Bonjour à tous,
Clairement, à moins d'avoir des budgets énormes (qui a dit délirant?)
ton pare feu ne va pas te protéger des dernières attaques (Mais en vrai,
si la NSA, le KGB ou le Mossad en a après toi, peu de choses vont te
protéger à part des bonnes pratiques de gérer ton SI et ton Lan AMHA),
mais permets quand même d'évacuer plusieurs problématiques et éviter de
tout centraliser sur ton CPE, qui risque soit dit en passant de couter
une fortune si ta boîte se refuse à faire confiance à une marque type
couteau suisse comme 'Krotik (Non je ne troll pas.) ou EdgeRouter en
fonction de tes débits.
Je trouve personnellement intéressant de diviser certains domaines de
responsabilité et de gestion de certains services (Gestion des VPNs
Mobiles, gestion de la BP en fonction des besoins etc...), ca évite de
devoir mettre les mains trop régulièrement dans ton équipement
d'extrémité, de tout lui faire porter, de pouvoir répartir sa gestion
plus facilement dans l'équipe etc ... . Mais là, tu n'es pas forcément
obligé de dépenser des tonnes pour avoir le bon équipement, il me semble
qu'un pfSense fait le travail pour le besoin exprimé en tête de ce
thread.
Après voilà, on est d'accord, aujourd'hui 90% des besoins des
entreprises en terme de "Firewalling" sont plus des besoins de gestion
du réseau classique, capables d'être assurés par un graaaand nombre de
routeur, bien plus abordable que les marques de pare feu qui risquent de
le faire moins bien d'ailleurs et de créer des limitations (cc la
réflexion de Xavier sur les implem' des protocoles réseaux sur les pare
feu).
Bref beaucoup de marketing ces pare-feux, mais bon c'est aussi au DSI de
bien analyser son besoin pour ne pas tomber dans le piège et de payer
trop cher? Et de convaincre sa hiérarchie non technique aussi :D
Do one thing and (maybe) do it well
Sam
Le 25.06.2018 09:05, Xavier Beaudouin a écrit :
Hello,
Mouais, j'ai quand même un peu de mal à te laisser dire (écrire) ça.
Déjà, sans firewall, comment tu empêches les gens de se mettre sur le
réseau et
de sortir sur internet autrement que via ton proxy?
Tu ne fait pas de NAT sur ton routeur ou tu route vers null0 tous les
pkts qui viennent de ton lan.
Quid des attaques par brute-force/DDos, ou plus généralement des
attaques qui se
basent sur les paquets? Des vieux serveurs historiques pour la prod
sur
lesquels il ne faut surtout rien installer mais quand même protéger ?
Sur les DDoS tu crois franchement qu'un firewall vas te protéger des
récentes attaques ?
Sans compter le coût du biniou pour tenir un vrai DDoS.
Quand aux serveurs "historiques" si le port est forwardé a ton vieux
serveur alors c'est
pareil que de le laisser a poils dehors (ok ça sera 0wn3d moins
rapidement).
Quand à ton règlement qui empêchent les gens d'avoir des activités non
productives : comment tu contrôles ça justement?
Logs. DPI par exemple, même un EdgeRouter Lite le fait tout seul.
Qu'un bon AV de poste soit l'ultime barrière et donc ne soit pas à
négliger, OK,
mais de là à dire que les firewalls ne servent à rien... J'aurais
tendance à
dire que tu t'es un peu emporté un peu vite quand même là, non? :)
Ne servent a rien non, mais sont très (trop ?) souvent un truc à
emmerdes sans
nom et qui font que les gens qui bossent(tm) passent trop de temps à
trouver une
solution de contournement du machin pour arriver a faire leur taf. Je
pense
qu'un certain nombre de personnes peuvent ici donner plein anecdotes...
Sans compter la vision très souvent avec des œillères des
constructeurs de firewalls
du réseau ou des protocoles fait qu'on se retrouve avec infra qui sont
articulées
autour des LIMITATION de ces produits plutôt que d'utiliser les choses
qui feront
un machin redondant.
Trop de sécurité nuit à la sécurité, il faut trouver le juste milieu.
Et non un firewall n'est PAS un outil mâgic qui protège tout le réseau,
mais
*peux* y contribuer.
La sécurité passe par un ensemble de pratiques du routeur core aux
terminaux en
passant par la couche de routage et accessoirement des firewalls.
My 0,02€
Xavier
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
