Pare feu vs tarte aux cerises (Pirlouy contre le reste du mo

ra-mon · Message par **ra-mon** » 24 mai 2006, 20:29

Il faut être clair, la sécurité est un tout.

oui et être conscient que le facteur humain a vite fait de bousiller les plus solides remparts

C'est comme une maison, il faut une bonne porte et une bonne sérrure et des fenetres fermées.

et on peut aussi ne pas se faire dépouiller en laissant portes et fenêtre grandes ouvertes

mais c'est déconseillé, là aussi...

un routeur par nature, ca bloque certaines choses

c'est pourtant pas fait pour ça, donc c'est un effet collatéral du fait qu'il ne sait pas faire le boulot pour lequel il est conçu (mettre les petits paquets sur le bon chemin)

selon certains expert en sécurité, mettre plusieurs pare-feu diminue pas l'insécurité

il n'y a pas besoin d'être expert... tu sais très bien que même en ayant mis deux capotes l'une sur l'autre pour éviter une MST, tu peux chopper un rhume en batifolant dans un courant d'air...

Où est l'intéret d'aller embrouillé une personne qui ne comprends pas spécialement l'informatique alors qu'elle peut tout aussi bien sécuriser par routeur ?

un routeur n'est pas fait pour sécuriser quoi que ce soit...

pare-feux logiciels

un zone alarm pour Windows qui tourne sur un AMD , c'est un pare-feu matériel ?

@+
--
Pierre

Message envoyé avec : Opera/9.00 (Windows NT 5.1; U; fr)

ottomar · Message par **ottomar** » 24 mai 2006, 20:31

Chapeau, les gars ! ça, c'est du débat, du construit, pas d'insultes, pas de gros mots, juste quelques petits signes d'énervement, quelques ****

Chapeau !
L'un des rares forums où c'est possible
C'est pour ça que je vous aimeuuuuuuuuuuuuuuuuuuuhhhh

Message envoyé avec : Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.8.0.3) Gecko/20060426 Firefox/1.5.0.3

Jim · Message par **Jim** » 24 mai 2006, 20:41

Si un expert de mettre plusieurs pare-feux... Ce n'est pas un expert, déja.

Un routeur fait du routage, donc si une trame arrive chez toi, c'est qu'elle t'es adressée, sinon, c'est déja une attaque.
Il ne faut pas confondre routeur et NAT, le firewall matériel.

Ramon tu fais un joyeux amalgame dans ta demonstration car commencer sur les capote et MST pour terminer sur un rhume...

pirlouy · Message par **pirlouy** » 24 mai 2006, 20:53

Jim a écrit :Il ne faut pas confondre routeur et NAT, le firewall matériel.

ça fait plusieurs fois que je te pose la question et que tu me renvois le même lien, ce qui ne me prouve pas que tu as compris...
Dis moi comment tu interprètes ce qu'on appelle le routage de type NAT (routage NAT) ?

ra-mon · Message par **ra-mon** » 24 mai 2006, 21:15

NAT, le firewall matériel.

bon si ça c'est pas de l'amalgame

vois ici une explication très bien faite où parmi toutes les possibilités offertes par la traduction d'adresse (NAT), il n'est nullement fait cas d'une fonctionnalité de filtrage de paquets, comme celles décrites à la rubrique firewall

Dans une freebox y'a bien un petit bout de logiciel qui sait faire de la traduction d'adresse mais ça n'en fait pas un firewall avec un fonctionnement de firewall, ni du matériel... Il y a une différence entre ne pas savoir router un couple adresse/port vers un autre et bloquer une requête (TCP/UDP/ICMP...) sur un port particulier dans un sens ou l'autre

Dans certains routeurs "en boite", NetGear ou Cisco, par exemple, il est possible d'activer un autre petit bout de logiciel qui effectuera du filtrage de paquet sur IP, ça n'en fait pas plus un firewall "matériel" que le pare feu applicatif (Kerio, ZA...) qui tournera sous Windows au cœur d'un processeur AMD. C'est un logiciel, un firewall tout court.

pour le rhume, c'est pourtant assez classique... on s'inquiète et frissone à l'idée de rencontrer des virus qui méritent des tonnes de logiciels chiadés mais finalement font très peu de dégat et on laisse le petit ou mamie toucher 10 minutes l'ordi et ils nous supprime, sans savoir comment, 2Go de données hyper sensibles et pas encore sauvegardées évidemment...

@+
--
Pierre

Message envoyé avec : Opera/9.00 (Windows NT 5.1; U; fr)

Jim · Message par **Jim** » 24 mai 2006, 21:29

Un routage NAT... Ce n'est pas correcte au sens propre ddu/des termes...

Par exemple un ROUTEUR, je commence par là, son role est:
une trame qui arrive par le port materiel A, si elle demande à aller à telle adresse tu l'envoie sur tel port materiel B, telle autre adresse, sur tel port materiel C...etc
S'il bien configuré il traitera evidemment les cas ou la trame demande une adresse qui n'est pas connue, dans ce cas, telles autre adresses, tu renvoi sur le port A

un NAT qui veut dire Network Adress Tranlation, son role c'est:
Un trame xxx.xxx.xxx.xxx se pointe à l'entrée, se présente, "moi, je suis TCP, je fais du TCP". C'est autorisé ou pas. C'est autorisé, ca passe c'est transmis à la sortie la trame sort en yyy.yyy.yyy.yyy.
C'est pas autorisé, ça passe pas.

Donc un routage NAT au sens propre du terme n'existe pas
Par contre avec les routeur ADSL actuels, cascadants les deux fonction, par raccourci linguistique, on le dit.

Edit, pour Ramon: quand tu dis:

tu sais très bien que même en ayant mis deux capotes l'une sur l'autre pour éviter une MST, tu peux chopper un rhume en batifolant dans un courant d'air...

Tu ne mets quand même pas des capotes poour te proteger du rhume, tu commences sur un truc pour terminer ta phhrase sur autre chose qui n'a rien à voir...
C'est pour cela que je parlais d'amalgame

ottomar · Message par **ottomar** » 24 mai 2006, 21:41

bon... question

quand j'amalgamais Edith dans la 2cv citron, elle (Edith) n'était pas sur la capote, mais dessous, et moi dedans. comment cela est-ce possible ?

Message envoyé avec : Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.8.0.3) Gecko/20060426 Firefox/1.5.0.3

bisdi · Message par **bisdi** » 24 mai 2006, 21:46

Quand j'ai utilisé le mot "routeur" au lieu de "Nat", c'était effectivement plus pour un raccourci linguistique, je n'ai rien confondu.

Il ne me semble pas avoir dit qu'un routeur c'est un pare-feu...
J'ai seulement dit que par nature ( du fait qu'il incorpore un NAT évidemment, ce qui il y a sur tous les routeur actuels ) il pouvait protéger

@ ra-mon : tu as raison, des "vrais" pare-feux matériels ca doit couter bonbon.. cela dit, les pare-feux dans les routeurs ( et c'est écrit partout ) c'est des pare-feux SPI ( Statefull Packet Inspection ) ( le genre de pare-feu qu'on nous fournis avec linux : iptables ( s'il n'a pas changé de noms ))

Jim · Message par **Jim** » 24 mai 2006, 21:46

Comment cela est possible?:
Parce qu'il y a deux capotes... Celle qui va recevoir la cancoillotte et celle de la 2CV

Edit: Précision et faute...

ra-mon · Message par **ra-mon** » 24 mai 2006, 21:57

Amalgamer en 2CV c'est vraiment un coup à choper un rhume...
Même avec la capote.
@+
Pierre

Message envoyé avec : Opera/9.00 (Windows NT 5.1; U; fr)

pirlouy · Message par **pirlouy** » 24 mai 2006, 22:10

Jim a écrit :un NAT qui veut dire Network Adress Tranlation, son role c'est:
Un trame xxx.xxx.xxx.xxx se pointe à l'entrée, se présente, "moi, je suis TCP, je fais du TCP". C'est autorisé ou pas. C'est autorisé, ca passe c'est transmis à la sortie la trame sort en yyy.yyy.yyy.yyy.
C'est pas autorisé, ça passe pas.

Donc un routage NAT au sens propre du terme n'existe pas
Par contre avec les routeur ADSL actuels, cascadants les deux fonction, par raccourci linguistique, on le dit.

Là ou je devrais être plus précis, c'est quand je parle de routage NAT, je devrais dire routage NAT dynamique pour être précis, mais pour moi (ou pour un utilisateur normal), ça n'a aucun sens de faire de la NAT statique.
Mais alors comment ça s'appelle exactement (routage NAT dynamique), pour que je l'appelle une bonne fois pour toute de la bonne façon

Sinon, dans ton explication, tu parles d' "autoriser": il n'y a pas vraiment d'autorisation. le 'machin' (ça doit être ce qu'on appelle la table de routage) qui analyse la trame la redirige si il sait où il doit la rediriger. Si il ne sait pas la rediriger, il la laisse tomber comme une banane, non ?
Après, l'autorisation, c'est le travail du pare-feu il me semble.
Voilà comment j'analyse ça.

ps: pour l'histoire des capotes, il y a 2 idées: 2 capotes ne protègent pas plus qu'1, et puis surtout c'est moins agréable (enfin je suppose en fait, parce déjà qu'avec une... euh bref... je m'égare) et de plus, l'autre idée, c'est que malgré les protections contre les MST, rien ne t'empêche de mourir d'un banale rhum mal soigné qui se transforme en grippe par exemple.

Thony · Message par **Thony** » 24 mai 2006, 22:21

pirlouy a écrit :ps: pour l'histoire des capotes, il y a 2 idées: 2 capotes ne protègent pas plus qu'1, et puis surtout c'est moins agréable (enfin je suppose en fait, parce déjà qu'avec une... euh bref... je m'égare) et de plus, l'autre idée, c'est que malgré les protections contre les MST, rien ne t'empêche de mourir d'un banale rhum mal soigné qui se transforme en grippe par exemple.

Ouais bein comme le dit la chanson la simca 1000 c'est meilleur que la 2cv.
Même a poil pas de risque d'être enrhumé

(citation: "je te prendrerai nu...dans...la simca 1000")

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.0.3) Gecko/20060426 Firefox/1.5.0.3

Jim · Message par **Jim** » 24 mai 2006, 22:42

Ca dépend, sur ton routeur d'entrée de réseau, il vaut mieux renvoyer la trame plutot que de la laisser tomber en routine d'erreur.
En routine d'erreur, le routeur peut essayer plusieur fois de la traiter, avec des algorythme de tolérance d'erreur, s'il ya une trame ça va.
Mais s'il y a un problème sur le réseau, qu'il y a plusieur trame qui s'accumulent, ca peut faire déborder la pile, un peut comme le DOS et faire planter le routeur.

Par contre sur ton réseau interne, ca peut être interresant de la traiter avec les poids (ou les coûts ) de routage, pour faire de la tolérance de panne sur tes routeurs.

Quand je parle d'autoriser, c'est quand une regle est ecrite.

Je connais routage dynamique, mais pas de NAT dynamique.
Le routage dynamique est plutot utiliser sur les WAN en entreprise. Ainsi, lorsqu'un routeur sur le WAN en en panne, tu le remplace et le mets en OSPF ( un protocole pour le routage dynamique ) et ce sont les autres routeurs avec lesquels il dialogue qui lui apprennet les tables de routages.

Quand au NAT dynamique, je ne sais pas si ça existe...

J'aurai tendance à dire non... car tu ecris des règle de sécurité.
"ne pas répondre aux requete ICMP"
"Ouvrir port UDP 9100 à 9110 pour telle interace"

pirlouy · Message par **pirlouy** » 24 mai 2006, 23:07

Ouh, ça commence à me faire fumer le(s?) neuronne(s).

Je ne sais pas si t'auras envie de parcourir ce lien, un peu long, mais pourtant concis: http://www.lalitte.com/nat#4_-_La_NAT_dynamique_

Sinon, ce lien aussi, parce que ce Abe explique de manière assez simple et compréhensible le routage NAT dynamique.
http://www.whynet.org/forums/index.php? ... =9&pid=157

Bref, comme dirait le fan de 2cv, HALOF !

Horus Agressor · Message par **Horus Agressor** » 24 mai 2006, 23:45

Tu te coule toi même Pirlouy ! Tu es extraordirement c** ! Jamais vu ça ! rassure-moi en me disant que tu bosses pour les russes où tu es né c**, tu sais, ce sont des choses qui arrivent

Tu es pathétique mon pauvre.

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.0.3) Gecko/20060426 Firefox/1.5.0.3

Geckozone

Pare feu vs tarte aux cerises (Pirlouy contre le reste du mo

Qui est en ligne ?