Voilà, j'ai quelques questions aux pros du Tux...

Je dispose d'une vieille bécane (PIII-733 - 512 RAM) et j'avais lu quelque part soit ici ou ailleurs qu'il était possible de mettre ce genre de PC sous Linux comme firewall matériel et logiciel filtrant toutes les merdes du net pour toujours garder clean le PC placé derrière... Quitte à le faire crever de virus, reformatage, re-linux et c'est reparti

Est-ce compliqué à mettre en oeuvre?
Perte de bande passante ou pas?
Comment procéder?

Fragdoktor a écrit:

Je dispose d'une vieille bécane (PIII-733 - 512 RAM) et j'avais lu quelque part soit ici ou ailleurs qu'il était possible de mettre ce genre de PC sous Linux comme firewall matériel et logiciel filtrant toutes les merdes du net pour toujours garder clean le PC placé derrière...

Tout à fait exact.

Citation :

Quitte à le faire crever de virus, reformatage, re-linux et c'est reparti

En théorie exact, mais en principe, tu n'auras jamais à le faire.

Citation :

Est-ce compliqué à mettre en oeuvre?

La question à dix balles. Pour quelqu'un qui fait du unix depuis 20 ans, ça se fait les deux doigts dans le nez.
Pour le fils de notre "directeur technique" qui avait entamé des études en informatique, ça s'est révélé mission impossible.

Citation :

Perte de bande passante ou pas?

Pour du trafic "normal", aucune (pour de l'ADSL courant). Si tu veux le faire entre deux points précis et chiffrer la transmission, en utilisant ce genre de bécane, il y a un risque, mais ça n'a pas l'air d'être le sens de ta question.

Citation :

Comment procéder?

Ahem....
A suivre....

Le principe

C'est tout con. La machine est configurée sans services locaux et sans routage entre les deux interfaces réseau (disons qu'il y a une "localnet" de ton côté et une "globalnet" du côté internet). Ensuite, on dit que le trafic peut être routé du localnet vers le globalnet. C'est fini.


La configuration

D'abord, il faut choisir une distribution (soit tu achètes les CDs, soit tu downloades du net et tu graves). En ce qui me concerne, j'utilise la Slackware depuis très longtemps, qui est extrèmement sûre, stable et qu est là depuis presque toujours. Mais c'est loin d'être la plus user-friendly.

(A noter, en passant, qu'il y a aussi des dérivés de BSD ; tu n'es pas forcément obligé de prendre un linux.)

Lancer l'installation en bootant sur le CD et en suivant les instructions. Un moment donné, il demande quel genre d'installation on veut, et pour cet usage, il faut prendre le plus simple.

Une fois installé, il faut désactiver tous les services par défaut qui pourraient être installés (un serveur ftp, par exemple) et qui ne seraient qu'une faille potentielle pour un hacker/worm/crasse.

Puis réaliser la config des réseaux (réseau local et net) et la config "firewall" décrite plus haut.

Impossible à décrire en détail comme ça.

Je dirais que ça n'a rien de sorcier pour peu qu'on sache manipuler une machine en ligne de commande et un éditeur "à l'ancienne" comme emacs. Car si c'est pour installer un serveur X (le machin qui destine des rectangles et du texte à l'écran et qui balade une petite flèche quand on bouge la souris), on perd un peu le bénéfice de l'opération.

Faut aussi se dire que c'est exactement ce qu'on trouve dans un router/firewall du commerce, qui sont devenus abordables. Donc, si c'est pour le sport ou se former, ça vaut la peine, mais sinon ne serait-ce qu'en consommation, ça n'est pas plus économique dans le long terme.

Ce sont de bonnes nouvelles que tu m'annonces avec tes réponses. Pour la bande passante, c'est pour un usage standard et quotidien donc ici je n'en serai pas affecté par ce type de montage.

Pour la mise en oeuvre, je n'y arriverai pas, du moins pas tout seul c'est sûr. Bah ouais, faire tourner une SuSE, j'ai déjà eu toutes les peines du monde et encore, mon ancien matos, j'arrivais pas à le faire reconnaître alors imagine

Je dispose de la machine donc, clavier, mouse et écran supplémentaire, le but étant de n'avoir que la pizza qui fonctionne pour pas trop encombrer un bureau déjà surchargé C'est possible ou je dois conserver un second clavier/souris/écran une fois le firewall-PC démarré?

Pour l'intall, ais-je besoin d'un hub RJ45 et de câblages supplémentaires?

C'est effectivement pour le sport et me former également. De même que "rentabiliser" un PC qui ne vaut plus rien et plutôt que de le jeter, autant qu'il serve à quelque chose d'intéressant, davantage que d'encombrer mon grenier
Niveau consommation, ça n'est jamais que les moments où je suis chez moi et vu mes horaires actuellement, ce ne sera vraiment pas un problème. Le Dell n'étant pas vraiment un modèle de ce point de vue-là...

Dernière question, si je t'amène la bestiole, ça te dirait de me la préparer puis de passer m'installer le tout? Pitance, Maitrank,...seront de la partie

Bon, la souris, déjà, elle ne va pas te servir

Pour le clavier, il suffira de dire dans le bios que tu veux booter sans. A la limite, tu peux même coller la console sur le port série ou avoir une config via web. Il doit y avoir des distributions spécialisées qui font ça toutes seules. Je m'en vais essayer de te trouver ça.

Question cablage : il faut un mini-hub entre les PCs, ou un câble croisé (ou du wireless si tu trouves ça pour ton 386).

Pour la reconnaissance du matos, tu as quoi du côté net ? C'est là que ça risque de coincer éventuellement.

Sinon, te préparer et installer le bazar, je vois pas trop où est le sport et la formation dans cette configuration là

En conclusion : Je vais voir pour te trouver une ou deux distribs dédicacées à ce que tu veux faire. Tu essaies tout seul comme un grand (éventuellement en posant des questions via le forum), et au final, si tu n'en sors vraiment pas, je récupèrerai le bébé.

Ca marche

Au moins j'ai de brol, au mieux c'est...du Plug-n-Play...ou Pray et c'est gentil de te mettre en chasse après les distribs et question matos du bébé, rien d'exceptionnel:

Carte graphique VGA intégrée, carte réseau 10/100 D-Link classique et c'est ddéjà tout...pas de carte son, rien.
Remettre les mains dans le cambouis, ça fait une paille et pourquoi pas me réconcilier avec Linux ou autre chose que Doze... Et au moins, j'apprends aussi

En 5 minutes, je trouve encore plus fort :
des trucs qui ont juste besoin d'un CD et/ou d'un floppy. Pas d'install à faire.

En vrac :
http://www.sentryfirewall.com/
http://www.devil-linux.org/home/index.php
http://www.zelow.no/floppyfw/
http://www.bbiagent.net/en/index.html
http://www.vyatta.com/
http://www.lintrack.org/

Et il doit y en avoir d'autres.
Bravo, tu viens de gagner le droit de faire la première partie du boulot : choisir celle à utiliser

Tout aussi efficace qu'une install traditionnelle? et laquelle l'expert que tu es me conseillerait? Je boote et c'est tout? Ou je dois entrer qqch en ligne de commande comme je souhaite, après install/boot, ne pas avoir ni clavier ni souris...

*ignare inside* le Frag

Bon, j'avoue, je n'ai pas regardé plus que ça. Mais en gros, ce sont des distributions spécialisées, donc dégraissées de tout ce qui ne sert à rien dans le cadre de ce que tu veux faire. Donc, pas de lecteur MP3, pas de traitement de texte, pas de client mail, et bla-bla-bla.

Pour l'efficacité, au niveau routage, ça ne changera rien (c'est le kernel qui fait tout). Par contre tu auras probablement des outils de détection d'intrusion, etc... A noter que si la machine tourne uniquement sur un CD, tu peux avoir toutes les intrusions que tu veux (ce qui je le répète, n'arrivera pas sur un système minimum tournant des composants connus depuis longtemps), le craqueur ne pourra rien sauvegarder comme crasse sur la machine. Donc, déjà, au départ, ça ne l'intéresse pas.

Il y a évidemment un minimum de config à faire. C'est un fichier à mettre sur une disquette protégée en écriture (franchement, c'est une solution temporaire). Quand tu es sûr de ta config, tu mets le fichier sur le CD, et hop, c'est fini.

Pour le choix, je pense que tu devrais probablement le faire toi-même. Quel est le site où tu trouves que la doc est la plus lisible, par exemple ?

A première vue, je dirais BBIAgent et en second lieu Sentry...mais faut que je lise tout ça à tête reposée mais il me semble que ça soient les sites les plus clairs au vu de mon peu de compétences linuxiennes...

Je regarderai d'un peu plus près dés que j'ai un peu de temps, mais autant que tu te fasses ta propre idée avant.

Je tâcherai d'attaquer ça le we prochain car celui qui commence est déjà overbooked pire que ma semaine

J'irai voir les prix des hub réseau aussi mais comme je ne suis pas dans l'urgence, j'ai le temps d'étudier et d'approfondir la matière...













...et t'embêter avec toutes mes questions

c'est marrant ici......dans chaque post, il y a au moins 1 mot dont je n'ai pas la moindre idée de ce qu'il veut dire!

Dans ce sujet, c'est lequel?

hub évidemment!


bien que ce soit le surnom d'un copain!

HUB:

En anglais, le mot hub au sens premier désigne le centre d'une roue (ou d'un cylindre) et peut donc se traduire par [noyau]. Par extension, il est également employé dans les domaines suivants au sens de centre ou de nœud :

en informatique, un hub ou concentrateur est un appareil permettant d'interconnecter electriquement plusieurs appareils, typiquement des ordinateurs (réseau informatique) ou encore des périphériques (USB, Firewire,...]]) ;

dans l'aviation, un hub ou plate-forme de correspondance est un aéroport qui permet aux passagers de changer rapidement et facilement de vol.

en géographie, un hub est une zone d'interface privilégiée par sa position spatiale et ses infrastructures de communication. On parle souvent de ville-hub telle que Houston.

On ne pouvait mieux répondre

mimininique a écrit:

HUB:

En anglais, le mot hub au sens premier désigne le centre d'une roue (ou d'un cylindre) et peut donc se traduire par [noyau]. Par extension, il est également employé dans les domaines suivants au sens de centre ou de nœud :

en informatique, un hub ou concentrateur est un appareil permettant d'interconnecter electriquement plusieurs appareils, typiquement des ordinateurs (réseau informatique) ou encore des périphériques (USB, Firewire,...]]) ;

dans l'aviation, un hub ou plate-forme de correspondance est un aéroport qui permet aux passagers de changer rapidement et facilement de vol.

en géographie, un hub est une zone d'interface privilégiée par sa position spatiale et ses infrastructures de communication. On parle souvent de ville-hub telle que Houston.

aaah maintenant, plusieurs mots que je n'ai pas compris!

je devrais m'amuser à trouver le record haut pour un post!


Attendez, moi je vais créer un post sur le darwinisme!! vous ferez moins les malins!

Théorie selon laquelle l'évolution biologique favorise les gènes les plus aptes pour la survie de l'espèce. Elle constitue le volant scientifique du diction sur la loi du plus fort...sélection naturelle ou quelque peu forcée génétiquement et sujette à caution d'un point de vue éthique... Mais l'éthique, il faut encore la définir

Comme transformer un XP en Vista, c'est pas vraiment de l'évolution

Yuna a écrit:

Attendez, moi je vais créer un post sur le darwinisme!! vous ferez moins les malins!

Ca c'est vrai. Encore une anecdote à la con ? Allez, c'est parti.

Quand on a terminé notre rhéto, j'ai eu droit à l'examen de bio couplé avec celui de physique (le prof de physique, c'était Guillaume, celle de bio, je sais plus, mais elle me pompait l'air), ce qui était déjà bizarre. Chaque prof servant d'assesseur pour l'autre. Encore plus bizarre, on n'avait qu'une question pour les deux examens.

Je tire ma question. Paf! un truc sur le Darwinisme. J'ai bien essayé le truc de la pub Dash ("je vous échange votre question de bio contre deux questions de physique"), mais ça n'a pas marché. Que du contraire, elle était encore de plus mauvais poil que d'habitude. Au contraire de Guillaume qui se marrait comme une baleine.

Bref, elle me fout dedans, puis elle m'engueule en me disant "vous croyez que je vais revenir d'Espagne en septembre pour vous faire passer une 2e sess' ?". Et finalement elle m'a donné mes points.

Moralité : faut pas tuyauter les cours, faut savoir quels profs prennent leurs vacances pendant les deuxièmes sessions

Ah, et "hub", c'est le moyeu. Tout lecteur du Disque-Monde sait ça. Sauf comme si son auteur, on est atteint d'alzheimer, cher Yuna

Il serait pas atteint "tout court"?

Alors, tu en es où pour ton firewall?

Perso, dans ton cas, je pense que l'idéal est de mettre une machine en OpenBSD, mais contrairment à ce qui s'est dit plus haut, ce n'est pas facile de faire une bonne config de firewall. Ecrire les règles est simple, mais déterminer les meilleurs règles ne l'est pas.

Le principe de base de config de firewall est d'autoriser le moins de choses possible, et réellement mettre le moins possible n'est pas simple si on ne connait pas parfaitement IP et TCP!

En plus, un firewall en lui même n'est pas si utile que ça, il faut aussi faire du (N)IDS et donc réussir à analyser les alertes (typiquement analyser des logs),

Enfin, pour finir, je préciserai que faire un NAT n'apporte AUCUNE sécurité contrairement à la croyance populaire.

Pour viking, ne serais-tu pas consultant en informatique ou quelque chose de très semblable?

Pas de gros mots

Je développe du soft (pour les geeks, ma meilleure carte de visite est ici).
Ca ne fait pas de moi un expert en OS ou en réseaux (et encore moins en Word, Excel ou autres). Ca n'a même rien à voir, contrairement à ce que pensent la plupart des gens. Je bricole un peu, c'est tout.

Sinon, je ne suis pas du tout d'accord avec ce que tu dis au-dessus.
Faire du NAT suffit déjà à empêcher le routage vers ce qui est derrière. Il n'est pas possible à un système externe de communiquer directement avec un interne si celui-ci n'a pas instancié la communication. En soit, ça supprime déjà 99% des problèmes.

Viking a écrit:

Pas de gros mots

Viking a écrit:

Je développe du soft (pour les geeks, ma meilleure carte de visite est ici).

Tu travail chez AT&T? Tu es lequel là dedans? (ton prénom en fait)

Viking a écrit:

Ca ne fait pas de moi un expert en OS ou en réseaux (et encore moins en Word, Excel ou autres). Ca n'a même rien à voir, contrairement à ce que pensent la plupart des gens. Je bricole un peu, c'est tout.

Sinon, je ne suis pas du tout d'accord avec ce que tu dis au-dessus.
Faire du NAT suffit déjà à empêcher le routage vers ce qui est derrière. Il n'est pas possible à un système externe de communiquer directement avec un interne si celui-ci n'a pas instancié la communication. En soit, ça supprime déjà 99% des problèmes.

Ah ah ah, tu crois vraiment à ce que tu dis? C'est vrai que le NAT traversal est un problème et beaucoup de gens veulent supprimer les NAT (cf IPv6). Mais bon, dès que tu as une entrée dans la cache NAT, tu peux tenter de l'exploiter. C'est vrai qu'en théorie, l'entrée de la cache est retrirée dès la réception d'un (FIN, FIN+ACK, ACK) pour TCP, mais en pratique, c'est souvent après l'expiration d'un timeout assez grand. Et quand tu as de l'UDP, tu passes toujours par le timeout.

La difficulté sera bien entendu d'avoir les bons numéros de ports.

des dizaines de kiddies scripts te permettent de le faire!

dsaucez a écrit:

Tu travail chez AT&T? Tu es lequel là dedans? (ton prénom en fait)

Michel. Mais non, je ne travaille pas chez AT&T. C'est une des pages du site de Bjarne Stroustrup.

Citation :

Ah ah ah, tu crois vraiment à ce que tu dis? C'est vrai que le NAT traversal est un problème et beaucoup de gens veulent supprimer les NAT (cf IPv6). Mais bon, dès que tu as une entrée dans la cache NAT, tu peux tenter de l'exploiter. C'est vrai qu'en théorie, l'entrée de la cache est retrirée dès la réception d'un (FIN, FIN+ACK, ACK) pour TCP, mais en pratique, c'est souvent après l'expiration d'un timeout assez grand. Et quand tu as de l'UDP, tu passes toujours par le timeout.

La difficulté sera bien entendu d'avoir les bons numéros de ports.

des dizaines de kiddies scripts te permettent de le faire!

Euh ? Des dizaines de scripts kiddies ne permettront jamais à personne d'avoir une entrée dans ma table NAT si je ne connecte pas d'abord chez eux.
Et à partir du moment où on se connecte sur un site de pirates, firewall ou pas firewall, ça ne changera rien.

Donc, oui, je crois ce que je dis

Viking a écrit:

dsaucez a écrit:

Tu travail chez AT&T? Tu es lequel là dedans? (ton prénom en fait)

Michel. Mais non, je ne travaille pas chez AT&T. C'est une des pages du site de Bjarne Stroustrup.

idtech alors?

Viking a écrit:

Euh ? Des dizaines de scripts kiddies ne permettront jamais à personne d'avoir une entrée dans ma table NAT si je ne connecte pas d'abord chez eux.
Et à partir du moment où on se connecte sur un site de pirates, firewall ou pas firewall, ça ne changera rien.

Donc, oui, je crois ce que je dis

C'est vrai que tu ne sais pas si facilement que ça faire une attaque directe, ça demande de préduire les numéros de port et l'ip destination et de réussir à spoofer la destination (sauf avec une attaque en un seul paquet UDP). Toutefois, tu peux faire toutes les attaques par relais que tu veux, et ça, c'est très fréquents. Les SYN flood sont aussi possible.

C'est donc exactement la même chose qu'un accès direct. Si tu n'as pas de service qui écoute sur un port, tu ne pourras entrer que si une con. est en cours.