IPCOP, DMZ et VMWARE

par **Fozzy** » 14 Jan 2009 15:27

Bonjour,

mon ipcop est sur une VM. Je souhaite en créer une autre, accessible depuis l'internet, mais aussi par mon intranet, sachant que je veux que les connexions passent au travers de mon ipcop.
Il va donc falloir que mon ipcop sache en sortant de RED qu'il doit chercher l'ip de ma dmz ailleurs que sur les dns de mon FAI.
Pouvez-vous me dire si c'est possible ? Si oui, pouvez-vous m'indiquer la marche à suivre ?

Merci de votre attention

par **jdh** » 14 Jan 2009 16:25

Il va donc falloir que mon ipcop sache en sortant de RED qu'il doit chercher l'ip de ma dmz ailleurs que sur les dns de mon FAI

Et en français, qu'est ce que cela veut dire ? Parce que, malgré plus de 2600 contributions, je ne comprends pas.

Un firewall ne doit pas être une "VM". Faut-il le rappeler ! (Sauf à but de test).

(Ce qui est magnifique avec la virtualisation, c'est qu'on peut créer des VM. Et on en créé, on en créé. Puis on commence à comprendre que ce n'est pas comme ça qu'il faut s'y prendre ...)

par **ccnet** » 14 Jan 2009 16:48

Il va donc falloir que mon ipcop sache en sortant de RED qu'il doit chercher l'ip de ma dmz ailleurs que sur les dns de mon FAI.

Je pense avoir compris ... que vous n'avez pas compris ni ipcop ni dns ni le routage. Ce serait long à expliquer ici mais une saine lecture serait : http://irp.nain-t.net/doku.php . Il y vraiment du travail.

Pouvez-vous me dire si c'est possible ?

Tout est possible, y compris les pires bêtises que l'on peut faire soit même avec plein de machines que l'on fabrique sous Vmware.

Si oui, pouvez-vous m'indiquer la marche à suivre ?

Non !

par **Fozzy** » 14 Jan 2009 16:54

Et en français, qu'est ce que cela veut dire ? Parce que, malgré plus de 2600 contributions, je ne comprends pas.

IPCOP coté RED est relié à un switch, lui même branché sur ma freebox.
côté GREEN, il est relié à un autre switch distribuant mon intranet.

Je veux monter un serveur qui sera accessible par internet directement par ma freebox,
et le rendre accessible depuis mon intranet.

Or, ce serveur aura une ip locale de type 192.168.0.n, dans la même gamme que ma carte RED de mon ipcop.

Pour que je puisse accéder à ce serveur depuis l'intranet, je dois passer par l'ipcop, qui semble ne pas parvenir à trouver mon serveur.

Le fait est que ces deux serveurs sont en VM sur une même machine physique.

Un firewall ne doit pas être une "VM". Faut-il le rappeler ! (Sauf à but de test).

Pourquoi ?

Je ne vois pas où est le risque mais je ne suis que débutant en la matière

par **ccnet** » 14 Jan 2009 17:27

Deux "petits" points pour commencer.

1. Ce dont vous avez besoin est tout à fait courant. Il faut architecture correcte, c'est à dire une dmz, ce qui signifie une interface Orange sir Ipcop.

2. Quelle version de Vmware avez vous utilisé ? Toutes ne se valent pas loin de là.

Or, ce serveur aura une ip locale de type 192.168.0.n, dans la même gamme que ma carte RED de mon ipcop.

Tout est faux. La conception, le vocabulaire, l'architecture. Encure une fois, il faut vraiment que vous regardiez de près le site Ch Caleca http://irp.nain-t.net/doku.php car nous partons vraiment de loin.

par **phhil** » 16 Jan 2009 17:51

Bonjour à tous

Juste une question: pourquoi le fait de monter un IpCop sur une MV vous hérisse?

par **ccnet** » 16 Jan 2009 18:53

Logique et bon sens.

1. La question n'est pas de savoir si votre système (ou le mien) est sûr. Il ne l'est pas. La seule chose que je puisse faire c'est limiter la probabilité d'une intrusion ou agression réussie.

2. Plus un logiciel ou un ensemble logiciel comporte de lignes de code moins il est sûr. La question n'est pas y a t il des failles mais comment les repérer et les colmater.

3. La fiabilité d'une machine dépend du nombre de process qui s'y exécute, mais aussi de leur agencement. Le cas le plus défavorable est celui ou les processus sont en série (en d'autres termes la défaillance d'un seul compromet l'ensemble).

Utilisation de Vmware la plus fréquente :
OS (Windows ou Linux) -> Vmware server ->Ipcop.

Utilisation moins fréquente.
Vmware ESX -> ipcop.

On voit bien que, dans tous les cas, au simple regard du nombre de lignes de code impliquées, du nombre de processus et de leur agencement le résultat du calcul est très défavorable.

Et je laisse de coté le danger que représente les interactions entre les différents composants. En ce domaine l'une d'elles, non négligeable, est la difficulté et la complexité de configuration qui en résulte.

Bref ce type de configuration maximise les risques ... dont on souhaite se protéger. En fait l'alternative Vmware sur un windows ou un Linux est à la limite de la crédibilité. N'allez pas penser que je suis contre l'usage de Vmware. je suis contre la fait de faire n'importe quoi sos prétextede facilté. Je l'utilise, je le déploie, mais pas n'importe lequel et pas n'importe comment. J'ai une bonne dizaine de Vm. C'est un excellent produit mais on n'enfonce pas un clou efficacement avec un tournevis.

par **phhil** » 17 Jan 2009 14:37

Bonjour,

Je n'arrive pas vraiement à voir ce que vous voulez dire par
"2. Plus un logiciel ou un ensemble logiciel comporte de lignes de code moins il est sûr. La question n'est pas y a t il des failles mais comment les repérer et les colmater. "

C'est vrai pour Windows mais déja beaucoup moins pour Linux ou Unix qui sont des OS avec beaucoup de lignes de code! En terme de sécurité et de failles, je pense que le nombre n'y fait rien! Ce serait plutot la façon de le faire... ou plutot, la qualité et des programmes et des programmeurs et surtout leur faculté à comprendre à la fois ce qu'ils font et surtout, ce qui se passe dans un ordinateur.

Pour en revenir à VMWare, je ne vois pas pourquoi la sécurité d'un système émulé serait en défaut. J'ai lu plusieurs chose sur ce sujet mais rien qui vienne me conforter dans l'idée que cela présente un risque!
Si vous voulez, en quoi un OS aveugle et sourd càd sans liaison "informatique" avec l'extérieur, pourrait entamer la sécurité intégrée dans un système comme IpCop? car pour agir sur quelque chose il faut bien qu'il y ai une liaison, un fil, un truc sur lequel agir. Hors, VMWare n'est pas un OS, il utilise les ressources d'un système en terme de périphérique et c'est tout. Il n'y a pas de possibilité "d'exécuter" quelques chose dans VMWare. Si on pousse j'usqu'au bout l'analogie dans l'utilisation de la virtualisation, l'OS réagi comme un super BIOS, juste qu'il offre d'avantage de souplesse.

Je crois qu'avant tout, il s'agit là comme ailleurs en terme de sécurité, de savoir ce que le système peut ou ne peut pas faire. et ça, quelque soit le nombre de lignes de code que vous écrivez.
Ne croyez vous pas que, quand vous dites "En fait l'alternative Vmware sur un windows ou un Linux est à la limite de la crédibilité. ", n'est pas plutot une manière de dire "Oh la la, je ne sais pas ce qu'il y a dans la boite donc c'est pas bon, il y a forcément un problème" et que par conséquent et aussi par défaut, on ne se mette à mettre en doute la fiabilité d'un tel sytème (VMWare + IpCop).

Personnelement, j'utilise ce système sur plusieurs machines. Je n'ai pas remarqué de différence dans la fiabilité de mon système informatique que ce soit en terme de panne matériel ou de panne logiciel. Pour ce qui est de la sécurié de mon réseau, la passerelle IpCop remplie son role aussi bien en émulé quand réel (j'ai les deux conf). Bon voila quoi...
Donc en conclusion, jusqu'à maintenant je n'ai pas vu de changement. Juste que cela me simplifie la vie.

Cordialement

par **ccnet** » 17 Jan 2009 15:43

C'est vrai pour Windows mais déja beaucoup moins pour Linux ou Unix qui sont des OS avec beaucoup de lignes de code! En terme de sécurité et de failles, je pense que le nombre n'y fait rien! Ce serait plutot la façon de le faire... ou plutot, la qualité et des programmes et des programmeurs et surtout leur faculté à comprendre à la fois ce qu'ils font et surtout, ce qui se passe dans un ordinateur.

C'est totalement faux, Microsoft ou autre. L'analyse statistique montre que le nombre d'erreurs est directement lié au nombre de ligne de codes. Et cela quelque soit de la bonne volonté et la compétence des développeurs. Même avec la meilleure équipe vous ne descendrez pas en deçà d'un pourcentage d'erreurs. Plus il y aura de lignes plus il y aura d'erreurs.

Il n'y a pas de possibilité "d'exécuter" quelques chose dans VMWare

C'est totalement faux. Regardez l'analyse qu'en fait HSC pour Vmware ESX (ne parlons même pas de Vmware server). Regarder la liste des alertes du Certa concernant Vmware. 52 avis en 3 ans dont des possibilités d'exécution de code arbitraire à distance. Je cite une description :

Dans les applications VMware GSX Server et VMware Worksation sur plates-formes Linux, lorsqu'une machine virtuelle est lancée, il est possible pour un utilisateur local de modifier certaines variables d'environnement pour exécuter des applications avec les privilèges root.

Il est alors possible pour cet utilisateur d'avoir un accès total au système hébergeant la machine virtuelle.

ou encore :

De multiples vulnérabilités existent sur VMWare ESX Server. Celles-ci concernent des modules ou logiciels utilisés par le serveur et récemment mis à jour : OpenPegasus, Tomcat, Samba, OpenSSL, JRE, util-linux, et Perl. Certaines de ces failles permettent notamment à une personne malintentionnée distante d'exécuter du code arbitraire.

Non vraiment votre affirmation n'est pas raisonnable.

Ne croyez vous pas que, quand vous dites "En fait l'alternative Vmware sur un windows ou un Linux est à la limite de la crédibilité. ", n'est pas plutot une manière de dire "Oh la la, je ne sais pas ce qu'il y a dans la boite donc c'est pas bon, il y a forcément un problème" et que par conséquent et aussi par défaut, on ne se mette à mettre en doute la fiabilité d'un tel sytème (VMWare + IpCop).

Au delà de votre caricature de mes propos, c'est presque ainsi que ce pose le problème. Et en effet il y a forcément un problème. C'est inévitable, c'est statistique. Encore une fois la question n'est pas y' a t il problème ? Mais comment puis je en limiter les conséquences.

Pour illustrer cela je vous recommande de méditer ce que pense Bruce Schneier et Niels Ferguson à propos d'IPSEc.

A notre avis IPSEc est trop complexe pour être sûr mais il est meilleur que tout autre protocole de sécurité IP disponible à l'heure actuelle

Je n'ai pas remarqué de différence dans la fiabilité de mon système

Que vous ne l'ayez pas remarqué est une chose. Qu'il y en existe en est une autre. Jusqu'à ce que l'on démontre les failles de MD5, je ne les avais pas remarqué non plus. En matière de sécurité je ne fais pas confiance sur parole et je me méfie de ma propre ignorance. Il y a un autre point sur lequel je ne suis pas d'accord. Vous confondez sécurité et fiabilité. Ces deux aspects d'un même système j'en convient sont tout à fait différent. Ce serai un peu long à détailler ici. Dans mon point 3 j'ai d'ailleurs été imprécis. Un système peut être fiable mais pas sûr. Beaucoup plus difficilement le contraire. Une porte sans serrure peut être fiable. Elle s'ouvre facilement lorsqu'on le souhaite, ne grince pas, et se ferme bien et le reste si on n'y touche pas, si il y a du vent. Elle n'est pas sûre pour autant. Mais elle est fiable.

Vmaware me simplifie aussi la vie. J'utilise aussi Vmware. Je met en production sans état d'âme Vmware avec 3 vm dans une dmz pur un proxy http, un passerelle smtp -AS-AV, un reverse proxy. Avec des précautions de déploiement.

Mais pas un firewall.

IPCOP, DMZ et VMWARE

IPCOP, DMZ et VMWARE

Qui est en ligne ?