question BOT sur ipcop perso

[morghot]

Bonjour à tous,

Je suis un utilisateur novice d'Ipcop.

Je viens de parcourir le forum en lisant pas mal de poste comme ca sans raison particulière.

Je suis tombé sur un post qui parle de BOT.

Si j'ai bien compris l'installation par défaut ne bloque pas les flux en sortie, et c'est apparemment une grosse faille de sécurité pour les réseaux de type pro.

Ma question est simple moi qui utilise ipcop à la maison pour proteger mon réseau de 3 PC (2 poste XP et un serveur SME) :

Ya t il un interet d'installer BOT sachant que je ne cherche pas a brider l'accès web à mon collocataire.

j'aurais intuitivement pensé que non mais bon je ne suis pas un pro...

[jdh]

Puisque j'ai commis cela, je reprends et j'explique.



- Un firewall est un PC qui assure le filtrage des flux entres zones : Internet (Red), réseau interne (Green), ...

- Les règles de filtrages peuvent être définis explicitement ou par défaut ("policy").

- IPCOP est AMHA laxiste dans les "policies".

- BOT est L'OUTIL qui permet de préciser les règles de filtrage.


Par exemple, si on autorise tout de Green vers Red, cela est pratique car n'importe quel programme installé sur un quelconque PC peut ainsi accéder à Internet (red).

Mais, le revers de la médaille, c'est que, quand un programme est installé à votre insu sur votre pc, il aura, lui aussi, les mêmes possibilités.

Le meilleur serait donc d'avoir
- une "policy" à "tout est interdit de Green vers Red", et
- une règle par flux : PC1 : smtp, pop3, http autorisé, PC2 http autorisé, ...

Par exemple, si on configure le proxy pour chaque PC, il faut 2 règles :
- PCx : accès à IPCOP - proxy (tcp/800 ?),
- IPCOP : accès à Internet : http, https, pop.

Ainsi un programme n'utilisant pas le proxy ne pourra accéder au web (http).


C'est moins une question de faille. C'est plus une question de choix de sécurité.

[morghot]

Merci pour cette réponse clair.

Par contre une réponse amène souvent une autre question héhé....

allez je me lance tanpis si je passe pour un C** en posant une question bête.

Il me semble que lorsque l'on configure le proxy dans IE, la plupart des applications installées vont automatiquement vérifier l'option d'IE et se base dessus non??

Donc dans l'éventualité ou un programme malveillant s'installe à l'insu de mon plein grès, ne va t'il pas reprendre les infos du proxy dans IE et hop ....

[ccnet]

Merci pour cette réponse clair.

Par contre une réponse amène souvent une autre question héhé....

allez je me lance tanpis si je passe pour un C** en posant une question bête.

Il me semble que lorsque l'on configure le proxy dans IE, la plupart des applications installées vont automatiquement vérifier l'option d'IE et se base dessus non??

Donc dans l'éventualité ou un programme malveillant s'installe à l'insu de mon plein grès, ne va t'il pas reprendre les infos du proxy dans IE et hop ....

Question plutôt judicieuse que bête. Beaucoup de programme utilise la configuration Internet Explorer. Mais pas tous. Au surplus on peut utiliser un proxy avec authentification.
Il n'est pas interdit d'utiliser autre chose que Internet Explorer. Même en entreprise.
Mais surtout le proxy ne se contente pas (normalement) de relayer le trafic les yeux fermés. Il est souhaitable de lui demander d'examiner ce qui est un trafic licite et ce qui ne l'est pas. Exemple de configuration pouvant jouer ce rôle : Squid +SquidGuard + Blacklist.
Ajoutons que pour la robustesse de l'ensemble, le proxy devrait ne pas se trouver sur le firewall et que les flux doivent être rigoureusement identifiés et cloisonnés, ce qui justifie que l'ensemble des serveurs de l'entreprise soient dans des dmz.

[morghot]

Et bien merci messieurs pour vos lumières.