Pare-feu matériel ou logiciel ?

Jeu 04-11-2004, 14:01

Quel est votre préférence et pourquoi ? Y-a-t'il un système plus sûr qu'un autre ?
Merci d'éclairer ma lanterne !

Jeu 04-11-2004, 14:52

Aussi efficaces les uns que les autres. L'avantage d'un firewall materiel : simple, tu le pose, il marche, et ne prend pas la puissance de calcul d'une machine. Bien que sur une machine récente le ralentissement est minime, pour un trafic limité.
L'avantage (et le défaut) d'un firewall logiciel : super configurable. Mais faut savoir le faire, sauf pour des outils styles zone alarm

Jeu 04-11-2004, 17:32

Perso j'ai un routeur Dlink 604 derriere mon modem adsl . Il fait switch, routeur, FW et translation d'adresse. J'ai du m'en passer pendant un temps et ca a ete la galere pour proteger les differentes machines du reseau a la maison. Si tu comptes avoir plus d'une machine partageant la connexion internet je voterais pour le DI604. En plus il n'est pas cher.

Jeu 04-11-2004, 18:21

Jeu 04-11-2004, 18:54

Les grands esprits se rencontrent Laughing

Le WIFI j'ai du mal avec mes murs d'un metre d'epaisseur en pur silex de chez moi d'oh!

Non je ne fais pas de peintures rupestres.... je ne sais pas dessiner

Ven 05-11-2004, 9:28

Tout n'est pas aussi simple.

Il existe trois type de FW matériel, si on veux les classifiers en grandes catégories en fonction de leurs possibilités.

Le plus connu, que l'on appel FW mais qui n'en est pas réellement un, un système de NAT (Network Adresse Translation), globallement, il va transcrire chaque demande d'un de tes micros internes avec une adresse interne à ton réseau à une demande externe. La porte ne sera ouverte que si un des micros interne essaye de ce connecter vers l'extérieur, et elle ne reste ouverte qu'un certain temps (dépend de la configuration). Tu as, en outre, souvent la possibilité d'ouvrir volontairement une porte vers un de tes micro (emule, MSN, un FTP local,...). C'est celui que l'on trouve sur la freebox et sur la majorité des routeurs FW bon marché.
Avantage: un attaquant externe ne peut attaquer que par une porte ouverte, ce qui limite largement les possibilités, mais reste possible.
Inconvéniant: les portes ouvertes sont visible par tout les attaquant, pas de protection viral, pas de protection pour des attaques connue (DOS et autres), pas de vérification de la conformité des paquets, pas de protection contre les backdor (porte arrières) installée sur ton micro et qui ouvrent une porte en permanance, pas de protection contre les sites web qui t'envoie des salloperies.

Le plus connu, et un rien sofistiqué (faut prévoir dans les 150€ de plus que l'autre. Il fonctionne de la même manière mais il garde en mémoire l'adresse du destinataire du paquet qui est le seul à pouvoir voir et utiliser la porte au retour.
Avantage: Impossible pour un attaquant de ce servir d'un trous ouverts pour ce connecter ailleur que chez lui.
Inconvéniant: les mêmes que le premier en gros.

Le vrai FW, il est capable de remonter jusqu'à la couche 7 les paquets qui passent par lui (il est capable d'annalyser le contenu comme s'il était l'application destinatrice et de vérifier si le contenu est sains). Les fonctionalités de NAT restent, bien sur, toutes actives. Il a générallement d'autres possibilités mais qui dépassent largement le cadre d'un usage domestique. Ce type de FW est largement plus cher que les autres, prévoire dans les 2000€ minimum. Il nécessite une mise à jours régulière des signatures d'attaque, un peu comme un anti-virus (qui est souvent inclu).
Avantage: Le must de votre protection.
Inconvéniant: Faut être ingénieur pour le configurer correctement, TRES cher pour la maison.

Le FW logiciel. Il peut être très sofistiqué, dans le style du troisième, sans pour autant être très cher. Plus il est sofistiqué, plus il va consomé des ressources sur l'ordinateur hôte (mais cela reste générallement négligeable). Il peut être combiné avec un anti-virus. Il est capable d'annalyser et de gérer les flux sortant et de n'autoriser les sorties qu'application par application, ce que ne permet pas le FW en boite.
Avantage: Grandes possiblités de filtres et protection.
Inconvéniant: Doit être installé sur chaque micro. Peut être difficile à configurer. Repose, généralement, sur un système instable (le système de l'ordinateur) qui peut être attaqué directement sans passer par le FW (j'ai un copain qui comparait un FW sur un ordi à un mur de béton armé de 2m d'épaisseur bâti sur du sable, il est souvent possible de le contourner).

Qu'utiliser chez soit ?
Il faut faire la ballance des dangers, qui veut m'attaquer, combien est-il pret à investir pour entrer chez moi, qu'est-ce que cela va me couter s'il envahi mon système.
Les attaques possibles pour un particulier sont, dans l'ordre :

Attaque viral mail. Le FW boite ou logiciel ne nous aidera pas

Attaque spyware ou backdor. Le FW boite ne nous aidera pas, un FW logiciel qui se met a demander de sortir alors que l'on a pas installé de nouvelle fonctionnalité peut donner l'alerte.

Attaque viral autre (MSN, ICQ, sur page web). Pas de salut sant un bon anti-virus ACTIF et pas un qui scan tout les jours.

Attaque viral par SCAN. Tout FW.

Attaque humaine non dirrigée (le petit c.. qui scan pour voir). Un FW de base, voir un FW logiciel en plus

Attaque humaine dirrigée (Le mec qui cherche à se procurer des ressources sur ton micro pour émettre des spams ou pour mettre des données à lui en partage depuis ton micro (logiciel piraté, film piraté, images porno, voir pédophiles). Un FW de base et un FW logiciel et un anti-virus (c'est parfoit la porte d'entrée pour l'ennemi.

A partir de ces possiblités de s'en prendre à notre gentille installation informatique domestique on se rend compte qu'il faut utiliser la stratégie des cercles.

Un FW (NAT) externe en boite pour éviter une bonne partie des attaques de base.

Un FW logiciel pour controler micro par micro ce qui quitte le micro.

Un anti-virus actif ET mis à jour régulièrement

Un anti-spyware actif ET mis à jour régulièrement.

Eviter les applications non sécurisées ou trop régulièrement attaquée. Préférer un Mozilla à un IE pour surfer, Ne pas utiliser un Outlook si l'on en a pas un réel besoin pour ça messagerie, un webmail ou un client simple est souvent plus sécurisée.

Avoir des réflex de sécurité de base. Se demander si le message en anglais qui promet une image de c.. envoyé par la tante Berthe qui a déjà du mal à écrire un simple message en français doit être ouvert en toute confiance ? Puis-je cliquer en toute sécurité sur ce mail de ma banque qui me demande de reconfirmer mon mot de passe, alors que le lien envoyé pointe vers un serveur avec un nom différent ? (attention, il peut aussi pointer vers un serveur qui semble avoir le bon nom !! Et ainsi de suite. Internet, c'est un peu une grande jungle avec plein de méchants.

Un rien parano le mec Question

possible déformation professionel dirons nous. Mais je reste convaincu qu'avec cela nos micros domestique auront une protection correcte et que le coût pour l'attaquant sera tel qu'il va aller voir ailleur.

Attention, cela n'arrive pas qu'au autres.

Bon, je vous laisse mijoter et si vous avez des questions ... on y retourne Very Happy

Ven 05-11-2004, 9:33

Ha ! Je n'ai rien dis sur le wifi, c'est encore un autre problème, si cela vous intéraisse ... il y a ici aussi, beaucoup à dire en matière de sécurité.

Ven 05-11-2004, 9:35

Comme dirait mon admin, le wifi chez soi, c'est une prise réseau dans la rue.

Ven 05-11-2004, 9:38

Un peu, oui.

Mais on peut mettre une clef sur la prise :D

C'est surtout une porte ouverte sur son réseau local Shocked

	Integralsport - Le forum du tir à l'arc depuis 2001 Index du Forum -> Sites webs et logiciels	Toutes les heures sont au format GMT + 1 Heure
Page 1 sur 1