Re: Rép. : Re: freebox et linux

トップ ページ

このメッセージに返信
著者: Olivier_Allard-Jacquin
日付:  
To: jmc
CC: guilde
題目: Re: Rép. : Re: freebox et linux
> > + serveur DNS + DHCP local (j'insiste sur le terme "local"), avec
> > insertion des nouveaux noms dans le DNS, suite à des requêtes DHCP.
> >    + serveur de fichier local (Samba, NFS, FTP, ...)
> >    + serveur de mails interrogeable à distance (fetchmail + imap / pop 

en
> > SSL)
> >    + serveur SSH (modification du routeur à distance, depuis Internet 

par
> > exemple)
> >    + Peer-to-peer (edonkey, bittorent, ...)

>
> Tu n'hésites pas à mettre d'autres services sur un firewall? Je croyais
> que c'était Mal ...


        Oui, bien sur c'est Mal. Mais cela reste techniquement faisable, 
donc c'est une plus-value intéressante par rapport à un routeur hardware 
(d'où sa classification dans les "avantages").


        Après, l'utilisateur peut mettre tout les services qu'il veut, 
c'est à lui de juger si c'est suffisament sécurisé ou non. Et surtout, 
c'est à lui de configurer tout cela afin de garentir une sécurité maximum 
(configuration de Netfilter bien sur, mais aussi des demons qui tournent 
sur la machine : 
http://olivieraj.free.fr/fr/linux/information/firewall/fw-02-05.html ).


- Par exemple pour Linux-firewall perso, faire tourner un bittorent sous
le compte d'un utilisateur sans droit et dans un chroot, peut-être un
considéré comme un risque acceptable. Sur la même machine, mettre dessus
des serveurs DNS, DHCP et NFS, afin qu'ils soient utilisés UNIQUEMENT sur
le réseau local peut être aussi considéré comme étant un risque accetable
(surtout si il n'y a que des machines Linux).

- Par contre, pour un firewall Linux placé en tête de réseau d'un labo ou
d'une entreprise, il est clair qu'il ne faut rien laisser tourner dessus.
A la rigeur un SSH, mais à condition de le blinder à fond.

        La sécurité Informatique est quelque chose d'assez relatif quand 
même. On adapte la sécurité à ses besoins, son utilisation, et ses 
risques. Je reprend l'introduction de ma présentation de juin dernier :


http://olivieraj.free.fr/fr/linux/information/firewall/fw-00.html

<extrait>
Pourquoi parler de la sécurité d'un système informatique ? Cela a t' il
une réelle importance ? Où n'est-ce là qu'un sujet purement théorique,
issus des cerveaux fébriles de quelques paranoïaques qui voient le mal
partout ?
Dans un premier temps, vous trouverez la réponse à cette question en vous
posant vous même ces quelques questions. Est-ce que vous laisseriez votre
maison, toutes portes et fenêtres ouvertes, à n'importe quelle heure du
jour et de la nuit ? Que vous soyez ou pas présent ? Sans doute non, car
votre domicile contient des biens qui pourraient tenter un voleur ou un
vandale. Par contre, est-ce que vous laisseriez sur une plage votre
serviette sans surveillance, pendant que vous iriez piquer une tête dans
la mer ? Peut-être bien que oui ?
En informatique, et du moment que la machine que vous utilisez est
connectée en réseau, c'est un peu la même chose. En fonction de votre lieu
de connexion, de la machine que vous utilisez, et de l'importance des
documents que vous pouvez accéder grâce à elle, vous serez plus où moins
sensibilisé à ces problèmes de sécurité.
</extrait>

        Contrairement à ce que l'on peut penser, je n'ai pas un double 
discours vis à vis de ce que j'ai déjà écrit dans cette discussion.
        Frédéric a demandé si un serveur IMAP accéssible à distance était 
sécurisé ou non, je lui ai présenté ce qu'il pouvait risquer à mettre en 
place une telle configuration. J'avais supposé que sa question se réferait 
à une utilisation dans le cadre de son boulot, et donc que les risques 
d'intrusion n'étaient pas tolérables.
        Maintenant, mettre en place, sur un réseau personnel un firewall 
Linux + serveur SSH + (serveur IMAP + SSL), le tout sur une distribution 
que l'on connait bien, et dont on fait toutes mes mises à jours, est une 
solution acceptable pour bon nombre d'entre nous.


        En conclusion : On peut faire tourner tout les démons que l'on 
veut sur un firewall/routeur Linux, le tout c'est d'avoir parfaitement 
concience des risques que l'on prend, et du niveau de sécurité que l'ont 
souhaite obtenir.


                                                                Olivier