Question général

[DeeVoiD]

Bonjour,

Je m'intéresse de près a IPCop. Sa réputation est très bonne et il a l'air de très bien fonctionné. Mais quelque question me vienne a l'esprit avant de le mettre en place :
- pourquoi il n'y a pas de fichier ISO pour la version 1.4.21 ?
- Les sources que l'on peut télécharger, peut-on l'installer sur n'importe quelle autre distribution (par ex Debian) ?
- J'aimerais mettre en place aussi un port knocking, un proxy et proxy reverse. Est-ce que IPCop le permet ?

Merci d'avance pour vos éclaircissement

[ccnet]

Bonjour,

Je m'intéresse de près a IPCop. Sa réputation est très bonne et il a l'air de très bien fonctionné. Mais quelque question me vienne a l'esprit avant de le mettre en place :
- pourquoi il n'y a pas de fichier ISO pour la version 1.4.21 ?

Question de temps j'imagine que cela va venir.

- Les sources que l'on peut télécharger, peut-on l'installer sur n'importe quelle autre distribution (par ex Debian) ?

Incompréhension. Ipcop est "tout en un" : OS et firewall et non un programme que l'on installe.

- J'aimerais mettre en place aussi un port knocking, un proxy et proxy reverse. Est-ce que IPCop le permet ?

port knocking : c'est le la sécurité par l'obscurité. Totalement déconseillé. Le vpn reste la seule vraie solution.
Proxy : les addons sont disponibles. Un firewall n'est pas du tout l'endroit où mettre un proxy.
Reverse proxy : même remarque que pour le proxy. Si vous avez ce type de besoin, cela laisse supposer la nécessité d'une architecture réseau plus complexe qu'ipcop ne le permet. En particulier la présence de deux dmz pour être réellement efficace.

[jdh]

ccnet, toujours plus rapide !


* Iso 1.4.21
Comme indiqué sur le site ipcop.org, la release 1.4.21 apporte juste quelques corrections à la 1.4.20 (le paquet semble faire environ 1 Mo).
L'équipe ipcop (dont Gesp) travaille à la prochaine version 2.0 ...

* Sources
Comme indiqué sur le site ipcop.org (building howto), il est tout à fait possible de compiler les sources sur une Debian (la procédure est décrite pour Etch !).
(Il faudra ensuite l'installer sur la machine cible ...)

Sauf à vouloir intégrer un driver non présent, il y a assez peu d'intérêt pratique (en dehors de l'intérêt didactique ou de la satisfaction personnelle). Il semble bien plus simple d'utiliser l'iso classique et du hardware courant.

* Knocking
Le procédé paraît intéressant. Il me semble apporter plus de complexité sans être déterminant en terme de sécurité ajoutée. Il existe un paquet chez Debian, et j'ai cru voir un package pour pfSense. Il faut utiliser un client et un firewall davantage ouvert.

Un VPN est suffisamment sûr et simple à installer pour rendre le knocking non nécessaire (comme indiqué par ccnet).

* Proxy - Reverse Proxy
Comme l'indique ccnet, ce type de fonction a mieux sa place sur une autre machine que le firewall. Attention à définir une architecture en rapport.

[DeeVoiD]

Le port knocking, il est vrai, n'apporte pas grand chose.. La "sécurité" est basique, car si quelqu'un voudrait trouvé la combinaison pour l'ouverture de port, il n'aura qu'a analysé les trames qui sont a destination du serveur et il les trouveras facilement.

Il faut utiliser un client et un firewall davantage ouvert

Comment ca? vous pouvez un peu plus expliquer ?

Pour les sources, je ne l'avais pas vu.. Merci.. Je pensais mettre sur une Debian pour que je puisse installer les services supplémentaire facilement... Ou est-ce que l'on peut installer facilement des services supplémentaire sur IPCop ?

Pour le proxy, (la question va etre stupide) pourquoi ce ne serait pas la bonne place ? pourquoi faudrait-il deux DMZ ?

Je n'ai qu'une machine a disposition pour faire ce travail.. Peut etre que je pourrai en avoir une 2eme si j'arrive a donner de bonne raison.. Je débute mon travail de diplome et j'avoue que la conception réseau n'est pas mon gros point fort ! Et aussi, l'entreprise ou je fais ca, ne m'a demander que de mettre en place un firewall avec DMZ. mais le travail n'était pas assez conséquent, c'est pour cela que le port knocking, proxy et proxy reverse ont été rajouté (mais surement supprimer par la suite)..

Merci pour vos réponses

PS : merci pour pfSense, je ne connaissais pas, je vais regarder cela de plus près..

[jdh]

Concernant la compilation d'IPCOP.

Elle peut se faire sous Debian MAIS IPCOP tournera sur une AUTRE machine.

L'objet de la compilation est de créer un environnement qui sera installé ensuite sur une machine. MAIS en aucun cas cela fonctionnera sous Debian !

(Sérieuse confusion !)


Concernant le port knocking.

Le principe est que le client doit essayer de se connecter sur un ou plusieurs ports avant de se connecter sur le "bon" port. La séquence étant détectée au niveau du firewall, permet d'ouvrir le "bon" port.

Il est évident que depuis le client, il faut avoir le droit d'essayer les premières connexions. C'est à dire, pour faire simple, de ne pas avoir un firewall bloquant ces ports de "knocking".

Or une bonne configuration en sortie est d'interdire tout ce qui n'est pas nécessaire.

D'où ma phrase : un pgm client et un firewall "ouvert".


Concernant le Proxy.

Ca tombe bien : ccnet a parlé de DMZ : la position naturelle d'un proxy !

[Franck78]

tu n'as pas compris ce qu'on t'a dis

Pour les sources, je ne l'avais pas vu.. Merci.. Je pensais mettre sur une Debian pour que je puisse installer les services supplémentaire facilement... Ou est-ce que l'on peut installer facilement des services supplémentaire sur IPCop ?

IPCop ne s'installe pas sur une debian. IPCop se construit dans un coin de n'importe quelle distribution ayant un compilateur et un bon éditeur. Le résultat est une NOUVELLE distribution qui s'appelle IPCop.

Si tu penses avoir approndi ton étude d'IPCop, je dirais plutôt que tu en es très loin en fait, de ce qu'il est. Mais n'aie pas peur, ça se corrige facilement...

[DeeVoiD]

Concernant la compilation d'IPCOP.

Elle peut se faire sous Debian MAIS IPCOP tournera sur une AUTRE machine.

L'objet de la compilation est de créer un environnement qui sera installé ensuite sur une machine. MAIS en aucun cas cela fonctionnera sous Debian !

(Sérieuse confusion !)

Effectiement, j'ai fais une grosse confusion.. Merci de me l'avoir fais remarqué (découvert)..

Concernant le port knocking.

Le principe est que le client doit essayer de se connecter sur un ou plusieurs ports avant de se connecter sur le "bon" port. La séquence étant détectée au niveau du firewall, permet d'ouvrir le "bon" port.

Il est évident que depuis le client, il faut avoir le droit d'essayer les premières connexions. C'est à dire, pour faire simple, de ne pas avoir un firewall bloquant ces ports de "knocking".

Or une bonne configuration en sortie est d'interdire tout ce qui n'est pas nécessaire.

D'où ma phrase : un pgm client et un firewall "ouvert".

Le principe je le connais, mais c'est le "Il faut utiliser un client et un firewall davantage ouvert" que je ne comprend pas pourquoi..

aucun port supplémentaire ne doit etre ouvert pour que le port knocking fonctionne.. donc il ne doit pas etre davantage ouvert ? (ceci est une affirmation/question, j'essais de confirmé ce qu'il me semble etre juste.. Vous devez vous y connaitre beaucoup plus que moi)

source : http://www-igm.univ-mlv.fr/~dr/XPOSE200 ... ement.html

la dessus il montre que les ports sont "deny", donc fermer..

Si vous parler du firewall du client, il est vrai qu'il devront etre ouvert.. Mais le firewall ou est mis en place de port knocking non..

Concernant le Proxy.

Ca tombe bien : ccnet a parlé de DMZ : la position naturelle d'un proxy !

Oui c'est vrai que ma question était con.. (et on est vendredi, ce qui n'arrange rien)

@frank : je n'ai jamais dis que j'avais approfondi l'étude.. pour l'instant j'essais de comprendre son fonctionnement et voir les possibilité qu'il y a..

Dernière question, est ce que sur IPCop, il est possible d'installer des services supplémentaire ?

[Franck78]

Dernière question, est ce que sur IPCop, il est possible d'installer des services supplémentaire

c'est une question qui n'a pas de sens. On a bien construit IPCop. Qui tourne. Avec des services. Donc évidement oui on peut ajouter tout et n'importe quoi pour transformer un firewall en distribution grand public. La vraie question c'est ou trouver comment le faire (ipcop.org), liste de diffusion,....

1)commence par l'installer et le découvrir
2)apprend à le compiler en entier (jusqu'a l'ISO qui te manque tant)
3)ajoute y ce que tu veux

[ccnet]

Pour le proxy, (la question va etre stupide) pourquoi ce ne serait pas la bonne place ? pourquoi faudrait-il deux DMZ ?

Une question au passage, qu'attendez vous d'un reverse proxy ?

La question montre que vous n'êtes pas l'homme de la situation pour cette entreprise. Que vous ne sachiez pas les raisons pour lesquelles votre idée initiale est mauvaise n'est pas grave ... tant que vous ne vous occupez pas de sécurité.

Reprenons. Il y a quelques principes de base en sécurité réseau. Si ils ne sont pas suffisant en eux mêmes, ils sont néanmoins indispensables.

La séparation et le cloisonnement des flux, en fonction de leur nature, de leur source et de leur destination, sont indispensables.
Il ne doit pas exister de connexion directe (au sens protocolaire) entre une machine du réseau interne et internet. Cela est valable dans les deux sens.
Les risques existent autant à l'extérieur qu'à l'intérieur du réseau local.
Les flux sortant sont pratiquement aussi dangereux que les flux entant.
Plus il y a de processus actifs sur une machine moins elle est sûre.
Plus il y a de lignes de codes mises en jeux plus le nombre de failles est grand.
La question n'est pas de savoir si il existe des failles dans le système que j'utilise. Il en existe forcément. La question est comment me prémunir de leurs conséquences en cas de découverte et d'exploitation.
La sécurité d'un SI repose sur sa conception et non sur la dissimulation celle ci.
La simplicité et la clarté de la conception sont des atouts.
La complexité inutile est un facteur de risque. Les interactions possibles de programmes multiples sur une même machine sont un facteur de complexité qui dépasse souvent notre maitrise.
La gestion de la complexité est une source d'erreurs.

Celle liste n'est pas exhaustive mais c'est un début.

[DeeVoiD]

Ok merci pour ces infos.

Il faut que je fasse de la répartition de charges et eventuellement du cache..

Le fait de mettre le proxy sur le firewall n'est pas ma décision, j'ai du faire avec.. sinon j'aurais un peu plus chercher, mais c'est vrai que j'ai pas réagi comme il faut quand vous avez dis ca.. j'aurais du un peu plus réfléchir.. c'est vrai qu'il est logique de le mettre dans la DMZ..

Merci pour vos réponses..

PS : je ne suis pas le plus qualifié pour ca, je sais qu'il me manque énormément de pratique et surtout d'expérience comparaison a vous.. Mais comment on acquiert de l'expérience et du savoir ? Donc si je ne suis pas qualifié, il ne faudrait pas que j'essais pour progressé ? donc je ne serai jamais qualifié ? c'est une bonne facon de penser que vous avez.. Je crois qu'un forum est aussi la pour aider les personne qui veulent apprendre et non pour dire laisse le boulot au personne qualifié et va regarder la télé comme ca tu ne feras jamais rien..
oui, je ne suis pas le plus qualifié, mais j'ai envie d'apprendre et je serai plus qualifié lorsque je vais le mettre en place car j'aurai bien cerné le sujet..

[Franck78]

1)commence par l'installer et le découvrir
2)apprend à le compiler en entier (jusqu'a l'ISO qui te manque tant)
3)ajoute y ce que tu veux

mais j'ai envie d'apprendre et je serai plus qualifié lorsque je vais le mettre en place car j'aurai bien cerné le sujet.

Pas avec une seule installation! Le sujet est vaste.

[DeeVoiD]

c'est ce que je fais !

Et oui, c'est pas avec une installation que je vais être le boss, mais déja plus qualifié qu'avant... Je suis en train de le découvrir.. sympa comme tout !

Bon weekend a vous