Voila, comme beaucoup j'installe des pare-feu, régulièrement ... mais toujours de la même manière avec pas mal d'habitudes ..
 
Or les habitudes en sécurité informatique ce n'est pas bon du tout !
 
Je souhaiterai ouvrir le débat concernant les remises en question de principes ou fondamentaux en cette fin d'année 2010.
 
J'ouvre le bal :
 
Le filtrage applicatif oui mais avec quel produit ? (certains pare-feu ne prenneraient même pas la peine traiter les flux si les paquets sont fragmentés ....)
 
La sonde d'analyse réseau obligatoire ou pas ?
 
La menace interne sous ou sur évaluée ?
 
Le nomadisme ne nous oblige t-il pas à revoir la notion de LAN WAN DMZ etc. ?
 
La DMZ encore un concept d'actualité ?
 
Bref des sujets qui me laissent songeur !

1) Le firewall applicatif personne ne sait ce que sait et pour ceux qui savent c'est si compliqué à déployer correctement (un mec de deny all est resté 3 semaines chez nous pour tuner correctement le truc car il y avait des faux positifs) qu'à part dans des environnements très critiques j'en ai jamais vu. C'est un truc de niche et même Cisco a arrêté (dommage, le WAF / XML Gateway était limite le produit le plus interessant du catalogue)
 
2) Si t'as personne pour la regarder 24/24 ça sert à rien
 
3) bof... pas trop d'avis là dessus
 
4) non, seul l'emplacement du périmètre change.
 
a+

salut dreamer18,
 
1) actuellement je teste du WatchGuard XTM 11 (Xcore e750e) : ce parefeu est dément (pas d'autre mot). De plus quand on sait que c'est le "petit" Rusty Russell qui a bossé (ou bosse encore) chez WatchGuard ... cela ne m'étonne pas.
 
Il est vrai que le filtrage applicatif est assez pointu mais une fois bien régler.
 
2) c'est une réponse. Mais si il y a les effectifs pour ?
 
3)je suis allé à une conf. (à apprendre avec de pincettes donc) et les ingé. sécu de MS se mettaient à parler du lan comme une sorte de DMz ... bref la menace est aussi forte pour eux en interne qu'en externe :ca se defends.
 
4) tu peux expliquer stp ?

Tu as le DC (là où y a les données) et le monde extérieur, le LAN faisant partie du "monde extérieur".

1 : Le filtrage applicatif est mis en avant par de nombreux constructeurs. le but c'est de savoir ce qui est tunnelé dans les protocoles les plus couramment utilisés. il y a dix ans chaque appli utilisait un port dédié (ou presque). Aujourd'hui la plupart passent par des protocoles type http ou https. Le filtrage par port ne suffit donc plus. Concernant le type de produit, difficile de se prononcer. Est-ce le rôle du firewall, Est-ce le rôle d'un proxy ? Le débat est ouvert, je pense que les solutions devront certainement gagner en maturité.
@dreamer18 : pour deny all, c'est du revers proxy toujours ?
 
2 : la sonde c'est sympa, mais il vaut mieux un dispositif de détection en coupure.  
 
3 : La menace interne est de plus en plus prise en compte (merci wikileaks ?). on est de plus en plus nombreux à bypasser les mécanismes de filtrage pour échanger du contenu (lecteurs mp3, clés usb, vpn like en ssl pour se connecter at home). Certaines boites filtrent le trafic interne, mais ça reste assez rare.  
 
4 : les principes restent valables, mais c'est de plus en plus difficile de définir ce qui est du WAN, du LAN, de la DMZ. L'avenir est à la segmentation niveau 3 et au filtrage. Historiquement le routage et le filtrage étaient compliqués et chers, donc on faisait ça de manière centrale. Ca se distribue de plus en plus. (un fw en entrée, un sur chaque routeur, bientôt un dans chaque esx et un par poste client ou machine virtuelle).  
 
5 : la DMZ non, les DMZ, oui.  
 
La sécurité c'est difficilement du 100% (sauf chez marcus ranum http://www.ranum.com/security/comp [...] dex.html).
 
c'est aussi une grosse part de récurrent : suivi des logs, audits, etc.  
Un fw sans un admin qui surveille les logs c'est aussi absurde qu'un poisson sans bicyclette (copyright P. Desproges ...).

3 : La menace interne est de plus en plus prise en compte (merci wikileaks ?). on est de plus en plus nombreux à bypasser les mécanismes de filtrage pour échanger du contenu (lecteurs mp3, clés usb, vpn like en ssl pour se connecter at home). Certaines boites filtrent le trafic interne, mais ça reste assez rare.  
 
 
===> cela me parait le minimum que de filtrer le "outgoing".
 
5  : oui tout a fait LES dmz ... mais peut on appeler ca DMZ ?
 
 chez moi par exemple (at home donc) :
 j'ai 8 zones possibles en gigabit :
 1 wan (la box en bridge),
 1 lan (tout est filtré en terme de port, je vais bientôt mettre le filtrage IPS, webblocker et spam blocker) : ceci n'est pas un luxe car nos chers editeurs se permettent de grosses largesses tout de même,  
 1 "dmz" (pour les machines de downloads et autre conneries pas saine),
 1 guest pour les invités qui déboulent avec un ordi douteux ... (a chaque fois le watchguard fini par les bloquer car troyens bots et virus sont toujours présents sur 80% des windows qui déboulent chez moi)
 1 guest 2 : pour le télétravail ... une zone à client vpn ou on ne sait jamais ce qui est défini par la boite distante ....
 
oui jamais du 100% mais les concepts doivent l'être à 100%
 
d'ou ce débat.

oui. En général il y a confusion entre ce qu'on appelle généralement les "firewalls applicatifs" (Web) - les deny all et compagnies, et les firewalls L4-L7 à la sauce palo alto, maintenant fortinet etc...

Je peux également vous faire part d'une expérience assez intéressante :
 
Avant je disposais d'un parefeu à 380 euros (chez moi), je vous la fait simple : je bloque tout en entrée et filtres le max de port en sortie pour ne laisser passer que les protocoles obligatoires (https; http , smtps , etc) et en aucun cas les protocoles ou les mots de passe sont émis en clair (ils devraient être banis lol).
 
Bien sur mes log de drop étaient full ... mais bon le parefeu bete, tétu bloquait , bloquait ... sans la moindre intelligence ...
 
Depuis que je me suis pris un parefeu que j'utilisais sur les gros sites la différence est énorme : je tombe sur le cul en voyant le nombre de sites (ip) qui sont bloqués !!! (chose que ne font pas les parefeu semi pro, ne parlons pas des trucs à 50 euros)
 
Et je peux vous dire que les attaques sur les stack IP sont trés trés virulents !!! (pas que les virus qui tapent en couche 7 donc)

Excuses mon ignorance :
 
pour quoi tu parles de palo alto ? (layer 4 et 7 je suppose).
 
perso je n'ai jamais pris en considération les pare-feux type "zone alarm" et autres couilloneries. Si c'est cela que tu appelles fw aplicatifs ???

palo alto networks, sonicwall, checkpoint, et d'autres je présume vont au delà de la couche 4 de plus en plus.
 
le but est d'identifier ce qui passe sur le port, et parfois de filtrer en reconnaissant le type de contenu sur un port non standard.
 
on parle de firewalls applicatifs par opposition à des fw niveau 4.
 
certains proxies font ça également.

ok je vois, je connais en fait mais c'est ta manière de nommer le truc que je ne comprenais pas.
 
mon watchguard Xcore 750e le fait pour :
 
- https, http
- smtp, pop
 
Mais aussi pour l'inspection d'attaque plus bas niveau on dira .
 
A l'epoque on avait TrendMicro VirusWall : il choppait les flux ftp, smtp et http(s)

 
Non le pare feu applicatif ou web application firewall (waf) c'est une appliance en général qui surveille l'activité sur tes sites web (surtout les champs des formulaires etc...) pour bloquer les attaques de type SQL Injection, Cross Site Scripting, et pas mal d'autres trucs. C'est assez complexe mais indispensable dans les environnements critiques comme les banques, les institutions, enfin tous les gros sites qui contiennent des données sensibles.

tu confonds avec un reverse proxy (dont deny all), mentionné ci-dessus;  
 
les firewalls applicatifs filtrent le trafic en sortie;  
 
les reverse proxies sont en général situés comme passerelles entre internet et les serveurs web et permettent de faire du contrôle sur les valeurs de champs, etc.
 
les reverse proxies ne font pas de filtrage en termes de port, contrairement aux firewalls.

Les "firewalls applicatifs" sont depuis des années des éléments filtrants capables d'interpréter les applis Web, et dans 99% des cas ils sont placés en reverse proxy.
 
Les "firewalls nouvelles génération" sont des pares-feu standards ayant évolués vers de l'identification L7

je crois que tout le monde à raison. et c'est ca le pire ... avec ces mélanges de produits ....
 
Par Exemple : Avast fait  du filtrage applicatif.
 
Mais soyons pro. : je n'ai pas lancé ce débat pour parler de solution "amateur".
 
là-dessus Dreamer18 je te rejoins : les pare-feu bossent bien souvent en L7 maintenant.
 
Personnellement j'aime pas trop cette orientation du marché : sur mon xcore750e je n'ai pas encore activé les proxies applicatif (cf. doc watchguard)
 
Nous savons tous qu'il faut préserver l'atomicité des tâches ... surtout en securité !!!
 
La parefeu verrouille (intelligemment avec détection d'attaque sur ip) la couche 3 rien d'autres.
 
Ensuite j'ai pris l'habitude de rebalancer le traffic dans une zone de "décontamination et d'examen" après ré-assemblage des paquets ... je passe donc à ce niveau en couche applicative ...  
 
Ensuite je rebalance les flux considérés comme "assainis" vers la dmz (la fameuse dmz ...lol) pour faire bosser les proxie, relais smtp, frontaux web etc ... tous équipé en antivirus (quoique l'herbegerment chez soit ... bof bof en terme de sécu. : c dépassé ca!!!)
 
le tout redondé ..
 
Mais bon cette vision reste trop vieilles à mon goût , il doit y avoir mieux.
Car il n'y aucune finesse dans ce genre d'archi.

Bah autant pour certains protocoles, comme http, ftp, dns, ssh etc je pense que cest pas mal et c deja le cas pour certains FW qui le reconnaissent, autant je vois mal comment le Fw peut reconnaitre toutes les applis proprietaires qui pullulent dans toutes les entreprises a moins qu'il y ait des sortes de modules que l'on peut "programmer"...
 
 
 

Un pare feu béton ne va pas sans un contrôle direct du poste de travail
 
je louche chez Sophos sur une solution amenant sur les station antivirus + pare feu + blocage d'application + DLP.

alors sur les firewall applicafif je ne peux parler que de ce que je connais à savoir imperva : franchement compliqué meme apres l'avoir fait tourner en mode learning, c'est un peu comme l'IPS mais avec encore moins de marge de manoeuvre , il faut vraiment etre rigoureux pour que ca ne bloque pas le site (une trame http inhabituelle de ton CDN par exemple ... ca calme bien) tout en conservant un haut niveau de sécu , bref un metier à part entiere qui implique des compétences importantes que ce soit lors de l'intégration ou dans lexploitation au jour le jour.  
 
 
Sonde d'analyse je suis vraiment séduit, il existe pas mal de solution sur le marché en saas ou on premise et dans l'ensemble le jeu en vaut la chandelle , le contrat est en générale rempli à savoir trouver les failles avec un niveau de granularité interessant sans pour autant défoncer le site ou le lan sur lequel laudit est réalisé. pour la partie saas , il y a toujours la problematique de confidentialité et de sécurité mais qui est de toute façon inérante à toutes les offres de type cloud.
 
la menace interne : elle est vraiment relative au niveau de condentialité des informatiosn qui circulent. autant un bon 802.1x serait bienvenue chez nous , autant un NAC serait inutile et probablement tres dommageable du point de vue productivité des utilisateurs.
coté antivirus , il est evident qu'il faut en deployer un quel qu'il soit.
 
je trouve que les concepts DMZ/LAN/WAN tiennent encore tres bien d'un point de vue logique, au niveau physique ca commence à se brouiler un peu. j'invite à tester vpshere avec nexus 1000 et vshield , il est vraiment possible de faire un datacenter complet dans une seule machine sans sacrifier à la sécu.