Journal Firewall ET serveur web ...

Posté par (page perso) .
Tags : aucun
0
6
avr.
2004
Est ce si terrible que ça pour un particulier d'avoir son firewall et son serveur web sur la même machine ?
J'ai déja 2 PC de bureaux (moi et mademoiselle), le serveur web et le portable tous ça derriere un hub avec un modem ethernet adsl qui fait firewall mais je vais passer chez free et je crois pas que la freebox fasse firewall
Qu'est ce qu'on gagne vraiment au niveau sécurité ?

PS : je prends un peu d'avance sur les réponses :
- oui
- non
- houlala c'est terrible terrible
- Ca dépend si tu es sous [votre distrib favorite] car ça roxor le reste suxor
- le million
  • # Re: Firewall ET serveur web ...

    Posté par (page perso) . Évalué à 2.

    Tu as oublié:
    "C'est triste ton point de vue sur les réponses"
    42

    Et plus sérieusement, je ne vois pas en quoi ça pourrait être un problème.

    D'un autre côté, tu dis que le modem adl fait firewall (et je suppose, nat). Pourquoi mettre un firewall supplémentaire si le premier est bien configuré? La freebox remplace le modem (je connais pas la freebox)?

    Et pour conclure, tu peux avoir autant de firewall que tu veux, s'ils sont configurés en "all to all accept", ils servent à rien.
    • [^] # Re: Firewall ET serveur web ...

      Posté par (page perso) . Évalué à 1.

      non, en fait, la freebox est plus un routeur qu'un firewall, il parait qu'on peut brancher plusieur machines sur une freebox via un hub et qu'elle se démerde pour le DHCP et consors...

      Moi je te proposerais plutot d'utiliser le serveur web en tant que firewall, ce qui implique surtout de brancher 2 cartes réseau sur cette machine, l'une sera connectée à la freebox et l'autre sera connectée à ton réseau local où se trouveront tes 2 PC, ton portable, les PC des copains qui squattent, le chat, les chien...

      ainsi, tu auras un firewall bien mieux car libre (tm) et en plus tu apprendras linux en t'amusant à passer tes nuits à mettre en place tes regles de filtrage pour que la serveur web ne rentre pas en conflit avec bidule machin et que toutes les machines aient accès et tout et tout...

      le bonheur dans ta maison, madame te remerciera ;)

      attention, un troll s'est dissimulé dans ce message, sauras-tu le retrouver ?
      • [^] # Re: Firewall ET serveur web ...

        Posté par (page perso) . Évalué à 1.

        C'est clair que les regles c'est chiant mais je viens de decouvrir shorewall et ca a l'air quand même de bien faciliter la tache
        • [^] # Re: Firewall ET serveur web ...

          Posté par (page perso) . Évalué à 2.

          Un mot: OpenBSD.

          J'ai jamais essayé de faire de règles de firewall pour Linux mais pour PacketFilter, le firewall d'OpenBSD (et de FreeBSD maintenant), c'est vraiment facile.

          pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

      • [^] # Re: Firewall ET serveur web ...

        Posté par . Évalué à 1.

        Une erreur surtout.

        La freebox n'a rien d'un routeur, et il est impossible d'y connecter plusieurs machines sans monter une passerelle intermédiaire.

        La Freebox se comporte comme un bridge. Elle est totalement transparente pour les postes clients.

        Ou alors ca a bien changé avec la v3

        M
    • [^] # Re: Firewall ET serveur web ...

      Posté par (page perso) . Évalué à 1.

      C'est un firewall inclu au modem donc
      changement de modem = plus de firewall
  • # Machine dédiée

    Posté par . Évalué à 2.

    Avoir une machine dédiée pour le firewall présente plusieurs avantages dont :
    + si ton FW est compromis, le reste des machines ne l'est pas nécessairement
    + FW seul = nombre de services minimum = moins de risques de faille de sécurité
    + facilité d'administration : une fois installé, il ne reste qu'à surveiller les logs.
    + Utilisateurs (pouvant se connecter) propres au FW et limités = diminution des risques.

    Et sans doute d'autres points...
    • [^] # Re: Machine dédiée

      Posté par . Évalué à 1.

      tiens pendant que j'y pense :
      est il possible de faire un firewall avec user mode linux ( ou un truc du genre) ?
    • [^] # Re: Machine dédiée

      Posté par (page perso) . Évalué à 1.

      Quand on sépare le firewall, il est imprenable (sauf faille TCP/IP, comme je le dis dans un autre message).

      Ton premier avantage se transforme en
      + si ton serveur est compromis, le reste des machines ne l'est pas nécessairement
    • [^] # Re: Machine dédiée

      Posté par (page perso) . Évalué à 1.

      donc pas de ssh ... faut tout rebrancher à chaque fois ... un peu chiant ...
      • [^] # Re: Machine dédiée

        Posté par (page perso) . Évalué à 1.

        juste l'écran. A chaque fois, pour moi, ça se traduit par "tous les six mois" pour ajouter une IP autorisée à sortir. C'est pas si chiant que ça :)
        • [^] # Re: Machine dédiée

          Posté par (page perso) . Évalué à 1.

          juste l'écran si tu laisses le clavier sinon ca va être plus dur :)
          sur le serveur j'ai rien du tout ! c'est pour ça que je disais tout rebrancher
          • [^] # Re: Machine dédiée

            Posté par (page perso) . Évalué à 1.

            oui, en effet, j'ai laissé le clavier :)
            J'attends impatiemment un adapteur bluetooth/ondes-alpha-du-cerveau, mais ça a pas l'air d'être pour demain ;)
            • [^] # Re: Machine dédiée

              Posté par . Évalué à 4.

              t'imagines les failles de sécurité ???
              ton cerveau est compromis => potentiellement ton fw est compromis => ton réseau est compromis

              et il y a pas mal de gens dont le cerveau est compromis (oui, je sais à qui vous pensez (car votre cerveau est compromis))
      • [^] # Re: Machine dédiée

        Posté par (page perso) . Évalué à 1.

        PS: ssh, ça se troue, donc j'en mets pas sur mon firewall. Je pense qu'il faut forcément faire des compromis pour avoir plus de sécurité, et ce genre de compromis est acceptable: j'aurais ssh sur mon firewall, j'aurais dû upgrader ssh aussi souvent que j'ai branché l'écran.
      • [^] # Re: Machine dédiée

        Posté par . Évalué à 1.

        Un bon compromis peut-être de ne laisser écouter que ssh sur le réseau interne en n'autorisant que la connexion avec une clef, pas de mot de passe.
  • # Re: Firewall ET serveur web ...

    Posté par . Évalué à 1.

    La raison est que si qqun ou qquechose parvient a passer le firewall ca va faire des degats serieux.
    Alors qu'avec une machine dediee au firewall , configurée pour qu'elle ne puisse pas se connecter aux machine locales , les degats seront minimes.
    • [^] # Re: Firewall ET serveur web ...

      Posté par (page perso) . Évalué à 1.

      Ben si il a la main sur le firewall qu'est ce qui l'empeche de virer les regles qui l'empeche de se connecter aux machines locales ???
      • [^] # Re: Firewall ET serveur web ...

        Posté par . Évalué à 1.

        les machines locales sont configuree pour refuser les connections en provenance du firewall
        • [^] # Re: Firewall ET serveur web ...

          Posté par (page perso) . Évalué à 1.

          Ah oui ok, j'avais pas compris ça
        • [^] # Re: Firewall ET serveur web ...

          Posté par . Évalué à 0.

          et la marmotte aussi ?

          Non sur le FW, il n'y a aucun port ouvert donc il a d'infimes chances d'être compromis. Par contre le serveur web, lui il en a.

          Dans le monde professionnel, on a une machine FW avec trois interfaces :
          - une zone appelée DMZ où on met les serveurs
          - une zone interne
          - le grand ternet...

          T'as pas forcément les moyens mais il faut se dire que tout serveur mis sur l'Internet est potentiellement compromis. Donc si le serveur est compromis et qu'il est sur le FW, le FW est compromis et donc tout ton réseau aussi...
  • # Re: Firewall ET serveur web ...

    Posté par (page perso) . Évalué à 3.

    Séparer le firewall et le(s) serveur(s) est beaucoup plus sécurisant car te faire pirater le serveur ne permettra pas pour autant au pirate d'utiliser ton serveur comme relais vers l'extérieur.
    Le firewall est normalement imprenable, sauf en cas de faille dans la pile TCP/IP dans le noyau: chez moi, il a l'air "mort". Il n'écoute sur rien, ni tcp, ni udp, ni icmp. (Forcément pour le configurer, faut brancher l'écran, mais le jeu en vaut la chandelle à mon avis).

    Le serveur Web accepte les connexions en ssh (de partout), en http (de partout). Il ne peut initier aucune connexion, ni vers le LAN (grâce à un firewall local), ni vers internet (firewall local + le firewall dédié, le "mort"). Si le firewall local devient inutile (exploit root et pas seulement user), le serveur web pourra servir de relais pour attaquer les ordis présents sur le LAN (qui n'écoutent que sur ssh). L'attaquant ne pourra pas ressortir vers internet, car le firewall dédié l'en empêchera.

    Mixer firewall et serveurs te prive principalement de ce niveau de sécurité.
    • [^] # Re: Firewall ET serveur web ...

      Posté par (page perso) . Évalué à 1.

      Comment ça ecoute rien ?
      Faut bien qu'il relaie puis si tu prends le serveur suffit de voir les logs pour avoir l'adresse du firewall, non ?
      • [^] # Re: Firewall ET serveur web ...

        Posté par . Évalué à 1.

        TCP/IP : le relais se fait au niveau IP, pas TCP : aucun port ouvert donc.
      • [^] # Re: Firewall ET serveur web ...

        Posté par (page perso) . Évalué à 1.

        non pas les logs, mais plutôt la defaultroute (`route -n`). Ceci dit l'adresse n'est pas une information secrète, on s'en fout puisqu'il n'y a rien à y voir (comme dit Quzqo, le relais ne se fait pas au niveau TCP (ni UDP, d'ailleurs ;-)) mais IP).
  • # Re: Firewall ET serveur web ...

    Posté par . Évalué à 1.

    Si tu ne veux pas rajouter de machine, user mode linux est ton ami (pas aussi sécuritaire qu'une machine physique, mais c'est toujours ca)
  • # Re: Firewall ET serveur web ...

    Posté par (page perso) . Évalué à 1.

    Tiens a ce sujet

    J'ai un voisin qui veut brancher son PC a la free box via wifi (bref eliminer 15 metres de cablage). Et j'en profiterais pour me connecter aussi si c'etait possible (pas obligatoire).

    Quelqu'un a deja rajouté un point d'acces Wifi sur une freebox? Est ce que ça se fait, déjà, ce qu'il désire? Que me conseillez vous comme matériel?


    Merci pour vos retour d'experiences...
    • [^] # Re: Firewall ET serveur web ...

      Posté par . Évalué à 3.

      Moi j'ai un firewall/routeur/dhcp /point d'acces linksys wrt54g. Parfait pour la freebox : tu branche la freebox sur le port internet et zou ca marche tout seul (dhcp rules...) à la fois en lan classique( 4 ports) et en wifi (filtrage par MAC) . Et cerise sur le gâteau, il existe un firmware GPL qui t'ajoute plein de fonctionnalités, tu peux régler la puissance, règles iptables perso, accès ssh et telnet au routeur...
      les adresses qui vont bien :
      le wrt54g :
      http://www.linksys.com/products/product.asp?grid=33&scid=35&(...)
      environ 93 euros

      le firmware "indispensable" : http://www.sveasoft.com/modules/phpBB2/viewforum.php?f=6(...)


      astuce : Pour le poste client wifi : la carte peabird WLG-PCI marche nickel sous linux grâce au driver prism54.org environ 50 euros
  • # Re: Firewall ET serveur web ...

    Posté par (page perso) . Évalué à 1.

    Si tu veux comprendre comment Netfilter, le firewall de Linux, fonctionne, tu peux lire ceci : http://olivieraj.free.fr/fr/linux/information/firewall/(...) . C'est assez long, mais j'y explique (assez simplement et en Français), comment configurer toi même tes règles Netfilter. Il y a aussi pas mal de scripts d'exemples afin de faciliter la lecture et la compréhension.

    La Freebox ne faisant pas fonction de routeur, il te faurda "sacrifier" une de tes machines pour faire ce que l'on appelle du NAT (Network Address Translation : http://olivieraj.free.fr/fr/linux/information/firewall/fw-03-08.htm(...) ), afin de partager ta connexion Internet avec ton réseau interne. Cela peut être fait avec ton serveur web, qui cumulera les fonctions de firewall, serveur web et routeur. Comme l'indique un post un peu plus haut, cela n'est pas le fonctionnement le plus sécurisé. Mais en blindant la sécurité de ton serveur Apache, il n'y a pas de raison pour que cela pose problème.

    Enfin, j'ai écris un script simple d'emploi qui permet de configurer Netfilter : http://olivieraj.free.fr/fr/linux/programme/netfilter_cfg/(...) . Une fois la configuration du script terminé, il te suffit de le lancer sur le serveur web une commande comme :

    netfilter_cfg --nat on --wan-http-server on

    pour à la fois partager ta connexion ADSL, mais aussi laisser accessible ton serveur web depuis Internet. Simple non ?
    • [^] # Re: Firewall ET serveur web ...

      Posté par (page perso) . Évalué à 1.

      Salut :)
      je vais lire ton papier :) et prendre des notes si je trouve un truc à améliorer
      mais j'avoue que j'ai lu un peu la doc de shorewall et c'est pas mal du tout !
      va falloir que je backporte pour la debian mais bon ...
      Je pense que la sécurité va pas être génial mais si j'ai une vraie politique de sauvegardes ...
      Je regarderai ton script aussi :)

      Merci !
  • # Re: Firewall ET serveur web ... >> SME why not ...

    Posté par . Évalué à 1.

    Salut tu,

    si tu veux essayer du 2en1, je te conseille de faire un petit tour dans l'ordre sur :
    - site de Gran'Pa http://www.sme-fr.homelinux.net/(...)
    - conrtribs.org http://contribs.org/(...)
    - Free-EOS http://free-eos.org/(...)

    Tu peux utiliser SME en serveur simple (fichiers/web/ftp/mail/proxy...) ou bien en serveur/gateway (firewall, dhcp...).
    Très simple à configurer par interface graphique. Tu branches ta freebox sur ta carte wan du serveur, ton hub sur le lan et roule ma poule.
    SME est basé sur RH7.3, et les mises à jour de sécurité sont sur contribs.org. Free-EOS ajoute des fonctionnalités en plus (jabberd, phpnuke, groupware.....).
    Perso, j'utilise SME en seveur/gateway et ça marche impec, un petit coup d'oeil sur les logs de tps en tps pour voir que les attaques sont bien stoppées.
  • # Re: Firewall ET serveur web ...

    Posté par . Évalué à 3.

    Fait comme moi:
    - Récupère le vieux Pentium 120 qui trainait dans un coin
    - Met un lecteur CD qui sait booter
    - Télécharge IPCop: http://www.ipcop.org/(...)
    - Grave IPCop sur CD
    - Met le CD IPCOP dans lecteur CD Pentium 120
    - Installe IPCOP

    Hop un firewall tout beau tout neuf accessible en ssh et en interface web depuis ton rézo local. En plus en cas de faille de sécu, l'interface Web te signale les mises à jour à télécharger et tu peux mettre à jour ton firewall en trois clics (bon faut le rebooter quand même pour les mises à jour du noyau par exemple mais bon).

    Que du bon gaston!

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.