Bien que le firewall hardware ne soit rien de plus qu’une boite avec un cpu de la mémoire et un OS installé dedans, il a l’avantage de ne faire qu’un seul travail et de bien le faire, il a été développé pour une seule tâche bien précise : analyser tout ce qui passe entre le LAN et le WAN (souvent aussi pour créer des tunnels VPN entre des sites distants).

Un firewall intégré à un OS va utiliser les ressources CPU du serveur, bref c’est pas logique et plutôt risqué même d’avoir le firewall sur la machine en prod.

Après question niveau de filtrage, votre routeur ou votre box de FAI va travailler sur les couches 3 et 4 du modèle OSI, cela permet d’éloigner les menaces les plus répandues et relativement simples (DOS, Ping of death, UDP flood, ICMP flood…).

ZoneAlarm comme tu le dis va en effet travailler sur la couche 7 mais comme c’est une couche logicielle supplémentaire à Windows il y à toujours une faille, un exploit destiné à ZoneAlarm circulait à une époque sur internet et il laissait TOUT passer. Le pare-feu Windows est pour rester poli « théorique ».

Les hébergeurs, tous les hébergeurs, même s’ils tournent sous Unix/Linux, utilisent en amont obligatoirement des pare-feu hardware, généralement de niveau 7.

Ne faites jamais confiance à un firewall logiciel, comme tout logiciel il est vulnérable.

j’ai pas trouvé de mail pour prevenir qq’un et je me suis dit que ca devait pas etre si grave car la base de donnée etait localhost et donc qu’elle devait surement ne repondre qu’aux requetes locales.

donc si la base de donnée repond sur toute ces interfaces ou que le mot de passe de la BDD est le meme que root, la faille peut venir de là.

Quelques chiffres :

Apache 1 : 46%

Apache 2 : 24%

IIS : 24%

Donc IIS n’est pas si mal placé que ça, perso je ne l’utilise pas, si je monte un serveur web frontal sous Windows, il tournera sous Apache2, php5, mysql.

A une époque j’avais installé un serveur @ home sous IIS 5, une sorte de « honey pot » avec un log de toutes les activités de la machine. La machine était blindée et inhackable (au prix de nombreux efforts sur IIS) mais c’est fous ce que les préjugés ont la vie dure et il était la cible permanente de toute sorte de tentatives de hack, sans succès durant les deux années d’exploitation…

Aujourd’hui ce serveur est sous W2K3 avec Apache2/php5, il m’est arrivé d’utiliser du code php produit par des développeurs qui ont pris du retard sur les mises à jour et de me prendre une faille zero day en plein face, ce jour là on remercie le firewall d’avoir réagi à temps ! S’il plante, vu le nombre de visiteurs (principalement des amis) les répercussions seront faibles étant donné qu’il me sert principalement de proxy quand je suis chez un client qui limite les accès au web (et puis il suffit de réinjecter la sauvegarde d’une image du système propre à l’instant T).

Je trouve qu’il serait intéressant d’avoir quelques éléments de la part de Pierre, pas forcément ici mais par mail interposé, sur les éléments qu’il à pu obtenir concernant le mode opératoire de ses soucis d’hier.

Avec plus d’éléments nous pourrions relever le niveau de la discussion et faire une analyse exhaustive des points vulnérables afin d’éloigner ce genre de menace.

cdt

Pierre

et si on démarrait un troll sur PHP ?

Enfin, tout ça pour dire que c’est au pied du mur que l’on voit le mieux le mur.

[ Sans rancunes mon ami Admin M$ ]