Bonsoir, voila, je viens d'installer ipcop sur une machine, et j'ai entendu dire sur les forums, que pour plus de securité, il faudrait mettre un serveur Web, FTP, ou autre sur une DMZ.
Je voudrais donc savoir deja si E-Smith fait serveur Web (avec SQL et PHP), et FTP, et si c'est interessant de le mettre sur une DMZ, ou de remplacer IPCOP par cette distrib ?
Serveur de quoi ?
Modérateur: modos Ixus
9 messages
• Page 1 sur 1
Serveur de quoi ?
par LeDOC666 » 22 Déc 2004 18:49
- LeDOC666
- Second Maître
- Messages: 40
- Inscrit le: 20 Déc 2004 16:14
par jibe » 22 Déc 2004 23:39
Salut,
SME (ainsi que SMERP et FreeEOS qui sont de la même famille) est un système complet intégrant plusieurs serveurs, dont Apache avec PHP/MySQL, FTP et bien d'autres, dont SAMBA.
Remplacer ou conserver IPCop ? Cela a déjà donné lieu à de nombreux trolls entre supporters d'IPCop et de SME
En fait, disons qu'en gros IPCop est une distrib spécialisée pour firewall. Je pense qu'il n'est pas exact de dire que le firewall d'IPCop est plus efficace que celui de la SME. Simplement, il est aisément configurable par l'utilisateur, alors que celui de la SME est auto-configuré en fonction des choix de services et de configuration réseau. Ce qui veut dire en clair que si tu maitrise bien la technique du firewall, tu pourras t'en faire un "aux petits oignons" avec IPCop, en ajustant les moindres détails selon tes besoins. Mais si tu ne t'y connais pas trop, tu risques d'avoir mieux avec la SME, et sans te casser la tête !
A noter que tu peux aussi configurer toi-même le firewall de la SME, mais là, c'est assez compliqué et particulier à moins de bien connaitre la SME (mais dans ce cas, on fait aussi bien - quoique moins facilement - qu'avec IPCop).
Donc, à toi de voir en fonction de tes besoins et compétances. A noter que la devise de FreeEOS est "vite, simple et bien" : Cette distrib comme SME permet d'avoir en une vingtaine de minutes un serveur complet, fiable et sécurisé même pour ceux qui n'ont que des connaissances de base.
SME (ainsi que SMERP et FreeEOS qui sont de la même famille) est un système complet intégrant plusieurs serveurs, dont Apache avec PHP/MySQL, FTP et bien d'autres, dont SAMBA.
Remplacer ou conserver IPCop ? Cela a déjà donné lieu à de nombreux trolls entre supporters d'IPCop et de SME
En fait, disons qu'en gros IPCop est une distrib spécialisée pour firewall. Je pense qu'il n'est pas exact de dire que le firewall d'IPCop est plus efficace que celui de la SME. Simplement, il est aisément configurable par l'utilisateur, alors que celui de la SME est auto-configuré en fonction des choix de services et de configuration réseau. Ce qui veut dire en clair que si tu maitrise bien la technique du firewall, tu pourras t'en faire un "aux petits oignons" avec IPCop, en ajustant les moindres détails selon tes besoins. Mais si tu ne t'y connais pas trop, tu risques d'avoir mieux avec la SME, et sans te casser la tête !
A noter que tu peux aussi configurer toi-même le firewall de la SME, mais là, c'est assez compliqué et particulier à moins de bien connaitre la SME (mais dans ce cas, on fait aussi bien - quoique moins facilement - qu'avec IPCop).
Donc, à toi de voir en fonction de tes besoins et compétances. A noter que la devise de FreeEOS est "vite, simple et bien" : Cette distrib comme SME permet d'avoir en une vingtaine de minutes un serveur complet, fiable et sécurisé même pour ceux qui n'ont que des connaissances de base.
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)
Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
-
jibe - Amiral
- Messages: 4366
- Inscrit le: 17 Oct 2003 00:00
- Localisation: Haute Savoie
par Argenlos » 23 Déc 2004 09:52
Bonjour,
Pour ma part, ma SME est derrière un firewall, je ne l'utilise qu'en serveur simple.
Mais il n'est pas rare de voire des configurations avec une SME en frontal.
Je crois surtout que c'est une histoire de coût ou de goût...
Cordialement,
Pour ma part, ma SME est derrière un firewall, je ne l'utilise qu'en serveur simple.
Mais il n'est pas rare de voire des configurations avec une SME en frontal.
Je crois surtout que c'est une histoire de coût ou de goût...
Cordialement,
Petit deviendra grand...
-
Argenlos - Amiral
- Messages: 1120
- Inscrit le: 31 Juil 2002 00:00
- Localisation: Montagu vendée
par narwe » 23 Déc 2004 10:51
Bonjour,
generalement il est plus sur d'utiliser les produits en fonction de leur but. Ainsi ipcop est une distrib oriente passerelle securisee, alors que SME est plus un serveur applicatif (travail collaboratif, web, mail, etc...).
Ce qui veut dire que IPCOP sera plus sur que SME car ayant moins de services qui tournent, mais si tu maitrises les services que tu veux faire tourner, l'applicatif de correctifs pour corriger les bugs et les failles au fur et a mesure, tu peux utiliser n'importe quelle distrib et l'as tuner comme tu veux. Cela prendra juste plus de temps qu'avec une distrib specifique.
Si tu n'as pas le temps ou l'envie de te plonger dans une multitude de doc alors mieux vaut prendre l'existant correspondant a ton besoin pour ne pas reiventer la roue.
generalement il est plus sur d'utiliser les produits en fonction de leur but. Ainsi ipcop est une distrib oriente passerelle securisee, alors que SME est plus un serveur applicatif (travail collaboratif, web, mail, etc...).
Ce qui veut dire que IPCOP sera plus sur que SME car ayant moins de services qui tournent, mais si tu maitrises les services que tu veux faire tourner, l'applicatif de correctifs pour corriger les bugs et les failles au fur et a mesure, tu peux utiliser n'importe quelle distrib et l'as tuner comme tu veux. Cela prendra juste plus de temps qu'avec une distrib specifique.
Si tu n'as pas le temps ou l'envie de te plonger dans une multitude de doc alors mieux vaut prendre l'existant correspondant a ton besoin pour ne pas reiventer la roue.
-
narwe - Second Maître
- Messages: 31
- Inscrit le: 21 Sep 2004 10:07
- Localisation: IDF
par jibe » 23 Déc 2004 14:50
Salut,
C'est vrai qu'une SME a l'air un peu de quelque chose qui fait le café, tond la pelouse et reprise les chaussettes, et que d'ordinaire je n'aime pas trop ce genre de chose parce que ça fait tout, mais mal.
Mais bon, la SME - ainsi que ses dérivés - est quand même un peu l'exception qui confirme la règle. Je ne vais pas entrer dans les détails, mais disons que l'ensemble a été pensé avant tout simplicité et sécurité. C'est pour ça que le firewall est ajusté automatiquement en fonction de la configuration, et cet automatisme est très bien pensé et réalisé.
Après, mettre ou non une ipcop en frontal est, comme le dit argenlos, une histoire de goût et de moyens. Et le résultat final sera fonction des compétances de celui qui configure l'ensemble. Je pense que si on faisait des stats à ce niveau, on aboutirait au résultat suivant :
- Premier prix attribué à une IPCop avec un firewall ajusté "aux petits oignons".
- Second prix attribué à une SME avec un firewall ajusté "aux petits oignons". Arrive après l'IPCop non pas pour la question de sécurité, mais à cause de la plus grande difficulté à bien ajuster le firewall.
- Troisième prix : SME sans modifications.
Je connais trop mal l'IPCop pour estimer la suite. Ce classement n'inclue pas, comme le souligne narwe, les problèmes de mises à jour de sécurité. C'est vrai que plus le nombre de services est élevé, plus les risques sont grands. Ce qui fait tout l'intérêt de la SME, c"est justement que tout est prévu pour garantir un maximum de sécurité sans qu'il soit nécessaire de faire quoi que ce soit. Après, on peut toujours améliorer ou déteriorer les choses, selon les initiatives qu'on prend... Un des avantages de la SME est qu'elle est assez protégée de ce point de vue. Ainsi, quelle que soit l'intention de départ d'une initiative, piratage ou installation mal étudiée de nouveau service, la SME va tenter de rétablir une situation normale et sécurisée. Mais bien sûr, cela a des limites, et lorsqu'on les dépasse, les conséquences sont catastrophiques ! Toute médaille a un revers... Je ne connais pas assez IPCop pour bien connaitre ses revers, mais il est inévitable qu'elle en ait aussi...
Donc, on en revient au poirnt de départ : l'association SME-IPCop est surtout une affaire de goût et de moyens. Celui qui peut avoir deux PC aura tout intérêt à avoir les deux, à moins qu'il ne sache vraiment bien comment configurer le firewall de la SME et qu'il ait besoin de l'argent de la vente de son secont PC ! Mais c'est rarement le cas, et alors - mais c'est un avis tout à fait personnel, et qui correspond à mes besoins spécifiques - la SME ou l'une de ses dérivées l'emportera probablement. sauf, bien sûr, si le besoin n'est que d'une passerelle sécurisée sans service supplémentaire.
C'est vrai qu'une SME a l'air un peu de quelque chose qui fait le café, tond la pelouse et reprise les chaussettes, et que d'ordinaire je n'aime pas trop ce genre de chose parce que ça fait tout, mais mal.
Mais bon, la SME - ainsi que ses dérivés - est quand même un peu l'exception qui confirme la règle. Je ne vais pas entrer dans les détails, mais disons que l'ensemble a été pensé avant tout simplicité et sécurité. C'est pour ça que le firewall est ajusté automatiquement en fonction de la configuration, et cet automatisme est très bien pensé et réalisé.
Après, mettre ou non une ipcop en frontal est, comme le dit argenlos, une histoire de goût et de moyens. Et le résultat final sera fonction des compétances de celui qui configure l'ensemble. Je pense que si on faisait des stats à ce niveau, on aboutirait au résultat suivant :
- Premier prix attribué à une IPCop avec un firewall ajusté "aux petits oignons".
- Second prix attribué à une SME avec un firewall ajusté "aux petits oignons". Arrive après l'IPCop non pas pour la question de sécurité, mais à cause de la plus grande difficulté à bien ajuster le firewall.
- Troisième prix : SME sans modifications.
Je connais trop mal l'IPCop pour estimer la suite. Ce classement n'inclue pas, comme le souligne narwe, les problèmes de mises à jour de sécurité. C'est vrai que plus le nombre de services est élevé, plus les risques sont grands. Ce qui fait tout l'intérêt de la SME, c"est justement que tout est prévu pour garantir un maximum de sécurité sans qu'il soit nécessaire de faire quoi que ce soit. Après, on peut toujours améliorer ou déteriorer les choses, selon les initiatives qu'on prend... Un des avantages de la SME est qu'elle est assez protégée de ce point de vue. Ainsi, quelle que soit l'intention de départ d'une initiative, piratage ou installation mal étudiée de nouveau service, la SME va tenter de rétablir une situation normale et sécurisée. Mais bien sûr, cela a des limites, et lorsqu'on les dépasse, les conséquences sont catastrophiques ! Toute médaille a un revers... Je ne connais pas assez IPCop pour bien connaitre ses revers, mais il est inévitable qu'elle en ait aussi...
Donc, on en revient au poirnt de départ : l'association SME-IPCop est surtout une affaire de goût et de moyens. Celui qui peut avoir deux PC aura tout intérêt à avoir les deux, à moins qu'il ne sache vraiment bien comment configurer le firewall de la SME et qu'il ait besoin de l'argent de la vente de son secont PC ! Mais c'est rarement le cas, et alors - mais c'est un avis tout à fait personnel, et qui correspond à mes besoins spécifiques - la SME ou l'une de ses dérivées l'emportera probablement. sauf, bien sûr, si le besoin n'est que d'une passerelle sécurisée sans service supplémentaire.
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)
Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
-
jibe - Amiral
- Messages: 4366
- Inscrit le: 17 Oct 2003 00:00
- Localisation: Haute Savoie
par sibsib » 23 Déc 2004 22:14
Salut,
Je pense que Jibé a assez bien brossé les différences entre
- services firewall et Internet sur une seule machine
- Services firewall sur une machine, services Internet sur une autre machine.
Perso, j'utilise la première solution, pour raison de coût (je suis chez moi !) et également de compétence : Il est assez 'facile' en utilisant deux plates-formes différentes de créer des trous 'à l'insu de son plein gré'.
Comme le disait Jibé, SME auto ajuste le firewall de SME en fonction des services actifs, et modestement, je fais plus confiance à la communauté SME qu'à moi même pour la sécuristaion chez moi ...
Ceci dit, un avantage non négligeable de la solution en deux machines :
Un nombre non négligeable d'attaques réussies crée en fait un déni de service.
Dans ce cas, le serveur Firewall frontal est 'suicidé', servant du même coup de fusible au serveur en aval qui lui contient des données.
A toi de voir...
A+,
Pascal
Je pense que Jibé a assez bien brossé les différences entre
- services firewall et Internet sur une seule machine
- Services firewall sur une machine, services Internet sur une autre machine.
Perso, j'utilise la première solution, pour raison de coût (je suis chez moi !) et également de compétence : Il est assez 'facile' en utilisant deux plates-formes différentes de créer des trous 'à l'insu de son plein gré'.
Comme le disait Jibé, SME auto ajuste le firewall de SME en fonction des services actifs, et modestement, je fais plus confiance à la communauté SME qu'à moi même pour la sécuristaion chez moi ...
Ceci dit, un avantage non négligeable de la solution en deux machines :
Un nombre non négligeable d'attaques réussies crée en fait un déni de service.
Dans ce cas, le serveur Firewall frontal est 'suicidé', servant du même coup de fusible au serveur en aval qui lui contient des données.
A toi de voir...
A+,
Pascal
Sibsib, admin heureux d'un petit SME !!!
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
-
sibsib - Amiral
- Messages: 2368
- Inscrit le: 11 Mai 2002 00:00
- Localisation: France - région parisienne
par Grand-Pa » 26 Déc 2004 02:21
micjack a écrit:Vos SME, sont en frontal sur le NET ?
Oui, avec plusieurs sites/domaines et pas mal de services accessibles depuis le Net.
J'ai réussi à avoir un uptime de plus de 365 jours (crash matériel au 365ème jour !) et je pense donc que cette solution ne présente pas de risque inconsidéré, si tant est que l'on se soucie un minimum des mises à jour de sécurité et que l'on effectue régulièrement des sauvegardes.
Je sais, ce sont des évidences pour tout admin, mais j'en connais qui n'auront que leurs yeux pour pleurer le jour où ils tomberont sur un p'tit con qui s'y connaitra un peu plus que la moyenne.
Et hop, finis les galons !
-
Grand-Pa - Vice-Amiral
- Messages: 728
- Inscrit le: 08 Avr 2002 00:00
- Localisation: Gap, France
par guytou » 26 Déc 2004 11:54
Salut
j'ai une 30ene de sme qui tournent en frontal sur le net avec en general les port 80 110 443 22 21 20 ouverts.
pas de pb execepte des incoherences des utilisateurs finaux (mais bon ce n'est pas fort knox).
A+
j'ai une 30ene de sme qui tournent en frontal sur le net avec en general les port 80 110 443 22 21 20 ouverts.
pas de pb execepte des incoherences des utilisateurs finaux (mais bon ce n'est pas fort knox).
A+
Et pourtant elle tourne . (galilée)
-
guytou - Contre-Amiral
- Messages: 438
- Inscrit le: 02 Oct 2002 00:00
- Localisation: haute-savoie
9 messages
• Page 1 sur 1
Retour vers E-Smith / SME Server
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité