ipcop addons

par **ea2007** » 29 Juin 2009 11:21

Bonjour,
Je suis entrain d'ajouter des trucs de securité pour mon ipcop, alors j'ai trouvé cette liste d'outils indispensables pour la securité.
Je voulais savoir lesquels sont déja présents avec ipcop :
iproute2
iptables 1.4.2
Openswan 2.4.12,pptpd 1.3.4
Openssl 0.9.8, Openvpn 2.1~rc11
snort 2.7.0
Oinkmaster 2.0
Snortsam 2.57
LARTC Wondershaper 1.1
Dnsmasq 2.45
Spamassassin 3.2.5
Dspam 3.6.8
Dansguardian 2.9.9
Squid 2.7
Squidguard 1.2.0
Modsecurity 2.5.9
Clamav 0.94 + Squid 2.7 + http antivirus proxy havp 0.89
Linux-ha heartbeat 2.1.3
Syslog-ng 2.0.9
Ossec 2.0

Merci bien.

par **Gesp** » 29 Juin 2009 13:16

Il ne faut pas croire que plus tu ajoutes de

trucs de securité

plus tu es en sécurité.

Plus il y a de services qui fonctionnent, plus il y a de bugs potentiels, donc la sécurité n'est pas nécessairement améliorée.
Par exemple snort (sans snort-inline) n'améliore pas la sécurité du réseau, il augmente la connaissance du trafic. Mais du fait du niveau de bruit coté Internet, tu te retrouves noyé sous un flot d'alertes sans intérêt.

par **jdh** » 29 Juin 2009 13:35

Voilà des remarques pleine de sagesse ! (Semble assez normal venant de quelqu'un qui sait vraiment ce qu'est IPCOP, c'est le moins que l'on puisse dire de Gesp ...)

Il faut ajouter qu'une liste comme celle ci mélange joyeusement pas mal de choses dont une partie n'ont pas vraiment sa place sur un firewall tel IPCOP à moins d'en faire un "firewall UTM" à la mode des marketeux !

Par exemple
- HA Heartbeat : faire un cluster : aucun impact sur la sécurité mais sur la disponibilité
- Squid et consort : proxy http : peut être sur un IPCOP mais à réserver à des petites config (<15-20 micros)
- Clamav, Spamassasin, Dspam : concern les mails : pas à sa place
- ...

Il ne faut JAMAIS oublier que la sécurité ce n'est pas les outils mais la façon de les organiser ...

par **ccnet** » 29 Juin 2009 14:12

Que rajouter ? Peut être une chose : vous n'imaginez pas à quel point l'ajout de logiciels sur une machine représente un facteur certain d'augmentation du risque.
Sans même parler de failles exploitables l'augmentation de la complexité vous expose à des erreurs de configurations qui, même si elles sont minimes, vous exposeraient à une intrusion.

Exemple : comment sur un serveur Win 2003 intégralement patché et à jour peut être compromis (jusqu'à la récupération du mot de passe administrateur et local) simplement à cause de failles dans Arcserve Backup 11.5 sur les services Tape Engine et Message Engine. Windows est hors de cause dans cet exemple.

Donc n'ajoutez pas inconsidérément des modules sur Ipcop. Rien de ce qui concerne la messagerie, les proxy ou l'IDS n'a sa place sur Ipcop. Je ne vais une nouvelle fois expliquer en quoi Snort (ou un autre IDS) est quelque chose de très problématique en pratique. Premier problème : les ressources humaines pour mettre en œuvre, surveiller, maintenir en conditions opérationnelles.

Je ne peux donc que vous inciter à suivre les conseils de Gesp et JDH.

PS : la sécurité ne se fait pas avec des "trucs".

par **ea2007** » 29 Juin 2009 14:40

merci pour votre intérêt et je suis désolé je suis débutant dans ipcop et la sécurité.
en fait je suis en stage dans une entreprise et ils veulent intégrer tous ces "trucs" avec ipcop (disant des mesures de sécurité malgré que vous n'êtes pas d'accord).
autre chose je voulais savoir si on pourrait mettre a jour les différents composants de ipcop chacun apart ou bien il faut utiliser seulement la mise a jour officielle de ipcop?

par **ccnet** » 29 Juin 2009 14:49

Vous n'avez pas à être désolé. La sécurité cela s'apprend. Comme le reste. Le problème que vous allez rencontrer est que, malheureusement, vous avez à faire à des gens qui ne sont pas compétent en sécurité. Sans doute le sont ils dans d'autres domaines mais pas la sécurité manifestement.

Utilisez les mises à jour prévues spécifiquement pour ipcop.

ipcop addons

ipcop addons

Qui est en ligne ?