Bonjour
 
j'ai passé le weekend sur Google, --->je ne suis pas plus avancé ! les avis se contredisent , je fais appel aux pros @ hardware
 
que vaut une freebox configurée en routeur en terme de sécurité ?
 
je que je compte faire : freebox en routeur pour filtrer, mon pc avec firewall (kerio 2.1.5)comme passerelle vers un portable (wifi)+ 1 pc ou un switch pour plusieurs bécanes (matériellement j'ai tout ce qu'il faut)
 
ne vaut'il pas mieux investir ds un routeur firewall wifi directement derrière la freebox ---> y'a t'il réellement un gain en terme de sécurité ? est ce + facile à configurer ?  
 
question subsidiaire  : ds la seconde solution , que me conseilleriez vous comme matos ?
 
merci
 

Le mieux pour toi c'est de faire : freebox + firewall sur tous tes pcs (kerio, c'est bien...)

Freebox en NAT + pas de firewall sur les pc c'est suffisant.

J'avais intialement écrit : "je te donne mon avis mais je suis sur qu'on va te donner l'avis inverse". J'aurai du le laisser, j'aurai gagné
 
Je mets un lien vers ce topic au cas où :
http://forum.hardware.fr/hardwaref [...] 4421-1.htm

merci pour vos réponses rapides et pour ton humour nitchbool
 
puis je me contenter d'un firewall simplement sur mon pc passerelle  et donc riensur les bécanes du réseau local ?

si tu as un pc passerelle (donc faisant deja du nat)  quel est l'interet de mettre la freebox en mode routeur ?

Moi je dirai que tu ne peux pas t'en contenter. Le fait que tu aies un firewall sur la passerelle n'empeche pas qu'il faille protéger aussi les autres postes. Quand il s'agit de penser la sécurité de son réseau (surtout familial) il faut se dire là où je mettrai un antivirus, je mets aussi un firewall.

Com 21 , j'espère ainsi le "soulager"  : a priori ça ne coute rien non ? je ne suis pas sûr de pouvoir le configurer au mieux .le boulot fait par le freebox sera tjs ca de pris

à mon humble avis ça ne servira strictement à rien à part créer des problemes (par exemple de communications entre les différents pc)
 

Tant que t'a pas besoin de fonctionalités avancés, freebox en mode routeur et c'est tout, ce sera déja tres suffisant.
Si tu veux commencer a faire des trucs un peu speciau ou pouvoir configurer plus de truc, alors tu met un routeur deriere ta freebox (un petit WRT53GS avec une satori dessu par exemple... voir l'autre dont j'ai oublié le nom pour faire du trafic shaping etc). Mais bon le routeur deriere en plus ne se justifie que si vraiment tu as des besoins specifiques (tres bonne conexion wifi avec possibilité d'augmenter la puissance du signal etc etc)

pour vous il n'y a pas d'alternative entre la solution lourde --> nichbool et la légère --> com21

bah tu achete un routeur qui fait firewall  (et tant qu'a faire wifi, ça te servira bien un jour)
 
et tu relie les pc au routeur et le routeur à la freebox

Ouais à la rigueur juste pour simplifier mais je suis pas convaincu

Les 2 vrais alternatives sont :
la lourde (routeur deriere la Freebox) et la legere (rien)
 
aucune autre a mon avis n'offre plus d'interet que d'inconvenients. Un routeur en plus se justifie eventuellement parce qu'il apporte pas mal de fonctionalités qui n'existe pas sur la freebox.
Par contre mettre des firewals sur tous les PC, ou pire, faire un NAT deriere la freebox, ca n'apporte absolument rien si ce n'est pas mal de soucis au niveau configuration de tous les jours. D'un point de vue sécurité, le gain d'un nouveau NAT est nul, celui d'un firewall sur l'ensemble des machines est tres faible, et ne justifie pas, a mon avis, l'investissement en temps que ca va te demander pour gerer tout ca ensuite.

Comment tu justifies le fait qu'on doive mettre un antivirus sur tous les postes ?

ça n'a strictement rien avoir.

Parce que le probleme des virus est quelque chose qui est techniquement tres diffile de solutioner de facon centralisée peut etre ?
Regarde ce qui se passe dans les entreprises, tous les posts ont un anti virus installé. Mais surement pas un firewall.

biensur que si, si ta logique te dicte de mettre un antivirus sur tous les postes, il est illogique de penser qu'il ne faut pas faire de meme avec le firewall.
 
En ce qui concerne les entreprises, elles ont un VRAI firewall, une solution industrielle, rien à voir avec quelques fonctions de firewalling qu'on met sur les routeurs.

bah non car c'est 2 problèmes différents.
 
Ex pour les antivirus :
Les virus circule par emails (le plus souvent) mais aussi par disquette, cd, en téléchargeant des fichiers etcc.
ce qui nécessite un antivirus sur chaque poste
 
Pour les firewall :
Un firewall permet de filtrer ce qui rentre et sort de son pc (surtout ce qui rentre pour éviter les attaques)
Hors, les machines en LAN se trouvent derrière un routeur NAT, leur ip sont non routables (192.168.0.x par exemple) Elles ne peuvent donc pas subir d'attaque.
L'emploi d'un firewall sur ces pc là  est peu utile.

Pour info aujourd'hui, les attaques utilisent des erreurs d'implémentation des navigateurs WEB, c'est difficilement gérable de façon centralisée. Et sinon je comprends le fait "NAT : Elles ne peuvent donc pas subir d'attaque." ?

lol  

Premierement c'est archi faux ce que tu raconte la, dans les entreprises les postes sont souvant mis a jour a partir d'un serveur central, que ce soit pour corriger les failles d'IE ou de n'importe quoi d'autre, bref, le probleme global de la mise a jour est traité de facon centralisé.
Maintenant je vois absolument pas le rapport avec les virus ou avec l'utilisation d'un firewall.
Le probleme des mises a jour est simplement encore un autre probleme de securité, avec d'autres solutions etc.
 
Tiens on va en prendre un troisieme, le probleme du disaster recovery. Tu sais, le truc con, c'est quand il y a un incendi dans l'immeuble et que tous tes serveurs brule. Alors il faut faire quoi, des backups, avoir un site de secours, avoir toutes les machines en double ou pas... Bref, c'est une autre problematique, un autre sujet de reflexion qui concerne la securité, et la solution a ce probleme n'aura surement rien a voir avec celle utilisé contre les virus ou contre les failles applicatives. C'est autre chose, c'est tout.

je relis et je ne vois pas d'erreur. Un problème local nécessite un outil local. A l'instar de l'antivirus qui gère les virus qui tente de s'installer sur ton poste, le firewall te protège contre les attaques qui tentent de corrompre ton poste

quelles attaques ?  
 
(rappel : il y a un NAT)

pour résumer :
 
un routeur firewall "pour particulier" aucun intéret, j'suis pas une entreprise la Freebox en gros me suffit
 
un NAT sur mon PC qui redistribura l'acces internet à mon réseau local , trop compliqué pour moi à configurer et double emploi avec la freebox sans apport de sécurité en + ,
je ne crains pas trop les riques interne au réseau, clé USB cd etc  
 
le tout pour moi est de savoir si :  kerio sur mon pc est ce vraiement nécessaire ?
 

NON
 
freebox + switch + PC avec antivirus   suffit amplement

Whaou... Ok, on va faire autrement :
Une alarme anti incendie, ca protege la vie des gens dans une piece.
Un portail pour détecter les armes à feu a l'entrée d'une piece à le meme but, proteger la vie des gens a l'interieur de cette salle.
Maintenant prenons un immeuble important, n'importe quoi. Pour des raisons evidentes on va placer un detecteur anti incendie dans chacune des pieces, c'est un probleme local a la piece, on sait difficilement le gerer de facon plus globale. Maintenant combien tu parie que des portails pour détécter les armes a feu il y en aura que un ou 2 (pres des entrés/sorties de l'immeuble) et pas à l'entré de chaque pieces ?
Et bein voila pareil pour le firewall et l'anti virus. Ce sont 2 problemes differents, et le firewall peut s'utiiliser de maniere inteligente sans avoir besoin d'en mettre un sur chaque pc, c'est pas plus complique que ca.

Je continue à dire que l'architecture suivant serait meilleure :
 
freebox + switch + PCs avec antivirus et firewall
 
Mais bon tant pis...

merci à tous les 3 pour la vigeur de vos avis et l'intéret porté à mes questions
 

T'es sympa d'essayer de me faire accepter ton point de vue mais ton exemple est mal choisi (parce que tu considères toujours la protection du firewall comme un outil te protégeant uniquement des trafics interdits) et j'en ai marre d'écrire donc j'en resterai là

Chouette aujourd'hui je vais encore apprendre un truc.
Ca sert a quoi d'autre un firewall ?

prévenir les attaques sur des trafics autorisés (HTTP par exemple)

Ah non, désolé ca c'est pas du tout le role d'un firewall, ca c'est le role d'un IDS, et ca n'a rien a voir.
De toute facon, bien avant d'en arriver la, tu aura appliquer la premiere regle essentielle qui est bien sur d'etre a jour au niveau correctif de securité, donc ce genre d'attaque, tu t'en b... les c.....

Purée nitchbool, avant de balancer des arguments comme étant vérité universelle, renseigne-toi d'abord un tantinet sur le sujet.
 
Tout ce qui concerne la protection réseau peut et DOIT se faire de manière centralisée , par définition, lorsqu'un routeur "partage" la connexion pour les postes locaux, ben ils passent tous par cette unique porte pour dialoguer avec l'extérieur ; idem pour l'extérieur qui envoie une info à destination d'un service/poste précis.
Donc, une gestion de la sécu, centralisée sur le routeur/firewall n'a pas besoin d'être épaulée par des firewall installés sur chaque poste. C'est inutile, ils filtreront quelque chose déjà filtré (en entrée) et sur le point d'être filtré (en sortie).
 
Le fait d'installer un antivirus sur chaque pc se justifie par le fait qu'un routeur ou un firewall n'analyse pas le contenu des données qui passent pour y déceler un éventuel code malicieux (quoi qu'il existe des antivirus pour passerelles, mais c'est harchi-couteux) car ce serait bien trop lourd pour un ptit routeur qui aura déjà bien assez à faire.
 
Comme disait quelqu'un plus haut (désolé pour le pseudo, la flemme de remonter),  le seul effet que l'installation de firewall aura sur le fonctionnement du réseau est d'apporter des soucis de dialogues entre les postes eux-mêmes ; est-ce vraiment utile de s'embarrasser de ce genre de merdes ? Personnellement je pense que non, mais après, t'es en droit d'y jouer chez toi hein !

Je vais être obligé de répondre meme si j'ai pas envie.  
 
Prends n'importe quel modem routeur vendus aux particuliers. Je pense qu'il n'y a aucun qui possédent de vrais fonctions de firewalling donc ta sécurité ne pourra se faire de façon centralisée.

Tu ferait mieux de te renseigner alors, plutot que de "penser"

Allez c'est pas grave c'est de bonne guerre, vous avez tous l'air convaincu c'est bien. La réponse qui m'a quand même fait le plus rire c'est la phrase :
 
"Ah non, désolé ca c'est pas du tout le role d'un firewall, ca c'est le role d'un IDS, et ca n'a rien a voir."  
 
Parce que le simple fait de dire cela, c'est qu'on convient que les fonctions de firewall basique (celles qui se retrouvent sur les routeurs modem) ne sont pas suffisantes. enfin bon

 
Un modem routeur (donc NAT) sans aucune règle définie ne transmettra rien de l'extérieur qui n'ait pas été sollicité par l'intérieur.
Tu prends une freebox, tu actives le "mode routeur" et ne place aucune règle : ton réseau est hermétique de l'extérieur.
Les règles servent justement à réger les exceptions, par exemple : authoriser le pop, smtp, web (webmail), imap, ... si une des machines interne fait tourner un serveur de messagerie.
 
Pour la sortie, et pour un environnement @home comme il est question ici, je rejoins Alana : antivirus + maj sécu et.... élément essentiel : un minimum de bon sens.

T'en tient une couche assez formidable...
Alors reprenons ton exemple, attaque sur le port 80 (ca veut dire qu'on est en presence d'un particulier qui a installé un serveur web et qui a fait ce qu'il faut sur son routeur/firewall, on est d'accord).
 
Donc les conexions entrantes sont authorisées sur le port 80, et la il y a un mechant vilain qui essaye d'en profiter en tentant essayant toutes les failles connues de IIS (par exemple...)  
 
Et bien meme si notre particulier est assez bete pour utiliser IIS, il doit pas etre debile au point de ne pas installer les correctifs de securités, donc les "attaques" sur le port 80 ne donnereront strictement rien.  
 
Imaginons qu'il soit vraiment debile, et que son serveur IIS soit plein de trous. L'attaquant essaye alors de lancer un cheval de troie pour pouvoir reelement prendre le control de la machine, et la, pas de chance ca fonctione pas (grace au firewall qui est corectement configué).
 
Moralité : les fonctions de firewalling dans les routeurs vendu en grande surface sont tres suffisantes, et c'est pas Kerio ou zone alarm ou je sais pas quel autre bidule qui fera mieux que ca.
 
Autre chose ?

 
 
Oui : et dans la plupart des cas "bien fait", l'antivirus local va biper au moment de l'introduction du trojan. Donc en plus d'être inutile, il sera éradiqué aussi sec.
 
 

Tout a fait exact