par jdh » 20 Avr 2009 10:42
(Même si je ne suis pas écouté ...)
Typiquement, il y a là un manque d'expérience.
Autant BOT est ABSOLUMENT indispensable avec IPCOP, autant SNORT est très généralement inutile !
J'explique :
* BOT est un addons absolument nécessaire parce que les règles par défaut d'IPCOP sont laxistes.
Par défaut, comme il est mentionné dans le newbie kit, de Green vers Red "tout" est autorisé. C'est une règle (plutôt policy) très pratique parce qu'elle permet de tout de suite fonctionner. Mais c'est en fait très dangereux puisqu'il n'y a aucun contrôle. Par paresse, on laisse se fonctionnement où finalement IPCOP ne vaut pas mieux qu'une assez bête box quelconque.
Il vaudrait mieux passer quelques minutes à écrire et à configurer, grâce à BOT, les quelques règles vraiment nécessaires : http, ftp, https, pop3, imap, smtp (sauf s'il y a un serveur de mail local). Un point c'est tout.
NB: PfSense ne fait pas mieux : "LAN vers Any" est par défaut. Mais la présence des alias, dans PfSense, facilite tellement la config des règles, que cela devient un régal à la configuration et à la lecture visuelle !
* SNORT est typique d'une très fausse bonne idée (pour le commun des utilisateurs).
SNORT, en tant qu'IDS, est capable d'observer les paquets "défectueux".
Outre le fait que SNORT n'est pas idéalement situé sur un firewall, il faut savoir ce que veut dire "défectueux".
Là, le commun des utilisateurs (et je me place dedans) n'est pas capable de savoir POURQUOI ce paquet est défecteux. Et encore moins, ce qu'il FAUT faire !
Ce type d'outil exige une compétence TRES pointue et une disponibilité IMMEDIATE. Vous avez autre chose à faire que de valider ou non la décision de bloquer tel ou tel paquet, voire de réagir. Enfin, c'est mon cas ! (Dans une vie antérieure, en tant que responsable du réseau européen d'une entreprise de 2600 personnes, des serveurs, des accès Internet de tous ses sites, cela n'était ni ma mission ni mon objectif !)
Donc, en bref, je vous encourage à installer et paramétrer dare dare BOT et à désactiver SNORT ! (Tiens une contrepéterie belge ... comme le bouche à bouche !)
NB: Franck78 est un expert d'IPCOP. Alors, moi, je lui fais TOUTE confiance dans ce qu'il affirme. (Et pas seulement parce que j'ai eu le plaisir de le rencontrer et de discuter avec lui ...)
NB2: Avec Debian, il faut vraiment être une bille pour mettre Postfix en relais ouvert. (Le mot est faible !). De même, ne pas savoir qu'il faut utiliser le smtp du FAI pour relayer ses mails est véritablement inconséquent ! (ligne relayhost) (UCE veut peut-être dire quelque chose). Quand je dis qu'il est bien préférable de laisser la gestion des boites mails aux professionnels (le FAI) !