[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [linux] Re: SuSE sur un 486 - FW



didier.misson@wanadoo.be writes:

> Quoting Rémi Letot <r_letot@yahoo.com>:

<couic>

> > Si tu me dis ce que tu veux en faire et que je peux 
> passer par là
> > pendant mon install, je pourrai même te donner un 
> aperçu de la taille
> > requise avec une patate pour ce que tu veux en faire.
> > (maille-moi si ça t\'intéresse, et pour me rappeler de 
> le faire :-)
> 
> 
> Didier> à mon avis, pratiquement la même chose que toi !
> Une Debian pour un FW avec Kernel 2.4 et IPTables
> + serveur NTP et SSH pour les PC internes
> Qu\'est-ce qu\'on pourrait encore mettre dessus sans 
> compromettre la sécurité ?
A mon avis, si tu veux la sécurité maximale, vire ntp. Tu peux
éventuellement le remplacer par ntpdate lancé régulièrement par
cron. L'avantage c'est que ntpdate est beaucoup plus simple, et
seulement un client, tandis que ntp est aussi un serveur, et
parait-il des plus complexes, donc potentiellement troué.

Toujours au niveau sécu, je ne sais pas si iptables atteint
aujourd'hui le niveau de sécurité de ipchains (je parle pas au niveau
des possibilités, statefull etc, mais au niveau implémentation, tests
du code,...) Ipchains est effectivement beaucoup plus vieux, donc
mieux testé. Mais je ne suis pas compétent pour juger ça.
Des avis éclairés sur la question ?

A ajouter pour augmenter la sécurité : tripwire et/ou autre système de
monitoring des fichiers installés. Un monitoring automatique des logs
avec alarme par mail aussi (il y en a plusieurs). Peu de chance que ce
genre de tools permette à un attaquant de prendre le contrôle, et ça
ajoute à la sécurité.

Tu peux aussi ajouter des loggers des connections entrantes,... Mais
là ce sont des programmes qui écoutent sur le réseau, donc
potentiellement aussi des portes d'entrée en cas de bug. Donc c'est
moins évident que ceux qui ne font qu'analyser ton système.
Pas simple pour les lambda que nous sommes...
> J\'ai un ...superbe... HD de 43 MB (euh... le 1er IDE 
> que j\'ai eu entre les mains, avant, c\'était les MFM et 
> RLL), ou un 343, ou un 425 MB.
> Sais pas encore, peut-être que le 43 MB suffirait ?
> quoi que, si le soft tient, si on veut conserver des 
> LOG FW sur de longues périodes, ce serait probablement 
> trop juste ?
Je dirais qu'il peut servir de stockage des logs pour une distribution
spécifiquement FW qui n'utilise pas le HD pour s'installer. Style
coyote (mais je sais pas s'il peut utiliser un HD pour stocker ses
logs), ou gibraltar (là je sais qu'il peut)
> 
> > A titre d\'information, j\'ai une patate en firewall 
> chez un client sur
> > à peu près 250 MB. Mais il est possible d\'encore en 
> retirer
> > relativement facilement car j\'ai tout ce qu\'il faut 
> pour compiler
> > dessus.
> 
> 
> 
> Didier> on peut tj compiler sur une autre machine...
> Ce n\'est pas trop logique de laisser autant de package 
> sur un FW.
Ben j'y ai de la place, et il y a peu de chance pour que ça donne une
porte d'entrée. Maintenant, c'est vrai que ça peut permettre à
quelqu'un qui est dans la place de s'y fortifier (pour parler
militaire :-)
> 
> 
> 
> > Un des avantages de debian sur ce type de machine, 
> c\'est que lorsque
> > tu retires un package, il te dit clairement ce qu\'il 
> va aussi retirer
> > à cause des dépendances, et la taille libérée. Tu 
> vois donc
> > directement l\'impact des modifications que tu fais, 
> sans devoir
> > checker les dépendances manuellement.
> 
> 
> Didier> je ne savais pas encore ça... mais Debian, faut 
> vraiment que j\'essaye ça :-)

Resistance is futile....
-- 
Rémi