slt a tous
voila je dois mettre en place un projet et j'aimerai savoir si cela est possible grace a sme,
alors voila je travail pour un cabinet d'assurance qui a deux agences + le siege, le but etant de syncroniser les serveurs de mes deux agences avec les données du siege.
c'est a dire mon serveur principal (situé au siege) envoie tous les soirs a 22h les modifications de ma base de données sur un ftp, et mes serveurs des deux agences se connectent tous les jours a 1h00 du matin sur le ftp pour redessendre ces informations.
Sachant que, que ce soit du cote de mon serveur du siege ou du cote de mes agence, l'envoi et le telechargement de donnée et géré via un logiciel spécifique. Je souhaiterais me servir de sme pour monter mon ftp, cela est il possible dans ce cas concret ? en gerant bien sur les droits de connexion de mes trois autres serveurs.
Pour cela il faudrai creer une simple ibaie avec des autorisations ? faut il que mon sme soit dans le meme domaine que mes autres serveurs ?
Faudrait il mieux le proteger derriere un ipcop ????
voila j'espere avoir été assez claire sinon n'hésitez pas a me demander.
a++
Transfert via ftp
Modérateur: modos Ixus
6 messages
• Page 1 sur 1
Transfert via ftp
par jaguardhs » 04 Fév 2006 01:10
- jaguardhs
- Premier-Maître
- Messages: 65
- Inscrit le: 24 Jan 2005 20:04
par ohmbar » 04 Fév 2006 13:43
Oui tu crées un espace ftp en créant une ibay avec les bons paramètres.
Par contre tu dois faire des choix au niveau de la sécurité (on peut faire certaines combinaisons) :
- filtrage par adresse : tu n'autorises que certaines IP à accéder au service (iptable/xinetd)
c'est pas mal pour commencer, mais n'importe qui peut se faire passer pour un autre au niveau IP...
- ouverture du service à certains horaires uniquement (xinetd)
ca peut limiter des accès non voulus
- authentification faible par mot de passe en clair sur le grand terNET....
pas bien
1- accès chiffré à travers un VPN (login/pwd fort! : chiffres+caractères accentués...)
2- authentification forte par paire de clef (tunnel SSH) :
confidentialité des données car chiffrement
intégrité des données
avantage de 1- et 2- : pas besoin d'un ftp ouvert sur le grand terNET !! ah c bon ça
Avant d'entamer la réalisation, faut faire des choix...
Par contre tu dois faire des choix au niveau de la sécurité (on peut faire certaines combinaisons) :
- filtrage par adresse : tu n'autorises que certaines IP à accéder au service (iptable/xinetd)
c'est pas mal pour commencer, mais n'importe qui peut se faire passer pour un autre au niveau IP...
- ouverture du service à certains horaires uniquement (xinetd)
ca peut limiter des accès non voulus
- authentification faible par mot de passe en clair sur le grand terNET....
pas bien
1- accès chiffré à travers un VPN (login/pwd fort! : chiffres+caractères accentués...)
2- authentification forte par paire de clef (tunnel SSH) :
confidentialité des données car chiffrement
intégrité des données
avantage de 1- et 2- : pas besoin d'un ftp ouvert sur le grand terNET !! ah c bon ça
Avant d'entamer la réalisation, faut faire des choix...
- ohmbar
- Second Maître
- Messages: 37
- Inscrit le: 10 Déc 2004 19:06
par sibsib » 04 Fév 2006 22:17
Hello,
Tu sors çà d'où ?
Le IP spoofing est effectivement facile à faire au niveau d'une adresse source (envoyer des paquets depuis a.B.C.D à E.F.G.H en se faisant passer pour X.Y.Z.T) mais la capacité d'exploiter le paquet retour, c'est un autre problème !
Pourquoi ? Parce que que E.F.G.H, pensant s'adresser à X.Y.Z.T va renvoyer un paquet honnete et les diffrents routeurs en chemin vont effectifment envoyer le paquet à X.Y.Z.T (Qui, au demeurant, en recevant un paquet réponse TCP/IP qui ne correspond à aucune session n'en fera rien).
J'aimerai bien savoir comment faire ceci...
A+,
Pascal
ohmbar a écrit:tu n'autorises que certaines IP à accéder au service (iptable/xinetd)
c'est pas mal pour commencer, mais n'importe qui peut se faire passer pour un autre au niveau IP...
Tu sors çà d'où ?
Le IP spoofing est effectivement facile à faire au niveau d'une adresse source (envoyer des paquets depuis a.B.C.D à E.F.G.H en se faisant passer pour X.Y.Z.T) mais la capacité d'exploiter le paquet retour, c'est un autre problème !
Pourquoi ? Parce que que E.F.G.H, pensant s'adresser à X.Y.Z.T va renvoyer un paquet honnete et les diffrents routeurs en chemin vont effectifment envoyer le paquet à X.Y.Z.T (Qui, au demeurant, en recevant un paquet réponse TCP/IP qui ne correspond à aucune session n'en fera rien).
J'aimerai bien savoir comment faire ceci...
A+,
Pascal
Sibsib, admin heureux d'un petit SME !!!
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
-
sibsib - Amiral
- Messages: 2368
- Inscrit le: 11 Mai 2002 00:00
- Localisation: France - région parisienne
par ohmbar » 04 Fév 2006 22:54
Je maintien qu'on peut se faire passer pour un autre pour accéder à un service, et pouquoi pas faire un DoS sur ce dit service si le service n'est pas astucieusement protégé...
Par contre je suis tout à fait d'accord récupérer les données n'est pas une mince affaire... (modifiaction table ARP sur un même réseau + DoS de la machine dont on usurpe l'identité)
Par contre je suis tout à fait d'accord récupérer les données n'est pas une mince affaire... (modifiaction table ARP sur un même réseau + DoS de la machine dont on usurpe l'identité)
- ohmbar
- Second Maître
- Messages: 37
- Inscrit le: 10 Déc 2004 19:06
par sibsib » 05 Fév 2006 22:30
Salut,
Là, on est d'accord, même si les attaques de type DoS sont moins faciles à faire qu'avant, vu que les services sont de plus en plus soignés face à çà. Mais OK, c'est possible.
Oui, ce qui en pratique (réseau ADSL avec un seul destinataire) revient à prendre le contrôle du routeur du FAI... Pas impossible, mais tout de même assz chaud.
et, moi aussi je maintiens
qu'il sera difficile dans ces conditions d'accéder aux données ou de les altérer.
En deux mots : Sauf pour la banque de France (et certains ordis de la française des jeux
), une protection par filtre d'aresse IP, c'est quand même assez efficace.
A+,
Pascal
ohmbar a écrit:Je maintien qu'on peut se faire passer pour un autre pour accéder à un service, et pouquoi pas faire un DoS sur ce dit service si le service n'est pas astucieusement protégé...
Là, on est d'accord, même si les attaques de type DoS sont moins faciles à faire qu'avant, vu que les services sont de plus en plus soignés face à çà. Mais OK, c'est possible.
ohmbar a écrit:Par contre je suis tout à fait d'accord récupérer les données n'est pas une mince affaire... (modifiaction table ARP sur un même réseau + DoS de la machine dont on usurpe l'identité)
Oui, ce qui en pratique (réseau ADSL avec un seul destinataire) revient à prendre le contrôle du routeur du FAI... Pas impossible, mais tout de même assz chaud.
et, moi aussi je maintiens
qu'il sera difficile dans ces conditions d'accéder aux données ou de les altérer.
En deux mots : Sauf pour la banque de France (et certains ordis de la française des jeux
), une protection par filtre d'aresse IP, c'est quand même assez efficace.
A+,
Pascal
Sibsib, admin heureux d'un petit SME !!!
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
-
sibsib - Amiral
- Messages: 2368
- Inscrit le: 11 Mai 2002 00:00
- Localisation: France - région parisienne
6 messages
• Page 1 sur 1
Retour vers E-Smith / SME Server
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité