Salut,
Je ne vois pas où est le problème d'avoir un fw logiciel comme celui de windows7 ou vista et un fw matériel en amont.
C'est même mieux car il y a un principe en sécurité réseaux: "defense in depth"
càd si une première couche échoue pour diverses raison il faut toujours avoir une deuxième protection.
Pare feu windows ??
Modérateur: Barbapapa
25 message(s)
• Page 2 sur 2 • 1, 2
par grosnibard » 09 Déc 2010 12:52
- grosnibard
- Membre
- Message(s) : 138
- Inscription : 05 Nov 2007 18:12
- Localisation : 127.0.0.1
par Gonda » 09 Déc 2010 22:28
Ce n'est pas incompatible, certes, mais ce qu'on ferait dans le 2e FW on peut le faire dans le 1er sans bouffer de la mémoire sur la machine. De plus s'il y a plusieurs machines avec des config différentes c'est tout bénéfice.
c'est qu'elle est mal configurée ou que le FW physique ne mérite pas ce nom.si une première couche échoue pour diverses raison
- Gonda
- Acharné
- Message(s) : 2902
- Inscription : 31 Jan 2009 15:48
- Localisation : L'éternité est longue, surtout vers la fin
par grosnibard » 09 Déc 2010 23:56
- Code : Tout sélectionner
c'est qu'elle est mal configurée ou que le FW physique ne mérite pas ce nom.
Faudra expliquer cela à des grands équipementier comme Cisco qui préconisent cette approche de défense en couche ex un NIPS dans le réseau et un HIPS sur les serveurs.
Autre exemple: bloquer gnutella avec un firewall physique c'est la croix et la bannière.
- grosnibard
- Membre
- Message(s) : 138
- Inscription : 05 Nov 2007 18:12
- Localisation : 127.0.0.1
par Gonda » 10 Déc 2010 02:54
On ne parle pas du même monde, une application en entreprise ou réseau WAN à d'autres choses plus pointues à filtrer et notamment des applications que le citoyen lambda trouve normal sur sa machine comme du P2P. En entreprise on n'hésite pas non plus à dédier une machine - éventuellement virtuelle - au FW logiciel. Personne n'avait évoqué non plus la cascade de plusieurs FW matériels pro mais d'un FW physique grand public d'un modem/routeur et d'un FW logiciel low cost. Ce qui se fait en Formule 1 n'est pas nécessairement applicable sur une 2 CV. Le FW logiciel ne faisant rien de plus que le FW d'une BB2 et est souvent très opaque: clic, clic, clic, OK donc pas la peine de charger la brouette.
On ne peut pas comparer une serviette et un torchon.
On ne peut pas comparer une serviette et un torchon.
- Gonda
- Acharné
- Message(s) : 2902
- Inscription : 31 Jan 2009 15:48
- Localisation : L'éternité est longue, surtout vers la fin
par esperlu » 10 Déc 2010 08:47
Effectivement, un réseau domestique ne doit pas être protégé comme celui d'une entreprise dont la survie dépend toujours de la protection des données et programmes. Dans les entreprises les attaquants intérieurs sont aussi dangereux que ceux qui agissent de l'extérieur et il convient de s'en protéger avec une structure de sous-réseaux protégés par FW. Mais il faut bien plus que cela pour assurer la sécurité d'un réseau d'entreprise: protection physique à l'accès aux serveurs, discipline sécuritaire des utilisateurs en ce compris la politique d'utilisation de portables et de dispositifs de stockage amovibles (clés USB), analyse régulière des log, Network Intrusion Detection System (NIDS) ou Intrusion Prevention Systems (IPS) etc...
A la maison, c'est autre-chose. Bien sûr, on peut toujours s'équiper de tout ça et même à moindre coût puisque les solutions Open Source existent pour ceux qui savent y faire mais est-ce vraiment utile? Est-ce qu'un bon FW en amont du réseau ne suffirait-il pas?. Ce que Gonda appelle un FW physique et qui est d'ailleurs plutôt logique puisque c'est, bien entendu, de manière logicielle que les trames sont analysées, marquées et routées vers les postes du réseau. A priori, ça suffit dans la plupart des réseaux domestiques. Ceci dit, il suffit parfois d'avoir un seul poste contaminé, par exemple le portable du fiston qui a attrapé un virus en copiant un film chez un copain, pour permettre à un pirate d'attaquer le réseau domestique de l'intérieur. Et, de là, ouvrir une brèche dans le mur. Tout dépend de son réseau et de la confiance que l'on a de ses utilisateurs. Un réseau composé de postes Linux, xBSD ou OSX est moins exposé qu'un réseau de machines Windows (surtout pour les versions antérieures à Vista).
A chacun de faire son bilan de sécurité.
A la maison, c'est autre-chose. Bien sûr, on peut toujours s'équiper de tout ça et même à moindre coût puisque les solutions Open Source existent pour ceux qui savent y faire mais est-ce vraiment utile? Est-ce qu'un bon FW en amont du réseau ne suffirait-il pas?. Ce que Gonda appelle un FW physique et qui est d'ailleurs plutôt logique puisque c'est, bien entendu, de manière logicielle que les trames sont analysées, marquées et routées vers les postes du réseau. A priori, ça suffit dans la plupart des réseaux domestiques. Ceci dit, il suffit parfois d'avoir un seul poste contaminé, par exemple le portable du fiston qui a attrapé un virus en copiant un film chez un copain, pour permettre à un pirate d'attaquer le réseau domestique de l'intérieur. Et, de là, ouvrir une brèche dans le mur. Tout dépend de son réseau et de la confiance que l'on a de ses utilisateurs. Un réseau composé de postes Linux, xBSD ou OSX est moins exposé qu'un réseau de machines Windows (surtout pour les versions antérieures à Vista).
A chacun de faire son bilan de sécurité.
- esperlu
- Habitué
- Message(s) : 413
- Inscription : 29 Août 2010 08:08
25 message(s)
• Page 2 sur 2 • 1, 2
Qui est en ligne ?
Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit