Re: Firewall_Linux_en_première_ligne._Possible_ou_pas_possib…

Top Page

Reply to this message
Author: HAHN Nicolas
Date:  
To: Ika Oscaos, Ika Oscaos
CC: guilde
Old-Topics: Firewall Linux en première ligne. Possible ou pas possib le ?
Subject: Re: Firewall_Linux_en_première_ligne._Possible_ou_pas_possible_?
Salut,

Oui, c'est évidemment parfaitement possible.
Pour infos, pour situer le contexte, je travaille dans la sécurité pour
les ISP, et je base pratiquement tout sur des produits OPEN SOURCE.

Tout d'abord, mettre deux firewalls en parallèle pour garantir une
redondance (j'imagine) ou une meilleur sécurité vis à vis de tes
clients grands compte n'est pas du tout conseillé, surtout deux
firewalls de marque différente. Le fait que cela les rassure est une
utopie, une illusion. Ils doivent penser (tes clients) que plus y en a,
mieux c'est. Je te conseille fortement de leur enlever cette idée de la
tête.
En voici la première raison, qui devrait d'ailleurs sauter aux yeux de
tout responsable sécurité qui se respecte:
mettre deux firewalls différents en // n'est pas une bonne chose car un
firewall est un produit comme un autre. Autrement dit il est sujet
comme n'importe quel produit, à des trous de sécurité, des bugs et ce
n'est pas parce que on s'appelle OPEN SOURCE qu'il n'y en a pas, même
si il est vrai, les produits OPEN SOURCE sont beaucoup mieux testés et
donc "finis".
Cela veut dire que les attaquants potentiels pourront lancer plusieurs
types d'attaques difféentes correspondantes à chaque produit firewall
spécifique. Autrement dit tu doubles, en faisant cela, leurs chances de
parvenir à atteindre ton réseau interne, à faire tomber le firewall, à
installer des root-kits dessus et ainsi de suite. Il faut bien
comprendre ici que étant donné que tu mets 2 firewalls de marque
différente avec chacun leurs trous de sécurité respectifs, tu donnes 2
fois plus de chance au pirate de tout péter.
De même et de façon générale, il ne faut pas mettre sur ton réseau
interne, plusieures portes d'entrée, qui sont une fois de plus autant
de "fronts" par lesquels le pirate pourra attaquer pour essayer
d'entrer. Le début du commencement d'une bonne sécurité, c'est donc de
ne mettre qu'une entrée possible, à savoir un seul firewall par lequel
tout trafic passe et est analysé. Evidemment, pour des grosses bqndes
passantes il faudra le dimenssionner en conséquence. Si ton client veux
une "sécurité de fonctionnement" (c'est différent de la sécurité
informatique), alors oui tu pourras alors mettre deux firewalls
redondants, mais FAIRE ATTENTION QUE C'EST LE MEME PRODUIT. De plus,
lorsqu'un firewall parmis la paire redondante tourne sans problème,
l'autre doit être en attente et ne doit pas être actif. Il entre en
activité uniquement si le premier firewall est en panne ou ne répond
plus.
Déjà rien qu'à se niveau, il n'y a pas de sécurité parfaite. Car si un
hacker a réussi à pirater le premier firewall, il n'aura qu'à
reproduire la même attaque pour faire tomber le deuxième. Mais (et là
je parle d'expérience), il vaudra toujours mieux mettre un seul
firewall, deux au pire de la même marque en redondance, que de mettre
deux firewalls différents. Dernier argument, la maintenance de deux
firewalls de marque différente prend un temps et des ressources
considérables (recherche des MAJ pour chaque firewall, download de
toutes les MAJ pour chaque firewall, expérience à fournir sur deux
produits différents, ...)

J'espère que ce premier point est clair pour tout le monde.

Abordons maintenant les produits de firewall sous Linux.
Tout d'abord, et là je vais comparé avec Checkpoint ou autres
Gauntlets, le produit firewall Linux actuel est iptables, avec les
noyaux 2.4. Il faut absolument oublié ipchains qui était pour les
noyaux 2.2, peu performant et un peu plus complexe d'apréhension que
iptables.

Ensuite, il faut savoir que le firewall est directement intégré au
kernel linux, que tu l'utilise ou pas, que tu t'amuses sur une linux
workstation ou sur un serveur linux qui ne font à priori pas de
filtrage type firewall.

Par conséquent, ipchains (2.2) ou iptables (2.4) ne représentent en
fait que des interfaces fonctionnant en ligne de commande pour agir sur
les tables de règles de firewall du kernel (les insérer, les modifier,
les supprimer, ...). Quant aux utilitaires graphiques de gestion de
firewall sous linux, ils font eux-même appel à iptables.

Par conséquent, il n'y a pas de firewall à conseiller sous linux
puisque le firewall linux est en fait le kernel lui-même. Maintenant,
il est vrai que différentes distributions proposent différents outils
graphiques ou non facilitant la gestion des règles de firewall du
kernel. pour le dire autrement, n'importe quelle distribution linux
convient tout à fait pour se faire son firewall très performant (on
verra ce point... tout de suite).

Parlons maintenant performances. Je te conseille à titre comparatif
d'aller faire un tour sur le site web de checkpoint. Ce n'est pas du
tout pour leur faire de la publicité. C'est pour te montrer que l'OS
GNU/Linux à part entière est un OS extrèmement performant au niveau de
la pile IP.
Cherches donc dans le site de checkpoint, les différentes pages web de
comparaisons entre différntes machines et différents OS. Il y a aussi
les prix de leurs solutions de firewall. Un tout petit exemple très
évoquateur: dans leurs benchs, ils comparent un ordi à base de
bi-Pentium 4 Xéon à 1.7 Ghz sous Linux, et ensuite sous NT 2000, je
crois. Le type de paquet sur lesquels ils ont fait leurs tests est UDP,
et le paquet fait 1464 octets, si mes souvenirs sont bons. He bien la
station NT avec le processeur indiqué ne peut absorber que 450 Mbits/s
de bande passante, alors que exactement la meme machine sous linux
absorbe 1.7 Gbits/s (giga-bits !!!). De plus il est intéressant de
noter que le prix de la config NT est de 5327$, et le prix de la
solution linux est de 4328$. Y a pas photo !!! tu as plus de puissance
de traitement (au bas mot 4 fois plus), avec la même machine que sous
NT, et un cout moindre de 1000$ !!!

J'attire maintenant ton attention sur le point suivant.
En effet, qu'est ce que j'ai mis en lumière dans mon paragraphe
précédent ? Pour être très clair, j'ai mis en lumière le fait que sur
une station bi-pro à 1.7 Ghz tournant sous OS GNU/Linux, une solution
checkpoint firewall 1 a été installée (checkpoint est le leader). C'est
très important. Cela signifie que le firewall de checkpoint a été
installé sur un OS Linux. Ce qu'il faut comprendre ici, c'est le piège,
c'est que checkpoint ne se sert évidemment pas du firewall intégré au
kernel de linux: ils installent leur propre firewall, donc une
sur-couche au kernel linux, qui détourne les appels à la pile IP. Cette
sur-couche a donc un "cout" en terme de traitement.
Tout ceci était pour te démontrer (et en plus c'est pas moi qui le
démontre, c'est checkpoint !), que seul l'OS GNU/Linux, sans utiliser
le firewall intégré, est des plus performants qui soient, même comparé
aux solutions purement matérielles du genre NOKIA, je n'ai jamais
trouvé mieux.

Parlons maintenant de la partie firewall intégré de GNU/Linux, pour
clore ce dossier (car on ne peut plus parler de mail lorsqu'il fait 2
km de long).
Comme je le disais, le firewall et l'interprétation des paquets (on
verra ce que c'est après) sont directement intégrés à la pile IP, pour
schématiser. Pour commencer, cela veut dire que par rapport à une
solution propriétaire du type de celle de checkpoint, on sera déjà
d'entré beaucoup plus performants: autrement dit on pourra traiter
beaucoup plus de bande passante sur la même machine que checkpoint ou
d'autres ne pourront jamais le faire, tout simplement parce que leur
produit n'est pas intégré directement au kernel.

Au niveau des possibilités, le firewall du kernel 2.4 (iptabkes) n'a
absolument rien à envier, bien au contraire, aux solutions
propriétaires. Ses capacités, ses fonctionnalités, sont les mêmes que
les autres solutions de firewall, voire plus. Tout ce que tu peux faire
avec une solution propriétaire, tu peux le faire avec le firewall
Linux.

Le seul point noir en effet, c'est que toute cette puissante n'est
accessible pour le moment qu'avec iptables, l'interface de
programamtion du fiorewall EN LIGNE DE COMMANDE, et c'est là que le bas
blesse. Evidemment, il y a apparition d'utilitaires de gestion
graphiques pour linux, mais on est loin de l'interface graphique de
Checkpoint firewall one, ou de checkpoint provider one, qui sont LE
modèle du genre.

Il faudra soit se contenter des outils graphiques existants, permettant
de traiter 95% des cas de solutions firewall que tu voudras mettre en
place, ou alors mettre les mains dans le camboui. Mais celui qui a les
mains noires ne le regrette pas, à condition de s'y connaitre.

Pour clore cette prose, qui fera peut-être grincer quelques dents chez
les vendeurs de produits propriétaires, et pour répondre à ta question,
OUI tu peux sans aucun problème remplacer tes firewalls commerciaux par
des firewalls linux. Evidemment, le point toujours difficile avec les
solutions OPEN SOURCE, c'est comment je vais annoncer ça à mon client
ou plutot va-t-il faire confiance aux produits OPEN SOURCE. Je te
conseille d'agir sur le levier habituel dans ce genre de situation: le
levier économique. Lorsque ton client voit qu'il va faire une économie
de 3000$ au bas mot (produit firewall, licence OS, et produits
associés), tu vois d'un seul coup se dessiner sur son visage un énorme
sourire, et c'est dans la poche.

Pour ma part, c'est ce que je fais. Et ça marche tellement bien que,en
tant que consultant en sécurité, je n'installe que des solutions de
sécurité OPEN SOURCE, que ce soit pour l'ISP pour lequel je travaille,
ou pour mes clients moyens-grans compte personnels en tant que
freelance.

De plus, iptables permet de faire de l'analyse de paquet. Pour en
parler un tout petit peu, on a la les fonctionnalités d'un IDS intégré
(Intrusion Detection System). Autrement dit, si iptables voit passer un
paquet dont il sait, d'après les modèles que l'on lui aurra programmé,
que c'est un virus, un trojan, ou que le paquet correspond à un modèle
d'attaque lancée par un hacker, il le refusera. Il y a même des
utilitaires permettant de remplacer le jeu de règles de SNORT pour les
rendre compatibles iptables directement. A titrze d'infos, SNORT est un
must pour la détection d'intrusion et la levée d'alertes en temps réel.
Iptables peut tout simplement le remplacer, pour encore plus
d'efficacité (car sur le même exemple que précédemnent, SNORT n'est pas
directement intégré au noyau).

J'ajouterai pour définitivement terminer, qu'il est illusoire de baser
la sécurité d'un réseau sur le firewall. Un firewall est un composant
passif de sécurité (sauf dans le cas de iptables qui peut faire office
d'IDS). A savoir, il se contente de rejeter les paquets sur des ports
que l'on a fermé, ou alors il se contente de les laisser passer sur le
ports que l'on a ouvert (80: web, 21: ftp, ...). C'est du filtrage:
c'est la fonction de base d'un firewall.

Pour pouvoir dire que l'on a une sécurité (relativement !) bonne, il
faut à mon sens 4 composantes essentielles:
- un firewall (iptables)
- un système de détection d'intrusion (snort ou iptables)
- un système de signatures (tripwire, AIDE, ou autre)
- une veille active (très active !!!) de la part de l'ingénieru
sécurité.

Lorsque tu auras fait cela, tu pourras dire que ton réseau est bien
sécurisé, et qu'il sera peut-être même une référence en la matière.

Pour ma part, je travaille avec des collègues sur un produit OPEN
SOURCE que j'ai nommé LF1, pour Linux Firewall One. Ce produit,
entièrement basé sur HTML, peremttra à partir de son navigateur et de
façon cryptée, de gérer une quantité non limitée de machines firewalls,
d'IDS SNORT et de système de signatures basés sur GNU/Linux, à la façon
dont le fait PROVIDER one de Checkpoint. Nous en sommes au tout début:
le cahier des charges. J'ose espérer que cela donnera le moyen à la
communauté linux de disposer d'un produit à la hauteur des interfaces
graphiques des produits commerciaux, et qui de plus intégrera en un le
volet firewall, le volet détection d'intrusion, et le volet système de
signature. Mais le chemin sera long à parcourir...

J'espère que ce mail t'auras donné les quelques réponses que tu
cherchais, et qu'il aura commencé à te prouver que les solutions de
sécurité sous GNU/Linux sont tout à fait viables, au prix d'un petit
effort pour utiliser les interfaces en ligne de commande.

Si tu as d'autres questions, tu sauras où les poser...


--- Ika Oscaos <ikaos@???> a écrit : > Bonjour,
>
> J'installe régulièrement des firewalls dans des entreprises. Les
> clients
> sont souvent des grands comptes et pour les rassurer nous en mettons
> toujours deux de marques différentes. En première ligne j'installe
> généralement un fw commercial (Raptor, Checkpoint, MWall etc ...) et
> en
> deuxième ligne j'installe un filtrage ipchains sur un serveur Linux.
>
> Ma question :
>
> J'ai envie d'inverser les roles et mettre en première ligne un
> Firewall
> Linux (certains pense que je deviens fou :) ). J'ai remarqué qu'il
> existait
> de nombreuses distrib ou patch pour transformer linux en firewall.
> QQ'un a
> t'il un expérience dans le domaine ? Quel firewall me conseillez vous
> ou me
> déconseillez vous? J'était en train de jetter un oeil sur smoothwall,
> pensez vous qu'il soit capable de protéger des serveurs web, dns et
> mail sur
> lesquels j'ai des attaques régulières (DOS, smurf, spoofing ...). Je
> rappelle qu'il s'agit de protéger des réseaux d'entreprises et pas de
> simple
> connexion adsl... il me faut donc quelque chose d'adapté.
>
> Cordialement,
>
> -- Ika --
>


=====
Nicolas HAHN, ICQ: 51593394
System/Network administrator & webmaster
UNIX / LINUX engineer

___________________________________________________________
Do You Yahoo!? -- Une adresse @yahoo.fr gratuite et en français !
Yahoo! Mail : http://fr.mail.yahoo.com