IPcop firewall aplicatif ?

par **PhenixXP** » 06 Avr 2005 10:48

Bonjours,

Je recherche un firewall applicatif, j'ai vu la distribution IPCOP mais j'ai beau regarder dans votre fiche et sur le site d'IPCOP (j'ai aussi fait des recherche sur votre forum et google) mais j'arrove pas a trouve un endroit ou y a marque si c'est un firewall aplicatif. Eh qui y'a t'il en disribution qui fasse firewall applicatif ? par exemple smoothwall est -il applicatif ?

Merci pour les informations.

par **Gandalf** » 06 Avr 2005 11:34

NON, IPCOP n'est pas un firewall applicatif au sens large du terme, càd qu'il ne te préviendra pas que telle ou telle application a voulu sortir "Voulez-vous la laisser sortir ?". Et à ma connaissance aucune distri ne le fait ( IPCOP, MNF, Clarckconnect ... ) car le but du firewalling est de pouvoir maitriser ce qui sort et ce qui rentre, pas de cliquer comme un nigaud sur OK ou CANCEL !

par **robert_bittenbois** » 06 Avr 2005 11:39

Firewall applicatif......

A ma connaissance : Microsoft ISA Server le fait extremement bien, mais il n'est pas gratuit.

par **lucyfire** » 06 Avr 2005 12:01

avec QOS Imq+Layer7 tu peux faire de l'inspection de packets et reperer les applicatifs qui communiquent, et leurs mettre des priorités en bande passante.

++

lcf

par **PhenixXP** » 06 Avr 2005 12:26

Le but pour moi du firewall applicatif est de pouvoir la partie applicative de la trame et regarder si y a pas une tentative d attaque une url mal formé des choses comme sa (Mais peut etre que c'est snort qui gere sa) et aussi de pouvoir dire tel flux (par exemple HTTP) passe et non de dire un port.

Dans le cas du HTTP par exemple je veut pouvoire dire le HTTP a le droit de rentrer sur mon réseau et pas laisser tout port superieur a 1024 ouvert (mais peut etre que grace au statefull Inspection que IPcop gere je peut faire sa).

Bon si je dis des bestises n'hesitait pas a rectifier

J'ai regardé 7layer ca à l'air pas mal et donc on peut avoir sa sous ipcop intéressant.

par **lucyfire** » 06 Avr 2005 12:35

oui c'est le job de Snort ça, Ipcop ne laisse rentrer aucun traffic qui n'est pas été initié du reseau à protéger.

lcf

par **jdh** » 06 Avr 2005 12:55

Il faudrait se mettre d'accord sur certains termes :

- firewall state-full : suivi de la connexion en se basant sur l'analyse de l'"état" : adapté à des protocoles qui peuvent changer de port (par exemple FTP).
- firewall applicatif : analyse de la suite des paquets selon la norme prévue : le port 80 est du HTTP c'est à dire qu'il y a des requetes GET, PUT, ...

Les premiers firewall etaient plutôt des filtrages de ports : par exemple IPCHAINS : tels ou tels ports est ouverts. Point barre.

La génération suivante est le "state-full" (IPTABLES) : on tient compte de "New", "Related" ou "Established". Dispo depuis 2.4 sous Linux.

La génération future c'est le firewall applicatif : le port est ouvert, on suit la connexion mais on vérifie si c'est conforme au protocole prévu.

L'un des premiers firewalls commercials orienté "applicatif était Raptor (devenu Symantec aujourd'hui). CheckPoint a été lui l'un des premiers "state-full", Mais il a incorporé vite de l'applicatif. Une boite telle que WatchGuard a aussi disposé d'applicatif très tôt.

Les solutions "applicatif" existent sous Linux mais ne sont pas encore dispo pour IPCOP. Cela arrive ...

par **PhenixXP** » 06 Avr 2005 14:20

Oki merci pour les infos et la mise au point sur le pare-feu applicatif.

Ce qui est dommage c'est que quand tu dis que c 'est pas encore sous linux c'est partiellement faux car tout les firewall materiel que tu vois derrière c'est du linux avec tres certainement IPTABLE et des SNORT amelioré pour l'IPS. C'est vraiment dommage car les developeur de ces sociète doivent certainement prendre des truc de Llinux (Iptable) et par dessus il rajoute leur logiciel pour en faire un firewall applicatif et il partage pas ceux qu'ils ont fait. Mais bon sa reste comprehensible car c'est leur gagne pain.

Sinon donc il n'y a pas encore de reelle distribution Linux libre qui font firewall applicatif.

Merci

par **PhenixXP** » 06 Avr 2005 17:08

Je voudrai un renseignement complementaire car j'ai un petit souci.

Dans mon projet de firewall, je dois prendre en compte le fait que plus tard j'aurai peut être de la visioconférence. Le souci de sa c'est que par exemple avec netmeeting ou autre cela ouvre des port > 1024 que l'on connait pas par avance et qui change à chaque fois.

Je voudrai donc savoir si grace au state full d'IPTABLE cela permettra d'eviter que j'ouvre mes port > 1024 et que ma visio conférence passe.

Merci pour les informations.

par **jdh** » 06 Avr 2005 19:29

C'est la différence entre IPCHAINS et IPTABLES, les ports ouverts de façon statique et le "state-full".

L'intéret d'IPTABLES (noyau 2.4 minimum) c'est de gérer la connexion entre une machine et une autre machine même si les port change en cours de connexion. C'est le cas de FTP (mode actif) ou de la visioconférence (H323).

Néanmoins cela suppose un module spécifique (au sens noyau). Il en existe plein notamment pour les cas que j'indique. (IPCONNTRACK + ...)

par **PhenixXP** » 07 Avr 2005 16:41

Désolé mais sa veut dire oui ou non il le gere ou pas.

Car si j'ai bien compris IPTABLE on va dire est un pare-feu "state-full" cela authorise le changement de port durant des echages entre deux machine mais il faut quand meme un module supplémentaire pour le noyau.

Ce que j'ai pas compris c'est si IPCOP intégre ce module supplémentaire.

IPcop firewall aplicatif ?

IPcop firewall aplicatif ?

Qui est en ligne ?