[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [linux-team] Firewall



En effet, ipchains Linux n'est pas le top, surtout si il est mal configuré
... 
OpenBSD est un meilleur choix avec ipf (qui est stateful). 
De plus le nat dans OpenBSD est vraiment très chouette... 

Par contre, je ne suis pas du tout d'accord sur des choix comme Raptor/NT 
ou Checkpoint/NT c'est pas du tout professionel. J'ai obtenu une ignoble
certification Checkpoint certified engineer brol ... 
Et je ne compte pas le nombre de plantage de checkpoint sous NT, de
comportement bizarre, de plantage avec nmap en local (meme avec la 4.1),
des docteurs watson sur fw.exe (surtout avec secureremote), sans parler
des problèmes de clef, des problèmes des supports (ABComp & Comsol en
Belgique), je ne suis pas sur non plus de la sécurité (en plus
d'un produit binaire via une société d'origine israelienne), des
conditions de licence abusives avec le nombre de host dans le résau, et
j'en passe des meilleurs...
Installer un firewall sur du NT, c'est aussi de la folie...
Par contre, la version Solaris est plus solide (la version Beta Linux est
pas mal mais pas très stable non plus). 
Le seul avantage de fw1 c'est le policy editor.

Raptor, je connais moins, mais semble souvent avoir le meme genre de
problème.

Donc, pour moi, la meilleur solution c'est ... OpenBSD avec netfilter qui
est en standard en fait. De plus la stack IP de BSD est rock solide. 
Et un bon policy editor c'est niquel... 8-)

Donc pour en finir, une seule solution OpenBSD .... (ou PIX, mais c'est
pas le meme budget). 

bàt. 

Alx

 [META]       [   Alexandre Dulaunoy   ] USER, n. The word computer  
 [T]echnology [   [AD4384-DARPA]       ] professionals use when they
 [I]nterface  [   [AD993-RIPE]         ] mean "idiot". 
 [X]change    [   adulau@metatix.com   ] http://unix.be.EU.org/
  


 On Thu, 17 Feb 2000, Cedric Amand wrote:

> Hello Eric,
> 
> Thursday, February 17, 2000, 10:50:10 AM, you wrote:
> 
> EKvD> Le Firewall serait entre un routeur ADSL (déjà présent) et un serveur NT (déjà présent).
> EKvD> Derrière le Serveur NT se trouve un LAN de 20 machines environ.
> EKvD> Il est de plus envisagé de mettre du même côté que le serveur NT un serveur Web.
> 
> Un firewal linux pour une entreprise ?
> 
> A part ipfilter dont le portage linux est moisi au possible, il
> n'existe rien qui fait du statefull inspection, et c'est un must
> pour une utilisation un peu sérieuse.
> 
> Avec ipchains tu ne fais qu'un screening de ports, c'est mieux
> que rien me direz vous. Les equivalents "real life" c'est qu'un
> screening c'est une passoire, et un stateful une soupape.
> 
> Je n'engagerais jamais ma responsabilité a foutre une entreprise
> derriere un firewall linux. Je ne connait pas beaucoup de boites qui
> tolereraient de ne pas avoir de "vendor" pour un outil aussi
> sensible.
> 
> Fous plutot Raptor sur ta NT et branche la sur l'adsl, et tu auras
> un bien meilleur niveau de sécurité qu'avec le plus tuné des ipchains,
> et ca te coutera moins cher qu'une nouvelle machine pour si peu d'IPs.
> Ou achete un watchguard firebox (120KBef), c'est encore plus simple.
> 
> Tu pars dans ton analyse de l'apriori "linux", comme beaucoup de
> passionnés le font, mais c'est un mauvais point de depart dans ton
> cas (et dans 70% des cas).
> 
> Voila en tout cas mon avis.
> 
> 
> -- 
> --< Cédric "Ced" Amand >---< Security Manager & Unix Sysadmin >--
> --< http://cedric.net/ >---< @ Skynet - http://www.skynet.be/ >--
> 
> 
> ---------
> Visit the Linux Supertore Online: http://www.redcorp.com !
> If you want to be deleted from the list, send a mail to
> majordomo@rtfm.be with "unsubscribe linux-team" in the body.
> Archive of the list: http://tania.be.linux.org/
> 

 [META]       [   Alexandre Dulaunoy   ] USER, n. The word computer  
 [T]echnology [   [AD4384-DARPA]       ] professionals use when they
 [I]nterface  [   [AD993-RIPE]         ] mean "idiot". 
 [X]change    [   adulau@metatix.com   ] http://unix.be.EU.org/

---------
Visit the Linux Supertore Online: http://www.redcorp.com !
If you want to be deleted from the list, send a mail to
majordomo@rtfm.be with "unsubscribe linux-team" in the body.
Archive of the list: http://tania.be.linux.org/