Authentification des utilisateurs
A l'install, FW-1 propose de modifier l'inetd.conf afin d'integrer ses propres binaires telnetd / ftpd , etc... Ceci en vue de faire d'autres authentifications que le mot de passe UNIX.
Il permet en outre de rediriger une connection telnet / ftp vers un serveur d'authentification (lui-même dans notre test), afin de faire son "authentification forte", avant de continuer la communication avec la machine interne :
Nous avons testé avec OTP. Pas de soucis majeurs. Mais le package logdaemon
semble mieux approprié pour ce genre de chose.
--------------------------------------------------------------------------------
Pas testé, il faut 2 licences FW-1
--------------------------------------------------------------------------------
Client crypté
En cours de test.
--------------------------------------------------------------------------------
Gestion des ACL cisco par FW-1
FW-1 permet de générer les ACL cisco. ca permet d'écrire graphiquement les ACL. Comme nous savons tous le faire directement, nous n'avons pas testé.
--------------------------------------------------------------------------------
NAT (NetWork Adress Translation)
Nous n'avons pas testé le module de translation d'adresse.
--------------------------------------------------------------------------------
Antivirus
FW-1 est capable de forwarder à un antivirus le contenu des mails, en vue de scan. compte tenus des volumes de mails que nous traitons, ce systeme ne me semble pas sérieux. donc nous n'avons pas testé.
--------------------------------------------------------------------------------
Filtrage WWW
FW-1 sais faire un certain nombre de choses à la volée sur les pages lues. Il peut en extraire le code java, interdire certains site (sur l'URL).
A tester.
--------------------------------------------------------------------------------
IPV6
FW-1 ne sait pas faire d'IPV6, cependant, comme il est écrit en inspect, il est "facilement" modifiable pour en faire. Il devrait donc faire parti des premiers à savoir décoder des paquets IPV6.
--------------------------------------------------------------------------------
Conclusion
Les règles
La mise en place des règles de FW-1 est très simple. Pour peu que les ACL de notre routeur terminent en deny ip any any (tout interdire par défaut), la configuration identique peut se monter en quelques heures.
La configurabilité
C'est le point fort. cf language inspect.
Les performances
C'est le point négatif. Cela revient à "faire un choix entre la sécurité et les performances". Bien que ce soit déjà un peu le cas avec les ACL sur nos routeurs, ce problème va être amplifié. FW-1 semble être le plus rapide des firewall logiciels. Mais il depends de la machine, de sa charge, et ralenti considérablement les débits.
--------------------------------------------------------------------------------
Annexe : fichier de conf
(
:rule (
:src (
: schwartz.loria.fr
)
:dst (
: interne
)
:services (
: ftp
: telnet
)
:action (
: (accept
:type (accept)
:color ("Dark green")
:macro (RECORD_CONN)
:icon-name (icon-accept)
:text-rid (61463)
:windows-color (green)
)
)
:track ()
:install (
: colotte.loria.fr
)
:time (
: Any
)
)
:rule (
:src (
: royer.loria.fr
)
:dst (
: interne
: colotte.loria.fr
)
:services (
: Any
)
:action (
: (accept
:type (accept)
:color ("Dark green")
:macro (RECORD_CONN)
:icon-name (icon-accept)
:text-rid (61463)
:windows-color (green)
)
)
:track ()
:install (
: colotte.loria.fr
)
:time (
: Any
)
)
:rule (
:src (
: Any
)
:dst (
: interne
: colotte.loria.fr
)
:services (
: NFS
: shell
: NIS
: dns
: X11
: smtp
: ftp
: telnet
: FireWall1
)
:action (
: (accept
:type (accept)
:color ("Dark green")
:macro (RECORD_CONN)
:icon-name (icon-accept)
:text-rid (61463)
:windows-color (green)
)
)
:track ()
:install (
: colotte.loria.fr
)
:time (
: Any
)
)
:rule (
:src (
: Any
)
:dst (
: dmz
)
:services (
: telnet
: shell
: icmp-proto
: NIS
: dns
: X11
: smtp
)
:action (
: (accept
:type (accept)
:color ("Dark green")
:macro (RECORD_CONN)
:icon-name (icon-accept)
:text-rid (61463)
:windows-color (green)
)
)
:track ()
:install (
: colotte.loria.fr
)
:time (
: Any
)
)
:rule (
:src (
: Any
)
:dst (
: dmz
)
:services (
: Any
)
:action (
: (accept
:type (accept)
:color ("Dark green")
:macro (RECORD_CONN)
:icon-name (icon-accept)
:text-rid (61463)
:windows-color (green)
)
)
:track ()
:install (
: colotte.loria.fr
)
:time (
: Any
)
)
:rule (
:src (
: dmz
)
:dst (
: Any
)
:services (
: Any
)
:action (
: (accept
:type (accept)
:color ("Dark green")
:macro (RECORD_CONN)
:icon-name (icon-accept)
:text-rid (61463)
:windows-color (green)
)
)
:track ()
:install (
: colotte.loria.fr
)
:time (
: Any
)
)
:rule (
:src (
: colotte.loria.fr
: interne
: dmz
)
:dst (
: Any
)
:services (
: Any
)
:action (
: (accept
:type (accept)
:color ("Dark green")
:macro (RECORD_CONN)
:icon-name (icon-accept)
:text-rid (61463)
:windows-color (green)
)
)
:track ()
:install (
: colotte.loria.fr
)
:time (
: Any
)
)
:rule (
:src (
: Any
)
:dst (
: broadcast
)
:services (
: Any
)
:action (
: (drop
:type (drop)
:color (Firebrick)
:icon-name (icon-drop)
:text-rid (61465)
:windows-color (green)
)
)
:track ()
:install (
: colotte.loria.fr
)
:time (
: Any
)
)
:rule (
:src (
: Any
)
:dst (
: Any
)
:services (
: Any
)
:action (
: (reject
:type (reject)
:color (red)
:icon-name (icon-reject)
:text-rid (61464)
:windows-color (green)
)
)
:track (
: Long
)
:install (
: colotte.loria.fr
)
:time (
: Any
)
)
:rulename (colotte)
:filename (colotte.W)
)
Mar 12 Fév - 11:13