Bonjour,
Je suis en BTS et je doit fournir des Projet informatique.
Un des projets concerne la sécurité et je souhaite mettre en place un FireWall.
Je me pose quelques questions:
1 - Quel Firewall choisir.
ISA,
IPCOP,
Un autre ?
1b - Quel Os choisir ?
2 - La rapidité de mise en place ?
3 - La complexité ?
Ce projet doit être suffisement complexe pour avoir un interet (donc pas juste mettre un install et c'est reglé... :s), Mais assez simple pour pouvoir le mettre en oeuvre en 45 minutes.
Merci d'avance !
Le pti' Tarabiscot !
BTS Info et sécurité.
Modérateur: modos Ixus
17 messages
• Page 1 sur 2 • 1, 2
BTS Info et sécurité.
par Tarabiscot » 28 Mai 2004 11:51
-
Tarabiscot - Matelot
- Messages: 10
- Inscrit le: 28 Mai 2004 11:47
- Localisation: Var
par CéBé » 28 Mai 2004 14:13
IPCOP n'est pas un firewall, c'est une distribution GNU/linux.
ISA n'est pas un firewall à part entière et c'est surtout un proxy-cache.
Comprends netfilter/iptable : niveau complexité tu peux aller très très loin si tu le souhaites.
Pour les 45 minutes, ça ne veut pas dire grand chose : pour faire une config basique pour ton LAN perso avec 2 postes reliés au net auxquels tu autorises quelques protocoles communs et qui ne contient pas des données classées secret-défense, ça prend 10 minutes. Pour sécurisé une PME de 200 postes, avec divers serveurs publics, d'autres privés, du monitoring, de la QoS, etc. ça prendra un chouia plus de temps
Sinon checkpoint (existe sous Win2000/2003 -déconseillé-, linux -il installe son propre linux- ou en appliance -une boiboite qui fait tout-) est un excellent firewall mais faut être riche.
ISA n'est pas un firewall à part entière et c'est surtout un proxy-cache.
Comprends netfilter/iptable : niveau complexité tu peux aller très très loin si tu le souhaites.
Pour les 45 minutes, ça ne veut pas dire grand chose : pour faire une config basique pour ton LAN perso avec 2 postes reliés au net auxquels tu autorises quelques protocoles communs et qui ne contient pas des données classées secret-défense, ça prend 10 minutes. Pour sécurisé une PME de 200 postes, avec divers serveurs publics, d'autres privés, du monitoring, de la QoS, etc. ça prendra un chouia plus de temps
Sinon checkpoint (existe sous Win2000/2003 -déconseillé-, linux -il installe son propre linux- ou en appliance -une boiboite qui fait tout-) est un excellent firewall mais faut être riche.
- CéBé
- Premier-Maître
- Messages: 57
- Inscrit le: 21 Avr 2004 14:34
par TitBen » 28 Mai 2004 16:33
Salut !!
Alors là, je te propose une solution sans faille ...
Comme OS, tu choisis FreeBSD. Il est gratuit et il est très bien sécurisé par défaut ! Il a un firewall intégré : IPFilter !
Il suffit juste de configurer le noyau de FreeBSD pour que IPFilter soit actif !
Ensuite, il y quelques fichiers de configuration à modifier !!
Puis pour finir, écrire les règles de filtrage !
Tout ceci doit tenir dans 45 min environ ! mais il faut pas trainer !
Si tu veux, je peux te fournir une aide complète pour que tu ne cherches pas des heures !!
Préviens moi ...
Moi j'ai fait ca 3 fois ! donc maintenant je commence à connaitre !! et puis je suis en stage là, et mon projet est la sécurité donc firewall !
Voilà ... n'hésite pas à me joindre.
@+
Alors là, je te propose une solution sans faille ...
Comme OS, tu choisis FreeBSD. Il est gratuit et il est très bien sécurisé par défaut ! Il a un firewall intégré : IPFilter !
Il suffit juste de configurer le noyau de FreeBSD pour que IPFilter soit actif !
Ensuite, il y quelques fichiers de configuration à modifier !!
Puis pour finir, écrire les règles de filtrage !
Tout ceci doit tenir dans 45 min environ ! mais il faut pas trainer !
Si tu veux, je peux te fournir une aide complète pour que tu ne cherches pas des heures !!
Préviens moi ...
Moi j'ai fait ca 3 fois ! donc maintenant je commence à connaitre !! et puis je suis en stage là, et mon projet est la sécurité donc firewall !
Voilà ... n'hésite pas à me joindre.
@+
-
TitBen - Major
- Messages: 84
- Inscrit le: 15 Avr 2004 11:22
- Localisation: Tours
par yannva » 28 Mai 2004 16:35
CéBé a écrit:IPCOP n'est pas un firewall, c'est une distribution GNU/linux.
Ah bon pourtant on est nombreux à s'en servir à ce titre !
A +
Yann
Si tous ceux qui croient avoir raison n'avaient pas tort, la vérité ne serait pas loin. [Pierre Dac]
-
yannva - Capitaine de vaisseau
- Messages: 340
- Inscrit le: 31 Août 2002 00:00
- Localisation: Nancy
par TitBen » 28 Mai 2004 16:40
yannva a écrit:CéBé a écrit:IPCOP n'est pas un firewall, c'est une distribution GNU/linux.
C'est clair ... j'avais meme pas fait gaf de cette erreur !! lol
-
TitBen - Major
- Messages: 84
- Inscrit le: 15 Avr 2004 11:22
- Localisation: Tours
par yannva » 28 Mai 2004 16:52
Pour les 45 minutes un IPCOP sans problème et tu auras facilement 25 minutes pour broder.
Yann
Yann
Si tous ceux qui croient avoir raison n'avaient pas tort, la vérité ne serait pas loin. [Pierre Dac]
-
yannva - Capitaine de vaisseau
- Messages: 340
- Inscrit le: 31 Août 2002 00:00
- Localisation: Nancy
par Tarabiscot » 28 Mai 2004 17:19
TitBen a écrit:Salut !!
Alors là, je te propose une solution sans faille ...
Comme OS, tu choisis FreeBSD. Il est gratuit et il est très bien sécurisé par défaut ! Il a un firewall intégré : IPFilter !
Il suffit juste de configurer le noyau de FreeBSD pour que IPFilter soit actif !
Ensuite, il y quelques fichiers de configuration à modifier !!
Puis pour finir, écrire les règles de filtrage !
Tout ceci doit tenir dans 45 min environ ! mais il faut pas trainer !
Si tu veux, je peux te fournir une aide complète pour que tu ne cherches pas des heures !!
Préviens moi ...
Moi j'ai fait ca 3 fois ! donc maintenant je commence à connaitre !! et puis je suis en stage là, et mon projet est la sécurité donc firewall !
Voilà ... n'hésite pas à me joindre.
@+
Je veux bien un coup de main
Pour l'histoire du temps, je doit démontrer le fonctionnement de la solution que je choisi en 45 minutes. En gros, j'ai 30 - 40 minutes pour tout faire, ce qui me laisse 5 minutes de marge pour le cas où g un truc qui fonctionnerai mal.
Après je pense que je vais utiliser linux en guise d'os. Mais je ne sais pas trop quelle distribution utiliser.
Ni comment m'y prendre. Je connais tout les fonctionnement, mais je rame un peux pour les choix des programmes.
CéBé a écrit:Si pour vous on peut appeller un OS qui contient un firewall, un firewall alors Windows XP en est un. A vous de voir.
Me disais bien que WinXp me servirai à quelque chose
Merci pour toute vos réponses !
Le pti' Tara
-
Tarabiscot - Matelot
- Messages: 10
- Inscrit le: 28 Mai 2004 11:47
- Localisation: Var
par TitBen » 28 Mai 2004 17:28
Voilà la marche à suivre ... je crois que j'ai rien oublié !!
1°) Préparation du pont filtrant transparent
a) Compilation du noyau
Ces opérations ne sont pas très compliquées.
Les voici :
-Allez dans le dossier où se trouve le fichier du noyau
# cd /usr/src/sys/i386/conf
-Ensuite, il faut faire une copie du fichier en lui donner un autre nom
# cp GENERIC MONNOYAU
-Maintenant nous pouvons éditer en toute tranquillité notre nouveau noyau
# edit MONNOYAU
-Voici les lignes de code qu’il faut rajouter
options IPFILTER
options IPFILTER_LOG
options IPFILTER_DEFAULT_BLOCK
options BRIDGE
Cette dernière ligne active le pont entre les deux interfaces réseaux installées dans la machine FreeBSD. Pour l’avant dernière ligne, il y a aussi « options IPFILTER_DEFAULT_PASS ».
Tout dépend de la politique de sécurité que nous voulons adopter.
-Nous pouvons maintenant quitter ce fichier sans oublier d’enregistrer les modifications :
ctrl C : puis taper : exit
-Notre nouveau noyau doit maintenant être recompilé et réinstallé :
# cd /usr/src
# make buildkernel KERNCONF=MONNOYAU
A ce moment là, on peut voir plein de ligne de programmation défiler à une vitesse incroyable. Il suffit de laisser faire. Notre noyau se compile.
# make installkernel KERNCONF=MONNOYAU
C’est fini, notre nouveau noyau est enfin prêt.
b) Configuration de FreeBSD
Une fois le noyau compilé, il faut maintenant configurer le pont filtrant de manière à ce qu’il soit entièrement transparent aussi bien par rapport à l’intérieur, que par rapport à l’extérieur. De cette façon, il sera quasiment impossible de le détecter et donc de le pirater.
Configuration d’IPFilter
-Aller dans le dossier de tous les fichiers de configuration :
# cd /etc
# edit rc.conf
-On rajoute les lignes de commande suivantes :
ipfilter_enable= "YES"
ipfilter_flags=""
ipmon_enable="YES"
ipmon_flags="-Dsvn"
-Puis enregistrer les modifications.
-Ensuite on peut éditer les règles de filtrage
# edit ipf.rules
-Maintenant tu dois écrire tes propres règles . Pour t'aider voici une bonne adresse : http://openbsd.idealx.org/doc/ipf-howto.pdf
Configuration du BRIDGE
-Rester dans le dossier /etc, puis éditer le fichier suivant :
# edit sysctl.conf
-On rajoute les lignes de commande suivantes :
net.link.ether.bridge=1
net.link.ether.bridge_ipf=1
net.link.ether.bridge_cfg=vr0:0,rl0:0
net.inet.tcp.blackhole=1
La dernière ligne active le trou noir.
Voilà…tout est fini de configurer. Il ne reste plus qu’à redémarrer la machine et voir si tout fonctionne bien. Le pont filtrant transparent est maintenant opérationnel.
C'est un extrait de mon rapport de stage ! voilà voilà ... si tu as d'autres question n'éhiste pas !!
Bon courage !!
ps : tout ceci est pour FreeBSD avec IPFilter !
l'installation de FreeBSD est simple et rapide !!
1°) Préparation du pont filtrant transparent
a) Compilation du noyau
Ces opérations ne sont pas très compliquées.
Les voici :
-Allez dans le dossier où se trouve le fichier du noyau
# cd /usr/src/sys/i386/conf
-Ensuite, il faut faire une copie du fichier en lui donner un autre nom
# cp GENERIC MONNOYAU
-Maintenant nous pouvons éditer en toute tranquillité notre nouveau noyau
# edit MONNOYAU
-Voici les lignes de code qu’il faut rajouter
options IPFILTER
options IPFILTER_LOG
options IPFILTER_DEFAULT_BLOCK
options BRIDGE
Cette dernière ligne active le pont entre les deux interfaces réseaux installées dans la machine FreeBSD. Pour l’avant dernière ligne, il y a aussi « options IPFILTER_DEFAULT_PASS ».
Tout dépend de la politique de sécurité que nous voulons adopter.
-Nous pouvons maintenant quitter ce fichier sans oublier d’enregistrer les modifications :
ctrl C : puis taper : exit
-Notre nouveau noyau doit maintenant être recompilé et réinstallé :
# cd /usr/src
# make buildkernel KERNCONF=MONNOYAU
A ce moment là, on peut voir plein de ligne de programmation défiler à une vitesse incroyable. Il suffit de laisser faire. Notre noyau se compile.
# make installkernel KERNCONF=MONNOYAU
C’est fini, notre nouveau noyau est enfin prêt.
b) Configuration de FreeBSD
Une fois le noyau compilé, il faut maintenant configurer le pont filtrant de manière à ce qu’il soit entièrement transparent aussi bien par rapport à l’intérieur, que par rapport à l’extérieur. De cette façon, il sera quasiment impossible de le détecter et donc de le pirater.
Configuration d’IPFilter
-Aller dans le dossier de tous les fichiers de configuration :
# cd /etc
# edit rc.conf
-On rajoute les lignes de commande suivantes :
ipfilter_enable= "YES"
ipfilter_flags=""
ipmon_enable="YES"
ipmon_flags="-Dsvn"
-Puis enregistrer les modifications.
-Ensuite on peut éditer les règles de filtrage
# edit ipf.rules
-Maintenant tu dois écrire tes propres règles . Pour t'aider voici une bonne adresse : http://openbsd.idealx.org/doc/ipf-howto.pdf
Configuration du BRIDGE
-Rester dans le dossier /etc, puis éditer le fichier suivant :
# edit sysctl.conf
-On rajoute les lignes de commande suivantes :
net.link.ether.bridge=1
net.link.ether.bridge_ipf=1
net.link.ether.bridge_cfg=vr0:0,rl0:0
net.inet.tcp.blackhole=1
La dernière ligne active le trou noir.
Voilà…tout est fini de configurer. Il ne reste plus qu’à redémarrer la machine et voir si tout fonctionne bien. Le pont filtrant transparent est maintenant opérationnel.
C'est un extrait de mon rapport de stage ! voilà voilà ... si tu as d'autres question n'éhiste pas !!
Bon courage !!
ps : tout ceci est pour FreeBSD avec IPFilter !
l'installation de FreeBSD est simple et rapide !!
-
TitBen - Major
- Messages: 84
- Inscrit le: 15 Avr 2004 11:22
- Localisation: Tours
par bri2 » 28 Mai 2004 18:52
çà fait quand même pas mal de bidouilles pour arriver à une solution dont la supèriorité sur un ipcop ou smooth, reste à demontrer, perso je préfère partir d'un ipcop (ou smooth) et durcir ou améliorer avec d'autres solutions libres
mais ce n'est qu'un avis personnel !!
à moins bien entendu qu'il y ait la cia derrière
mais ce n'est qu'un avis personnel !!
à moins bien entendu qu'il y ait la cia derrière
Tout solution amène de nouveaux problèmes (Murphy)
-
bri2 - Vice-Amiral
- Messages: 896
- Inscrit le: 09 Fév 2002 01:00
- Localisation: cap d'ail
par Tarabiscot » 28 Mai 2004 19:12
OK Ben.
Je dl FreeBSD et je regarde ca.
Pas la CIA mais pire !
Le pti' Tara !
Je dl FreeBSD et je regarde ca.
bri2 a écrit:à moins bien entendu qu'il y ait la cia derrière
Pas la CIA mais pire !
Le pti' Tara !
-
Tarabiscot - Matelot
- Messages: 10
- Inscrit le: 28 Mai 2004 11:47
- Localisation: Var
par Franck78 » 28 Mai 2004 19:12
@Cébé
Ben mon pauvre, si pour toi un firewall n'est pas un firewall car supporté par un OS, à part ceux virtuels dans ta tête, tu ne dois pas en croiser tous les jours.
isa server ? non tourne sur base NT
Ipcop ? non tourne sur base linux
NG ? non tourne sous solaris/red hat/ nt
....
watchguard appliance et consort non tournent sous linux
...
bye...
Ben mon pauvre, si pour toi un firewall n'est pas un firewall car supporté par un OS, à part ceux virtuels dans ta tête, tu ne dois pas en croiser tous les jours.
isa server ? non tourne sur base NT
Ipcop ? non tourne sur base linux
NG ? non tourne sous solaris/red hat/ nt
....
watchguard appliance et consort non tournent sous linux
...
bye...
-
Franck78 - Amiral
- Messages: 5625
- Inscrit le: 20 Fév 2004 01:00
- Localisation: Paris
Re: BTS Info et sécurité.
par Rbill » 29 Mai 2004 00:51
Tarabiscot a écrit:Bonjour,
Je suis en BTS et je doit fournir des Projet informatique.
Un des projets concerne la sécurité et je souhaite mettre en place un FireWall.
Je me pose quelques questions:
1 - Quel Firewall choisir.
ISA,
IPCOP,
Un autre ?
1b - Quel Os choisir ?
2 - La rapidité de mise en place ?
3 - La complexité ?
Ce projet doit être suffisement complexe pour avoir un interet (donc pas juste mettre un install et c'est reglé... :s), Mais assez simple pour pouvoir le mettre en oeuvre en 45 minutes.
Merci d'avance !
Le pti' Tarabiscot !
Une sécurité efficace en moins de 45 minutes...
Ou va t-on ?
Si tu te bases sur une distribution épurée et cela depend egalement des performances du pc acceuillant cette configuration 45 minutes sont un peu juste!
Peut etre une base d'Ipcop avec des modifs perso....
-
Rbill - Amiral
- Messages: 1323
- Inscrit le: 15 Jan 2003 01:00
- Localisation: Hauts de Seine (92)
par Tarabiscot » 29 Mai 2004 05:26
Dans les 45 min, j'ai juste a tout configuer, pas a installer l'os.
L'OS je peux l'installer d'avance en fait.
Donc ca devrais aller.
Parce que vu les autre projet, si a chaque fois je devais installer l'os
Le pti' Tara
L'OS je peux l'installer d'avance en fait.
Donc ca devrais aller.
Parce que vu les autre projet, si a chaque fois je devais installer l'os
Le pti' Tara
-
Tarabiscot - Matelot
- Messages: 10
- Inscrit le: 28 Mai 2004 11:47
- Localisation: Var
17 messages
• Page 1 sur 2 • 1, 2
Retour vers Sécurité et réseaux
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)