Pas de proxy sur un firewall ?

[recycled]

bonjour, je me permets d'ouvrir ce post pour essayer de récolter des réponses à cette éternelle question : pourquoi pas de proxy sur un firewall ?
personnellement cela fait plusieurs années que j'utilise des passerelles de type ipcop, pfsense, ipfire .... avec un proxy (squid) / filtrage (squidguard) et j'en suis très content. jusqu'à ce jour pas de serveur compromis , pas de chose bizarre , tout me semble normal quoi.
mais après avoir lu plusieurs posts ici et la je commence à me poser aussi la question : quel est le réel risque ?
on est d'accord sur le principe que plus il y a de services qui toune sur un firewall ,ou un système en général , plus il y a de failles .... mais voila mes recherches sur ixus et sur the cloud ne m'ont pas donner les réponses que je cherchais. j'en appelle donc à tout ce qui pourrai m'éclairer (jdh et ccnet si vous etes la , c'est le moment ) et aider les prochains qui passeront par la.
en espérant attirer ici des réponses simples, courtes, quelques liens et tout ce qui pourrai aider le communauté à comprendre ce concept.
je sais que le sujet est vaste et ne peut pas être traiter en quelques mots mais c'est juste pour dégrossir un peu.
merci d'avance à tous

[Franck78]

La réponse intégriste est aucun service non indispensable à la fonction de la machine. Ici un firewall, exit les proxy / smtp / ...
L'idée sous entendue étant de réduire le nombre de services compromis par machine compromise...

Mais c'est intégriste donc nuançable

-selon le nombre de faille découverte sur une implémentation du service?
-la gène occasionnée si l'on doit arreter la machine
-ce qu'il y a derrière la DMZ
-fonctionnement en cluster
-encombrement/conso/bruit/clim/...
-et encore un milliers d'autres raisons

Il n'y a rien de choquant à charger quelques services sur une machine de tête. Il y aura plus de boulot en cas de compromission, bien sur. IMHO.
Je précise cependant qu'allez installer le serveur de fichier sur le FW est stupidement risqué

[Titofe]

En sachant que cela existe en natif sur plusieurs distribution dont ClearOS, Zentyal, Artica et bien d'autre veux donc dire que cela n'ai pas impossible (franck78 le confirme plus haut).
Pour ma part je je suis assez d'accord avec ccnet et jdh pour rappeler que ce type d'installation ne doit pas dépassez le cercle familial (pour ne pas dire un certain nombre d'utilisateur), mais je pense surtout que d'utiliser en produit avant tout destiner firewall (donc sécurité du réseau) ne devrais pas ce retrouver alourdi pas autre chose (du type proxy ou autre).

Allons plus loin dans la démarche, pourquoi ne pas tous simplement utiliser un pc 'home' à cela ?

[jibe]

Salut,

La question a été souvent débattue, mais bon...

Je crois que c'est avant tout une question de bon sens. Titofe parle de distribs "tout en un" (Zentyal, Artica... il a oublié SME !!!) où il y a beaucoup plus qu'un proxy sur un firewall ! Et j'affirme depuis longtemps que ce sont des solutions fiables, à préférer à des associations telles que SME+Ipcop (sauf cas particuliers avec réelles et solides compétences en ingénierie réseau).

Cela dit, je ne mettrai jamais un proxy sur un firewall ! Pourquoi ? Tout simplement parce que si une solution "tout en un" ne suffit pas, on entre dans un autre univers. La solution "tout en un" se résume dans la devise de FreeEOS : "Vite, Simple et Bien" (VSB). Un serveur unique, installable et administrable sans connaissances spéciales, et donc une solution très économique à tous points de vue. Ça fonctionne très bien, c'est fiable, mais ça reste quand même une solution économique.

A partir du moment où, quelle qu'en soit la raison, on décide qu'on ne peut pas se contenter d'une solution économique, autant faire les choses correctement. Le firewall, c'est la porte blindée du blockhaus dans lequel est installé tout le système informatique local. C'est là que vont se concentrer toutes les attaques. Alors, faire des trous et des aménagements pour y fixer divers accessoires n'est vraiment pas logique par rapport au désir ou besoin de séparer les tâches : soit on affaiblit la porte, soit on expose ce qu'on y fixe !

Si donc on sépare les tâches, la première à séparer est le firewall. Et si on décide de mettre une porte blindée, ce n'est pas pour y fixer des porte-manteaux ! La fonction firewall est celle qui se prête le moins à être associée à d'autres, donc on met le proxy ailleurs, où il posera forcément moins de problèmes de sécurité que sur le firewall.

Encore une chose : j'entends dire de plus en plus "mais d'autres le font bien..." (que ce soit pour l'association proxy-firewall ou n'importe quoi d'autre, dans n'importe quel domaine). Ou alors "mais c'est prévu qu'on puisse le faire". Oui... C'est comme de tuer sa belle-mère ou battre ses enfants : d'autres le font. Est-ce vraiment une bonne raison pour le faire ?

Toute règle (normalement...) est basée sur un principe qui peut toujours être nuancé ou remis en cause. Comme dit Franck, un principe qui n'autorise pas de nuance ou remise en cause est un principe intégriste. Mais d'un autre côté, s'il n'y a aucune règle, c'est le chaos. Donc, mieux vaut respecter les règles et les principes, sachant que ces derniers sont comme des barrières, et donc que les grands passent par-dessus, les petits passent par dessous et qu'il n'y a que les c** qui rentrent dedans.

Appliqué aux firewalls, cela veut dire qu'un firewall doit rester seul, et que le proxy doit être ailleurs. Mais si pour x raisons il semble préférable de mettre le proxy sur la machine firewall, on ne s'attire pas pour autant les foudres de l'enfer ni les hordes de pirates ! Mais c'est quand même moins bien...

[recycled]

messieur frank78, premier dialogue en direct mais depuis longtemps avec vos scripts (merci).
pour ma part , je gère quelques réseaux d'entreprise allant de 2 (faut au moins ca pour un réseau ) à 50 personnes. pour la majorité j'ai remplacé des firewall et/ou utm priopriétaires (zyxel, netgear et autres box) par des ipcop et pfsense.
disons que je ne sois pas intégriste, voir plutot nuancé , si je mets en place un ipcop / pfsense (on est quand meme sur son forum ) avec squid en mode transparent, un squidgard (type frank78 ou son sérieux challenger urlfiter et son fameu updateaccelerator) , un ptit bot (fonction inclus dans pfsense), quelques clients roadwarrior (ipsec et/ou openvpn, d'ailleurs, j'ouvrirai bien un post pour ces 2 la afin de connaitre le plus utilisé et les avantages / inconvénients de chacun, si vous etes pour ? ) . on va dire que les utilisateurs du lan sont gentils et n'essaie pas de jouer aux kiddies avec les services fournis aux lan : est ce que je court un risque sérieux ???
le but d'une distribition linux sécurisé (ixus oblige) n'est elle pas de nous protéger (iptables et super mega kernel) des méchants pirates de l'extérieur et pourquoi pas fournir quelques services aux gentils utilisateurs de l'intérieur ?
je répète c'est juste pour des TPE / PME avec un petit placard technique (pour le bruit), pas trop de budget (pour le pc reconditonné), un ptit nat vers owa (https) sur le seul serveur en sbs 2003/2008 (la oui j'ai peur !) ... bref comme la plupart des petites boites (en tout cas je crois).
eclairez moi : suis je vraiment si mauvais en sécurité, je risque de perdre tous ces clients ?
merci pour vos réponses. j'espere avoir était clair dans mes propos.

[recycled]

merci messieur jibe pour ce premier éclaircissement. (désolé j'ai mis 1 h pour le post d'avant donc je découvre votre réponse)
on dirait que mon vrai point faible (comme je le pensais d'ailleurs) soit mon serveur windows et son fameu exchange owa. mais pourquoi y veulent pas lacher leur outlook ....
peut etre j'arriverai un jour a mettre en place une solution type sme, clearOs ou autre, avec synchro vers les joujours apple des patrons, les cabines télphoniques des employés , un superwebmail type owa pour tout le monde (faut avouer que c quand meme pas mal) : d'ailleurs si vous en connaissais un , je suis preneur !
bon 2h du mat, c'est l'heure de .... configurer un ptit pfense sur compaq flash , non !

[Titofe]

Soyons simple.
Une distribution tel pfSense au moment de l'installation ne me propose aucun proxy et donc si on veux l'installer il faut passer par l'addons qui n'est pas maintenu par eux.
Oui il est facile de les obtenir, puisque de la page web de pfSense en un clic il peut être installer, mais si on fait des recherche sur le site de pfSense on lira que les contributeurs de la distribution eux même ne les préconises pas,mais je pense qu'il essaye de plaire à tous le monde.

Parler de bon ou mauvais.
Je me suis lancer avec comme première distribution dédier firewall un IPCop sur un site avec une dizaine d'utilisateur, j'ai installer dessus en même temps le proxy et j'ai fonctionner comme cela jusqu'à un moment où mon niveau, mon expérience et de nombreuse lecture sur ce domaine mon fait comprendre que mon utilisation du firewall/proxy tout en un sur une distribution telle IPCop sur ce site (qui avais évolué entre temps) n'étais pas et n'étais plus adapter.
Aujourd'hui cette IPCop à étais remplacer par une firewall et un proxy séparer, ce qui ne m'empêche pas en ce moment de planifier une installation sur site secondaire d'une distribution tel que Zentyal pour faire office de Firewall, Proxy, Serveur Mail et de partage pour le LAN.
Pourquoi?, cette distribution si prête (elle est livré avec ce que j'ai besoin)et le site ne dépasse pas les 4 utilisateurs.

Conclusion, j'essaye de séparer au maximum les services vitaux tel un firewall et si pour X raison je ne peux pas, j'essayerais d'utiliser le produit les plus adapter à mes besoin tous en sachant que je serrais amener à faire un compromis au niveau de la sécurité.

[ccnet]

Je vais me coller à une réponse, mais probablement pas cette semaine car il faut du temps pour produire une réponse argumentée au delà de ce qui est perçu à tort comme une position de principe.

[Franck78]

Juste pour info, vraiment tout petit rappel, pour ceux qui utilisent un seul firewall type IPCop/SME pfSense:

Il y a déjà DEUX firewall remplacés par UN seul. Alors venir dire qu'il ne faut rien de plus dessus quand on a accepté ce gros raccourci technique, c'est un peu fort.

L'IPCop chez moi par exemple héberge aussi mon petit site (statique) et je serais bien bète de ne pas avoir confiance pour devoir rajouter une autre machine. Cet IPCop gére la mise à jour du DDNS. Il gére le modem adsl. Il fournit DNS, DHCP, NTP et squid/squidguard. Autant de service qui devraient être déportés 'ailleurs'.

Mais comme je ne suis pas la banque machin ou air france, la solution une machine est suffisante. Pour tous les particuliers et pour un nombre incalculable de PME.

Les solutions suivantes sont ensuite grosso modo du modèle (ext)---FW1--(dmz)---FW2----(int) et placer un ou des machines supplémentaires n'est plus vraiment la question.

[Titofe]

Juste pour info, vraiment tout petit rappel, pour ceux qui utilisent un seul firewall type IPCop/SME pfSense:

Il y a déjà DEUX firewall remplacés par UN seul. Alors venir dire qu'il ne faut rien de plus dessus quand on a accepté ce gros raccourci technique, c'est un peu fort.

Que veux tu dire par deux firewall remplacés par un seul?

[Franck78]

"collapsed dmz", autrement dit, dmz du pauvre

[jdh]

Le terme "collapsed dmz" est bien représenté par le schéma donné par Frank78 : les 2 firewalls ont "fusionné", du coup la zone DMZ apparait.
(Il est notable qu'avec 2 firewalls distincts, il faut 2 règles pour autoriser le (mauvais) trafic LAN vers WAN !)

Cependant, cette fusion ne nécessite pas beaucoup plus de ressources.
Il faut juste gérer plus de sessions (celles de LAN vers DMZ et celles de DMZ vers WAN).

Je développerai des raisons techniques justifiant ou encourageant la séparation firewall / proxy.
Mais il est clair que pour 5 PC clients, on peut largement utiliser un "tout en un" ... en tenant compte des contraintes : plus de mémoire, plus de puissance.


Le refus de comprendre qu'en entreprise, pour un nombre important d'utilisateurs simultanés, il est NECESSAIRE de séparer, me sidère un peu, car cela dénote l'incompréhension réelle de ce qui se passe. (Et ce n'est pas le cas de Franck78 !)

[recycled]

Le refus de comprendre qu'en entreprise, pour un nombre important d'utilisateurs simultanés, il est NECESSAIRE de séparer, me sidère un peu, car cela dénote l'incompréhension réelle de ce qui se passe. (Et ce n'est pas le cas de Franck78 !)

mer... , zut moi qui commençait à me dire que j'avais compris !
et si on simplifiait à l'extrême (je sais faut pas mais bon , ya peut etre des newbies qui passeront par la).
partons du principe qu'on sait tous (meme un newbie je pense ) lire les beaux graphiques de charges proc, memoire ... que nous proposent nos firewall (ipcop , pfrense ou autre) et donc adaptés le matériel a la charge (ajout mémoire, changement machine et autre solution ) : atx, itx, mini ito , pico, intel, ppc ....bref tout ce que peut digérer le pingouin.
peut on dire que :
- de 1 à 20 utilisateurs dans une tpe/pme classique qui n'est pas une banque, donc pas de cryptage, pop en clair ... (y en a plein , je vous jure) ou à la maison : 1 tout en un (proxy , firwall ..) fait l'affaire et peut etre meme porte globet (a la maison bien sur)
- de 21 à 50 utilisateurs dans une tpe/pme qui a besoin de sécurité, pop ssl , https , et autre (y en a aussi) : 1 tout en un (proxy , firwall ..) peut fait l'affaire mais séparé au moins le proxy est une très bonne chose voir une nécessité comme dirait l'autre.
- + de 50 (c'est plus rare) : consulter un médecin . soyons sérieux, si vous gérer ce genre de parc et que vous cherchez la réponse ici, poser vous la bonne question : un autre métier ???
c'est ultra/mega simplissime, je sais mais bon moins, soyons KISS.
merci à vous.