newbie : besoin d'informations complémentaires sur SME 6.0

[grilltout]

Bonjour,

Je suis actuellement en stage sur Linux et la sécurité des réseaux.
On m'a fait découvrir SME server 6.0 que je trouve plutôt sympa.
Plusieurs questions me passent par la tête :

- SME est t'il pérène, ne va t'il pas s'arrêter?
- Que vaut la configuration du firewall de SME?
(par rapport à IPCOP par exemple)
- Que laisse passer par défaut ce firewall?
- Est'il possible de le mettre à jour automatiquement?
- Peut-on lui faire reconnaitre des partitions cryptées en AES 128/256?

J'ai pas vraiment trouvé de réponses satifaisantes sur le net pour le moment.
Alors tous les avis sont les bienvenus.

Merci d'avance

[Sebastien65]

Salut,

Je vais essayer de répondre a tes questions
Moi même débutant sous Linux et en particulier sous SME...

- SME est t'il pérène, ne va t'il pas s'arrêter?

SME a été repris par un groupe de Contribs.org http://contribs.org/modules/news/

- Que vaut la configuration du firewall de SME?

Je trouve la config du firewall super bien quand même... Par défaut la config de SME est sécurisé un max... A toi par la suite d'installer d'autre petit truc pour pofiner ta sécu...

- Que laisse passer par défaut ce firewall?

Hum je me souviens plus trop Donc je laisse le soin a une autre personne de le faire...

- Est'il possible de le mettre à jour automatiquement?

Non, SME ne dispose pas d'un module de mise a jour automatique Dommage... Peut être une contrib a réaliser

- Peut-on lui faire reconnaitre des partitions cryptées en AES 128/256?

Alors la bonne question Je ne connais même pas ce format... Donc voila

C pas grand chose mais C un tout petit début pour tes questions...

[grilltout]

Merci Sebastien65
Et quelle rapidité !!!

[Muzo]

Salut,

Je vais un peu approfondir quelques réponses de Sebastien65

- Que vaut la configuration du firewall de SME?
(par rapport à IPCOP par exemple)

Je dirais que Ipcop n'a pas la même logique que SME. Ipcop (si j'ai bien compris) ferme tout par défaut, à toi d"ouvrir au compte goutte. SME c'est concu pour fonctionner out of the box dans une entreprise (et c'est le cas).

- Que laisse passer par défaut ce firewall?

Internet -> LAN: par défaut si tu n'autorises pas le ftp, ni le http, je crois que seuls les ports de mails sont ouverts.
Et non le mail ne fait pas du realying, pour ca il faut que tu modifies les configuration à la main.
Sinon tu peux ouvrir sur l'extérieur le ftp, le http, le ssh.

LAN -> Internet : par défaut tous les protocoles peuvent sortir. Si tu veux fermer certaines choses, tu peux le faire grâce à des contribution (vois le site contribs.org)

- Est'il possible de le mettre à jour automatiquement?

Euh .. il me semble qu'une contrib est en train de voir le jour basée sur rsync. Mais je n'en sais pas plus, ni à quoi elle sert.

- Peut-on lui faire reconnaitre des partitions cryptées en AES 128/256?

A tes souhaits. (non je ne connais pas)

[jibe]

Salut,

Allez, je me risque à t'apporter quelques précisions...

- SME est t'il pérène, ne va t'il pas s'arrêter?

C'est ce qu'on espère tous
Bon, soyons sérieux et réaliste ! SME est né sous le nom d'e-smith, puis a été repris par Mitel qui lui a donné son nom. Puis Mitel s'est retiré, et ça a été l'affolement : SME serait-il mourant ?
Contribs.org, depuis longtemps représentant la communauté de ceux qui essaient d'améliorer ou de personnaliser SME, a repris le flambeau et a sorti très rapidement la version 6.01. C'est ce que t'a dit Sébastien65.
Tu as peut-être eu vent de quelques conflits entre contribs.org et certains développeurs. Crise qui semble effectivement relativement sérieuse et qui dure un peu trop à mon goût. Est-ce donc la fin de SME ?
Il faut savoir que SME a donné naissance à deux autres projets, l'un déjà bien assis qui se nomme FreeEOS et un autre, naissant mais croissant rapidement, nommé SMERP. FreeEOS et SMERP, loin de se faire concurrence, s'interrogent sur l'avenir de leur base (SME) et le rôle qu'ils ont à jouer. Il semble clair que, quoiqu'il adviennne, SME continuera. Peut-être sous une autre forme, peut-être en partant d'une autre distrib. Contribs.org lui-même se posait la question : c'est vrai que la red-hat 7 devient ancienne et que la politique de red-hat a bien changé. Une évolution à plus ou moins brève échéance était incontournable, les événements vont peut-être la précipiter. Une chose me semble claire toutefois : avec les mêmes participants ou d'autres, à terme en partant d'une autre distrib, la SME vivra et gardera son approche spécifique du système serveur.

- Que vaut la configuration du firewall de SME?
(par rapport à IPCOP par exemple)
- Que laisse passer par défaut ce firewall?
- Est'il possible de le mettre à jour automatiquement?

Je ne vois pas bien ce que je pourrais dire de plus sur ce sujet. Sauf qu'avant de lire les réponses de Sebastien65 et de Muzo, j'avais interprété différemment la question de la mise à jour automatique, et avais l'intention de te répondre que oui, le firewall se reconfigure automatiquement selon les modifications apportées à la configuration du système. C'est d'ailleurs cela qui déroute les partisans d'IpCop, habitués à peaufiner leur firewall : ils pensent parfois à tort que celui de SME est moins bon parce qu'assez bridé, difficile à "bricoler" entre autres à cause du système des templates. L'approche est différente sur les deux systèmes : SME part du principe que l'utilisateur ou l'administrateur système d'un système "en prod" n'a pas forcément les connaissances suffisantes pour configurer le firewall et qu'il risque plus d'introduire des failles de sécurité que l'améliorer. C'est pourquoi il est configuré automatiquement et que, d'origine, on ne peut pas intervenir directement.

- Peut-on lui faire reconnaitre des partitions cryptées en AES 128/256?

Alors, là, si tu veux bien éclairer ma (notre !) lanterne, je me coucherai moins bête ce soir ! Jamais entendu parler...

[grilltout]

Merci pour toutes ces réponses!

Pour ce qui est des partitions cryptées,
j'utilise un soft sous windows qui s'appelle crosscrypt.
Ce dernier permet de monter un fichier image en un lecteur virtuel.
L'avantage principal est que ce dernier est crypté.
Le cryptage peut-être de l'AES 128/192/256 bits ou TwoFish.
Le cryptage se fait de façon transparente vis à vis de l'utilisateur
une faois le mot de passe entré.

Pour plus de détails :
http://www.chez.com/winterminator/DiskPG/crosscrypt.html

En fait mon problème principal ne viens pas du soft sous windows
mais de l'utilisation de l'image sous linux.

Le noyau actuel de SME server ne reconnais pas les alogrithmes de cryptage
énoncés précédement.
La solution la plus simple, je pense, est de charger un module.
Je ne sais pas sur quelle version de redhat la SME est basée.

autrement ce devrais juste être 3 lignes de commandes
si les modules qu'il fallait étaient présents.

Voila qui devrait un peu aider à comprendre mon problème.

Merci d'avance !!!

[Muzo]

SME est basée sur une red hat 7.3.

[grilltout]

merci je vais aller voir chez Red Hat pour mes petits modules

[pbordere]

Bonjour,

Je profite de ce sujet pour poser une question qui me tarabuste depuis longtemps : il y a t'il eu des tests de solidité de firewall de la SME ? Du temps de Mitel, avait il fait tester le firewall comme ils l'avaient fait pour la protection contre les virus de la MAS 6000 ? Les gourous du forum Ixus "Sécurité et réseaux" ont ils pu se pencher sur la question ?

A+

[jibe]

Salut,

Je ne saurais te dire ce qu'il y a eu ou non comme tests.Tout ce que je peux dire, c'est que :

- J'ai testé personnellement le serveur SMTP de FreeEOS 1.22 sur http://vsmtp.pagasa.net/ . Une toute petite faille trouvée a été facilement colmatée par la modification d'une règle du firewall. Mais l'auteur lui-même m'a dit que son test est très vache et que la faille trouvée ne porte pas à conséquence : pratiquement très peu de risque qu'elle soit utilisée pour faire du relaying bien que la possibilité théorique existe. Je ne pense pas (mais n'ai pas contrôlé) que le serveur SMTP de SME 6.01 soit moins bien protégé.
- Aucun problème d'intrusion qui m'est arrivé aux oreilles n'était du à la SME elle-même. Les origines sont généralement des contribs de basse qualité ou des applis web mal sécurisées et ouvertes au WAN.
- J'ai actuellement un problème (Admirez l'habile appel à l'aide ) qui m'a fait pas mal éplucher les paquets arrivant d'internet, et ça m'a donné l'occasion d'admirer le travail du firewall ! Bon, ç'est une simple observation sans aucune valeur, juste pour dire (une fois de plus !) que c'est vraiment impressionnant ce qui peut circuler sur le net et que voir tout ce que stoppe le firewall est rassurant !
- Perso, je ne l'ai jamais essayé, mais pourquoi n'utiliserais-tu pas le test firewall proposé sur le portail d'Ixus ? Il y en a aussi des tas d'autres sur le net !
- SMERP sera soumis à des tests de sécurité avant qu'une ISO soit diffusée.

Ceci dit, je ne sais pas si la faille SSH a été corrigée dans la 6.01... Je sais qu'elle l'a été sur FreeEOS.