[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [linux] Config complete
Thomas Silvestre <silvestre@skynet.be> writes:
<couic>
>> C'est très clair, et ça dépend aussi du niveau de protection dont tu
>> as besoin, de la visibilité de ta machine,...
>>
>> Maintenant, pour un firewall, n'importe quel pc recyclé fait
>> l'affaire, même un 486. Le coût n'est donc pas si prépondérant que
>> ça. Mais encore une fois, chacun ses besoins.
>>
>
> par expérience: ne pas oublier la facture d'éléctricité.
> c'est le truc le plus vicieux et le compromis est difficile (pour un
> particulier):
Oui, il parait ça, j'ai pas encore fait le calcul. Mais le message
original faisait mention de squidguard. J'ai supposé un environnement
professionnel.
> a) serveur + vieux brol + facture++
> b) serveur++ + facture normale
>
> autre chose, que l'on utilise 1 ou 2 pc, le nombre de services à faire
> tourner est le même. Donc les trous de sécurité potentiels sont là
> aussi.
> Est-ce là vraiment l'argument qui fait choisir entre 1 ou 2 serveurs ou
> bien est-ce la plus grande modularité de ce type de config qui est
> important?
C'est vrai que les trous de sécurité éventuels sont de toute façon sur
le serveur. Mais avec une deuxième machine comme FW, ça complique
quand même les choses pour s'introduire sur ton serveur : même si un
cracker obtient un pass root en utilisant par exemple un bug dans
apache, tu peux avoir empêché l'accès direct aux services utiles pour
lui (ssh, telnet,...) et donc il ne sait rien en faire.
De plus, même s'il arrive à pénétrer ton serveur, il lui faudrait
encore retraverser le FW pour arriver sur ton LAN. Si les règles sont
bien faites (ce qui est le cas :-), c'est aussi difficile que
d'attaquer directement d'internet. Donc malgré un serveur vulnérable
dans la mini DMZ, ton LAN reste entièrement protégé.
Donc oui, je crois qu'un FW qui ne fait que ça ajoute pas mal à la
sécurité. Vaste sujet que la sécurité... :-)
--
Rémi
`Debian: giving you the power to shoot yourself in each
toe individually.' -- with kudos to Greg Lehey
_______________________________________________
Linux Mailing List
LCP - 11 Mai - http://www.unixtech.be/lcp.php
Archives: http://www.unixtech.be/mailman/listinfo/linux