Ipcop(FW)+Serveur Mail + Serveur pdc Quelle architecture ?

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Ipcop(FW)+Serveur Mail + Serveur pdc Quelle architecture ?

Messagepar taxaw » 03 Déc 2004 13:27

Bonjour,
je dois metttre en place un réseau avec un accès internet.
Le réseau doit comprendre un firewall (ipcop, mon choix définitif !), un serveur de mail avec webmail visible de l'extérieur (dans DMZ, mon choix définitif) et un serveur de domaine pour le domaine local composé de poste winXP (Portables pour la majorité 98%) .
J'aimerai que sur le serveur de domaine il y ait un moyen partager des fichiers.
Merci d'avance
------------------------
Créer, non posséder.
Accroître, non dominer,
Oeuvrer, non retenir.
taxaw
Major
Major
 
Messages: 95
Inscrit le: 30 Juil 2004 15:56
Localisation: Sénégal

re

Messagepar Th0rS3lit3 » 03 Déc 2004 13:45

Ton sujet m'interesse vivement car je dois faire la meme chose pour une société...
Concernant la paserelle moi aussi mon choix s'est porté sur ipcop 1.4.1

En ce qui concerne le serveur de mail j'ai opté pour postfix, tu ne dis pas dans ton post si tu veux une solution libre ou non pour ton PDC.

Moi je me suis orienté sur un serveur windows 2003 std Ed, dans ce cas de figure pour partagé t fichiers tu peux faire un script pr chaque groupe, en incluant tout simplement la commande "net use" dans t script ainsi a chaque logon il verrons leurs lecteurs reseaux respectif.

En esperant t'avoir donné un petit coup de pouce.
Avatar de l’utilisateur
Th0rS3lit3
Major
Major
 
Messages: 87
Inscrit le: 15 Mars 2004 01:00

Messagepar Gandalf » 03 Déc 2004 14:59

Ok, pas compliqué tu fais le plus simple : un controlleur de domaine avec ses stations dans la zone verte ( LAN ), tu choisiras les environnements toi-même car je n'aime pas rentrer dans l'affrontement Microsoft/Linux !
Ne met pas ton serveur de mail dans la DMZ, car si ton firewall tombe t'as plus de mails en interne ( en plus la DMZ est pas hyper protégée ) ! Tu laisses ton serveur mail dans le LAN, et tu installes une passerelle SMTP filtrante du style InterScan dans ta DMZ relié sur ton serveur de mails, c'est une architecture idéale et bien sécurisée ! Bien sûr dans ton LAN tu mets en place un serveur DNS avec accès à l'extérieur ! Sur tes clients ta passerelle par défaut sera donc l'IP verte de ton IPCOP et le DNS primaire l'adresse de ton serveur DNS ( l'idéal serait d'en avoir un 2ème ). Comme ça tout marchera très bien.
Si ensuite tu veux filtrer plus finement les accès externes tu mets en place un proxy type Censornet ( gratuit lui aussi, sauf les màj des blacks lists ) qui te permettra de donner accès à certaine heures, àcertaines choses, de limiter la bande passante et tout plein d'autres choses très intéressantes !

Voilà, @+ !

Ah pour le partage de fichiers ben c'est pas dur tu fais des logins scripts qui te permettent de mapper des lecteurs réseuax au démarrage des clients ( utilise Kix )
Avatar de l’utilisateur
Gandalf
Amiral
Amiral
 
Messages: 1980
Inscrit le: 22 Août 2002 00:00
Localisation: Strasbourg

Merci

Messagepar taxaw » 03 Déc 2004 20:57

Bonsoir et mercipour vos contributions.
Pour les partages de fichiers et pdc je pensais mettre SME Server.
Est -ce que SME intègre un serveur de mail ?
------------------------
Créer, non posséder.
Accroître, non dominer,
Oeuvrer, non retenir.
taxaw
Major
Major
 
Messages: 95
Inscrit le: 30 Juil 2004 15:56
Localisation: Sénégal

Messagepar pulsergene » 03 Déc 2004 22:13

bonsoir
oui il integre un serveur de mail
Serveur Qmail : qmail-1.03-06

cf
http://www.fr.ixus.net/modules.php?name ... b&dist=Sme

bonne soirée
Avatar de l’utilisateur
pulsergene
Amiral
Amiral
 
Messages: 1314
Inscrit le: 14 Oct 2003 00:00
Localisation: cambrousse city

Messagepar pkaer » 04 Déc 2004 09:01

Salut,

1) Voila une solution qui en vaut une autre

Un Ipcop avec une patte DMZ (GREEN+RED+ORANGE)

Un SME paramètré en serveur+passerelle avec sa patte INTERNET connectée sur la DMZ de l'IPCOP et sa patte LAN connectée sur ton LAN

Internet
|
|
|

|IPCop 1.4.1(172.16.0.252)--ORANGE(172.16.0.0/16)---(172.16.0.250) SME 6.0.1 (192.168.1.252)
|(192.168.1.251)
|
|________________________________________________________________________Î
|
|GREEN
|192.168.0/24
|
|
|



Tu bénéficies pour tes clients en local
sur SME : du partage de fichiers (samba) de la messagerie (QMAIL), éventuellement du Webmail (imp/horde), d'un serveur WEB, FTP, etc.... auquel tu peux facilement ajouter un petit Clamav+Spamassassin
Sur le GREEN d'IPCOP: du surf sur Internet avec éventuellement les addons de filtrage d'URL, de contrôle du traffic sortant, etc....

D'internet : tu as l'accès aux fonctionalités de SME (que tu as souhaitées ouvrir par le transfert de ports sur IPCop) qui est protégé par IPCop + ses propres fonctionalités Firewall.

Commentaires ???

2) Une autre solution
Voila une autre solution qui consiste à "enquiller" 2 FW l'un derrière l'autre. En l'occurence IPCop + SME. J'ai mis en place cette solution qui est efficace et peut-être plus sure que la première (quoique je n'arrive pas à voir pourquoi... c'est juste un feeling) car tout le LAN est derrière 2 FW. L'inconvénient c'est que c'est peut-être moins souple à administrer , surtout l'IPCop qui nécessite d'avoir un PC dédié sur son LAN pour l'admin.
Voici le Topic où cela a été discuté : http://forums.fr.ixus.net/viewtopic.php ... sc&start=0

@+
PK
Avatar de l’utilisateur
pkaer
Vice-Amiral
Vice-Amiral
 
Messages: 624
Inscrit le: 28 Avr 2003 00:00
Localisation: Rennes - Bzh

Messagepar krehon » 06 Déc 2004 12:56

Bonjour,

J'ai aussi une question. Je teste actuellement une architecture :

(NET)
|
ipcop == DC(win2k3)
|
exchange

Est-ce une bonne solution ? Je doute après la lecture du post....
krehon
Premier-Maître
Premier-Maître
 
Messages: 48
Inscrit le: 16 Sep 2004 15:01
Localisation: 77

Messagepar jdh » 06 Déc 2004 13:45

Je réponds d'abord à pkaer.

La solution 1 est mal architecturée : il NE FAUT PAS permettre à une machine dans une DMZ d'accéder en direct au réseau interne (Green). La raison est simple : une faiblesse dans cette machine donne accès au Green en passant au travers du firewall (IPCOP) (via un traffic autorisé).

La solution 2 (mettre 2 firewalls successifs) n'est pas meilleure : 2 firewalls successifs n'augmente pas la sécurité mais ajoute les failles possibles. Et puis il faut écrire 2 fois les mêmes règles : on est à peu près sur qu'au bout de quelques temps, les niveaux de règles seront différents. Ce qui est essentiel est de "dédier" la fonction sécurité : idealement, un firewall ne doit pas apporter d'autres services. Dans une entreprise (où il y a plus de moyens qu'à la maison), on doit metttre un firewall qui ne fait que ça ! Pas de dns, dhcp, samba, apache, mysql, ... Il vaut mieux dédié une petite machine à cette fonction que prendre un gros serveur et lui faire faire tout. A mon sens, une machine SME est un cas d'école : mettre tout sur une machine. C'est moins sur que de distinguer d'une part la fonction firewall d'autre part les autres fonctions.

Je réponds à krehon.

Je ne crois pas bon de séparer le DC et Exchange car la base Active Dir est unique (sur le DC). Donc il faut, si on veut suivre ce schéma, autoriser le trafic vers le DC.

On peut plutôt placer en DMZ un relais SMTP (filtrant avec antivirus et antispam par exemple) qui, comme son nom l'indique, relaie les mails entre Internet et le serveur mail interne. A cette fin, un serveur Linux avec un SMTP de type Postfix (ou Qmail ou autres) peut convenir très bien. Encore une fois, le mieux est dédié ce serveur à cette fonction.

En ce qui me concerne, j'installe des serveurs Debian. Ce qui me permet de créer un serveur extrèmement léger (= ne contenant que les fonctions nécessaires) et d'une relative bonne sécurité.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar krehon » 06 Déc 2004 14:42

jdh a écrit:
Je ne crois pas bon de séparer le DC et Exchange car la base Active Dir est unique (sur le DC). Donc il faut, si on veut suivre ce schéma, autoriser le trafic vers le DC.

On peut plutôt placer en DMZ un relais SMTP (filtrant avec antivirus et antispam par exemple) qui, comme son nom l'indique, relaie les mails entre Internet et le serveur mail interne. A cette fin, un serveur Linux avec un SMTP de type Postfix (ou Qmail ou autres) peut convenir très bien. Encore une fois, le mieux est dédié ce serveur à cette fonction.

En ce qui me concerne, j'installe des serveurs Debian. Ce qui me permet de créer un serveur extrèmement léger (= ne contenant que les fonctions nécessaires) et d'une relative bonne sécurité.


Merci de ta réponse.

Je suis d'accord avec toi, cependant j'ai un souci de taille, je dois mettre en place la fonction OWA (Outlook Web Access) et donc avoir accès au serveur Exchange depuis le NET, d'où ma question.
Je me suis documenté entre temps et la solution que j'évoquai ne semble pas si mauvaise que ça. Cela me gène toutefois d'avoir tant de ports ouverts entre la DMZ et le LAN.
Si vous avez des idées n'hésitez pas. :)
krehon
Premier-Maître
Premier-Maître
 
Messages: 48
Inscrit le: 16 Sep 2004 15:01
Localisation: 77

Messagepar jdh » 06 Déc 2004 17:32

J'avais pensé à cela ! Idéalement, je mettrai un relay SMTP et un (reverse)-proxy vers le serveur Exchange.

Le relay SMTP peut permettre un filtrage antivirus et antispam. (déjà dit)

L'intéret est que OWA est (forcément) basé sur IIS (6) et que IIS est un serveur web que je préfère ne pas mettre en direct sur Internet (du fait des faiblesses possible type Blaster).

Le reverse proxy peut ainsi permettre un filtrage.
De plus il n'y aucun trafic "windows" dans la DMZ.

Enfin tu choisiras ...
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar krehon » 06 Déc 2004 23:09

Ok, tu confirmes ce que je pensais après avoir longuement réfléchi cet après midi.
Ce qui fait que le serveur Exchange va être placé dans le LAN.

Maintenant, quel soft peut me servir de reverse proxy ?
krehon
Premier-Maître
Premier-Maître
 
Messages: 48
Inscrit le: 16 Sep 2004 15:01
Localisation: 77

Messagepar jdh » 06 Déc 2004 23:21

Squid peut être proxy et ou reverse proxy
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar krehon » 07 Déc 2004 12:10

Ok merci, je regarde ça 8)
krehon
Premier-Maître
Premier-Maître
 
Messages: 48
Inscrit le: 16 Sep 2004 15:01
Localisation: 77

Merci et conclusion

Messagepar taxaw » 12 Déc 2004 18:21

Bonjour le monde libre.
Merci pour vos interventions éclairées.
Ce que j'ai trouvé comme solution finale, grâce à vos interventions est donc la solution de mettre :
1) ipcop en serveur firewall
2) un serveur relay reverse proxy sur la dmz avec antispam et antivirus pour les mails
3) un serveur de mail dans le réseau local (SME Qmail pour moi)

Cependant j'aurais une question concernant le reverse proxy. Comment le mettre en place. Et comment dire au serveur de mail qu'il faut qu'il utilise le serveur enreverse proxy ?
Ipcoppeut il servir pour le serveur placé dans le dmz en reverse proxy et filtreur de spam+ antivirus (clam) ?
Merci d'avance.
------------------------
Créer, non posséder.
Accroître, non dominer,
Oeuvrer, non retenir.
taxaw
Major
Major
 
Messages: 95
Inscrit le: 30 Juil 2004 15:56
Localisation: Sénégal

Messagepar specialfox » 12 Déc 2004 19:13

Bonjour,

Je vais réagir sur ce qui a été dit dans ce topic en particulier sur la messagerie.

je cherche depuis quelque temps une solution pour mes utilisateurs afin qu'il bénéficie d'un webmail pour consulter leur mails en déplacement ou chez eux. Actuellement nous avons un serveur exchange sur le lan juste pour la communication en interne et je ne veux pas utiliser OWA.

Ma question :
Comment réaliser avec des logiciels libres une architecture qui permettent aux utilisateurs d'utiliser un webmail (pour consulter leurs mails chez eux ou en déplacement) et d'utiliser un serveur de messagerie en interne de manière sécurisée.


Merci pour vos réponses.
Avatar de l’utilisateur
specialfox
Second Maître
Second Maître
 
Messages: 29
Inscrit le: 09 Déc 2003 01:00

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron