Re: Securite sur un firewall

To: debian-french@lists.debian.org
Subject: Re: Securite sur un firewall
From: Samuel Colin <Samuel.Colin@inrets.fr>
Date: Fri, 23 Aug 2002 10:03:22 +0200
Message-id: <[🔎] 20020823100322.5b69f591.Samuel.Colin@inrets.fr>
In-reply-to: <[🔎] 20020822212842.2510c23c.thierry.leurent@wanadoo.be>
References: <[🔎] 20020822212842.2510c23c.thierry.leurent@wanadoo.be>

Le Thu, 22 Aug 2002 21:28:42 +0200
Thierry Leurent <thierry.leurent@wanadoo.be> a écrit:
> Bonsoir,
> 
Bonjour

> Avec un vieux pentium, j'ai fait un petit firewall. Il n'est pas extraordinaire juste la connection au net via un speedtouch usb, un firewall avec rc.firewall et ssh c'est mieux que telnet.
> Le tout semble marcher correctement, mais comme l'on n'est jamais assez prudent, je voudrais ameliorer cela.
> 
Tiens, c'est marrant, c'est ce que je suis en train de faire. 
Juste par curiosité, tu parles de "vieux pentium" et d'usb. C'est quoi ce que tu entends par "vieux pentium" ?

> Pour l'instant : 
> - Le firewall laisse passer tous les ports.

C'est *mal*. Premier bon conseil : interdire tous les ports et les ouvrir selon les besoins.

> - Gnutella est le seul seveur present sur mon reseau et pas en permanence.
> 
Ben, si le port qu'il utilise est ouvert, ça devrait rouler.


> Ce que je voudrais :
> - Ameliorer la securite passive, je ne veux pas qu'un p'tit c** entre dans mon systeme apres avoir lu un simple article sur la securite.

Donc le système de la white list : interdire tous les ports et ouvrir au fur et à mesure des besoins. C'est déjà très suffisant contre les scripts kiddies.

> - Mettre en place un systeme anti-intrusion pour detecter les scans des ports.

Le Firewall HOWTO est très bien écrit. On y lit que beaucoup de ports scanners envoient des paquets avec tous les flags/ou aucun flag de mis, ce qui permet une détection simple par iptables.

> - Mettre en place un systeme de reporting pour eviter de lire des tas de lignes de logs.
> 
Toujours les règles iptables dans ton rc.firewall à adapter en fonction de tes besoins. Si il est bien configuré il ne devrait sauvegarder que les logs douteux.

Lectures recommandées : IP-Masquerading HOWTO, Firewall HOWTO, IPChains HOWTO (sur lequel iptables est basé, mais certains principes généraux seront toujours valables).

> Le plus:
> - Un bon systeme de nettoyage des logs.
>
Là il faudrait préciser : un nettoyage régulier qui conserve les logs suspicieux, etc?


-- 
 j'ai entendu dire que 1 million de site se font sur le web par mois.
 Pour sortir ma pageweb de cette folie, j'entreprends d'utiliser tous les
 moyens possibles pour la faire connaitre. Allez y le plus possible.
 -+- H1 in: <http://www.le-gnu.net> - Errare neuneutus est -+-

Reply to:

Follow-Ups:
- Re: Securite sur un firewall
  - From: Thierry Leurent <thierry.leurent@wanadoo.be>

References:
- Securite sur un firewall
  - From: Thierry Leurent <thierry.leurent@wanadoo.be>

Prev by Date: Re: carte TV (etait Re: coup de geule)
Next by Date: Re: Créer les binaires avec les sources provenant de apt-get sources .........
Previous by thread: Securite sur un firewall
Next by thread: Re: Securite sur un firewall
Index(es):
- Date
- Thread