Débat sur une architecture réseau.

par **Stirner** » 05 Fév 2007 16:52

Salut,

tomtom :

Stirner a écrit:
En effet un CPD dans orange c'est pas tip top sécurité : Axiome (comme ça on évite les explications Laughing Laughing )

Hi hi Laughing

Postulat même Wink

t.

Aprés les trolls informatiques, les trolls philosophiques, le rallage pour spamage du forum :

Les trolls linguistiques .... d'ici quon s'engeule sur le menu de ce soir...

@+

par **jibe** » 05 Fév 2007 23:18

Salut,

Stirner a écrit:Les trolls linguistiques ....

Ano na ? Kada isa gahambal sang lain nga linggwahe, para wala sang may maka-intiende ? Halong, ara sa akon ang alas para magdaog ! :lol:

(qu'est-ce que c'est que ça ? Chacun parle dans une langue différente pour que personne ne se comprenne ? Attention : j'ai des atouts à ce jeu là !)

Bon restons français et trève de troll... :lol:

Un grand merci pour tes explications, jdh. Je me coucherai moins bête ce soir : je croyais qu'un ping repartait toujours sur l'interface par laquelle il arrivait... Enfin, en fait je ne m'étais jamais posé la question, mais cela m'aurait paru logique... On en apprend tous les jours

tomtom a écrit:Non, il a été confirmé dans un autre post (la flemme de le chercher) que les règles de protection netfilter s'appliquent aussi en mode serveur seul.

Je n'ai pas vérifié. Il semble cependant que ce soit le cas pour SME 7, alors que ça ne l'était pas pour SME 6. Reste quand même à voir si le firewall est aussi complet qu'en mode serveur-gateway... Normalement, en serveur seul, on est soit dans un LAN, soit dans une DMZ, donc derrière un firewall et il se pourrait bien que la protection ne soit pas aussi forte qu'en serveur/gateway destiné à être en frontal... Mais je répète : je n'ai pas vérifié.

Ca me paraitrait pourtant assez logique : la même interface doit pouvoir servir soit pour un serveur LAMP en DMZ, soit pour un serveur Samba. Alors qu'en serveur/gateway, ces services sont répartis sur deux interfaces. Je regarderai ça de plus près lorsque je me pencherai sur l'adaptation de mon filtrage IP personnalisé pour la V2 de FreeEOS... Mais il est certain que lui ne sera actif qu'en mode serveur/gateway !

par **marioysme** » 06 Fév 2007 16:13

Bonjour a tous

J’ai lue les 3 pages de la discutions il y a des choses que je n’arrive pas a visualisé dans le câblage des réseaux que vous discuté ici

Quand vous dite une SME en serveur+Gateway sa veux tu dire carte réseaux rouge et vert et quand vous dite SME serveur seul sa veux tu dite carte réseaux orange et vert

Je veux savoir juste pour que j’arrive à suivre la conversation du forum

Merci de votre support

par **Titofe** » 06 Fév 2007 18:10

Serveur + Gateway = 1 carte réseau dans l’Orange et 1 dans le vent …

Serveur Seul = 1 carte réseau sur l’Orange

par **jibe** » 06 Fév 2007 18:12

Salut,

marioysme a écrit:Quand vous dite une SME en serveur+Gateway sa veux tu dire carte réseaux rouge et vert et quand vous dite SME serveur seul sa veux tu dite carte réseaux orange et vert

Non, c'est la configuration de la SME : lors de l'installation, la question est posée : serveur seul (server only), serveur-passerelle (server/gateway)...

En serveur seul, il n'y a qu'une interface ethernet. En serveur-passerelle (ou server/gateway), il y en a deux, qui correspondent au rouge et au vert en terminologie IPcop.

C'est d'ailleurs pour cela que le rebouclage sur le LAN que vous faites, Titofe et toi, n'est pas bon du tout : le serveur, s'il reçoit une requête du LAN pour un accès qu'il va considérer comme n'étant pas local, il va le rediriger sur sa deuxième interface, et donc la retransmettre dans la DMZ... De même, si une quelconque requête arrive dans la DMZ et qu'elle semble destinée à un poste du LAN, elle sera transmise. Le tout tout à fait normalement, avec NATing, mais tu imagines : par où vont passer les requêtes LAN <=> internet ?

Elles vont, selon les ports ouverts, avoir le choix entre :
rouge Ipcop <=> vert Ipcop <=> LAN
(rouge ipcop <=>) orange ipcop <=> DMZ <=> LAN via SME (et s'il y a plusieurs SME, autant de chemins possibles :lol:

)

Bien sûr, de bonnes rêgles de firewalling pourront probablement limiter les dégats, mais c'est quand même bien problématique ! Ca revient un peu à ce que jdh a démontré avec le ping...

Non, je ne l'aurais jamais fait, mais plus j'y pense, plus je trouve ce montage aberrant !

Pour accéder à une SME en DMZ, il y a des moyens plus rationnels, à commencer par un écran-clavier sur le serveur (matériel de récup => gratuit), un KVM, du tunnelling...

par **Stirner** » 06 Fév 2007 18:20

Salut,

jibe :

En serveur seul, il n'y a qu'une interface ethernet. En serveur-passerelle (ou server/gateway), il y en a deux, qui correspondent au rouge et au vert en terminologie IPcop.

Je le disais en plaisantant mais ce peut-etre trés utile on a la possibilité d'installer SME7 en serveur seul avec deux cartes réseaux pour faire du bonding/load balancing et ainsi ce prémunir d'une défaillance de son interface réseau.

@+

par **jibe** » 06 Fév 2007 19:09

Tout à fait exact !

J'ai effectivement un peu simplifé et schématisé. D'un autre côté, je n'ai pas encore pris le temps de tester ce genre de montage => Je préfère ne pas parler de ce que je connais pas : je dis assez de bêtises sur ce que je crois connaitre :lol:

par **Titofe** » 06 Fév 2007 19:44

« C'est d'ailleurs pour cela que le rebouclage sur le LAN que vous faites, Titofe et toi, n'est pas bon du tout »
C’est d’ailleurs le seul unique inconvénient que je connais pour ce type d’architecture, car j’en rie encore, quand t’on me disait que la sécurité étais mauvaise, car maintenant que j’ai étudié les différentes architecture qui on était parlé, elles ont tousse leur point faible et le pire c’est que IPCop fait déjà d’origine ce que moi je voulais faire …, je rie.

Sinon je viens de finir la dernière installation qu’y ma étais proposer et je crois quelle on tous un problème pour moi, mes sauvegarde son faite sur un disque dur Ethernet qui de préférence doit ce retrouver dans la DMZ, oui mais en Serveur seul il ce retrouve en frontale, je n’aime pas trop, faut que je trouve une solution.

Je vous tiendrais au courant don architecture final, une fois fini …

Titofe

par **jdh** » 06 Fév 2007 21:06

Quand on veut sécuriser des zones, il est clair qu'il ne doit y avoir qu'UNE ET UNE SEULE machine entre 2 (de ces) zones.

Je suis content d'avoir fait comprendre (au moins à certains) qu'un protocole de base d'Internet (ICMP) ne fonctionne plus quand on met 2 machines entre 2 zones au lieu d'une. Pour info, ICMP est un protocole extrêmement utile sur Internet (et pas seulement pour le ping).

Dois-je ajouter que si ping (ICMP) est perdu, ce sera bien sur le cas de tcp ou d'udp et par voie de conséquence de tous les protocoles basés dessus (http, ftp, smtp, ...).

Ce qui est dommage, c'est que j'ai posé plusieurs fois la question de l'intérêt d'ajouter une carte en Green pour un serveur prévu en Orange. Sans réponse aucune. Je pense que l'examen du pourquoi aurait permis d'éviter un fil aussi long.

Concernant SME, la différence "serveur+passerelle"/"serveur only" est décrite dans la doc avant même la description de l'installation. Alors il est toujours surprenant que l'on pose encore la question.

Et ce n'est pas la question script iptables ou pas qui fait la différence. Même si, bien évidemment, la config serveur+passerelle a besoin d'un script iptables parce, de base, ce serveur est directement sur Internet. (Et sûrement que ce script vaut bien des Ipcop peu ou mal paramétré, :wink:

jibe).

par **Titofe** » 06 Fév 2007 22:14

« Je suis content d'avoir fait comprendre (au moins à certains) qu'un protocole de base d'Internet (ICMP) ne fonctionne plus quand on met 2 machines entre 2 zones au lieu d'une. Pour info, ICMP est un protocole extrêmement utile sur Internet (et pas seulement pour le ping). »
J’avais compris, et je t’en remercie.

« Dois-je ajouter que si ping (ICMP) est perdu, ce sera bien sur le cas de tcp ou d'udp et par voie de conséquence de tous les protocoles basés dessus (http, ftp, smtp, ...). »
Je confirme à quelque chose prêt, le problème ce pose que sur SME, que sur sa carte frontale et nullement ailleurs comme j’ai pu le lire …
Aucun problème sur le reste du réseau autant SME que le WEB.
Et puis ce n’ai qu’un problème que si le réseau vert à besoin d’aller sur la carte frontale de la SME, mais vu mon architecture de départ sont but étais justement de ne pas l’utiliser.

« Ce qui est dommage, c'est que j'ai posé plusieurs fois la question de l'intérêt d'ajouter une carte en Green pour un serveur prévu en Orange. Sans réponse aucune. Je pense que l'examen du pourquoi aurait permis d'éviter un fil aussi long. »
Déjà dit mais je veux bien me répéter :
Faire la même chose qu’IPCop propose malheureusement d’origine, pouvoir joindre le serveur sur la DMZ.
Le problème que procure cette structure, c’est de mettre le serveur en serveur seul, qui je pense n’ai pas très judicieux pour sa sécurité, puis comme je l’ai dit plus haut quand le serveur est en mode passerelle je peux lui connecter le disque dur Ethernet pour sa sauvegarde.

« Concernant SME, la différence "serveur+passerelle"/"serveur only" est décrite dans la doc avant même la description de l'installation. Alors il est toujours surprenant que l'on pose encore la question. »
Je confirme, j’ai même étais la relire plusieurs fois pour comprendre pourquoi tu me disais de mettre mon serveur en mode serveur seul, car il est dit dans cette même doc qu’il ne ce protège pas dans ce mode.
Donc grâce à toi j’ai un méchant doute …
Pas grave, va bien falloir que je prenne une décision.

Titofe

Ps : J’allais oubliez, Merci à toi jdh.

par **jdh** » 06 Fév 2007 22:40

Au moins c'est clair !

L'intérêt de créer des zones c'est de contrôler les flux entre ces zones.

Mais pourquoi j'essaie d'expliquer ça !

par **Titofe** » 06 Fév 2007 23:10

Non non, tu à raison de le préciser car comme j’ai pu le constater je ne suis pas le seul à suivre ce post et il serrait dommage que mon débat et je précise bien un débat, ne devienne une architecture pour une personne sans connaître tout.

par **Stirner** » 07 Fév 2007 00:21

Salut,

@Titofe

Pour ce qui est de la sécurité de ton serveur en DMZ en prenant soins de faire les choses proprement tu peux confier cette tache à Ipcop.

Le second point qui me trouble c'est l'histoire de ta sauvegarde. Pourquoi veux-tu absolument installer une seconde carte sur ta SME pour atteindre cette sauvegarde ? Ne peux-tu pas simplement installer un switch sur ton orange et pluger ta sauvegarde dessus (sachant qu'elle sera protgé par ton ipcop). Ainsi tu pourra y accéder non seulement depuis ta SME mais également depuis tous les autres point de ton raiseau.

@+ Stirner

par **Titofe** » 07 Fév 2007 08:09

Pour l’histoire :

Si j’utilise IPCop avec une SME, ce n’est pas pour un manque de confiance de la distribution SME, mais par un besoin d’avoir deux réseaux minimum de séparer et en suite il faut admettre qu’IPCop est bien plus convivial pour le configurer dans le domaine protection.

Maintenant parlons de SME en mode Serveur et Passerelle, disons que je la mais dans ce mode dans ma DNZ et quelle ne ce relier que sur Orange est nul par ailleurs, je ne vois aucun problème, bon oui ça créer un 4 réseau, ehh alors !!!

Titofe

par **jibe** » 07 Fév 2007 20:37

Salut,

Titofe a écrit:Maintenant parlons de SME en mode Serveur et Passerelle, disons que je la mais dans ce mode dans ma DNZ et quelle ne ce relier que sur Orange est nul par ailleurs, je ne vois aucun problème, bon oui ça créer un 4 réseau, ehh alors !!!

Ano na ??? Wala ko ka-intiende

C'est le troll linguistique annoncé par Stirner ? :lol:

Débat sur une architecture réseau.

Qui est en ligne ?