Demande de conseils sur firewall

Demande de conseils sur firewall - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 10-12-2008 à 13:23:49    

Bonjour,
 
Le réseau est constitué de 8 postes fixes, 2 portables et 2 imprimantes réseau.
Il y a un NAS, et 1 serveur de fichiers et le routeur vers Internet.
 
Ma question est sur l'utilité d'un firewall.
 
En effet, les requêtes entrantes qui ne sont pas liées a une connection sortante sont bloquées par le routeur (sauf cas de redirection de ports sur le routeur mais cela n'est pas le cas).
Pour les connecxions sortantes par contre, aucune restrictions (problématique par ex si un PC se fait infecter par une cochonneries qui bavarde sans cesse avec Internet)
 
Ensuite, j'ai pas trop compris les histoires de SPI, c'est pas déjà fait nativement par le routeur (via le NAT) ?
Pour les DoS, là effectivement seul un firewall peut être efficace
 
Enfin ma question, hormis le controles des connections sortantes, un firewall doit il aussi controller les connections sortantes ? est ce utile ? trop restrictif ?
 
Quel, avantage a avoir un firewall ?
 
Merci
 
Al

Reply

Marsh Posté le 10-12-2008 à 13:23:49   

Reply

Marsh Posté le 10-12-2008 à 13:51:28    

Et bien tu donnes une partie des réponses toi même.
Si un de tes postes est infecté. Merci de pas nous attaquer nous les internautes et puis le réseau sera un peu moins pollué. ;-)
Moins de leaks (fuite de donnés).
...
...


Message édité par mmc le 10-12-2008 à 13:56:47
Reply

Marsh Posté le 10-12-2008 à 13:55:13    

ok, merci,
 
Dans ce cas, quel ports autorisé en sortie ?
Port 21 (ftp), 25 (smtp), 53 (dns), 80 (http), 110 (pop3), 143 (imap), 443 (https)
d'autres ?

Reply

Marsh Posté le 10-12-2008 à 14:41:50    

En principe, il faut partir dans le sens : laisser sortir ce qui t'es juste nécessaire et le reste tout bloquer.
Cela dépend de ce que tu as besoin en fonction de tes applications autorisés ou non.
Source, destination, protocole, port, logiciel ...


Message édité par mmc le 10-12-2008 à 14:45:07
Reply

Marsh Posté le 10-12-2008 à 15:35:03    

Pour le filtrage du sortant, tu peux très bien attaquer avec du http, smtp, pop, https, icmp ... Bref, ce n'est pas le firewall qui va empecher d'attaquer ou de propager des virus sur Internet.
 
De même , toute connexion qui sort de ton réseau peut héberger des données sensible.
Ce qui implique si un pirate prend la main sur une de tes machine via mail, ou un téléchargement ciblé . Il peut faire un tunnel qui lui permettra de remonter derrière le firewall et çà tu ne peux pas y remédier tous les protocoles que tu devras laisser sortir peut héberger ce type de trafic.
 
Le preuve via les systèmes d'assistance à distance qui font fit des parefeux pour la plus part en se contentant de http ou de https.
 
Donc pour moi, l'interêt du Firewall est d'être sur en limitant les ports que tes collègues ne vont pas installer une mule est télécharger sous la responsabilité juridique de la société.
 
Un firewall peut avoir un interet aussi si il permet de consulter les logs des connexions et d'afficher simplement et de manière clair les rejets pour une machine du réseau.
Dans ce cas, il faut avoir le ressource homme interne pour pouvoir lire et interpréter ses logs.
 
Enfin, certains firewall propose des systèmes d'analyse des communications pour sur le même principe qu'un antivirus détecter des attaques potentiels.
Dans ce cas, il pourra te dire tel machine est infecté ou tel machine du net a tenté de passer mon parefeu...  
 
Personnelement, un Linux, iptables, snort suffise à faire un bon Firewall.
 
 
 

Reply

Marsh Posté le 10-12-2008 à 17:05:21    

C'est bien connue, il est impossible de protéger un système à 100%.
Mais on ouvre pas la grande porte de sortie non plus, sans un minimum de filtrage (IDS, HIPS, Isa server,...), c'est la moindre des choses.


Message édité par mmc le 10-12-2008 à 17:36:48
Reply

Marsh Posté le 11-12-2008 à 09:06:14    

je te conseille l'utilisation d'un UTM (type NETASQ).
 
Firewall + IPS + Filtrage URL + Analyse antivirale etc.
 
En fait, même si tu filtre les flux sortants, il est possible à un bot d'utiliser le port 80 (http) par exemple pour fournir des informations ou même utiliser des tunnels ssh via un port 80 etc...
Un simple Firewall ne fera pas une analyse antivirale, les postes pourront télécharger des virus, vers etc.
 
Pour résumé :
 
Un routeur ne permet que faire un minimum de filtrage (si il y a des ACL), et router les paquets, il ne fera pas d'analyse approfondie.
Le Firewall permettra de faire du filtrage sur IP, ports TCP, UDP etc.
Un IPS permet de faire du filtrage plus approfondi par exemple ne pas autoriser de connexions ssh quelque soit le port, ou de l'analyse protocolaire.
 
Un UTM embarque toutes ces fonctionnalités, avec une analyse antivirale, filtrage URL, Tunnels IPSec et j'en passe :)
 

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed