#1 Le 11/05/2011, à 09:43
- Brunod
[RESOLU]:Intérêt d'un pare feu hardware ?
Bonjour à tous,
Sur un petit réseau d'une quinzaine de pc dont 3 windows avec un serveur Debian, on me propose d'installer un pare feu de marque Sonicwall destiné à sécuriser et renforcer la résistance de mon "bête" modem routeur firewall switch de marque Billion. Sur ce dernier, je n'ai que deux ports ouverts en entrée mais contrôlés avec grande attention.
Au-delà du simple intérêt d'avoir une ligne de protection supplémentaire (et encore, car il paraît qu'il faut alors ouvrir totalement le firewall du routeur), quel est le gain et quelles sont les possibilités de ce genre d'outil ? Je me suis tant qu'à présent toujours cantonné aux firewalls intégrés aux modems.
Merci de vos avis/expériences !
BD
Dernière modification par Brunod (Le 12/05/2011, à 14:52)
Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis
Hors ligne
#2 Le 11/05/2011, à 17:17
- Grünt
Re : [RESOLU]:Intérêt d'un pare feu hardware ?
Ces machins propriétaires n'apportent pas grand chose. Ça a des effets de bord néfastes (du genre, limiter la taille des réponses DNS à 512 octets, donc en bloquant DNSSEC), pour un prix excessif.
Si tu n'as pas besoin de ce machin, laisse faire. C'est bon pour les gens qui n'y connaissent rien et claquent des fortunes pour se croire protégés.
Red flashing lights. I bet they mean something.
Hors ligne
#3 Le 12/05/2011, à 00:13
- wsc
Re : [RESOLU]:Intérêt d'un pare feu hardware ?
http://www.sonicwall.com/fr/17654.html
"Deep Packet Inspection for SSL Encrypted Traffic (DPI-SSL) décrypte, inspecte et ré-encrypte de manière transparente le trafic crypté SSL "
Ils devraient investir dans un vrai traducteur, parce que "décrypte ré-encrypte, crypté" c'est un peu moche pour un produit destiné à la sécurité.
Sinon quand à l'utilité c'est discutable, faut voir la connexion etc, si le débit n'est pas énorme pas besoin de faire péter les watts avec un firewall hard.
Sinon il y a des distributions gratuites (pfsense ip-cop) spécialisés dans le domaine, suffit d'avoir une machine dédiée à la tache en amont.
Dernière modification par wsc (Le 12/05/2011, à 00:14)
#!/bin/crash
SYS="Arch Linux avec FVWM Crystal"
echo -e "\nMon site internet et le weB-log ... \nMon système: $SYS \n\n"
sleep 2 && exit 0
Hors ligne
#4 Le 12/05/2011, à 00:53
- Grünt
Re : [RESOLU]:Intérêt d'un pare feu hardware ?
http://www.sonicwall.com/fr/17654.html
"Deep Packet Inspection for SSL Encrypted Traffic (DPI-SSL) décrypte, inspecte et ré-encrypte de manière transparente le trafic crypté SSL "
Encore un truc qui fait pas envie: le SSL est justement fait pour assurer le chiffrement de bout en bout!
Red flashing lights. I bet they mean something.
Hors ligne
#5 Le 12/05/2011, à 09:02
- Brunod
Re : [RESOLU]:Intérêt d'un pare feu hardware ?
wsc a écrit :http://www.sonicwall.com/fr/17654.html
"Deep Packet Inspection for SSL Encrypted Traffic (DPI-SSL) décrypte, inspecte et ré-encrypte de manière transparente le trafic crypté SSL "
Encore un truc qui fait pas envie: le SSL est justement fait pour assurer le chiffrement de bout en bout!
Ouais, justement, comment est-ce qu'il peut décrypter des trucs cryptés qui à priori ne le regarde pas ? Faut aussi lui donner les clés de cryptage à cette boîte ?
Et si oui, qu'est-ce qui me garantit qu'elle ne sont pas transmises ailleurs si on ignore ce que fait le firmware...
Je suis de plus en plus sceptique.
Merci déjà de vos retours.
D'autres avis/expériences ?
Dernière modification par Brunod (Le 12/05/2011, à 14:54)
Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis
Hors ligne
#6 Le 12/05/2011, à 09:44
- Nasman
Re : [RESOLU]:Intérêt d'un pare feu hardware ?
Apparemment c'est un logiciel de "sécurisation" qui surfe sur la peur de la Hadopi. Ce doit être le genre de truc bien fermé qui espionne tout ce qui passe (et doit envoyer les logs à cette institution inutile).
Donc spyware payant ne protégeant pas.
PC fixe sous Bionic 64 bits et portable avec Focal 64 bits
Hors ligne
#7 Le 12/05/2011, à 10:36
- Grünt
Re : [RESOLU]:Intérêt d'un pare feu hardware ?
Apparemment c'est un logiciel de "sécurisation" qui surfe sur la peur de la Hadopi
Non, c'est du matériel bien cher. Je bosse dans une boîte qui (entre autres) vend ce genre de machins.
C'est peut-être adapté à une boîte avec 300 PC où personne ne sait comment fonctionne un parefeu. Mais pour une dizaine de machine et quelqu'un qui s'y connaît, c'est overkill, trop cher et plus emmerdant qu'autre chose.
Red flashing lights. I bet they mean something.
Hors ligne
#8 Le 12/05/2011, à 11:22
- Brunod
Re : [RESOLU]:Intérêt d'un pare feu hardware ?
Pour préciser, ce n'est pas hadopi la motivation : je suis situé en Belgique et on n'a pas (encore) ce problème. (On en a déjà assez d'autres comme ça.)
Le gars m'a expliqué que ça résistait mieux à une attaque que le simple firewall intégré au modem, notamment en cas d'attaque massive. -> ??
Comme mon petit modem droppe déjà les paquets non autorisés, je ne vois pas vraiment ce qu'une attaque peut me faire hormis au pire me planter mon modem et devoir (peut-être) le relancer. Ca semblerait aussi faciliter l'établissement de liaison en vpn. Est-ce correct ou me trompe-je complètement ?
EDIT : @Grunt : pourquoi "plus emmerdant qu'autre chose" ? C'est pas plus simple à configurer qu'un firewall intégré ? C'est aussi ce qu'il m'a dit.
Dernière modification par Brunod (Le 12/05/2011, à 11:24)
Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis
Hors ligne
#9 Le 12/05/2011, à 11:47
- Grünt
Re : [RESOLU]:Intérêt d'un pare feu hardware ?
Le gars m'a expliqué que ça résistait mieux à une attaque que le simple firewall intégré au modem, notamment en cas d'attaque massive. -> ??
Ah, en cas d'attaque DDOS?
Tu publies un site Web depuis ton LAN?
Comme mon petit modem droppe déjà les paquets non autorisés, je ne vois pas vraiment ce qu'une attaque peut me faire hormis au pire me planter mon modem et devoir (peut-être) le relancer.
Oui, ça devrait se limiter à ça. Ceci dit, je ne connais pas ton modèle de modem-routeur, il peut avoir une faille. Tu as déjà fait un scan de ports complet depuis l'extérieur, je suppose?
Ca semblerait aussi faciliter l'établissement de liaison en vpn. Est-ce correct ou me trompe-je complètement ?
Tu veux faire du VPN? Dans quel but? Je dirais que tu devrais définir tes besoins, avant d'écouter un commercial qui va te proposer, et le besoin, et le produit magique qui y répond 
EDIT : @Grunt : pourquoi "plus emmerdant qu'autre chose" ? C'est pas plus simple à configurer qu'un firewall intégré ? C'est aussi ce qu'il m'a dit.
C'est du "réseau propriétaire": tu cliques, tu cliques, tu comprends pas vraiment ce que ça fait, t'as des fonctions qu'il pourrait faire mais ne fait pas..
Si tu veux un parefeu solide je te recommanderais plutôt une solution avec un serveur, un OS libre et des logiciels dédiés. pfSense par exemple. Là, tu n'auras pas le problème "Pour avoir cette fonction il faut racheter une licence".
Red flashing lights. I bet they mean something.
Hors ligne
#10 Le 12/05/2011, à 13:25
- Brunod
Re : [RESOLU]:Intérêt d'un pare feu hardware ?
@Grunt : Merci pour cet éclairage.
- Mon site web est hébergé sur un serveur externe; rien en interne de ce type.
- J'ai scanné les modems (2 sites) l'un au départ de l'autre site et vice versa avec nmap ou à distance avec nanoprobe de grc; seul les deux ports dont j'ai besoin sont ouverts et ils sont contrôlés par des clés ssh.
- Le vpn était un projet au futur indéterminé car je m'occupe de deux sites distants faisant partie de la même association. Mais actuellement mes prise de contrôle à distance me satisfaisaient. Ça pourrait être un plus pour mes utilisateurs.
- Connaitrais-tu un lien pour télécharger un mode d'emploi de ce genre de bestiau et voir un peu comment ça se manipule ?
Encore merci.
BD
Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis
Hors ligne
#11 Le 12/05/2011, à 14:41
- Grünt
Re : [RESOLU]:Intérêt d'un pare feu hardware ?
@Grunt : Merci pour cet éclairage.
- J'ai scanné les modems (2 sites) l'un au départ de l'autre site et vice versa avec nmap ou à distance avec nanoprobe de grc; seul les deux ports dont j'ai besoin sont ouverts et ils sont contrôlés par des clés ssh.
Pas de risque d'attaque DOS là dessus, la seule possibilité est une tentative d'intrusion, et ce n'est pas un parefeu matériel qui va t'en prémunir
- Le vpn était un projet au futur indéterminé car je m'occupe de deux sites distants faisant partie de la même association. Mais actuellement mes prise de contrôle à distance me satisfaisaient. Ça pourrait être un plus pour mes utilisateurs.
Ouais, mais tu n'as pas besoin d'une box bidule pour faire un VPN. OpenVPN marche très bien et est plus souple. J'ai monté un OpenVPN + SMB dans un cadre similaire (local avec quelques PC, serveur de fichier, et gens avec des machines sous Windows/Mac OS/Linux qui accèdent aux fichiers. Ça vaut le coup.
- Connaitrais-tu un lien pour télécharger un mode d'emploi de ce genre de bestiau et voir un peu comment ça se manipule ?
Encore merci.
BD
Balade toi là dedans:
http://www.sonicwall.com/us/support.html
Red flashing lights. I bet they mean something.
Hors ligne
#12 Le 12/05/2011, à 14:51
- Brunod
Re : [RESOLU]:Intérêt d'un pare feu hardware ?
OK, merci tout plein.
Je considère ce point résolu car tu m'as convaincu
2 * 300 € htva épargnés 
Bonne journée à tous !
BD
Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis
Hors ligne