Hello, > Mouais, j'ai quand même un peu de mal à te laisser dire (écrire) ça. > > Déjà, sans firewall, comment tu empêches les gens de se mettre sur le réseau > et > de sortir sur internet autrement que via ton proxy?
Tu ne fait pas de NAT sur ton routeur ou tu route vers null0 tous les pkts qui viennent de ton lan. > Quid des attaques par brute-force/DDos, ou plus généralement des attaques qui > se > basent sur les paquets? Des vieux serveurs historiques pour la prod sur > lesquels il ne faut surtout rien installer mais quand même protéger ? Sur les DDoS tu crois franchement qu'un firewall vas te protéger des récentes attaques ? Sans compter le coût du biniou pour tenir un vrai DDoS. Quand aux serveurs "historiques" si le port est forwardé a ton vieux serveur alors c'est pareil que de le laisser a poils dehors (ok ça sera 0wn3d moins rapidement). > Quand à ton règlement qui empêchent les gens d'avoir des activités non > productives : comment tu contrôles ça justement? Logs. DPI par exemple, même un EdgeRouter Lite le fait tout seul. > Qu'un bon AV de poste soit l'ultime barrière et donc ne soit pas à négliger, > OK, > mais de là à dire que les firewalls ne servent à rien... J'aurais tendance à > dire que tu t'es un peu emporté un peu vite quand même là, non? :) Ne servent a rien non, mais sont très (trop ?) souvent un truc à emmerdes sans nom et qui font que les gens qui bossent(tm) passent trop de temps à trouver une solution de contournement du machin pour arriver a faire leur taf. Je pense qu'un certain nombre de personnes peuvent ici donner plein anecdotes... Sans compter la vision très souvent avec des œillères des constructeurs de firewalls du réseau ou des protocoles fait qu'on se retrouve avec infra qui sont articulées autour des LIMITATION de ces produits plutôt que d'utiliser les choses qui feront un machin redondant. Trop de sécurité nuit à la sécurité, il faut trouver le juste milieu. Et non un firewall n'est PAS un outil mâgic qui protège tout le réseau, mais *peux* y contribuer. La sécurité passe par un ensemble de pratiques du routeur core aux terminaux en passant par la couche de routage et accessoirement des firewalls. My 0,02€ Xavier --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
