Discussion :

[Katleen Erna]

Les attaques DDoS de plus en plus nombreuses et favorisées par de mauvais déploiements des firewalls, injustement placés en amont des serveurs

Arbor Networks s'est penché sur l'étude des attaques par déni-de-service, en interrogeant 111 fournisseurs d'accès dans le monde (autant pour des services fixes que mobiles), du fait de la recrudescence de ce type d'attaques en 2010. En effet, 25% du panel déclare y avoir été confronté plus de dix fois par mois, alors que 69% des répondants assure rencontrer ce type d'attaque au moins une fois sur la même période.

Elles sont de également plus importantes et virulentes, atteignant pour la première fois les 100Gbps (c'est deux fois plus qu'en 2009, et dix fois plus qu'en 2005). Leur taille devrait de plus aller en augmentant, et, ironie du sort, grâce aux investissements faits dans la lutte contre ce type d'attaques ! Cela pousse en effet les pirates à faire toujours mieux et à frapper toujours plus fort.

Une fatalité ?

Pas vraiment de l'avis d'Arbor Networks, qui pense que les entreprises pourraient être largement moins touchées. Comment ?

La balle est dans le camp des fournisseurs de services corporate qui pourraient réduire leur vulnérabilité en modifiant leurs infrastructures de sécurité pour qu'elles localisent mieux les les outils de sécurité comme les firewalls, qui ne devraient pas être placés devant les serveurs.

L'étude a en effet démontré qu'au cours de l'année passée, 50% des sondés a rencontré une panne de son firewall du fait d'une attaque DDoS.

Ces solutions de protection des systèmes, ainsi que d'autres dispositifs de prévention des intrusions sont impeccables pour les LANs, mais pas assez performants pour protéger les serveurs lors de la réception de larges paquets entrants.

Source : 2010 Infrastructure Security Report

Quid des réseaux mobiles par rapport aux attaques DDoS ?

Est-ce une erreur de placer les firewalls en amont des serveurs ?

[grafikm_fr]

Est-ce une erreur de placer les firewalls en amont des serveurs ?

Ça fait un moment que j'ai pas touché à la sécurité, mais l'idée de placer un serveur devant le firewall me choque un peu. Il est peut-être moins vulnérable au Ddos (quoique ça reste à démontrer) mais il est beaucoup plus vulnérable aux autres types d'attaques.

[abriotde]

Un pare-feu doit par définition être devant ce qui est sensible et ne contient pas de données sensibles en conséquences c'est un moindre mal qu'il tombe.
Rappelons qu'un serveur de type http basique est censé être en DMZ, à l'extérieur du réseau interne. Il est donc dans une moindre mesure sensible. Il n'a pas nécessairement besoin d'un pare-feu. Cependant de plus en plus d'application sont utilisés pour consultées des données sensibles, et là il faut bien mettre un pare-feu devant car à ce moment il y a des accès internes.

Par contre si le pare-feu est par terre il ne doit pas y avoir de moyen de pénétrer le réseau faute de quoi il n'y a plus de protection, c'est génant.

Une attaque DoS ne peut atteindre normalement des données sensible et même si l'on met un pare-feu derrière un serveur on ne fait que repousser un peu le pb et les attaquant peuvent sans pb multiplier par 10 le nombre de requêtes pour arriver à leur fin. Alors est-ce si grave?

[super_bus]

Est-ce une erreur de placer les firewalls en amont des serveurs ?

L'intérêt de mettre un serveur en amont d'un firewalls est peut être une technique de leurre.

J'imagine que ce serveur ne sert qu'en lecture et les données ne sont pas des données critiques.

Et par voie de conséquence, il existe un autre serveur qui est super protégé mais inconnue du grand public. La technique consiste à mettre à jour régulièrement (disons une fois par jour) ce leurre à partir de l'autre protégé. Donc une attaque sur le leurre ne porte aucune conséquence car les données ne sont par détruites puisqu'elles sont stockées sur le serveur protégé. On ne que du temps.

Et je suppose que l'installation de ce leurre à partir du serveur protégé est d'un accès facile, rapide et peu couteuse.

[schlum69]

Il me semble que l'idée d'Arbor est de mettre en amont des FW, de préférence à la frontière du réseau (ISP, point de peering,...), des systèmes capables de deceler les attaques et les stopper avant que les FW ne tombent...

[singman]

Je pense pour ma part que le principe est le suivant :
Dans un cas normal d'attaque DoS, le firewall va filtrer jusqu’à son point de rupture et planter. Comme il est placé au début du réseau, il coupera tout le trafic, celui destiné au serveur mais aussi celui du réseau de l'entreprise.

En plaçant le serveur avant le firewall, seul ce dernier va tomber en cas d'attaque. Le firewall sera toujours opérationnel, et continuera d'assurer ses fonctions pour le réseau d'entreprise.

On peut compléter cette configuration par le paramétrage d'un petit pare-feu sur le serveur, histoire de le rentre un peu plus solide. Une sorte de DMZ sans en être une vraiment. Mais ça complique bien évidement les règles de filtrage si ce serveur doit accéder a une base interne au réseau, etc... A noter que cela ne vaut que pour les serveurs ne présentant pas de données "sensibles" et qui sont surveillés activement contre toutes les failles connues.

[Benoit_Durand]

Je ne m'y connait pas beaucoup en réseau et j'ai du mal à suivre pourtant le sujet m'intéresse.

En gros le problème c'est pour une entreprise, lorsque le site web (par exemple) subi une attaque DDOS, le firewall qui est placé devant le site tombe et du coup le réseau de l'entreprise est coupé du monde. C'est ça?
Et la solution proposée serait de placer le FW entre le site et le réseau (principe de DMZ) ?

merci pour ceux qui prendront du temps pour répondre à un ignorant du réseau.