tournant sur PC (Check Point par exemple), mais cela suffit amplement à filtrer correctement ce qui passe sur le réseau et celà coûte moins cher à l'achat et surtout en maintenance (temps en temps mettre à jour un firmware)
Note : un firewall "hardware" n'existe pas, il s'agit toujours d'un logiciel qui tourne sur une machine minimale dans son "Zoli boitier" qui dispose au minimum de 2 interfaces (souvent 3 avec la DMZ).
Marsh Posté le 02-10-2003 à 11:13:04
le plus chiant d un fw hardware @ home c la configuration car en gros tout est ferme et il fo savoir koi ouvrir donc certain programme t obliger de les lancer et de te taper les log par exemple
Marsh Posté le 02-10-2003 à 11:24:18
Pour etre tranquille : un petit cisco d'occase (tu trouves des 827, 830 pour moins de 350? d'occase), configuré avec Cisco Config Maker (interface graphique pour les debutants) et Hop le tour est joué. Cela ne coute pas si cher que cela et apres cela vit tout seul.
Marsh Posté le 02-10-2003 à 11:38:06
ybet a écrit : |
Attention, je parle de firewall hardware de type Nokia par exemple!! Après, je pense que l'installation d'un firewall n'est pas juste une configuration de régle du style any-any-drop ou any-any-accept !
Marsh Posté le 02-10-2003 à 11:47:31
BrotherS a écrit : |
effectivement. J'utilise pas de nokia. Mais la configuration nécessite également de bloquer et d'autoriser des plages d'adresses. J'ai bloqué les accès à INTERNET à toute une partie d'usine de cette manière. Déjà qu'on a du supprimer les jeux alors ..
Marsh Posté le 03-10-2003 à 08:51:51
ReplyMarsh Posté le 04-10-2003 à 13:38:53
Requin a écrit : |
C'est exact, sauf que pour la majorité, le soft est propriétaire (spécifique à l'appareil) et souvent directement écrit en assembleur vu le microcontrôleur installé. Ca évite déjà les patch du système d'exploitation même si ca n'empèche pas de mettre à jour le firmware de temps en temps.
Marsh Posté le 04-10-2003 à 17:41:43
ShonGail a écrit : |
Ca m'interesse, mais puisque je n'ai jamais touché a linux (a par la consol Unix de mon bahut), je me demandais si installer une de ces distrib sur une vielle bécanne c possible? Car j'ai bien 2 carte réseau, mais encore en ISA
Meme avec windows j'oserais po..
Marsh Posté le 04-10-2003 à 17:43:49
Pendant que j'y suis, qu'est-ce que vous pensez des firewall intégré au Modem/rtr adsl tel que les prestige de Zyxell?? Perso, je trouve ca merdique au possble et pas très intuitif au niveau config qui sont très limité, en plus...
Marsh Posté le 04-10-2003 à 17:46:52
helvetik -> ca suffit dans la majorité des cas et demande peu de maintenance. Ensutie suivant le modèle les options du firewall sont différentes (y compris chez Zyxel, tu n'as pas la même chose dans un 652R que dans un ZyWALL 10)
Marsh Posté le 04-10-2003 à 18:49:44
helvetik a écrit : |
J'ai un copain qui a installé de l'ipcop sur des bécannes antédiluviennes (notamment avec des cartes ISA)
Mate les configs minimums pour ipcop 1.2 et 1.3 dans les liens que j'ai donnés
Marsh Posté le 05-10-2003 à 16:07:31
Je suis en train de charger knopixkde-french-1.iso (on m'a dit que cétait bien pour débuter).
Et je charge aussi IPcop, pour le firewall
Merci
Marsh Posté le 05-10-2003 à 21:45:03
perso, si tu pige pas trop à linux (comme moi) et que ta pas trop envie de te faire à config un parefeu trop chiant, tu installer (sous linux ) guarddog (chien de garde), il est simple et trés complé !
bien sur, il te servira de passerelle...
Marsh Posté le 06-10-2003 à 22:41:05
ok, c'est bon a savoir.. ce week end, je vais prendre du temps pour tester tou ca (knopix pour apprendre, ipcop et guarddog comme par-feu)
Merci,
A+
Marsh Posté le 06-10-2003 à 23:24:17
Est ce que les distrib firewall Linux font aussi du VPN?
Il me faudrait du VPN entre des sites, donc entre 2 linux dedie firewall/VPN. Et entre les sites et des PC sous 2000 ou XP, PPTP me suffirait avec les PC pas besoin que ca soit du L2TP-IPSec.
Marsh Posté le 01-10-2003 à 23:29:41
Depuis un certain je me tate pour passer a un fw hardware.... histoire de gerer ca en externe une bonne fois pour toute.
Donc qui a deja tenté l'experience et surtout avec quel matos ?