Routeur/Firewall Versus Passerelle Linux

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Routeur/Firewall Versus Passerelle Linux

Messagepar Neumann-BG » 01 Août 2004 03:48

Bonjour, [attention question de débutant]

J'ai chez moi 4 ordinateurs formant un LAN connecté à un routeur,
lui même connecté à une freebox (non dégroupé).
Le routeur en question est : Nexland ISB2LAN S4 et possède une fonction
firewall.
La question que je me pose est simple :
Est-ce que le firewall d'un tel routeur est réellement moins fiable (au sens
de la sécurité) qu'un firewall constituée par une passerelle sous linux ?
(par exemple Ipcop ou SME ...).
Il est clair que les distributions de passerelle sous linux ont l'avantage d'être beaucoup plus
configurable que mon routeur, mais pour une utilisation très élémentaire
(je n'utilise aucun serveur mis à part le serveur DHCP du routeur), est-ce utile si on a
déjà un routeur/firewall ?

Pour indication, j'ai testé à partir de l'exterieur du LAN, le firewall du routeur,
à l'aide de nmap. (nmap -A -T4 -P0 x.x.x.x)
Résultat : nmap n' a détecté aucun port ouvert ou fermé. Ce qui est semble t-il plutot positif, non?
A moins que ceci ne soit absolument pas un gage de sécurité ?

Merci de m'éclairer
Neumann-BG
Matelot
Matelot
 
Messages: 9
Inscrit le: 11 Juil 2004 14:02

Messagepar pulsergene » 01 Août 2004 08:36

Bonjour

Est-ce que le firewall d'un tel routeur est réellement moins fiable (au sens
de la sécurité) qu'un firewall constituée par une passerelle sous linux ?


Ils doivent etre a peu pres au meme niveau, enfin c'est le but de ces distributions comme IPCop ou freesco.
mais sous les passerelles, il y a des ptits plus comme l'IDS (detection d'intrusion)
franchement j ai fait des tests de scan de ports sur mon IPCop c'est aussi propre que du matériel.

Il est clair que les distributions de passerelle sous linux ont l'avantage d'être beaucoup plus
configurable que mon routeur, mais pour une utilisation très élémentaire
(je n'utilise aucun serveur mis à part le serveur DHCP du routeur), est-ce utile si on a
déjà un routeur/firewall ?


Ca depend de tes attentes, de ce que tu veux implémenter sur ton LAN, serveur Web ou non , etc....

Pour indication, j'ai testé à partir de l'exterieur du LAN, le firewall du routeur,
à l'aide de nmap. (nmap -A -T4 -P0 x.x.x.x)
Résultat : nmap n' a détecté aucun port ouvert ou fermé. Ce qui est semble t-il plutot positif, non?
A moins que ceci ne soit absolument pas un gage de sécurité ?


Essaies des sites de scan de ports comme celui qu il y a sur Ixus ou par exemple :
https://grc.com/x/ne.dll?bh0bkyd2

bonne journée
Avatar de l’utilisateur
pulsergene
Amiral
Amiral
 
Messages: 1314
Inscrit le: 14 Oct 2003 00:00
Localisation: cambrousse city

Messagepar Neumann-BG » 02 Août 2004 00:13

Merci pour ta réponse,

je vais voir si je peux trouver quelques informations sur
l'IDS, pour voir si j'en ai besoin.

J'avais essayé les sites de scan de ports
et ils ont dit que les tous ports
étaient "stealth".

En fait, comme je n'ai jamais configuré réellement le routeur
(à part quelques trucs immédiats), j'était surpris
de voir ces résultats positifs.

Est ce qu'un port "stealth" est un port réellement protégé?
Neumann-BG
Matelot
Matelot
 
Messages: 9
Inscrit le: 11 Juil 2004 14:02

Messagepar micjack » 02 Août 2004 00:27

Normalement oui, en Stealth le FW intercepte l'attaque et recolte les infos et fait le mort, donc tu reste invisible..
De mon coté j'aime bien aussi --> http://www.speedguide.net

Section " SG Security Scan " vers la gauche en bas de la page...

Si tu maitrise bien Linux en ligne de commande et les regles iptables/netfilter, laisse tomber ton routeur sans hesiter :wink:
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar Neumann-BG » 03 Août 2004 01:18

Je vais installer MNF pour faire des tests et pouvoir comparer avec mon
routeur.

Il y a quelque chose qui m'intrigue, les sites de scan disent que
mon routeur fonctionne en stealth sur tous les ports,
cependant, après avoir installé un firewall applicatif personnel
sur une machine du LAN (Kerio Personal Firewall)
j'ai parfois des "incoming alert" me disant que quelqu'un du WAN
cherche à établir une connexion sur mon PC pour telle ou telle
application. (par exemple MSN)
Y 'a t-il une contradiction quelque part?
Le stealth correspond -il à un DROP en langage
Netfilter ?
Si oui, comment est ce que je peux recevoir des alertes
incoming ?
Neumann-BG
Matelot
Matelot
 
Messages: 9
Inscrit le: 11 Juil 2004 14:02

Messagepar micjack » 03 Août 2004 01:40

Perso, je n'ai jamais installé de FW sous Windows, donc je ne pourrait te repondre....

Mais, quel est le resultat du lien que je t'es donné ?
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar Neumann-BG » 03 Août 2004 02:04

Avec le routeur, le service de scan du site speedguide.net
donne : tous les ports sont "filtrés" (59 sur 59)

Avec MNF en configuration par défaut, le résultat est
55 ports sur 59 sont filtrés, et 4 ports fermés
(135; 137; 138; 139) (c'est à dire Netbios et RPC)

Logiquement il faudrait mettre ces quatres ports en "filtré" et non plus en "fermé", non?
Neumann-BG
Matelot
Matelot
 
Messages: 9
Inscrit le: 11 Juil 2004 14:02

Messagepar micjack » 03 Août 2004 02:21

En filtrés tu n'a rien à craindre, mais ce qui m'etonne c'est le nombres de ports reconnu sur 59 :?

T'a quoi comme services qui tournent ?

Je viens encore de lancer un scan avec une RH9 + regles Iptables et tout services inutils desactivés et il me repond aucun ports ouvert ...

Our Security Scan found NO open ports
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar Neumann-BG » 04 Août 2004 04:16

Au niveau des services, voici ce qui tourne (obtenus dans résumé des services de l'interface de MNF)
iptables, network, portmap, syslog, shorewall, sshd, xidetd, dhcpd, http-naat, crond, partmon.

Si je fait un "netstat -taupe" voici ce que j'obtient :

Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat Utilisatr Inode PID/Program name
tcp 0 0 *:sunrpc *:* LISTEN root 1060 757/portmap
tcp 0 0 *:ssh *:* LISTEN root 2544 2511/sshd
tcp 0 0 *:8443 *:* LISTEN root 2817 2813/httpd-naat
tcp 0 0 localhost.localdom:8444 *:* LISTEN root 2818 2813/httpd-naat
tcp 0 20 localhost.localdoma:ssh 192.168.1.27:2050 ESTABLISHED root 59255 752/sshd
udp 0 0 *:bootps *:* root 2583 2550/dhcpd
udp 0 0 *:bootpc *:* root 952 668/dhcpcd
udp 0 0 *:sunrpc *:* root 1057 757/portmap

Je ne maitrise pas assez pour comprendre dans le détail tout cela...

Ce que je vois c'est portmap qui ecoute à travers le port "sunrpc". Je me dis que ça doit avoir un lien avec le fait que le port 135 est fermé mais non filtré. A vrai dire j'en sais rien...

Un truc bizarre aussi, les sites de scan ne disent pas la même chose. Pour :
-speedguide : tout est stealth sauf 135, 137, 138, 139 (qui sont fermés)
-seagate : tout est stealth (il dit que 139 est stealth, mais 135 n'est pas analysé)
-shields up : tout est stealth sauf 135 (RPC). (en particulier, 139 apparait stealth)
Qui dit la vérité :?:

Une première déduction pourrait être : 135 est fermé, 139 est stealth. Mais les autres?
vaut-il mieux filtrer ou fermer 135 ?
135 a-t-il un lien avec portmap?

NBG
Neumann-BG
Matelot
Matelot
 
Messages: 9
Inscrit le: 11 Juil 2004 14:02


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité