Discussion :

[keaton7]

Bonjour,

Sachant que les routeurs d'aujourd'hui embarquent déjà des systèmes de firewall et que même dans le cas contraire, ils bloquent par défaut la plupart des ports, est-il a votre avis necessaire de compléter la protection avec un firewall logiciel ?

Si on se situe dans le cadre d'un petit réseau familial :
1 modem > 1 routeur > 3 stations

Si on se situe dans le cadre d'une PME :
1 modem > 1 routeur > 60 stations

Les stations ne seraient pas nécessairement toutes sous linux, mais c'est le seul forum qui parle de réseau ^^.

D'avance merci pour vos éclaircissements.

[ram-0000]

J'aurais tendance à dire que si le routeur possède un vrai firewall et que la personne qui configure ce firewall connait le métier d'administrateur réseau, effectivement, le firewall des PC utilisateur est moins utile.

Au travail, je n'ai pas de firewall sur mon PC et à la maison je suis protégé par la NAT de ma box, je ne suis pas en direct sur Internet, c'est la box qui prend tout (il y a intérêt qu'elle soit solide).

[keaton7]

Et qu'en est-il pour les routeur plus "grand publics", de type Netgear sans Firewall. Il ont beaucoup de fonctions de routage et ferment leur ports par défaut jusqu'à ce qu'on leur demande le contraire, n'est ce pas ce que fait un firewall logiciel ? Je ne comprend pas bien la nuance en fait entre le fait de fermer les ports, et le firewall a proprement parle.

[sevyc64]

Un firewall matériel sera toujours probablement plus solide qu'un firewall logiciel.

Un firewall matériel, situé dans un routeur protège l'ensemble du réseau, un firewall logiciel ne protège que la machine sur laquelle il est installé. Il doit donc être installé sur chacune des machines accédant au réseau.

Ceci dit rien ne t'empêche de cumuler les 2 si tu veux vraiment être rassuré, mais normalement si ton firewall matériel est bien configuré, c'est lui qui fera tout le boulot.

Point important, sur la machine ou il est installé, le firewall logiciel permet généralement en plus de définir une autorisation/bloquage de l'accès à internet individuellement pour chaque logiciels, chose que ne permet pas un firewall matériel.

[ram-0000]

Un firewall matériel sera toujours probablement plus solide qu'un firewall logiciel.

Cette phrase ne veut rien dire mais je pense comprendre ce que tu veux dire.

Qu'est ce qu'un firewall ? C'est un dispositif qui permet d'effectuer de la sécurité sur les accès réseau. Il existe 2 catégories d'accès réseau :

• les accès sortants, la connexion est faite à l'initiative de la machine locale à destination d'une autre machine
• les accès entrants, la connexion est faite à l'initialtive d'aue autre machine et à destination de la machine locale

Ou peut on trouver 1 firewall ?

• On peut les trouver sur un equipement réseau (en général un routeur), je parlerai dans ce cas d'un network firewall
• On peut aussi les trouver sur une machine utilisateur, je parlerai aussi de host firewall

Quels sont les sécurité apportées par un host firewall ?
Il protège la machine des accès entrants indésirables de manière plus ou moins complexe et il permet aussi de spécifier quels sont les programmes de la machine qui peuvent faire des accès au réseau. L'exemple le plus connu est le firewall intégré avec XP. Je pense que sevyc64 parle de ce firewall en disant firewall logiciel.

Après il y a les firewall installés sur les équipements de routage. Ceux la sont capable de choses différentes. Déjà, il sont capable de faire du statefull inspection, c'est à dire qu'ils sont capables de maintenir une session (ou pseudo session en UDP et ICMP) afin de dire, ce paquet est une réponse au paquet envoyé il y a quelques temps et donc je peux le laisser passer. Il sont aussi capable d'ouvrir dynamiquement des ports pour les protocoles un peu plus complexe qui utilisent 2 canaux pour communiquer, un canal de controle et un canal de données (comme FTP par exemple). Ils sont aussi capables de faire de la translation d'adresse (NAT ou PAT).

Sur les BOX en général, les firewall intégrés ne permettent que la translation d'adresse (qui apporte déjà une grande sécurité quant au degré d'exposition vis a vis d'Internet) et la notion de serveur virtuel qui permet d'autoriser un protocole à rentrer à destination d'une machine sur un port particulier.

Sur les routeur plus aboutis, le firewall ajoute les fonctionnalité de statefull inspection.

Maintenant, un routeur firewall plus complet peut être fait entièrement en logiciel (Checkpoint FW I sur serveur Windows ou Linux avec Iptables) ou en équipement spécifiques (Cisco, Juniper, Arkoon et plein d'autres encore)

Donc pour en revenir à mon point de vu et à ma première réponse, s'il y a un firewall réseau correctement configuré et administré sur le réseau, les machines de ce réseau ont moins besoin de firewall host (j'ai pas dit que c'était inutile, j'ai dit que c'est moins crucial)

[keaton7]

il sont capable de faire du statefull inspection, c'est à dire qu'ils sont capables de maintenir une session (ou pseudo session en UDP et ICMP) afin de dire, ce paquet est une réponse au paquet envoyé il y a quelques temps et donc je peux le laisser passer

Je ne connaissais pas ce type de protection, ca m'a l'air pratique.

J'y vois maintenant un peu plus clair, en fait je ne voyais que la partie NAT sur les routeurs, la partie immergée de l'iceberg apparemment

Je comprend mieux.

L'idée d'un nœud serveur jouant le rôle de firewall ou proxy/firewall est intéressante aussi, mais ouvre peut-être plus de failles non ? Je dis ça parce que j'imagine toujours le routeur comme un appareil plus simple et invulnérable, contrairement a un pc dont a l'habitude de sa vulnérabilité.

[ram-0000]

Un proxy est encore une autre chose. C'est un logiciel ou un équipement réseau qui fait la requête pour toi et te retourne la réponse.

Un proxy très connu est par exemple Squid qui est un proxy HTTP mais il existe d'autres proxy pour d'autres protocoles.

Le rôle d'un proxy est multiple. D'abord cela permet d'appliquer une politique de sécurité en un point unique : l'accès au site www.sexe.com est interdit, l'accès au site www.mabanque.fr est autorisé mais de 12H00 à 14H00. Ensuite il possède des fonctionnalités de cache. Certaine pages demandées souvent sont sauvegardées par le proxy en local, si un autre utilisateur la redemande, la 2eme requête ira plus vite puisque la page est déjà en local. On parle alors de proxy-cache.

Je ne mélangerai pas les fonctions de firewall et de proxy sur la même machine pour des raisons de sécurité. Un firewall est un firewall et ne devrait faire que cela (et il a bien assez à gérer).

[keaton7]

C'est mon esprit petits moyens, j'aurai tendance a charger de tous les rôles un seul serveur ^^.

Et imaginer virtualiser un serveur-routeur/firewall un serveur-proxy et un controleur de domaine sur une meme station mais plusieurs machines virtuelles est-il judicieux ? ou le firewall doit vraiment etre "materiellement" sur une autre station pour etre efficace ?

[ram-0000]

C'est mon esprit petits moyens, j'aurai tendance a charger de tous les rôles un seul serveur ^^.

Outre le fait que globalement, la machine est moins bien sécurisée car chaque appli peut apporter son lot de vulnérabilités, si ton serveur tombe, toutes tes applis tombent (et le utilisateurs ne vont pas tarder à te tomber dessus )

Et imaginer virtualiser un serveur-routeur/firewall un serveur-proxy et un controleur de domaine sur une meme station mais plusieurs machines virtuelles est-il judicieux ? ou le firewall doit vraiment etre "materiellement" sur une autre station pour etre efficace ?

Pourquoi pas (c'est moins pire en terme de sécurité) mais assure toi bien d'avoir une machine qui tienne la route (avec de la CPU, de la RAM et du disque dur).

[keaton7]

Ok, je garde tout ça en tête, merci pour ces précieux conseils