next up previous contents
Next: Le filtrage Up: La IP-WHATIS en français Previous: Le virtual hosting

Quelques mots sur la sécurité et le concept de firewall

Tôt ou tard, il faudra s'occuper du problème de la sécurité, c'est à dire les petits malins qui vont essayer de pénétrer le réseau depuis l'extérieur. Dans le meilleur des cas, cela se traduira par un ``nuke'' de quelques bécanes, ce qui se résout par un reboot ; mais un intrus pourrait aussi s'introduire sur un ordinateur, et copier des fichiers ``intéressants'' et généralement secrets (mots de passe, comptabilité d'une entreprise, plans des catacombes, organigramme du RPR, analyse de la robe de Monica Lewinsky...). Afin de permettre aux utilisateurs normaux de continuer de travailler sans avoir à entrer des mots de passes et se soumettre à des scans de rétine toutes les 5 minutes, mais de couper les ponts avec les indésirables venant de l'extérieur, on met en place des firewall.

Un firewall, ça peut être un simple routeur intelligent (cisco, ascend...) que l'on peut contrôler à distance, depuis l'intérieur du réseau ; cela peut être aussi un terrible serveur surpuissant équipé d'une panoplie logicielle monstrueuse. La solution la plus intelligente consiste à prendre une machine de performances modestes (inutile de déployer un Pentium pour gérer un traffic de quelques dizaines de ko/seconde, un 386 suffit), mais robuste et stable (pas de cartes mères overclockées, de toute façon le modem reste à 14400 bits/seconde). Le choix le plus important est celui du système d'exploitation. On éliminera d'entrée Windows ou tout autre système de nature instable, ou lent, ou peu souple. Si on opte pour un Unix gratuit et libre, on a le choix entre Linux (se tourner alors vers Debian ou Jurix, en évitant soigneusement RedHat) et *BSD ; NetBSD est plus stable que Linux, et pour mettre l'accent sur la sécurité on choisira OpenBSD. Sinon, le bon vieux DOS peut aussi faire l'affaire, mais les logiciels sont beaucoup moins puissants et assez limités...

De manière générale, un bon firewall doit être strictement impénétrable de l'extérieur. Il doit être impossible de toucher à quoi que ce soit sans être à l'intérieur du site, ou tout du moins sur une liaison sécurisée, cryptée et authentifiée (ssh est pratique pour cela). Pour éviter tout trou de sécurité intempestif, on chassera du firewall tous les serveurs - web, mail, TOUT doit disparaître. Ensuite, on peut se consacrer à la configuration du firewall.

Dernier détail : il faut bien sûr se prémunir de toute agression externe, mais il faut aussi prévoir le cas de maladresses internes qui pourraient ouvrir des brèches dans le système de sécurité, exemple : un employé qui lance le serveur Web de Trompe-Page (au hasard) et qui permet du coup à un intrus d'accéder à la totalité du disque dur, et entre autres à des fichiers sensibles.



 
next up previous contents
Next: Le filtrage Up: La IP-WHATIS en français Previous: Le virtual hosting
Jerome PETAZZONI
1999-04-02