SME+Ipcop : Précisions sur mon point de vue (suite)

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

SME+Ipcop : Précisions sur mon point de vue (suite)

Messagepar jibe » 20 Sep 2005 23:52

Salut,



La querelle d'experts qui a eu lieu sur mon précédent topic sur le sujet ayant réussi à me faire douter de moi-même, je pense qu'agecanonix a raison lorsqu'il dit que cette bataille n'aura probablement réussi qu'à laisser croire aux moins experts qu'eux que la SME ne peut pas à elle seule apporter un niveau de sécurité suffisant dans bien des cas :
agecanonix a écrit:Vos belles théories, Messieurs, semblent seulement prouver que la SME est un système dangereux parce que pas sécurisé. C'est du moins ce que comprendront les non-spécialistes qui espéraient enfin avoir trouvé une bonne (ce qui ne veut effectivement pas dire parfaite) distrib pour assurer les services de serveur et de passerelle internet dont ils ont besoin.

Je pense donc nécessaire de relativiser ce qui s'y est dit et de répéter quelques vérités :
  • La SME est conçue pour être employée seule en frontal sur le web en apportant un niveau de protection suffisant dans un grand nombre de cas.
  • Son système de templates n'est certes pas inviolable mais amène une protection supplémentaire qui augmente nettement le niveau de sécurité par rapport à un système non templatisé.
  • La génération automatique de son firewall rend très délicate l'association avec un routeur-firewall séparé
  • Le risque zéro n'existe pas, il faut savoir adapter le risque à ses besoins
  • La sécurité n'est pas basée uniquement sur un bon firewall et l'architecture réseau mais aussi sur les sauvegardes, une saine discipline d'utilisation et d'administration du système, une saine politique de maintenance du matériel, la lutte contre les virus, la protection des émissions radio et autres rayonnements (j'oublie certainement d'autres points, peut-être certains importants comme la protection physique des serveurs) et le système informatique n'aura jamais que le niveau de sécurité du plus faible de ces maillons.
  • La théorie de la séparation des services défendue par les experts dans le troll cité plus haut
    • Apporte lorsqu'elle est correctement mise en oeuvre une sécurité effectivement bien meilleure
    • Necessite des experts pour être mise en oeuvre correctement
    • Enonce que les services doivent être séparés, et donc qu'un serveur de fichiers ne devrait pas être associé à un serveur web, et donc qu'on devrait avoir au minimum la configuration suivante pour qu'elle soit respectée et efficace :
      • Un routeur-firewall
      • Un serveur pour tous les services ouverts sur internet (serveur web, ftp...) dans une vraie DMZ construite en fonction des services hébergés et des échanges nécessaires avec le WAN et le LAN
      • Un serveur pour tous les services réservés au Lan (fichiers, BDD internes etc)
    • Est impossible ou très difficile à mettre en oeuvre avec des serveurs dont le firewall est généré automatiquement.
    • Peut créer d'énormes failles si elle n'est pas mise en oeuvre correctement et s'avérer finalement pire que le tout-en-un
  • La SME apporte souvent un niveau de sécurité déjà bien supérieur au matériel qu'elle remplace, installé souvent petit à petit et sans aucune politique de sécurité ou une politique de sécurité mise en place par quelqu'un d'insuffisemment compétent dans ce domaine.


Ceci dit, chacun est libre de choisir l'architecture qui lui parait la mieux adaptée aux besoins dans la mesure où il est certain d'avoir ou de pouvoir obtenir les compétences requises pour configurer l'ensemble. La SME a été conçue pour répondre à certains cas, pas à tous ! La simple logique dicte de l'employer telle qu'elle a été conçue là où elle répond aux besoins, et de lui préférer d'autres distribs mieux adaptées dans les autres cas.

A ceux qui envisagent d'utiliser la SME dans une architecture réseau autre que celle pour laquelle elle a été prévue, pensant ainsi apporter la meilleure réponse à leurs besoins, je ne peux que les encourager, avant de fixer leur décision de lire attentivement les conseils de gnujpl et de réfléchir aux points non évoqués dans la bataille d'experts dont quelques-uns sont cités dans ce topic (liste non exhaustive), afin de décider en toute connaissance de cause et non en fonction d'impressions ou de belles théories mal adaptées à leur cas.

[edit]
Après presque deux ans et 137 posts de débat stérile, j'ai émis le souhait qu'un nouveau sujet soit ouvert pour ceux qui veulent débattre de solutions pour TPE, SOHO, réseau perso simples, économiques et sans casse-tête, et que ceux qui souhaitent débattre de la SME dans un réseau plus complexe aient eux aussi leur sujet. J'explique cela plus en détails dans ce post.
[/edit]
Dernière édition par jibe le 30 Mai 2007 01:30, édité 2 fois au total.
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar Gandalf » 21 Sep 2005 10:09

Modérez vos réponses s'il vous plait :wink: !
/G.
Avatar de l’utilisateur
Gandalf
Amiral
Amiral
 
Messages: 1980
Inscrit le: 22 Août 2002 00:00
Localisation: Strasbourg

Messagepar jibe » 21 Sep 2005 21:24

Salut,

Gandalf a écrit:Modérez vos réponses s'il vous plait :wink: !

:lol: J'espère m'y être un peu moins mal pris que l'autre fois...

En fait, je n'ai rien contre les débats d'idées, au contraire. Mais en respectant le contexte, c'est mieux : un artisan ou une PME n'a ni les besoins ni les moyens d'une grande industrie... :wink:
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar Gandalf » 22 Sep 2005 08:38

Je pense que tu t'y es très bien pris, et de toute façon tes posts sont toujours très argumentés et très respecteux ! Mais ce n'est pas le cas de tout le monde ....
/G.
Avatar de l’utilisateur
Gandalf
Amiral
Amiral
 
Messages: 1980
Inscrit le: 22 Août 2002 00:00
Localisation: Strasbourg

Messagepar sibsib » 22 Sep 2005 21:38

Salut,

Ji-Bé, les grandes idées se rejoignent une fois de plus :-)

Je pensais rouvrir cette discussion ce soir. En effet, bien que peu présent en post sur ce thread (très intéressant à mon avis), je l'ai lu avec attention.

Et j'en étais arrivé à la même conclusion que toi :

Si on raisonne séparation de service pour augmenter la sécurité, alors :
Une machine fait uniquement le 'firewall', et n'embarque aucun service accessible de l'extérieur et le minimum vital (pour son administration) accessible de l'intérieur.
Ce firewall donne accès dans une DMZ à une (ou des, mais là on sort je pense d'une mini architecture) machine hébergeant le strict minimum de services, les services devant être atteints depuis Internet (en gros, HTTP/S transfert de fichiers, mail)
Enfin, les données sensibles seront amoureusement stockées sur une troisième machine sur le LAN.
Car, en effet, si le firewall empêche d'atteindre le LAN depuis une machine compromise en DMZ, quel intérêt d'avoir un firewall, si la machine en DMZ stocke tout ce qui peut être intéressant !

Je suppute que c'est ce que voulait dire Franck78, quand il nous disait que IPCOP + SME ne constituait pas une DMZ ?

Donc, (ellipse ;-) ) la discussion architecturale devient à mon sens : SME, ou 3 serveurs (OK, je caricature !)

A vos crayons, vous avez une heure ! (Mais bien sûr, en restant courtois et constructifs, je n'en attends pas moins de gentlemens comme vous)

(Bon, je le dis sur le ton de la deconne, mais sur le fond, je suis sérieux, qu'en pensez vous ?)

A+,
Pascal
Sibsib, admin heureux d'un petit SME !!!
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
Avatar de l’utilisateur
sibsib
Amiral
Amiral
 
Messages: 2368
Inscrit le: 11 Mai 2002 00:00
Localisation: France - région parisienne

Messagepar jibe » 22 Sep 2005 22:39

Salut,

Effectivement, la sécurité n'est absolument pas mon domaine et je n'avais jamais vraiment réfléchi au problème. Simplement, je sentais très mal l'association Ipcop+SME, parce que ça me donnait l'impression d'une usine à gaz et que ça mettait la SME dans un contexte totalement différent de celui pour lequel elle est prévue et donne satisfaction, même s'il est indiscutable qu'on peut toujours faire mieux. Puis mes arguments ont été tellement contestés sans explication satisfaisante pour moi, je me suis mis à douter de moi-même et de ma capacité à comprendre...

Un ou deux posts m'ayant prouvé que j'étais loin d'être faux, je me suis repris puis peu à peu rendu compte combien le débat avait tourné au troll en oubliant toute logique, y compris dans la théorie avancée pour défendre l'association que je contestais (et conteste encore plus qu'avant :lol: :wink: ). Et aussi que de nombreux autres points tout aussi importants que le firewall avaient été totalement oubliés...

Donc, vous qui pensez monter une Ipcop en amont de votre SME, mettez plutôt le prix du PC qui l'hébergera dans l'achat d'un bon lecteur de bandes pour vos sauvegardes, et l'économie que vous ferez en n'installant pas de wifi qui servira surtout à vous transformer en FAI pour vos voisins pourra vous servir à acheter les cartouches correspondant au dit lecteur :wink:

Ou alors, achetez au moins 3 PC et faites un joli cluster de Debian avec une vraie DMZ, mais là, on passe à un autre niveau bien plus sécurisé certes, mais aussi bien plus complexe. Quant à ceux qui voudraient faire un tel montage avec Ipcop+2 SME, libre à eux. Mais pour coordonner valablement les firewalls, ils devront modifier profondément les SME, à tel point qu'elle n'aura plus de SME que le nom d'origine indiqué sur le splash screen de démarrage ! Et ce ne sera probablement pas plus facile à bien faire qu'avec des Debian, aussi complexes à installer qu'elles soient - quoi qu'en disent leurs défenseurs - :wink:
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar Franck78 » 23 Sep 2005 01:43

jibe a écrit:Salut,

Simplement, je sentais très mal l'association Ipcop+SME, parce que ça me donnait l'impression d'une usine à gaz et que ça mettait la SME dans un contexte totalement différent de celui pour lequel elle est prévue et donne satisfaction, même s'il est indiscutable qu'on peut toujours faire mieux. Puis mes arguments ont été tellement contestés sans explication satisfaisante pour moi, je me suis mis à douter de moi-même et de ma capacité à comprendre...


Jibe, ta SME est toujours associée à quelque chose. Un IPCop, ou autre chose, chez toi ou à l'autre bout de la ligne. Donc quelque soit l'équipement en regard de ta SME, tu auras toujours une 'usine à gaz'. Pourtant, tu n'affaiblira pas ta SME en la réglant, puisque si un réglage lui est permis, c'est qu'il est 'secure' !!!!

Il n'y a pas de contexte qui lui convienne mieux qu'un autre. Enfin bon j'ai un peu de mal a exprimer clairement que ce n'est pas son environnement qui l'affaiblirait mais elle même.

See what I mean ?
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar pkaer » 23 Sep 2005 10:21

Salut,


J'ai lu attentivement le précédent topic ( ce fut assez long car qq fois très hermétique) et je voulais juste apporter mon soutien à Jibe pour son approche pragmatique du problème........et à Tomtom pour son "purisme" qui nous ramene à quelques bases que l'on a tendance à oublier.

Je ne suis pas le dernier à utiliser une archi IPCop + SME et comme il l'a été dit, la limitation se trouve dans nos capacités à gérer, dans ce cas, la cohérence des règles. Cest pas seulement un problème de compétences mais aussi un problème de disponibilité et de réactivité.

Maintenant, pour le vivre sur le terrain, de nombreuses TPME-TPMI (voir PME-PMI), n'ayant pas de ressources informatiques internes et utilisant des connexions haut débit (de type professionel ou non), ne sécurisent même pas physiquement l'accès à leurs serveurs . On peut alors définir toutes les règles de sécurité que l'on veut sur le firewall, il sera toujours plus simple pour un malveillant de casser un carreau et de partir avec le serveur sous le bras.
En résumé, le risque physique de vol des données (par le biais du vol de serveur) est je crois plus grand que celui du vol de données par le craquage d'un firewall que se soit un modem-firewall, un IPCop, une SME ou une SME+IPCop. A cela ont peut ajouter que l'"attaquant" d'un Firewall ne sait pas forcement à priori si les données auxquelles il va (peut-être) avoir accès sont intéressantes ou non alors que le vol d'un serveur se fera de manière plus ciblée pour l'intéret du matériel volé ou pour celui des données qu'il contient (connaissance de l'entreprise).

@+
PK
Avatar de l’utilisateur
pkaer
Vice-Amiral
Vice-Amiral
 
Messages: 624
Inscrit le: 28 Avr 2003 00:00
Localisation: Rennes - Bzh

Messagepar jibe » 23 Sep 2005 20:23

Salut,

Franck78 a écrit:ce n'est pas son environnement qui l'affaiblirait

Attention : je ne suis pas assez calé en matière de firewall pour affirmer cela, et ne l'ai jamais fait. Je prétends simplement que l'association rend beaucoup plus complexe le réglage de l'ensemble, et ne peut donc amener que des inconvénients à moins qu'elle ne soit réalisée par des gens qui savent parfaitement bien ce qu'ils font, donc ne faisant pas partie du marché visé par la SME.

J'aimerais d'ailleurs bien que toi ou tomtom m'expliquiez comment une Ipcop peut protéger une SME attaquable selon vous par son serveur web (ce en quoi je ne vous donne pas vrament tort). Il faudra bien régler l'Ipcop pour laisser libre accès au flux que cela entraine, donc la SME pourra toujours être attaquée, ce que d'ailleurs vous ne niez pas. Donc, à supposer que j'ai pu obtenir un accès root via le serveur web, en quoi l'Ipcop protégera-t-elle les données contenues dans la SME ??? Il ne me sera pas plus difficile de faire sauter le firewall de l'Ipcop que de modifier les templates de la SME placée en frontal, donc non seulement la difficulté supplémentaire n'est qu'équivallente, mais en plus je me fous royalement du firewall de l'Ipcop ! Il ne me gêne absolument pas pour détruire les données contenues dans la SME ou les envoyer par un mail que l'Ipcop laissera partir sans la moindre difficulté...

Quant à l'environnement qui n'affaiblit pas la SME, pkaer vient de démontrer comment l'environnement physique y parvient. Comme le serveur emporté n'avait bien évidemment pas été sauvegardé depuis plusieurs moi, empêchant toute remise en route sur un nouveau matériel, je démontre ainsi que l'environnement humain affaiblit lui aussi la SME :lol:

Quant au fait qu'une Ipcop ou tout autre firewall placé en amont ne peut en aucun cas (même bricolage par un apprenti sorcier, le danger que je ne cesse de dénoncer, comme d'ailleurs un nombre impressionnant de posts dans ce forum) affaiblir la SME, le moins qu'on puisse dire est que tout le monde n'est pas de ton avis. De toutes façons, ça ne la renforce que dans certains cas bien précis, totalement hors de l'utilisation pour laquelle la SME a été prévue, et donc hors sujet ici. Donc, dans le cadre qui nous intéresse, l'association au mieux n'apporte rien au niveau de la sécurité, et il vaut bien mieux, plutôt que de faire une usine à gaz (je maintiens...), chercher les points les plus faibles au niveau sécurité. Le firewall est loin d'en être un !
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar sibsib » 23 Sep 2005 21:03

Salut, tous,

@jibé (que je cite en raccourci)
jibé a écrit:Quel intérêt de mettre un IPCOP en frontal de SME si SME est cracable en HTTP (ce que IPCOP laissera passer) et si SME une fois craquée se fait détruire toute ses données ?


C'est un peu ce que je voulais dire hier : IPCOP + un serveur en DMZ pour les services Internet + un serveur interne qui stocke les données sensibles, çà parait cohérent : on en met pas tous les oeufs dan le même panier, et, en l'occurence, les oeufs les plus fragiles sont dans une boite à double paroi.

Pour aller plus loin en ce sens : l'architecture pro dans laquelle je vis (avec environ 300 serveurs en tout, donc on ne joue pas dans la même cour non plus !) est encore bien plus complexe : 2 niveaux de firewall (en archi différentes) et plusieurs DMZ, avec comme principe de base : internet -> FW - serveur de présentation -> FW -> FW -> Serveur d'application -> FW -> serveur de données, et jamais deux fois le même protocole sur la chaine (sinon, çà sert à rien !).
Mais il s'agit là d'une archi qui justifie à elle seule une équipe dédiée (pas à temps plein, mais quand même).

Mais IPCOP + une SME en DMZ qui assure à la fois les services internes et externes (et qui est donc autant accessibles qu'une SME en frontal -si l'on fait la supposition que dans les deux archis, seuls les services souhaités sont ouverts ), je ne vois pas le gain de sécu.

Mais je n'affirme rien (bon si, un peu, je reconnais :-) :-) :-) ) et je poste ici pour connaitre d'autres points de vues.

A+,
Pascal
Sibsib, admin heureux d'un petit SME !!!
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
Avatar de l’utilisateur
sibsib
Amiral
Amiral
 
Messages: 2368
Inscrit le: 11 Mai 2002 00:00
Localisation: France - région parisienne

Messagepar Nemric » 25 Sep 2005 13:05

Salut, :idee:

pour ma curiosité, vu que je ne suis pas pro, pouvons nous partir de chose simples ?

j'ai relevé les postulats suivants ( a valider, compléter et/ou démonter ) :

- plus il y a de services sur une passerelle/firewall plus elle est (potentiellement) vulnerable. et techniquement rendre vulnerables les zones protégées ... en cas de prise de control du firewall (possible ?)

- il vaut mieu ne pas avoir son serveur de données importantes ou confidentielles sur son serveur http, ftp, ... public, mais sur un serveur de données dans le LAN

- une dmz empeche les communications entre elle même et le LAN dans le sens dmz --> lan

- les attaques etant applicatives, un serveur sme est aussi vulnerables (potentiellement) avec ou sans firewall en amont puisque le ou les ports uliles a l'accés sont ouverts.

- pour utiliser un firewall/routeur il faut avoir un minimum de connaisances : liste non exhaustive mais c'est ce que je sais ;)
    - connaitre les n° de ports associées aux services, ex 21, 25, 53, 80, 445, ...
    - savoir router les adresses et les ports
    - savoir limité si besoin l'acces a une seule ou une plage d'IPs
    - savoir si c'est de l'udp ou du tcp sur ip
    - savoir utiliser un vpn pour le plus secur' des cas, avec, pour les puristes, un serveur d'authentification


sachant que j'ignore comment SME gere la dmz, puisque le debat tourne + ou - autour de cette zone. pour moi sauf erreur, il s'agit dune dmz logique (<> physique (bien que ...) ), plus ou moin sure (?), plus gestion des droits d'accés en lecture/ecriture. corrigez moi si je me trompe :oops:

En lisant la caricature de sibsib
SME, ou 3 serveurs (OK, je caricature !)
bien expliquée plus tard qui colle tres bien avec ce que dit jibe
Quel intérêt de mettre un IPCOP en frontal de SME si SME est cracable en HTTP (ce que IPCOP laissera passer) et si SME une fois craquée se fait détruire toute ses données ?


pouvons nous tombé d'accord sur :

- SME est parfaite en frontal, si on y stocke pas de données "vitales"
- sinon, il vaut mieu une dmz physique (un routeur/firewall de plus) séparant bien le(s) serveur(s) vitaux du ou des serveur public par un 2ème mur ( le "firewall" dmz -> Lan ](*,) ) pour le pire des cas

c'est en gros la conclusion qui semble de degager (a mon sens) de tout ce que j'ai lu.

y'a bon ? qu'en pensez vous ?

A bientôt

Nemric
Avatar de l’utilisateur
Nemric
Aspirant
Aspirant
 
Messages: 129
Inscrit le: 01 Fév 2005 20:16
Localisation: Lyon

Messagepar sibsib » 25 Sep 2005 20:46

Bonjour Nemric,

Nemric a écrit:pouvons nous tombé d'accord sur :

- SME est parfaite en frontal, si on y stocke pas de données "vitales"
- sinon, il vaut mieu une dmz physique (un routeur/firewall de plus) séparant bien le(s) serveur(s) vitaux du ou des serveur public par un 2ème mur ( le "firewall" dmz -> Lan ](*,) ) pour le pire des cas


Je suis assez de cet avis, sur un plan purement théorique. Sur un plan plus pratique, je pense (et n'oblige personne à penser comme moi :-) :-) :-) :-) ) que le niveau de sécurité de SME est suffisant pour que je puisse y stocker mes données. Plus exactement : Bien que je tienne à mes petites données, je trouve que pour mon usage, 3 serveurs ou un routeur hard à DMZ (çà existe en 'pas cher' ?) + 2 serveurs c'est trop.

Ceci dit, je crois que maintenant les options possibles sont mieux définies.

Ceci n'a pas pour vocation de clore l'échange, notez bien ;-)

A+,
Pascal
Sibsib, admin heureux d'un petit SME !!!
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
Avatar de l’utilisateur
sibsib
Amiral
Amiral
 
Messages: 2368
Inscrit le: 11 Mai 2002 00:00
Localisation: France - région parisienne

Messagepar gnujpl » 25 Sep 2005 22:54

sibsib a écrit:Bonjour Nemric,

Nemric a écrit:pouvons nous tombé d'accord sur :

- SME est parfaite en frontal, si on y stocke pas de données "vitales"
- sinon, il vaut mieu une dmz physique (un routeur/firewall de plus) séparant bien le(s) serveur(s) vitaux du ou des serveur public par un 2ème mur ( le "firewall" dmz -> Lan ](*,) ) pour le pire des cas


Je suis assez de cet avis, sur un plan purement théorique. Sur un plan plus pratique, je pense (et n'oblige personne à penser comme moi :-) :-) :-) :-) ) que le niveau de sécurité de SME est suffisant pour que je puisse y stocker mes données. Plus exactement : Bien que je tienne à mes petites données, je trouve que pour mon usage, 3 serveurs ou un routeur hard à DMZ (çà existe en 'pas cher' ?) + 2 serveurs c'est trop.

Ceci dit, je crois que maintenant les options possibles sont mieux définies.


Je partagerais assez cet avis de Pascal.

Je rajouterais à la seconde option de Nemric : "et un expert sécurité disponible pour paramétrer et maintenir un niveau de sécurité suffisant".

Mais il me semble surtout que ce débat pourrait s'enrichir d'un petit benchmark pratique auquel je veux bien participer. Par exemple :
1. je donne la configuration d'une situation réelle d'exploitation de SME/Free-EOS
2. un tenant/praticien des solutions IPCop+SME nous donne la configuration correspondante avec les règles de filtrage adhoc (et une idée du temps pour les créer)
3. je communique en retour les règles de filtrage appliquées de mon côté
4. chacun peut comparer et se faire une idée sur les différences de robustesse et de mise en oeuvre des deux solutions

La manip est bien entendue réversible à partir d'une config réelle IPcop +SME.

Des partants ?
Avatar de l’utilisateur
gnujpl
Premier-Maître
Premier-Maître
 
Messages: 48
Inscrit le: 07 Avr 2003 00:00
Localisation: Bzh

Messagepar jibe » 25 Sep 2005 22:58

Salut,

Je prépare ma réponse avant de lire le post de sibsib qui suit le tien, Nemric, juste pour voir si on aboutit ou non aux mêmes conclusions, et surtout pour observer (et donner à observer) les inévitables petites nuances de point de vue.

Nemric a écrit: - SME est parfaite en frontal, si on y stocke pas de données "vitales"
- sinon, il vaut mieu une dmz physique (un routeur/firewall de plus) séparant bien le(s) serveur(s) vitaux du ou des serveur public par un 2ème mur ( le "firewall" dmz -> Lan ](*,) ) pour le pire des cas

Je pense que tu redis effectivement à ta manière ce que sibsib et moi soutenons : SME seule, sinon il faut 3 bécanes pour faire mieux.

Je dirais simplement que ton "si on y stocke pas de données "vitales"" est à mon avis à nuancer. En effet, pour une entreprise, les données sont toujours vitales (à moins qu'il ne s'agisse de stocker sur la SME que des documents de traitement de texte sans grande importance, mais en général on n'installle pas une SME pour cela...). Je dirais que la SME est à rejeter (je maintiens que dans une archi avec serveurs séparés, la SME n'est pas la distrib la mieux adaptée...) lorsque les données atteignent un niveau de confidentialité important.

En efet, si les données sont vitales dans le sens seulement qu'il ne faut pas les perdre, c'est plus d'un bon système de sauvegardes qu'on a besoin que d'un firewall ! Attention, je ne dis pas que le firewall est inutile dans ce cas, simplement que les sauvegardes sont plus importantes. Ce qu'on redoutera surtout ici d'un pirate, c'est la destruction des données et cela, seules les sauvegardes sont capables d'y remédier presque parfaitement. Elles sont de toutes manières indispensables.

Si au contraire on redoute le vol des données pour exploitation d'une quelconque manière ensuite, là il faut à tout prix empêcher le pirate d'y accéder, et dans ce cas effectivement on peut estimer que la SME n'apporte pas un niveau de protection suffisant et qu'il faut quelque chose de beaucoup plus "blindé". On se tournera alors vers une archi plus complexe, mais sûrement pas vers une association Ipcop+SME qui au mieux n'apporte rien de plus qu'une inutile complexité.

Lecture du post de sibsib

Il faudra qu'il me donne des cours de concision : il a réussi à dire clairement en deux lignes ce que j'exprime avec difficulté en 3 paragraphes :lol:
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar Nemric » 26 Sep 2005 10:36

salut,

Je pense que tu redis effectivement à ta manière ce que sibsib et moi soutenons : SME seule, sinon il faut 3 bécanes pour faire mieux.


oui, c'etait pour que tout soit clair dans mon esprit, je suis parti de vos dernier post pour essayer de trouver une suite logique, presque algorithmique en reprenant les arguments de chacuns ...

Je suis assez de cet avis, sur un plan purement théorique


oui, et je pense qu'on restera dans la theorie encore quelques temps, avant d'avoir des exemples pratiques de sme franchement piratées (autre qu'un defacage), derriere un firewall ou non.

theorie relativement simple, pour gnugpl, ma config resea :

internet
|
ipcop -- Zone orange : dmz : avec SME, serveur mail + baies ; un autre serveur http sur IIS en VB.Net
|
zone verte : LAN
Win xp sp2 pour partage de fichiers (importants et confidentiels : photos, relevés bancaires ... ) et partage de connexion en wifi WPA.

je suis tout a fait dans la config 3 becanes pour faire mieu. pas de question de couts, puisque recup de 2 200mmx pour ipcop et sme avec 96 et 128 Mo ram, le 3 eme serveur/pc bureau c'est mon pc "quotidien" allumé 24/h pour folding@home et partage de connexion : connexion de pont pour être précis, les pc qui utilisent le partage ont directement a faire a ipcop ...

au niveau config ? puisque tout tourne autour d'ipcop, et que son interface est tres simple, en 3 clics je redirige les ports 25, 21, http en zone orange, avec une selection d'ip pour les baies.

l'architecture est assez simple et a mon avis tres efficace pour un cout a peine superieur en electricité. cette config ne va pas a tout le monde mais curieusement, etant fauché, c'est la moin cher que j'ai trouvé en fonction de ce que j'avais ;)

Nemric
Avatar de l’utilisateur
Nemric
Aspirant
Aspirant
 
Messages: 129
Inscrit le: 01 Fév 2005 20:16
Localisation: Lyon

Suivant

Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Google [Bot] et 1 invité

cron