> > + serveur DNS + DHCP local (j'insiste sur le terme "local"), avec
> > insertion des nouveaux noms dans le DNS, suite à des requêtes DHCP.
> > + serveur de fichier local (Samba, NFS, FTP, ...)
> > + serveur de mails interrogeable à distance (fetchmail + imap / pop
en
> > SSL)
> > + serveur SSH (modification du routeur à distance, depuis Internet
par
> > exemple)
> > + Peer-to-peer (edonkey, bittorent, ...)
>
> Tu n'hésites pas à mettre d'autres services sur un firewall? Je croyais
> que c'était Mal ...
Oui, bien sur c'est Mal. Mais cela reste techniquement faisable,
donc c'est une plus-value intéressante par rapport à un routeur hardware
(d'où sa classification dans les "avantages").
Après, l'utilisateur peut mettre tout les services qu'il veut,
c'est à lui de juger si c'est suffisament sécurisé ou non. Et surtout,
c'est à lui de configurer tout cela afin de garentir une sécurité maximum
(configuration de Netfilter bien sur, mais aussi des demons qui tournent
sur la machine :
http://olivieraj.free.fr/fr/linux/information/firewall/fw-02-05.html ).
- Par exemple pour Linux-firewall perso, faire tourner un bittorent sous
le compte d'un utilisateur sans droit et dans un chroot, peut-être un
considéré comme un risque acceptable. Sur la même machine, mettre dessus
des serveurs DNS, DHCP et NFS, afin qu'ils soient utilisés UNIQUEMENT sur
le réseau local peut être aussi considéré comme étant un risque accetable
(surtout si il n'y a que des machines Linux).
- Par contre, pour un firewall Linux placé en tête de réseau d'un labo ou
d'une entreprise, il est clair qu'il ne faut rien laisser tourner dessus.
A la rigeur un SSH, mais à condition de le blinder à fond.
La sécurité Informatique est quelque chose d'assez relatif quand
même. On adapte la sécurité à ses besoins, son utilisation, et ses
risques. Je reprend l'introduction de ma présentation de juin dernier :
http://olivieraj.free.fr/fr/linux/information/firewall/fw-00.html
<extrait>
Pourquoi parler de la sécurité d'un système informatique ? Cela a t' il
une réelle importance ? Où n'est-ce là qu'un sujet purement théorique,
issus des cerveaux fébriles de quelques paranoïaques qui voient le mal
partout ?
Dans un premier temps, vous trouverez la réponse à cette question en vous
posant vous même ces quelques questions. Est-ce que vous laisseriez votre
maison, toutes portes et fenêtres ouvertes, à n'importe quelle heure du
jour et de la nuit ? Que vous soyez ou pas présent ? Sans doute non, car
votre domicile contient des biens qui pourraient tenter un voleur ou un
vandale. Par contre, est-ce que vous laisseriez sur une plage votre
serviette sans surveillance, pendant que vous iriez piquer une tête dans
la mer ? Peut-être bien que oui ?
En informatique, et du moment que la machine que vous utilisez est
connectée en réseau, c'est un peu la même chose. En fonction de votre lieu
de connexion, de la machine que vous utilisez, et de l'importance des
documents que vous pouvez accéder grâce à elle, vous serez plus où moins
sensibilisé à ces problèmes de sécurité.
</extrait>
Contrairement à ce que l'on peut penser, je n'ai pas un double
discours vis à vis de ce que j'ai déjà écrit dans cette discussion.
Frédéric a demandé si un serveur IMAP accéssible à distance était
sécurisé ou non, je lui ai présenté ce qu'il pouvait risquer à mettre en
place une telle configuration. J'avais supposé que sa question se réferait
à une utilisation dans le cadre de son boulot, et donc que les risques
d'intrusion n'étaient pas tolérables.
Maintenant, mettre en place, sur un réseau personnel un firewall
Linux + serveur SSH + (serveur IMAP + SSL), le tout sur une distribution
que l'on connait bien, et dont on fait toutes mes mises à jours, est une
solution acceptable pour bon nombre d'entre nous.
En conclusion : On peut faire tourner tout les démons que l'on
veut sur un firewall/routeur Linux, le tout c'est d'avoir parfaitement
concience des risques que l'on prend, et du niveau de sécurité que l'ont
souhaite obtenir.
Olivier
