Remplacer IPCop par un routeur/firewall

[Hauwee]

Bonjour,

J'ai actuellement un serveur IPCop qui fonctionne bien mais je regarde si je ne pourrai pas le changer par un routeur/firewall qui ferait la même chose.

Qu'en pensez-vous ?
Que permet exactement ce genre de matériel ? --> ouverture/fermeture de ports, fonctions IDS/IPS, liste hosts ... ?
Sur quel "système" fonctionne ce genre de matériel ? --> Linux, systèmes propriétaires ... ?
Est-ce aussi fiable/stable/sécuritaire que IPCop ?

Si je change, je souhaite ne pas mettre trop cher. J'avais vu ce modèle mais si vous en avez d'autres ...
Bref tous les avis/commentaires sont la bienvenue

Merci

Cordialement

[ccnet]

Qu'en pensez-vous ?

Pourquoi changer ?

Que permet exactement ce genre de matériel ? --> ouverture/fermeture de ports, fonctions IDS/IPS, liste hosts ... ?

Variable. Certains en font plus qu'ipcop, certains moins.

Est-ce aussi fiable/stable/sécuritaire que IPCop ?

Croire que votre niveau sécurité dépend de votre firewall est une erreur. On ne peut aborder la question sous cet angle.
Cela dit j'éliminerai sans hésitation les produits à tout faire pas trop chers, peu éprouvés, conçus rapidement, jamais patchés fait pour tenir le temps d'une "saison marketing" et disparaitre des rayons 6 à 12 mois plus tard.
Maintenant si il s'agit de faire de l'internet à la maison l'enjeu est faible alors pourquoi pas. Mais pas plus.

[jdh]

On peut se poser une question : qu'est ce qui peut amener à se poser cette question ?


IPCOP est profondément différent d'un simple routeur/firewall tel celui indiqué. Par exemple, j'ai un vieux WRT54G qui se vante d'un firewall SPI.

A partir du moment où un routeur a d'un côté une adresse ip publique et de l'autre des adresses privées, il réalise une des taches de base d'un firewall, à savoir la translation d'adresses.

Mais IPCOP est un système qui sera monté sur un PC soit standard soit embarqué. C'est aussi un système à géométrie variable : on peut ajouter des addons pour réaliser des filtrages spécifiques ou pour disposer de plus d'informations sur le fonctionnement. (Et BOT est un addon totalement indispensable !)

Concernant la sécurité, il est évident, comme le souligne ccnet, que cela ne dépend que peu du firewall mais bien plutôt de la configuration mise en place par l'utilisateur. Un outil tel BOT qui permet de préciser notamment les flux autorisés en sortie n'a pas d'équivalent dans un routeur/firewall tel celui indiqué.

Dans la balance, on peut indiquer à l'avantage d'un tel routeur l'économie d'énergie et la facilité à maintenir en fonction par rapport à un pc classique. Mais les possibilités sont suffisamment différentes pour faire le bon choix EU EGARD à ses besoins (c'est comme cela qu'on fait un choix : on décrit ses besoins).

[Hauwee]

Pourquoi changer ?

Parce que mon IPCop est dans mon salon et comme c'est un "vieux" PC, il y a toujours un bruit de fond (ventilo, disque dur ..). Par conséquent, c'est un peu agaçant sur le long terme. Le mettre ailleurs serait embêtant pour les câbles.

Croire que votre niveau sécurité dépend de votre firewall est une erreur

Il est clair que cela ne dépend pas que du firewall mais c'est quand même une brique de la sécurité locale (sinon dans ce cas, à quoi bon en installer un)

Maintenant si il s'agit de faire de l'internet à la maison l'enjeu est faible alors pourquoi pas. Mais pas plus.

C'est tout à fait l'utilisation envisagée

Un outil tel BOT qui permet de préciser notamment les flux autorisés en sortie n'a pas d'équivalent dans un routeur/firewall tel celui indiqué

J'avais installé BOT parce que j'avais justement lu qu'il était indispensable. Par contre, j'ai été confronté à quelques contraintes (ne pas pouvoir bloquer un port en fonction d'un programme Windows précis) et donc j'ai du le retirer et garder un firewall local. Sur mon IPCop, j'ai juste SNORT et URLFilter.

[jdh]

Bloquer un port en fonction d'un pgm Windows ? Cela n'est possible ni sur IPCOP ni sur un routeur/firewall ! Cela ne peut être possible QUE localement sur la station (hélas le firewall XP ne sait pas le faire). Cela n'a donc AUCUN rapport avec BOT !

D'ailleurs, bloquer un port en fonction d'un pgm Windows n'a guère de sens.

Par exemple, on voudrait bloquer IE mais pas Firefox ? Ce qui compte là est le protocole utilisé et s'il doit être autorisé ou non !

La seule façon de regarder cela, est de considérer qu'un pgm utilise un protocole donné. Et il suffit de choisir ce qu'on en fait.

Quand à SNORT, c'est un marronnier ! Aucun intérêt quand on connaît si peu les protocoles qu'on ne peut savoir si une alerte a du sens.

Nous le répétons à longueur de forum, Snort est général inutile alors que BOT est totalement indispensable. Eh bien qu'observons nous ?

[Hauwee]

Bloquer un port en fonction d'un pgm Windows ? Cela n'est possible ni sur IPCOP ni sur un routeur/firewall ! Cela ne peut être possible QUE localement sur la station (hélas le firewall XP ne sait pas le faire). Cela n'a donc AUCUN rapport avec BOT !

D'ailleurs, bloquer un port en fonction d'un pgm Windows n'a guère de sens.

Par exemple, on voudrait bloquer IE mais pas Firefox ? Ce qui compte là est le protocole utilisé et s'il doit être autorisé ou non !

La seule façon de regarder cela, est de considérer qu'un pgm utilise un protocole donné. Et il suffit de choisir ce qu'on en fait.

Quand à SNORT, c'est un marronnier ! Aucun intérêt quand on connaît si peu les protocoles qu'on ne peut savoir si une alerte a du sens.

Nous le répétons à longueur de forum, Snort est général inutile alors que BOT est totalement indispensable. Eh bien qu'observons nous ?

Je sais que le blocage d'un port en fonction d'un pgm n'est pas possible non plus avec un routeur/firewall. Je cherche à changer mon IPCop mais je sais que sur ce point, je ne gagnerai rien.
Je ne suis pas sous XP mais sous Vista. Le firewall Vista le fait, ainsi que OnLine Armor.

Tu dis que bloquer un port en fonction d'un pgm Windows n'a pas de sens. Désolé mais je ne suis pas vraiment d'accord. Si je bloque un port X en sortie sur IPCop, cela le sera pour tout. Mais si 2 pgms Windows (ou non) utilisent le même port (et que cela n'est pas paramétrable) et que je veux en bloquer un mais laisser passer l'autre, je ne peux pas. Si pour certains programmes, il faut ouvrir une plage de ports en sortie, tous les pgms pourront l'utiliser. Bref, bloquer les ports plutôt que les pgms, en théorie c'est mieux mais dans la réalité, je ne trouve pas ça pratique/évident.

Pour SNORT, je prends note

[ccnet]

Ce que vous décrivez me laisse penser que certaines choses ne sont pas comprises. Les ports utilisées par les applications sont assez fortement normalisés. Même si cela n'est pas impossible il est peu probable que vous rencontriez ce problème. Il s'agit des ports sur lesquels les services que l'on souhaite accéder (par exemple pop 3, http, vnc, oracle, mysql, ....) sont disponibles, c'est à dire les ports de destination sur lesquels les serveurs sont en écoute. Votre client Vista (ou n'importe lequel) utilise pour établir des connexions vers ces services non pas les ports indiqués, mais des ports éphémère ouverts séquentiellement le plus souvent et au dessus de 1023 sans que cela requiert un quelconque paramétrage. Ce paramétrage n'aurait d'ailleurs pas de sens à bien y réfléchir.

Compte tenu de votre besoin de silence dans votre salon et du faible niveau de sécurité nécessaire vous pouvez acheter un routeur bon marché. Il n'y aura pas Snort dessus, mais je me demande bien ce que vous pouviez faire de snort à la maison. Sauf à être chômeur (ce que je ne souhaite à personne par les temps actuels) ou retraité, mais dans les deux cas il y a mieux à faire que passer son temps devant les logs snort.
Avec un routeur et votre firewall local sur vista vous serez couvert pour autant que les configurations soient correctes.

[trixel]

Pour info :

Je configure régulièrement des routeur/pare-feu DLINK DFL-210 et DFL-260 chez des clients

Pour les points positifs :

- performant
- personnalisable à souhaits
- intègre IDS/IPS
- gère authentification LDAP, AD, ...
- gère 2 connections internet (DFL-260)

points négatifs :

- interface relativement propriétaire (une fois compris le raisonnement ça va)
- la mise en place d'une règle peut générer beaucoup de manipulations
- cout (entre 400 et 800 euros selon les modèles)

A mon humble avis, une ipcop reste plus simple à configurer. De plus si on a des connaissances limitées, on a vite fait de s'embourber dans les règles de flux que ces produits proposent, et on pourrait de ce fait créé des failles de sécurité. Si on s'y connait c'est top car on peut vraiment tout personnaliser (même au delà des compétences des ingénieurs dlink qui ne comprennent pas toujours ce que l'on a fait sur un de leur produit).
A titre d'exemple, pour créé un tunnel VPN L2TP/IPSEC, il faut créé environ une dizaines d'objets dans le routeur, et faire une dizaines de règles... Je vous dit pas quand en plus il faut le faire communiquer avec un serveur AD pour l'authentification !!

Je n'ai jamais réeellement testé IPCOP, mais je m'étais fait les dents sur SME, qui est certes moins personnalisable qu'un DLINK ou autre (quoique en cherchant bien), mais qui a le mérite d'être simple et d'avoir de grosses communautés pour trouver des solutions.

En résumé, je déconseille un routeur du type DLINK DFL dans un environnement particulier (d'ailleurs je n'en vois pas l'interet a part de grosses migraines). Pour les modèles DIR de chez dlink, pour le coup c'est vraiment pourri et tu pourras pas faire grand chose avec.

[Hauwee]

Bonjour,

Par exemple si je souhaite fonctionner Live Messenger sur mon Vista (c'est un exemple car je ne m'en sers pas). Ne suis-je pas obligé d'ouvrir un certain nombre de ports sur BOT ? Si oui, n'importe quel pgm ne pourra t-il passer par ces ports pour dialoguer avec Internet ?

Je n'ai pas testé plus que ça BOT et je me trompe peut être mais si j'ouvre un port avec BOT, cela veut dire que n'importe quel pgm qui arrivera sera succeptible de continuer sa route ? Donc au final un seul port ouvert peut tout permettre ?

Bref je vais prendre vos remarques en considération et je vais réfléchir à tout ça à tête reposée

[ccnet]

Bon ben ... j'ai pas le temps de tout reprendre en ce moment.

[Hauwee]

Bon ben ... j'ai pas le temps de tout reprendre en ce moment.

Il est probable que certaines choses m'échappent. Je suis donc prêt à écouter
Ou éventuellement me renvoyer sur un lien ou un autre post qui m'expliquerait tout ça.

[Mat1905]

BOT c'est en sortie pas en entree donc rien a toucher pour msn.

[Hauwee]

BOT c'est en sortie pas en entree donc rien a toucher pour msn.

Oui je sais que BOT c'est en sortie et pas en entrée. Concernant Live Messenger, c'est juste ce que j'ai lu et appliqué. J'ai du ouvrir certains ports en sortie car sinon Live Messenger ne fonctionnait pas
Il faut bien ouvrir un port en sortie pour que Live messenger puisse dialoguer, non ?

[Gandalf]

Salut, Live Messenger de Windows est une plaie et se faufile partout ... notamment par le port 80, donc pour le bloquer ça a toujours été le jeu du chat et de la souris. Il existe des firewalls dits applicatifs qui filtrent ça très bien ( http://www.checkpoint.com/index.html par exemple ) mais ce sont des solutions très onéreuses.
Sinon pour faire fonctionner un client MSN basique tu dois effectivement ouvrir un port, le 1863 de mémoire à vérifier ...
Ca t'aide ?

/G

[Stirner]

Pour un retour Gandalf c'est un retour... Tu nous fais même du déterrage de topic.

ok je -->[]


PS: comptant de te revoir parmi nous