Sécurité sur un réseau perso

[dam_CESI]

Bonjour,
j'espère que un sujet n'a pas déja été ouvert sur la meme chose (si c'est le cas ne m'incendiez pas, pitié ), mais j'aurais juste voulu avoir un avis d'"expert sécurité" que je suis pas :

j'ai 1 pc, 1 connection adsl, et 1 autre pc qui me sert pas pour l'instant, je souhaite autoriser le p2p, 2 solutions me sont venues (l'idéal, j'en suis conscient étant de disposer d'un 3ième poste pour une DMZ):

- si j'installe un système style linux/ipcop et que je fais du port forwarding vers mon autre PC faisant tourner ma mule, est_ce que ca améliore vraiment la sécurité ?
Beaucoup de gens en parlent, mais je sais pas si ils réalisent que ce n'est rien d'autre, en fait que d'ouvrir un 'trou' dans le firewall, le seul avantage étant apparement que l'adresse IP de la seconde machine n'est pas connue, est_ce que c'est vraiment un avantage qui en vaut la peine d'ailleurs ?

- et si j'installe une mule sur mon firewall linux (je sais, j'ai lu des posts, c'est pas fait pour), est_ce ce poste pourrait jouer le rôle en fait "d'une sorte de DMZ" à lui tout seul ?
en gros je me demande si le fait d'installer un soft serveur sur la machine faisant office de firewall compremet-il même la sécurité de la machine derrière lui, ou alors, quoi qu'il arrive il ne laissera passer aucune connexion entrante ?

Voila j'espère avoir été clair, si vous pouvez juste me dire si c'est aussi foireux que ca en a l'air ou po bah sinon je me connecterai direct comme ça, et je mettrai un zonealarm ou un truc du genre.

[pulsergene]

bonjour

- si j'installe un système style linux/ipcop et que je fais du port forwarding vers mon autre PC faisant tourner ma mule, est_ce que ca améliore vraiment la sécurité ?

c est le but
par defaut, il ne reste rien passé et tout sortir apres a toi de creer des regles en fonction de tes besoins

- et si j'installe une mule sur mon firewall linux (je sais, j'ai lu des posts, c'est pas fait pour), est_ce ce poste pourrait jouer le rôle en fait "d'une sorte de DMZ" à lui tout seul ?

si tu veux que ton firewall devienne une passoir fais le
sinon c'est pas conseillé
le mieux eventuellement, c'est d'installer la mule si un poste client et de créer des regles pour la faire passer

j espere que ca repond a ta demande

bonne journée

[dam_CESI]

merci pulsergene, tu répond en parti à ma question , ben ouais en partie, désolé j'ai peut être pas été super clair , tout ce que tu me dis confirme ce que je pensais, mais je me demandais quels étaient exactement les risques (car les 2 solutions en comportent) :

- si je fais du port forwarding : ma machine perso accepte des connexions entrantes sur le port de la mule, mais normallement un hacker ne connaitra pas son ip, ma question est : est_ce que ca va vraiment le géner ? concrétement est_ce que quelqu'un sait exactement à quoi je m'expose ?

- dans le second cas, je me doute que la sécurité de la machine linux risque d'être mise en cause, mais si elle est "attaquée" et qu'elle continue à empecher toute connexion entrante sur le deuxième poste, je suis tranquille, non ? dites moi si je dis une grosse $%#&!, mais bon, c'est ça que je voulais dire par "zone-pseudo-DMZ", ca me dérange pas qu'on foute en l'air ma machine linux tant qu'on touche pas à la machine qui y a derrière .

Je pose juste ces questions pour pouvoir peser le pour et le contre, et que j'aime pas trop me contenter de 'en gros telle solution est plus sure', ou telle autre, enfin voila quoi , à la limite si qq1 connait un lien ou on explique les risques auquel on est exposé même derrière un routeur je suis preneur.

merci.

[Mamax]

- si je fais du port forwarding : ma machine perso accepte des connexions entrantes sur le port de la mule, mais normallement un hacker ne connaitra pas son ip, ma question est : est_ce que ca va vraiment le géner ? concrétement est_ce que quelqu'un sait exactement à quoi je m'expose ?

Il y a un grand nombre de personnes qui scannent les @IP et ensuitent scannent les ports (Regarde les log de ton Firewall), Ensuite cette personne voit le port machin chouette d'ouvert, passe par là entre sur ta machine emule et ensuite sur tout ton LAN...

- dans le second cas, je me doute que la sécurité de la machine linux risque d'être mise en cause, mais si elle est "attaquée" et qu'elle continue à empecher toute connexion entrante sur le deuxième poste, je suis tranquille, non ? dites moi si je dis une grosse $%#&!, mais bon, c'est ça que je voulais dire par "zone-pseudo-DMZ", ca me dérange pas qu'on foute en l'air ma machine linux tant qu'on touche pas à la machine qui y a derrière .

Pour le reste, si ta machine Linux qui fait Firewall tombe, tout le reste tombera ensuite. C'est le même problème que ci-dessus: Tu as un port d'ouvert le hacker rentre par ce port, pirate ton firewall, et comme celui-ci a accès au LAN, il a accès à toutes tes machines

[dam_CESI]

Donc décidement pas de serveur sur un poste faisant firewall , et si je fais du port forwarding, le fait que l'ip de la machine ne soit pas connue à la base, ne gènera pas plus que ça un éventuel "intrus" agissant en utilisant des méthodes habituelles , je te remercie, je préfère savoir à quoi m'attendre .