Argumentation pour un "vrai" firewall

[jmripert]

Bonjour,

(Le titre est un peu vague, je le changerai dès que j'aurai eu droit à un peu d'inspiration.)

Actuellement nous avons en tête de réseau un ipcop qui tourne et qui nous bloque tout en entrée, jusqu'ici pas de problème. Le hic c'est que l'ipcop de base ne bloque rien en sortie, d'où le plugin BOT.

(le hic) Je propose l'idée à mon responsable de mettre BOT, mais sa réponse fut simple (pas catégorique) "pour quoi faire ?". Là je me suis senti con ne trouvant pas de réponse...

Pas que je n'en vois pas l'intérêt et bien au contraire, car au vue de notre configuration réseau BOT me semble être une évolution logique de la sécurité de celui-ci (nombreux postes où les personnes sont administratrices, serveurs publics sécurisés mais jusqu'à quand, ...).

Et là je fais appel à vous, quelles argumentaires pourrai-je développer pour le convaincre de l'utilité de cette bé-bête.

Merci de votre aide.
JeanMarc

[Gandalf]

Si tu as une seule cochonnerie qui rentre elle pourra sortir et faire rentrer n'importe quoi.
Comment ça peut rentrer : clés USB, CD, failles, web .... de façon volontaire ou non. J'ai même déjà rencontrer des prestataires respectables qui sont venus avec leurs portables vérolés, et sans contrôle en sortie tu fais comment pour déceler des flux sortants bizarres ?

Bref, je reste certain du besoin de tout bloquer en sortie ( en pus des entrées of course ), c'est pourquoi IPCOP ne me convient plus ( BOT devrait être intégré en natif ! ).

Mais rassure toi, à mon avis jdh va passer dans le coin et va te faire un argumentaire de 3 pages que tu pourras copier/coller à ton boss !

@ +

[tomtom]

Pour obliger tout le monde à passer par un proxy, pour bloquer les messageries instantanées, faire du filtrage d'url, bloquer les vers et virus et autres malwares, les keylogers, de l'imputabilité, des statistiques d'utilisation, empecher les protocoles farfelus, detecter des soucis de configuration, maitriser ses flux....


t.

[jdh]

Hé hé Gandalf ! Bien vu !


* Filtrage en entrée :

Un "IPCOP filtre en entrée". Ah bon ? Je dirais qu'un firewall ne filtre ABSOLUMENT pas en entrée. (Je sais, je vais choquer !)

Qu'est que le NAT (Network Address Translation) ?

Le NAT est l'action de remplacer l'adresse ip source interne, qui est privée, par celle du firewall, qui est publique; et de le noter pour que le paquet retour subisse la transformation inverse (l'ip destination qui est celle du firewall est remplacée par l'ip source d'origine).

A partir du moment où le firewall fait du NAT, il NE PEUT y avoir du trafic initié de l'externe vers l'interne SAUF à l'avoir expressément déclaré.

A ce titre n'importe quel modem/routeur ou box "filtre" en entrée (ou plutôt ne filtre pas).


* Filtrage en sortie :

La règle par défaut Green vers Red est "tout autorisé" ... comme n'importe quel modem/routeur ou box.

Il est EVIDENT que, sans filtrage en sortie, n'importe quel programme malin n'a aucune difficulté à émettre son trafic douteux.

AMHA, un ipcop (Red/Green seul) de base, sans aucun autre réglage, n'apporte pas fondamentalement plus de sécurité qu'un modem/routeur ou qu'une box. (Je sais, je vais choquer !)



Maintenant, juste un peu de réflexion.

Si le "filtrage" en entrée est implicite, passons au point suivant.

Si on a la possibilité de filtrer en sortie, pourquoi le faire ? et pourquoi ne pas le faire ?

* pourquoi ne pas filtrer en sortie ?
Aucune raison. (Seule la paresse.)


* pourquoi filtrer en sortie ?
Pour ne pas laisser sortir un trafic dangereux a son insu. Tomtom en donne déjà quelques exemples.
Pour ne pas laisser sortir un trafic non autorisé.

(Par opposition, la prudence.)


En fait, puisqu'un firewall n'est qu'un "aiguillage", le mieux serait d'utiliser, pour tous les trafics réseau, un "proxy" auquel les PC internes demanderait d'effectuer le relais.

Par exemple, pourquoi ne pas limiter le trafic dns sortant qu'au seul serveur fournissant l'info dns en interne ? En quelque sorte, ce serveur dns est le "proxy" dns.



A suivre ....

[tomtom]

Hum, je suis obligé de modérer quelque peu ton propos

AMHA, un ipcop (Red/Green seul) de base, sans aucun autre réglage, n'apporte pas fondamentalement plus de sécurité qu'un modem/routeur ou qu'une box. (Je sais, je vais choquer !)

C'est quand même un peu exagéré
Bon, c'est bien de filtrer en sortie, mais dire qu'un firewall c'est juste un routeur qui ferait du nat, c'est réducteur, fut-il "en entrée" uniquement.

- La pile IP d'un firewall est durcie
- Dès lors que tu utilises la fonction "DMZ" d'une box ou que tu l'utilises en bridge, le "serveur" est complétement exposé et sujet aux attaques
- un firewall sait filtrer des protocoles particuliers
- le source routing, même si c'est maintenant très filtré chez les opérateurs, est redoutable sur des box mal configurées pour attaquer des adresses privées
- Même sans BOT, un proxy transparent apporte beaucoup (encore plus avec bot bien sur )
- Il existe des failles dans le coeur même des boxes (souvent juste du deni de service, mais pourquoi pas imaginer des reconfigurations avec des paquets TCP spécialement forgés et exploitant des failles de la pile IP ou même d'une interface d'administration mal configurée - Exemple typique ; Chez free, la sécurité de ton réseau repose uniquement sur ton mot de passe d'accès à l'interface web, qui t'es envoyé en clair par mail !

* pourquoi ne pas filtrer en sortie ?
Aucune raison. (Seule la paresse.)

Il peut en exister d'autres quand même, la principale étant que c'est un accès "domicile" avec utilisateur ne maitrisant pas du tout forcement les flux de ses logiciels (jeux, p2p, visio etc.) et pour qui la configuration d'un firewall n'est pas évidente, ni même toujours faisable... Et surtout qui considère que ses données n'en valent pas la peine..

En fait, puisqu'un firewall n'est qu'un "aiguillage", le mieux serait d'utiliser, pour tous les trafics réseau, un "proxy" auquel les PC internes demanderait d'effectuer le relais.

Tout dépend de ce qu'on appelle "firewall"... De nos jours, un firewall digne de ce nom est "level 7 compliant" et connait les protocoles qu'il laisse passer, faisant un filtrage applicatif. Que cela soit sous la forme de proxy ou non n'est pas forcement important.. Et les relais ne sont pas toujours une bonne chose pour la sécurité



t.

[jdh]

Bonsoir Tomtom.

Bien sur que j'ai écrit des choses quelque peu provocantes et très simplificatrices. (Et je ne suis pas de Marseille).

En entrée, puisqu'il y a du NAT dans le sens inverse, je ne vois pas comment il pourrait y avoir un trafic initié de l'extérieur (Internet) vers l'intérieur (adressage privé). L'exemple des routeurs avec une zone DMZ (souvent un port) témoigne d'un paramétrage volontaire.

Un bridge ne peut pas être comparé à un firewall. C'est d'ailleurs un bridge qu'il faut conseiller si on veut mettre un firewall plutôt qu'un modem/routeur seul.

Bien sur pour un particulier une box, c'est déjà ça et sûrement pas "mauvais". Mais jmripert me semble poser la question pour une entreprise.

Je pense surtout qu'en matière de sécurité, le pire est de se croire couvert. Je peux me tromper, mais un IPCOP avec les règles par défaut, sans BOT ni Squid (le proxy transparent), ne filtre pas grand chose.

Quand au firewall applicatif, je connais. J'avais choisi Raptor en 99 pour mon entreprise, justement parce celui ci embarquait ce filtrage applicatif. Nous avons ensuite utilisé des Watchguard toujours pour la même raison. Je milite pour.

Enfin, j'ai toujours souri en lisant "firewall SPI" (ou "statefull") pour mon Linksys WRT54G. J'imagine que la plupart des routeurs wifi et autres box sont basés sur des noyaux linux. Donc, avec Netfilter, le "statefull" me parait très accessible.

[jmripert]

Merci.


By gandalf

> Si tu as une seule cochonnerie qui rentre elle pourra sortir et faire rentrer n'importe quoi.
J'ai eu l'idée de supprimer les utilisateurs, ma direction n'a pas compris... Mais les clès usb pour l'instant pas de mauvais retour... Jusqu'au jour où...

> BOT devrait être intégré en natif
idem


By tomtom

> Pour obliger tout le monde à passer par un proxy, pour bloquer les messageries instantanées, faire du filtrage
> d'url, bloquer les vers et virus et autres malwares, les keylogers, de l'imputabilité, des statistiques
> d'utilisation, empecher les protocoles farfelus, detecter des soucis de configuration, maitriser ses flux....
Sur le moment j'ai rien pû sortir, tellement logique. Après coup je me suis dit que j'allais pas revenir simplement en lui balançant ma belle liste. D'où ce post où je trouve mon bonheur (et compléter ma liste au passage ).


by jdh

> Un "IPCOP filtre en entrée". Ah bon ? Je dirais qu'un firewall ne filtre ABSOLUMENT pas en entrée.
Par filtrage je me comprend, j'entendais bloque tout en entrée et laisse passer ce que je lui autorise. Pas de filtrage type ids évidemment...

> En fait, puisqu'un firewall n'est qu'un "aiguillage", le mieux serait d'utiliser, pour tous les trafics réseau, un
> "proxy" auquel les PC internes demanderait d'effectuer le relais.
C'est quasiment le cas pour tout les clients, personne ne possède l'adresse de la passerelle dans sa configuration réseau (ouf!) donc pour surfer sur le web proxy obligatoire sauf qu'il y a un hic. Lle hic : beaucoup sont administrateurs et pour peu qu'il découvre l'adresse ip de la passerelle (ping firewall...) il la rentre et pof, mon proxy web ne sert plus à rien. Alors pourquoi je ne l'ai pas passé en mode tansparent ?... Je me pose la question tant que j'écris la réponse et je vois pas...

> Par exemple, pourquoi ne pas limiter le trafic dns sortant qu'au seul serveur fournissant l'info dns en
> interne ? En quelque sorte, ce serveur dns est le "proxy" dns.
Ce pour quoi je souhaite mettre BOT, n'autoriser que ce qu'il y a lieu d'autoriser, donc interdire ( ) tout ce qui n'a pas lieu d'être (niak! niak! niak!).


Retour jeudi, je donnerai mon résultat, mais ça devrait mieu se passer avec ces idées. M'en vais réfléchir aussi sur le proxy transparent, pourquoi n'ai-je pas activé ce levier...

Bon week-end
JeanMarc