Salut,
Titofe a écrit:Aygoiste a écrit:il me faut une machine supplémentairement dans le réseau green et non connecté à internet pour la sécurité ?
Dans le meilleur des mondes; sur un réseau séparé serait évidemment le mieux.
Un serveur de données dans un réseau séparé
???
Déjà, la question manque de précisions : un serveur de données pour quoi et surtout accessible depuis où ? Effectivement, s'il doit être accessible depuis le net, il faudrait qu'il soit en DMZ et en aucun cas dans le LAN.
Mais sans précisions, ou plutôt en considérant la question s'il faut bien mettre le serveur dans le réseau green, on suppose que ce sont des données qui doivent être accessibles depuis le LAN uniquement. Et dans ce cas, le serveur est bien à mettre dans le LAN.
KISS comme dirait jdh, surtout lorsqu'il n'y a aucun avantage mais des inconvénients à mettre ce genre de serveur dans un réseau séparé !
Et là, je dirais qu'il y a deux solutions : soit un serveur séparé, et cela a le mérite de bien distinguer les fonctions de firewall et celles de serveur de données, soit remplacer Ipcop par SME ou Zentyal. Je ne connais pas Zentyal, je suppose simplement que ses fonctions de firewalling sont suffisantes pour les cas ne nécessitant pas une haute sécurité. C'est le cas pour SME, qu'on peut mettre sans risque en frontal sur le web. Les puristes affirment avec juste raison que c'est moins bon que de séparer les tâches, mais la conception de SME est pensée pour assurer une vraie sécurité, et l'expérience prouve que c'est bien vrai : toujours aucun cas d'intrusion connu sur les SME utilisées normalement ni sur le réseau qu'elles protègent. Les cas d'intrusion connus ont eu lieu sur des SME modifiées, généralement malgré un avis très défavorable de l'équipe de developpement, et se sont presque toujours limités à une partie exposée du serveur, sans intrusion sur le LAN.
J'explique plus en détails tout cela
dans ce document et
dans ce fil.
Un point favorable pour SME : la contrib de sauvegarde affa, très fiable et pratique. Si besoin, on peut d'ailleurs avoir une seconde SME en sauvegarde, qui peut prendre le relais en un temps très court si la SME principale tombe en panne (voir la fonction "rise" d'Affa, exposée
dans la description et détaillée dans les commandes correspondantes -
affa --rise entre autres).
Aygoiste a écrit:Connaissez vous sous linux une version qui gére le raid 1 (miroring) et un logiciel de sauvegarde automatisé pour éviter la propagation de virus windows dans mes sauvegardes. ?
Comme dit ci-dessus, SME dispose d'une bonne contrib de sauvegarde automatisée. SME gère le raid logiciel (1 et 5) de manière parfaite (conseillé, les cartes raid matériel ne sont pas toujours bien reconnues, et n'offrent aucun avantage par rapport au raid logiciel).
Par contre, attention : je ne connais pas de logiciel de sauvegarde évitant de lui-même la propagation de virus dans les sauvegardes. C'est plutôt le rôle de l'antivirus... SME dispose de clamav, qu'on peut très bien utiliser avant la sauvegarde pour scanner les fichiers. A noter que la base de signatures de clamav est mise à jour automatiquement.
A noter que si SME peut être mis en lieu et place d'Ipcop, elle peut être mise en serveur seul derrière ipcop : si seules des fonctions LAN sont utilisées, il n'y a aucun inconvénient à cela.
Cela dit, je parle de ce que je connais bien. Si tu es habitué à Debian/ubuntu, tu peux voir du côté de Zentyal ou même te faire un NAS sous Debian. L'avantage avec SME+affa, c'est que tu as une solution fonctionnelle en très peu de temps (avec l'habitude, je mettrais moins d'une heure tout compris si tout est bien prévu au niveau des branchements !)
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)
Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)