IPcop est-il plus securisé qu'une autre distro ?

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

IPcop est-il plus securisé qu'une autre distro ?

Messagepar VXgas » 28 Oct 2005 12:44

Bonjour,

Ipcop est un bon produit mais pas assez complet à mon gout.
Je souhaiterai donc faire mon propre parefeu filtrant avec les paquetages adequates d'une distro (mandriva par exemple) et tout piloter via Webmin (car pas d'interface graphique sinon).
Donc avec shorewall, p3scan, spamassassin, clamav, snort+snortalog, etc...

Est ce que le fait de faire sa propre composition de la sorte est aussi sûr ? Quel est la grosse différence en terme de sécurité avec IPcop ? IPcop est il aussi sûr qu'une MNF ?
Et donc vaut-il mieux customiser l'IPcop ou se faire son propre système ?

Merci de vos conseils et de vos avis sur la question.

-= VX =-
Avatar de l’utilisateur
VXgas
Aspirant
Aspirant
 
Messages: 104
Inscrit le: 03 Fév 2004 01:00

Messagepar Billou02 » 28 Oct 2005 13:47

Salut

D'après ce que j'en sais, ipcop est réduit au strict minimum au point de vue application pour limiter les risques d'intrusion. il est assez simple d'emploi tout en restant complet, et c'est ce qui en fait ca force.
de plus, d'origine, pas besoin d'une configuration ardue pour que ca tourne.

j'avais essayé la MNF, j'avais trouvé ca d'un compliqué pas croyable, ne serais-ce que pour avoir le net sur une bécane.

le fait qu'ipcop permette d'origine de laisser passer tout ce qui doit sortir (Green vers Red), est une bonne chose. pas de config supplémentaires pour les Msn messenger et autres logiciels de communication. l'addon BlockOutTraffic permet de remédier a cela si besoin est.

Je sais que chacun a son point de vue sur le sujet, mais le mien est le suivant
    ipcop est un bon produit
    il fonctionne correctement sans se soucier d'éventuels plantages
    il dispose de pas mal d'addons pour lui rajouter des fonctionnalités manquantes.
    une interface web bien développée
    un minimum de modifs a faire en ligne de commande


En espérant avoir répondu a tes attentes. :wink:

bye
Image
Avatar de l’utilisateur
Billou02
Amiral
Amiral
 
Messages: 1177
Inscrit le: 27 Jan 2004 01:00
Localisation: Picardie

Messagepar Franck78 » 28 Oct 2005 13:50

Mouais, à partir de moment ou tu comptes sur un truc comme webmin, cela veut dire que jamais tu n'iras configurer toi même les services. Donc, en aucun cas tu n'atteindras ton objectif. Oh, ce sera fonctionnel, c'est sur, mais tu ne pourras jamais affirmer qu'il n'y a pas une option inutilement activée par webmin. Ou qu'il t'a proposé le meilleur choix pour un réglagle.

C'est pareil avec IPCop. A partir de moment ou d'autres on choisit pour toi, il est de bon ton d'aller un peu trifouiller la mécanique interne pour s'assurer que c'est bien fait. Bien sur tu peux faire confiance, au bout d'un certain temps d'existence, à une version d'IPCop d'origine car il a été démonté, analysé, trituré par d'autres. Ce ne sera pas le cas de ton 'montage'.

Quand à l'ajout d'addon, avant de l'installer tu devrais comprendre ce qu'il modifie dans l'IPCop. Toujours pour te rassurer.
La conclusion de tout ça est que tu DOIS mettre le nez dans le cambouis pour prétendre avoir une machine sure/optimale/etc. Le GUI est la pour simplifier la vie, certe, mais est très souvent insuffisant/incomplet.


Franck
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Mais encore...

Messagepar VXgas » 28 Oct 2005 19:54

Je vous remercie pour ces deux réponses.
Merci Franck78 pour ta réponse pertinente. Donc pour toi mieux vaut partir d'une IPcop et modifier/rajouter à la main ce qui manque? J'ai déjà fait cela en parti, mais une interface est tellement plus parlante et évite des erreurs car on voit de façon plus générale les options en cours de fonctionnement.

J'aimerai donc avoir d'avantage d'avis et de conseils sur comment obtenir quelques choses de sûr si je fais moi même mon firewall en choisissant judicieusement les paquetages et en ne mettant qu'un minimum de choses avec une gestion par webmin.

Le noyau proprement dit est-il particulier sur une IPcop? Plus sûr que si je le compile moi même ou qu'un kernel-secure de mandriva par exemple?
IPcop est certe un bon produit mais pas assez complet pour ce que je veux faire (absence des routes statiques, des translation d'adresse (et non de port), du traffic sortant ouvert, pas d'antispoofing, etc...) les logs de snort sont peu clairs alors qu'un snortalog serait mieux, etc...

La MNF n'est pas très compliqué à mettre en place mais il faut etre rigoureux et méthodique. Son interface est lente et moche mais je la connais bien. Par contre très complet comme produit au niveau firewall... surtout la 2. Mais là encore il manque des choses coté filtrage antivirus ou spam que je souhaite mettre en place.

Concernant Webmin, il ne modifie rien à ce que j'ai pu voir et offre simplement la possibilité d'administrer à distance via une interface certains éléments comme shorewall, squid ainsi que l'ensemble de la conf réseau. Je trouve ça donc pratique pour une administration.

Y a-t-il des personnes qui ont tenté de faire leur propre système sur ce principe et qui pensent avoir une config sûr et fonctionnelle ?

-= VX =-
Avatar de l’utilisateur
VXgas
Aspirant
Aspirant
 
Messages: 104
Inscrit le: 03 Fév 2004 01:00

Messagepar Franck78 » 28 Oct 2005 21:40

Tu cherches quelquechose qui n'existe pas. Si la distro idéale existait, tout le monde l'utiliserait....

Tu trouves qu'il manque quelque chose a une distro ? Alors prend ton courage à deux mains et demande toi comment tu pourrais contribuer à fournir le composant manquant.

Tu veux des routes statiques sous IPCop? Alors cherches un peu, tu trouveras un modèle prémaché de gestion de page GUI de IPCop qui fabrique un fichier de config. Reste a placer l'appel des "route add..." au bon endroit.
Loin d'être insurmontable et au lieu de réinventer la roue, tu auras plus appris en parcourant IPCop.
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar VXgas » 29 Oct 2005 02:40

Franck78 a écrit:Tu cherches quelquechose qui n'existe pas. Si la distro idéale existait, tout le monde l'utiliserait....

Tu trouves qu'il manque quelque chose a une distro ? Alors prend ton courage à deux mains et demande toi comment tu pourrais contribuer à fournir le composant manquant.

Tu veux des routes statiques sous IPCop? Alors cherches un peu, tu trouveras un modèle prémaché de gestion de page GUI de IPCop qui fabrique un fichier de config. Reste a placer l'appel des "route add..." au bon endroit.
Loin d'être insurmontable et au lieu de réinventer la roue, tu auras plus appris en parcourant IPCop.


Ta réponse est pertinente même si j'ai l'impression de t'avoir un peu énervé à ce sujet.
Je ne cherche pas forcement la distro idéale et tout le monde n'utilise pas forcement LA bonne solution, mais bien souvent la solution la plus simple, la plupart des gens aimant le travaille prémaché et ne voulant pas trop forcer. C'est pourquoi je me posais cette question et voulais savoir si des personnes avait au moins essayé...

Je suis donc tout à fait pret à mettre la main à la tâche pour améliorer les choses dans IPcop si c'est dans mes compétences, car je ne suis pas developpeur. Le modèle prémaché de gestion de page GUI d'IPcop m'intéresse donc fortement (j'ai d'ailleurs déjà demandé dans d'autres post si il était compliqué de rajouter des onglets et/ou menu dans IPcop sans avoir aucune réponse), et si son developpement n'est pas trop complexe avec un peu de patience de tests et de sueurs j'arriverai bien à obtenir qqchose.

Connaissant toute les commandes nécessaire avec iptables pour l'antispoofing et autres ainsi que pour les routes statique je suis tout à fait pres à faire un addon afin d'ajouter de tel fonctionnalité.
Je suis preneur si tu as quelque chose sur la gestion de page GUI et que c'est dans mes compétences car je n'ai rien trouver de mon coté à ce sujet.
Et si d'autres personnes sont intéressées et veulent me donner un coup de main ce sera avec plaisir d'en discuter et de travailler ensemble.

Avis aux amateurs donc !

-= VX =-
Avatar de l’utilisateur
VXgas
Aspirant
Aspirant
 
Messages: 104
Inscrit le: 03 Fév 2004 01:00

Messagepar erreipnaej » 29 Oct 2005 11:59

Bonjour,

Xvgas, si tu regardes bien ce forum, il y a l'annonce de la dispo de Snortalog pour IpCop.
http://forums.fr.ixus.net/viewtopic.php?t=29519
Comme dit Franck, il faut mettre les mains dedans pour faire ce que tu veux. Avec toute distro, c'est obligatoire.
Elle ont toutes leur avantages et leur inconvénients.
C'est à toi de choisir en fonction de celle ou tu te sens le plus à l'aise pour trifouiller.
Perso, j'en ai essayé plusieurs (MNF, Freesco, ClarkConnect, SME,....) et c'est sur IpCop que je trouve le plus de facilité à rajouter des addons en toute simplicité.
J'étais 100% newbie en Linux, il y a 18 mois.
Aujourd'hui, je commences à retrouver mes petits dans l'imbroglio de la ligne de commande qui n'est pas du tout mon truc.
Je suis Mac maniaque avant tout donc la ligne de commande c'est pas vraiment quelque chose que j'ai appris depuis 1984.
@+
Un problème sans solution est un problème mal posé. A Einstein
IpCop 1.4.11 Red/Green/Orange Addon IptStat/Copfilter/OpenVpn
Que la Freebox soit bannie, back to Wanadoo
Avatar de l’utilisateur
erreipnaej
Vice-Amiral
Vice-Amiral
 
Messages: 614
Inscrit le: 14 Déc 2003 01:00
Localisation: Val d'Oise

Messagepar VXgas » 29 Oct 2005 12:06

Merci JeanPierre

J'ai en effet constaté très rapidement la disponibilité de cet addon de snortalog et je suis ravis !!
Je ne suis pas contre mettre les mains dedans et, au contraire, si il suffit de faire simplement cela tant mieux !
Je pensais que ce type de système était beaucoup plus verrouillé et qu'il était difficile voir impossible de les modifiers pour des raisons de sécurité justement.

Merci de vos conseils. Je sais donc ce qu'il me reste à faire et j'espère pouvoir vous proposer un addons d'ici la fin de l'année.

Cordialement à tous !

-= VX =-
Avatar de l’utilisateur
VXgas
Aspirant
Aspirant
 
Messages: 104
Inscrit le: 03 Fév 2004 01:00

Messagepar erreipnaej » 29 Oct 2005 12:28

Bonjour,

Sur le site d'Antolien, il y a les modifs à faire pour l'antispoofing.
http://ipcop.hn.org/antispoof.htm
@+
Un problème sans solution est un problème mal posé. A Einstein
IpCop 1.4.11 Red/Green/Orange Addon IptStat/Copfilter/OpenVpn
Que la Freebox soit bannie, back to Wanadoo
Avatar de l’utilisateur
erreipnaej
Vice-Amiral
Vice-Amiral
 
Messages: 614
Inscrit le: 14 Déc 2003 01:00
Localisation: Val d'Oise


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Google [Bot] et 1 invité

cron