SME derrière IPCOP

[bouby6killer]

Salut à tous !

Utilisateur d'IPCOP, je suis désormais intéressé par les services de E-SMITH, mais étant plutôt du genre parano, je suis réticent à l'idée d'utiliser le mode serveur + passerelle pour remplacer mon IPCOP...

J'ai vu que certains avaient installé SME derrière IPCOP, ce qui pourrait me convenir.

Mais est-ce réellement utile en matière de sécurité ?
Et est-ce que celà ne gêne pas le fonctionnement des services de SME ?

Et enfin, si le serveur SME est déclaré en DMZ sur IPCOP, et qu'il ne fonctionne qu'en mode serveur, sera-t'il sécurisé ou non ?

Merci de partager votre expérience pour m'aider à faire le meilleur choix

[Grand-Pa]

Mais est-ce réellement utile en matière de sécurité ?
Et est-ce que celà ne gêne pas le fonctionnement des services de SME ?

Et enfin, si le serveur SME est déclaré en DMZ sur IPCOP, et qu'il ne fonctionne qu'en mode serveur, sera-t'il sécurisé ou non ?

Je n'ai jamais mis de SME derrière IPCOP, mais dans l'ordre je dirais que :
- c'est un plus : si SME est en DMZ et qu'il est piraté, il ne sera pas une passerelle pour compromettre ton réseau local. Le risque est minime, mais on a déjà vu des serveurs attaqués sur les failles de certains modules additionnels

- si SME est en DMZ, ça ne gènera en rien

- en DMZ + fonctionnement en serveur seul = pas de sécurité. Il faut donc soit filtrer les ports à destination de SME sur IPCOP + SME en serveur seul OU SME en DMZ + fonctionnement en serveur et passerelle, même s'il n'y a rien sur la 2ème interface réseau.
Problème dans ce 2ème cas pour accéder aux ressources prévues pour n'être vues que du réseau local (donc sur la 2ème interface réseau).

[bouby6killer]

Grand-Pa !! Ca me disait quelque chose...
C'est sûrement parce que j'ai passé l'après-midi sur http://www.sme-fr.homelinux.net (fo po le dire à mon patron).
Franchement très bien le site, j'ai bien été guidé pour ma première "installation test"
Merci pour toutes ces infos...

Mais fini la léchouille
si je comprends bien, l'idéal pour moi est de laisser le serveur SME sur l'interface GREEN d'IPCOP, pour le configurer en tant que serveur seul...

Quelqu'un peut-il me confirmer que dans cette configuration, la fonction contrôleur de domaine sera dispo?

[Grand-Pa]

Le problème, si SME est en zone verte ET qu'il est accessible depuis l'extérieur ET qu'il se fait pirater, c'est toute la zone verte qui est compromise.
C'est pour cela que les serveur publiques sont toujours en DMZ (ou qu'ils devraient l'être )

En fait, l'important est de savoir où tu places la barrière de la sécurité et jusqu'où tes moyens (humains, matériels et financiers) te permettent d'atteindre tes objectifs de sécurité.
En fonction de cela, tu peux avoir plusieurs approches différentes : du moins cher (SME en front, ton réseau local directement derrière), jusqu'à l'extrême que l'on utilise au boulot (un réseau pro complètement indépendant + un réseau internet avec sas d'E/S + sas antivirus entre les deux), en passant par une solution IPCOP + SME en DMZ + SME en zone verte (éventuellement)

Sinon, le contrôleur de domaine fonctionnera forcément si tu as un SME dans la même zone que tes postes de travail.

[moosei]

salut
Pour ma culture perso qu'est la dmz??




merci

[Yoda]

slt

DeMilitaryzedZone...-->dmz

http://www.securite.teamlog.com/publication/7/13/76/

a+