PhenIXUS

[ericbosba]

Bonjour à tous,

J'ai l'habitude de mettre en place des firewalls (iptables, pf) sur des connexions "professionnelles" de type SDSL.
Que préconisez-vous dans le cas de lignes adsl et d'équipements de type "Livebox pro" ou autres box adsl ? Mon sentiment est que je n'ai pas confiance en ces pare-feu embarqués non configurables.
Exemple d'une entreprise de 5 postes, 1 serveur et une connexion adsl, pensez-vous qu'un firewall soit nécessaire sur la connexion ?

Merci par avance.

[jibe]

Salut,

Personnellement, je travaille avec des TPE, et mes installations vont de 2 à une vingtaine de postes, rarement plus. Et même pour deux postes, je ne fais aucune confiance aux *box. Ni à W$, d'ailleurs ! Pour ces petites entreprises où les moyens sont souvent limités, je mets une SME qui assure à la fois la fonction de passerelle-firewall (en principe pas configurable par l'admin, mais auto-configuré en fonction des paramètres de config et parfaitement adapté à chaque cas précis) et de serveur multi-fonctions (mails, partages samba, impression, sauvegardes etc. etc.). Lorsque des applications nécessitent un serveur W$ et que samba ne convient pas, le serveur W$ est dans le LAN derrière la SME.

La SME assure une parfaite protection du réseau (aucun cas d'intrusion connu, hors SME "bricolées" ou failles de sécurité dans une appli web ouverte sur Internet, mais dans ce cas l'intrusion n'a jamais dépassé l'ibay (disons, l'ensemble des répertoires réservés) hébergeant l'appli). Le seul reproche qu'on puisse lui faire est de ne pas filtrer les flux sortants, mais pour les cas dont je m'occupe, ce n'est pas indispensable.

Il va sans dire que dans une entreprise plus importante, je mettrais PfSense ou autre firewall !

[jdh]

Concernant le filtrage en entrée, une box sait parfaitement faire ! (et de façon fiable)
Concernant le filtrage en sortie, nada.
Concernant un filtrage entre zones internes distinctes, nada.
Concernant un accès VPN, une box est très faible : j'ai vu récemment des Livebox permettant de se connecter en Ipsec à un point central.

Si la sécurité qui vous va est une protection contre d'éventuelles entrée, et que vous ne souhaitez pas de filtrage en sortie, une box vous suffit.
(Or la protection en sortie est TOUT AUSSI indispensable ...)

Mais dès que vous pensez à un VPN pour permettre un accès distant à vos collègues, dès que vous pensez à un serveur accédé depuis l'extérieur, un firewall s'impose.

En plus , il y a des distributions tout en un, comme SME ou Zentyal capable de faire plein de fonctions avec firewall (avec 2 cartes réseaux) !
(Zentyal propose une interface de config peu pratique mais fonctionnelle).

[Cool34000]

Salut,

Comme le dit très bien jdh, les box ADSL couvrent le minimum vital à savoir le filtrage entrant... Certaines offrent même un filtrage en sortie comme la Livebox (du moins, la mienne !)
Perso, je m'en débarrasse systématiquement si la téléphonie ou la TV ne sont pas dans inclus l'abonnement.
De plus, certains FAI louent leurs box donc au final cela revient plus cher sur la durée que d'investir dans un vrai routeur/firewall !
Par contre, je n'aime pas monter un routeur derrière une box ADSL si elle ne peut pas être passée en mode bridge...

J'aime bien coller un routeur CISCO 800 quand le budget le permet (jamais vu de CISCO cramer en 7 ans d'expérience) ou des appliances comme Alix2c3 + PfSense sur une carte flash.

[ccnet]

Que préconisez-vous dans le cas de lignes adsl et d'équipements de type "Livebox pro" ou autres box adsl ?

Je pense que le type de liaison ne change rien au besoin de sécurité et, au cas précis, aux nécessités de filtrage réseau.

Mon sentiment est que je n'ai pas confiance en ces pare-feu embarqués non configurables.

Je suis d'accord. On a connu quelques précédent dur certains boitiers. Par ailleurs comme mes camarades, je pense que l'absence de filtrage du trafic sortant est une grave lacune de la majorité de ces boitiers. Les fonctionnalité de ces boitiers sont souvent assez sommaires et peu souples.

Exemple d'une entreprise de 5 postes, 1 serveur et une connexion adsl, pensez-vous qu'un firewall soit nécessaire sur la connexion ?

Je pense qu'il est indispensable d'avoir un firewall efficace et bien configuré, ceci indépendamment de la taille de la structure.

Idéalement je préfère que l'ip publique soit sur la patte wan du firewall, ou bien sur celle de du routeur d'accès avec un tronçon privé entre celui ci et le firawall, mais en routant les ip publiques. Je préfère éviter le double nat.

[ericbosba]

Merci à tous pour vos réponses pertinentes !
Je pencherais donc pour une solution de ce type :

INTERNET ----- BOX ----- FW ----- LAN

Ceci me permettant un filtrage entrant et sortant. De plus au vu d'une récente mise à jour de firmware ayant réinitialisée les mots de passe de l'interface d'administration des Livebox, je souhaite m'affranchir de la gestion d'un point de vue sécurité de ce type d'équipement.

Les Livebox (pro) peuvent-elles fonctionner en mode bridge ? Sinon, quelles alternatives peut-on envisager ?

Idéalement je préfère que l'ip publique soit sur la patte wan du firewall

@ccnet : Comment procéder pour obtenir l'IP publique sur la patte wan du firewall ?

[kryboo]

Que préconisez-vous dans le cas de lignes adsl et d'équipements de type "Livebox pro" ou autres box adsl ?

Internet -- BOX -- FW -- LAN

Le FW tu as le choix pf/ipcop/SME/..., je dirais que la dernière solution (SME) serait à mettre en place pour ces outils d'hébergement.
Par contre il faut penser à deux choses pour la BOX.

Désactiver les accès WAN de la BOX, ce qui n'est pas souvent le cas
Et si elle est récente elle peux être configurée en mode bridge, ce qui désactive toute ses fonction firewall

[Cool34000]

Comment procéder pour obtenir l'IP publique sur la patte wan du firewall ?

Drôle de question... En branchant le FW en direct sur le WAN bien sur !

Le schéma doit ressembler à ceci :

Code : Tout sélectionner

Internet --- Modem --- FW --- LAN

ou

Code : Tout sélectionner

Internet --- Box en mode bridge --- FW --- LAN

Au passage, le mode bridge désactive le firewall + le NAT d'une box... La box n'est alors plus qu'un simple modem !

Eviter (surtout quand on débute) les montages du type :

Code : Tout sélectionner

Internet --- Box --- FW --- LAN

Cela fonctionne très bien, mais le double paramétrage rend l'opération plus compliquée puisqu'on a un routeur derrière un autre routeur !

[ericbosba]

Drôle de question... En branchant le FW en direct sur le WAN bien sur !

En effet désolé...
Merci à tous pour vos indications.

[jibe]

Salut,

Désactiver les accès WAN de la BOX, ce qui n'est pas souvent le cas

+1 !

Et la wifi également !

J'ai eu deux problèmes, tous deux avec des 9 box (peut-être simplement parce que j'ai très peu d'autres installations où j'aurais pu avoir un problème semblable) :

- L'une a été piratée (nom d'utilisateur, clé WPA, et autres modifiés) via la wifi. Et comme 9 / cegetel / SFR propose la téléphonie sans abonnement FT en zones non dégroupées (c'était le cas), la facture de téléphone a atteint des sommets : le pirate ne s'est pas gêné pour utiliser la ligne pour jouer en ligne sur des numéros hyper surtaxés !

- L'autre est tout bêtement tombée en panne. Le fait que ce soit une entreprise n'y change rien : procédures de vérification interminables, puis ne donnant aucun résultat parce qu'il y a un serveur linux derrière et pas un poste W$... Bref, un modem à 50€ coûte infiniment moins cher que le temps passé + la hotline surtaxée !

Et c'est là où j'en viens à mon principe : si le client veut garder sa box, qu'il le fasse, mais il est prévenu : au moindre problème, ça lui coûtera beaucoup plus cher qu'un modem + une distrib faisant firewall sur un PC de récupération + sa config, et on a quelque chose de bien mieux ! Et si, de toutes manières, un firewall ou un serveur-passerelle est prévu, il n'y a pas photo !

Et comme il faudra de toutes manière changer la box un jour ou l'autre (ne serait-ce que pour maintenance), autant prévoir le coup dès le départ et, si elle est conservée, la court-circuiter par un moyen queconque (bridge, dmz, redirection de tous les ports...) et tout faire faire au firewall derrière.

Fiabilité des *box ? Ma freebox perd sa synchro régulièrement les rares fois où je la remets en service. Mon modem (un bête DLink 320) ne l'a jamais perdue en plusieurs années. La téléphonie qui va avec ? Prendre un FAI qui fait de la vraie téléphonie SIP : je me sers de la téléphonie sans la freebox ! La TV ? Alors, ce n'est pas une installation pro