Firewall : double-emploi avec un routeur ???

[philllll]

Bonjour,
je viens d'acheter un modem routeur ADSL (Olitec WF400G pour ceux que ça intéresse...) : il dispose d'un firewall NAT. Je me demande si ça m'autorise à enlever le Firewall de Windows XP, histoire d'alléger la CPU de mon PC ?
Merci pour vos réponses !
Phil.

[fraedhrim]

Bonjour,

Bonne question....

Avec ton routeur avec NAT tu t'affranchis des connexions entrantes. Donc plus de danger (si tu n'as pas fait une redirection de port toi-même sur ton routeur) de chopper des blaster et des sasser.
En revanche rien ne t'empèche via ta navigation web ou tes emails (et malgré un antivirus) de te ramasser des virus du type cheval de troie ou de spywares.
Dans le cas des cheevaux de troie les malins initient les connexions de l'intérieur. En gros ce n'est pas le pirate qui se connecte chez toi mais toi qui te connecte chez le pirate (ou le site qui va te filer plein de vérole) donc ton routeur NAT n'y peut rien.
De même le spyware risque de causer en sortie vers des sites de collecte des infos glanées sur ton PC.

Conclusion à ta place je garderais un firewall personnel embarqué mais pas le firewall de XP qui ne t'apporte rien dans ce sens puisqu'il ne filtre rien en sortie, ni ne te dit quels programmes démarrent (ce que fait par exemple Kerio Personal Firewall). Histoire de voir ce qu'il se passe sur ta machine et de vérifier de temps en temps que rien ne cause à ton insu.

Après tout est une histoire d'optimisme et de paranoïa.

Perso je garde un firewall personnel malgré mon firewall NAT et le gain de perf si je l'enlève n'est pas vraiment significatif.

Mais à toi de voir en fonction du risque. Si tu penses avoir une navigation 100% saine et avoir un antivirus super béton alors peut-être est-il possible de ne pas mettre de firewall personnel (autre que celui de XP qui ne sert effectivement à rien ici sauf pour te protéger de ton LAN)....

Dis nous ce que tu feras et si tu en es content !

A+

[Archimoi]

Je pense que Zone Alarme, pourra t'être assez profitable...

[fraedhrim]

Bonjour,

Il y a quelques temps j'aurais dit que Zone Alarm était un mauvais choix car il manquait singulièrement d'étanchéïté. AUjourd'hui sous l'égide de CheckPoint j'ose espérer que le produit à fait un grand bon en avant. N'ayant pas testé les nouvelles moutures je ne sais pas trop ce qu'il en est. Cependant il semble que la version grtuite ne fasse rien de plus que le firewall XP, en particulier rien au niveau du contrôle de l'accès dees applications à Internet.

Perso honnètement avant d'essayer Kerio j'étais plus Sygate Personal Firewall où tu voyais assez bien quel soft faisait quoi.

Mais Kerio est "idéal" dans le cas d'un routeur NAT. Tu peux définir une zone de confiance (typiquement l'adresse locale de la machine 127.0.0.1 et ton LAN maison) ainsi qu'une zone à risque (tout le reste). Et sur ces deux domaines tu autorises ou non la communication d'une application en entrée ou en sortie.

Par exemple le partage de fichier MS tu l'autorises sur ta zone de confiance en entrée sortie et tu l'interdit sur la zone à risque. Pareil pour un logiciel comme un navigateur web tu peux l'autoriser à sortir sur les zones zones mais rien à rentrer etc....

Un plus encore de Kerio c'est le controle de l'activité des applications. Tu peux choisir quelles applications on le droit de démarrer et même qu'elles applications ont le droit d'en lancer d'autre. Par exemple ton logiciel de messagerie à le droit de se lancer mais se serait bien qu'il ne cherche à rien lancer donc tu interdis tout lancement depuis celui bien que tu l'autorises à se lancer.

Tout ça peut paraitre compliqué mais Kerio l'a prévu et tu peux faire des règles par défaut du genre tout à le droit de se lancer ou tout logiciel non encore répertorié doit te demander l'autorisation pour démarrer etc....


Vraiment pas mal si tu veux avoir une bonne visibilité sur ta machine.

[YT-1300]

Bonjour.

Je pense que si tu as un routeur qui fait du NAT tu peus de suite enlever le firewall de tes postes clients. Par contre garde bien un antivirus sur tes postes.

Tu peus toujours installer un firewall mais active le uniquement si tu viens à te déplacer pour des LAN par exemple.

De quoi as-tu peur ?

Tes postes clients ne sont pas visible sur la toile internet car il sont derrière ton routeur.

@+tard,

YT

[fraedhrim]

Ouais mais l'ennemi est partout (l'axe du mal, votez bush, tout le bazar...) !!

Moi j'ai pas confiance en ma femme donc je préfère me méfier des communications même sur mon LAN...


Nan sans blague moi je préfère avoir une vision de ce que fait mon poste mais c'est chacun sont truc.

Niveau protection c'est clair qu'avec un routeur NAT et des bons antivirus sur les postes tu seras déjà largement au dessus du lot des français moyens inconscients du risque encouru (cf article récent de Silicon sur l'inconscience de gens).


Zou...

[narwe]

Ouais mais l'ennemi est partout (l'axe du mal, votez bush, tout le bazar...) !!

Moi j'ai pas confiance en ma femme donc je préfère me méfier des communications même sur mon LAN...


Nan sans blague moi je préfère avoir une vision de ce que fait mon poste mais c'est chacun sont truc.

Niveau protection c'est clair qu'avec un routeur NAT et des bons antivirus sur les postes tu seras déjà largement au dessus du lot des français moyens inconscients du risque encouru (cf article récent de Silicon sur l'inconscience de gens).


Zou...

je suis largement d'accord avec fraedhrim, en fait tu as deux types de firewall principalement, les firewalls de port et ceux applicatif,
je presume que ton routeur firewall effectue un filtrage sur les ports, de meme que zonealarme, ou bien un firewall linux sur un autre poste, ce qui te permet d'avoir une certaine securité, mais par contre tu ne sais pas si des programmes sont lancés par d'autres ou modifiés a ton insu, ce que te diras kerio par exemple.
de plus vu le cout (gratuit pour certains) et le faible % de CPU et de memoire utilises, je ne pense pas que l'on puisse se dispenser d'un firewall local sur chaque poste.