Ipcop pour petite structure mais pour les grosses?

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Ipcop pour petite structure mais pour les grosses?

Messagepar kabouns » 13 Oct 2005 13:15

Salut,

Je me demandais si ipcop était un produit destiné uniquement au PME ou alors aux grosses boites?
Si ca reste pour les petites structures pourquoi?
kabouns
Premier-Maître
Premier-Maître
 
Messages: 55
Inscrit le: 11 Oct 2005 12:15

Messagepar SNORK » 13 Oct 2005 15:09

Un DSI qui veux se faire mousser préfèrera avoir du Cisco plein la bouche plutot que : Tu prends un vieux PC, tu fait un CD en 10 mn et 15 mn plus tard, tu bidouilles en étant Matelot sur IXUS !

Comment mettre ça dans un shéma directeur !




:D :D :D :D :D :D
Avatar de l’utilisateur
SNORK
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 246
Inscrit le: 12 Mars 2003 01:00
Localisation: Asnières

Messagepar kabouns » 13 Oct 2005 17:08

Ouai je suis d'accord mais au niveau des performances par exemple un firewall nokia (vi ca existe et c'est pas mal) c'est mieux qu'ipcop?
kabouns
Premier-Maître
Premier-Maître
 
Messages: 55
Inscrit le: 11 Oct 2005 12:15

Messagepar jdh » 13 Oct 2005 17:35

Les firewalls Nokia embarquent (embarquaient ?) une version adaptée de CheckPoint.

Il est vraisemblable que ce produit est très valable, tant en terme de sécurité qu'en performance.


Mais si la question est "est ce que c'est mieux ?", il est clair que cette question est forcément sans réponse. Cela n'a aucun sens de dire "c'est mieux" : la sécurité est remplie ou non, un point c'est tout. Et encore il faut considérer que la sécurité est le niveau de risques que l'on accepte. Et encore un IPCOP piloté par un spécialiste bien averti sera toujours moins risqué (à défaut de dire mieux) qu'un Nokia posé par un ingé système et réseau qui n'y connait rien.

Il est aussi vraisemblable que des systèmes commerciaux soit étudiés notamment pour des architectures évoluées : résistances aux pannes matériels, load balancing, ...

Par contre, il est clair que ce type de produit commercial dispose d'un support professionnel (et couteux). Pour IPCOP, il doit être possible de trouver des sociétés capable de fournir cette qualité de support (grace à des gens qui pourrait être, ou sont, de bons contributeurs d'Ixus). Mais généralement, c'est l'informaticien de la société qui apprend en installant le produit.

Il est tout aussi clair qu'un DSI choisira toujours un produit commercial s'il n'y connait rien, s'il n'a pas confiance dans son spécialiste réseau, s'il ne veut pas se le faire reprocher, ou les 3. "Je ne comprends pas, j'avais choisi Microsoft" ou encore "je ne comprends, j'avais choisi un polytechnicien" ou encore "je ne comprends pas, j'ai voté pour un énarque".
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Zimt » 15 Oct 2005 12:09

C'est vrai que le coup du ieux PC n'est pas top mais tu peux toujours te rabbatre sur une workstation IBM toute carré et toute noir (j'adore ces séries :)) pour mettre un IpCop bien configuré, et avec le curseur de console qui clignote à l'écran (14" si possible, ça fait super roots :p) tu sorte un joli : "oui monsieur, c'est le routeur en question".
Bien sure le chaland verra le logo IBM et tu passeras pour un grand master lol... enfin je rigole mais j'ai déjà fait ça chez un client (un industriel multi-national) et ça à super bien fonctionné.

Mais attention, comme dis SNORK, si tu veux adopter ce type de solution il faut savoir bien configurer IpCop et ne pas se contenter de l'installation de base (même si elle est déjà pas si mal).

A part ça c'est bien connu que IpCop est utilisé même dans certaines agences bancaires...
Zimt
Second Maître
Second Maître
 
Messages: 32
Inscrit le: 24 Sep 2005 20:52

Messagepar J-J » 15 Oct 2005 15:13

Zimt a écrit:mais j'ai déjà fait ça chez un client (un industriel multi-national) et ça à super bien fonctionné.

Mais attention, comme dis SNORK, si tu veux adopter ce type de solution il faut savoir bien configurer IpCop et ne pas se contenter de l'installation de base (même si elle est déjà pas si mal).

A part ça c'est bien connu que IpCop est utilisé même dans certaines agences bancaires...

Tu peux nous en dire plus sur "ne pas se contenter de l'installation de base"

Que pourrais tu nous suggérer de plus ?

Merci.
J-J
Major
Major
 
Messages: 81
Inscrit le: 18 Juil 2005 21:49

Messagepar Gandalf » 15 Oct 2005 15:22

J-J a écrit:Que pourrais tu nous suggérer de plus ?


D'installer un module qui bloque tout en sortie ( BOT je crois ) par exemple ! Car la politique d'IPCOP de tout laisser sortir est un peu dangereuse en entreprise quand même !
/G.
Avatar de l’utilisateur
Gandalf
Amiral
Amiral
 
Messages: 1980
Inscrit le: 22 Août 2002 00:00
Localisation: Strasbourg

Messagepar dsbsystem » 15 Oct 2005 18:22

Gandalf a écrit:
J-J a écrit:Que pourrais tu nous suggérer de plus ?


D'installer un module qui bloque tout en sortie ( BOT je crois ) par exemple ! Car la politique d'IPCOP de tout laisser sortir est un peu dangereuse en entreprise quand même !


Entièrement d'accord et d'installer peut être aussi P2Pblock ainsi que Urlfilter ou Squidguard ...

Big brother is watching you !!
Plusieurs IPCOP V. 1.4X +( trop ?) nombreux addons ...
Avatar de l’utilisateur
dsbsystem
Contre-Amiral
Contre-Amiral
 
Messages: 404
Inscrit le: 18 Juin 2004 15:59
Localisation: Lorraine

Messagepar Gandalf » 15 Oct 2005 19:03

dsbsystem a écrit:Entièrement d'accord et d'installer peut être aussi P2Pblock ainsi que Urlfilter ou Squidguard ...


Pourquoi pas ( P2P block en entreprise ? ), mais je pense qu'il faut séparer le plus possible les services dans ces cas là, donc installer un proxy en aval d'ICPOP et laisser IPCOP uniquement en firewall !
/G.
Avatar de l’utilisateur
Gandalf
Amiral
Amiral
 
Messages: 1980
Inscrit le: 22 Août 2002 00:00
Localisation: Strasbourg

Messagepar Zimt » 16 Oct 2005 02:03

Il y à aussi Guardian ;)
Zimt
Second Maître
Second Maître
 
Messages: 32
Inscrit le: 24 Sep 2005 20:52

Messagepar dsbsystem » 16 Oct 2005 08:55

Gandalf a écrit:
dsbsystem a écrit:Entièrement d'accord et d'installer peut être aussi P2Pblock ainsi que Urlfilter ou Squidguard ...


Pourquoi pas ( P2P block en entreprise ? ), mais je pense qu'il faut séparer le plus possible les services dans ces cas là, donc installer un proxy en aval d'ICPOP et laisser IPCOP uniquement en firewall !


Bonjour,

Pour P2Pblock en entreprise : je suis surpris de constater que dans nombre de TPME -PME PMI les utilisateurs de PC ont des droits Admin local c'est à dire à peu près n'importe quoi installé sur les PC, car peu ou pas de contrôle soit par manque de temps, de connaisances, de moyens ou ... de motivation !

Pour le reste, à nouveau d'accord : IPCOP utilisé en tant que Firewall et uniquement Firewall puis un second niveau de filtrage dédié de type proxy webfiltering antivirus de flux ( c'est déjà beaucoup !)

C'est un peu pourquoi j'ai cherché en vain à désactver la fonction firewall routeur d'un hypothétique 2ème Ipcop placé après le premier afin de scinder les tâches et d'utiliser ce 2 ème Ipcop comme webfiltering -antivirus de flux antispam (P2PBlock-Timelimit- Copfilter+ Urlfilter + Advproxy ou Squidguard)

Hormis des produits tiers installés après Ipcop,( (serveurs passerelle ou appliance ) quelqu'un a t-il déjà tenté et réussi à interfacer de la sorte 2 Ipcop et si oui, comment et quelles règles firewall à faire sauter afin déviter du Nat sur Nat ?

Bon Week End
Plusieurs IPCOP V. 1.4X +( trop ?) nombreux addons ...
Avatar de l’utilisateur
dsbsystem
Contre-Amiral
Contre-Amiral
 
Messages: 404
Inscrit le: 18 Juin 2004 15:59
Localisation: Lorraine

Messagepar leso » 16 Oct 2005 10:32

en pratique tu veux passer du nat a un pont filtrant , tu remets toute l'architecture d'ipcop en défaut...
mieux vaut se prendre une petite débian avec webmin et les logiciels que l'on veut , a mon avis tu iras plus vite
MCITP Windows Server 2008, Enterprise Administrator
MCITP Windows Server 2008, Server Administrator
MCITP Exchange 2007 Enterprise Messaging Administrator
Avatar de l’utilisateur
leso
Vice-Amiral
Vice-Amiral
 
Messages: 648
Inscrit le: 03 Avr 2003 00:00
Localisation: Paris

Messagepar Gesp » 16 Oct 2005 19:26

Pour répondre directement à la question ,je pense que les besoins des petites ou d'une grande entreprise ne sont pas les mêmes.

Une grande entreprise a besoin d'outils qui puisse se manager à distance, en groupe, ce qui n'est pas disponible dans IPCop mais peut se faire par un script visitant la liste des sites en ssh.

Et puis dans une grande entreprise, la sécurité est à couche multiples. Si squid n'est pas tout à fait à jour, on peut espérer que d'autres points du réseau protègent contre les vulnérabilités de squid.
Alors que dans une entreprise ou un seul outil gère la sécurité, il vaut mieux qu'il soit à jour!

Dans ma boite qui est dans les premiers budgets informatiques de France (ce qui n'est pas nécessairement un critère pour juger de l'efficacité), si j'en crois la bannière, squid est encore en version 2.5.stable7 ou stable4 suivant le proxy utilisé, alors qu'IPCop en est à 2.5.stable10.
Et même si c'est sous un BSD pour être plus sécurisé, vu le retard de mise à jour, je doute que le résultat global puisse être meilleur.
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar VXgas » 17 Oct 2005 23:53

Salut,

Tu as également MNF comme produit qui est pas mal mais l'interface est assez moche et lente.

Tu as Endian Firewall basé sur l'Ipcop. Mais mieux vaut un bon IPcop customisé (dans une certaine limite sinon la securité risque d'en patir si des failles apparaissent du fait de l'ajout d'addons).

Mais comme le disait quelqu'un juste avant, la sécurité est une question de point de vu et de sous.
Si l'entreprise a du fric à des données sensibles et ne veut pas se poser de question elle achète un truc hitech (arkoon par exemple) éprouvé avec toute les options et le fait gérer par un prestataire extérieur dont c'est le boulot : l'administrateur ne prend aucun risque et si ya un pépin c'est la faute du prestataire. Mais même ça ça reste un peu simplet car une vrai sécurité comporte des sous réseaux et plusieurs pare-feu.

Si l'administrateur a de très bonne connaissance de réseau et sécurité, il s'installe ça propre solution en veillant à ce quelle soit toujours à jour. Il peut développer des points d'écoute pour snort ou Prelude bien configurer. Les problèmes (fuites d'informations/données)viennent souvent de l'intérieur du réseau et non de l'extérieur.

Enfin bref... Faut trouver le bon rapport "niveau de données sensible"/cout d'investissement/solution à envisager.

-= VX =-
Avatar de l’utilisateur
VXgas
Aspirant
Aspirant
 
Messages: 104
Inscrit le: 03 Fév 2004 01:00

Messagepar Zimt » 18 Oct 2005 02:51

C'est vrai que le plus frustrant dans un choix technique de ce genre, c'est que l'on se bat contre une sorte "d'ennemi" invisible, principalement éxterne.
Ou encore pire, des manipulations faite de l'intérieur par divers moyens (comptes, stockage, keylog, etc..), où la plus grosse erreur est peut être que beaucoup d'administrateurs sous-estimes les employés de la boite dont ils s'occupent.

Bref, tout ça pour dire (comme c'est entrevue plus haut) que la sécurité informatique d'une société ne démarre et ne s'arrete pas à la liaison interne/externe de son système de routage aussi bon soit-il (là j'invente rien), même si IpCop reste actuellement une référence en la matière ;)

Cordialement.
Zimt
Second Maître
Second Maître
 
Messages: 32
Inscrit le: 24 Sep 2005 20:52

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité