GREEN ->RED = AUTORISé

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

GREEN ->RED = AUTORISé

Messagepar Lebidochon » 25 Juin 2006 18:10

Hello,

Comment interdire l'acces COMPLET de la zone VERTE à la zone ROUGE ?

Je n'ai compris l'utilité de la zone VERTE si elle donne l'acces en zone ROUGE,
puisque la zone ORANGE fournit déja ce service ?

Je pensai que la zone VERTE était une zone INTRANET sans acces avec INTERNET
(zone ROUGE), mais permettait l'acces à la zone ORANGE qui elle avait des serveurs
/poste qui avait acces à la zone ROUGE.Je ne comprend donc pas pourquoi on met
un poste avec acces internet en zone VERTE, alors qu'il devrait etre en zone VERTE.

CECI n'est PAS une CRITIQUE !!!! juste une interrogation ....

Vous remerciant par avance de vos réponses....

Lebidochon.
Avatar de l’utilisateur
Lebidochon
Second Maître
Second Maître
 
Messages: 28
Inscrit le: 14 Oct 2003 00:00

Messagepar ShonGail » 25 Juin 2006 18:25

Le schéma le plus simple avec Ipcop est 2 interfaces réseaux (RED & GREEN) :

La RED est connectée au WAN (Internet la pluplart des cas). C'est une interface connectée à une zone considérée dangereuse.

La GREEN est connectée au LAN (le réseau local quoi avec les postes clients). C'est une interface connectée à une zone considérée comme sûre.

par défaut, GREEN a accès à RED sans restrictions. Normal, il faut bien que les utilisateurs présent dans le LAN puissent travailler (HTTP, HTTPS, FTP, SMTP, POP, SSH, etc.)

par contre RED n'a pas accès à GREEN. Normal, pas question que quiconque sur le Net puisse se connecter à IPCOP ou à une machine du LAN.


A cela, tu peux ajouter une interface ORANGE. C'est une DMZ. Cela permet de placer des postes dont l'accès de RED va être possible (Serveur WEB, FTP, d'applis, etc.) mais qui ne se trouveront pas sur le même réseau que GREEN (et GREEN est protégé d'ORANGE comme de RED). Ainsi, si un serveur sur ORANGE est hacké, la sécurité des postes sur GREEN n'est pas remise en cause.

http://www.ipcop.org/modules.php?op=mod ... &id_cat=37

La zone Orange est donc facultative ! Ce sont les RED et GREEN qui sont nécessaires par défaut.

Mais tu peux très bien paramétrer IPTABLE (à partir d'un addon ou en éditant le fichier contenant les rêgles) pour empêcher les postes (tout ou partie) sur GREEN d'initier des connexions sur certains ports vers RED (exemple : empêcher les utilisateurs du LAN de faire du FTP)
Avatar de l’utilisateur
ShonGail
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 207
Inscrit le: 21 Fév 2003 01:00

Messagepar jdh » 25 Juin 2006 20:13

Voilà une bonne réflexion !

Un bon schéma est effectivement de contrôler le traffic entre Red et Orange et de Green vers Orange ... mais surtout d'interdire Green vers Red.

Cependant, à la maison ou dans une TPE, il est difficile d'avoir les équipements pour cette zone Orange. Il y a donc des compromis à faire.

De plus, par défaut, (et c'est incohérent AMHA) un IPCOP laisse nativement tout sortir de Green vers Red ... comme un vulgaire routeur ! Il me parait évident qu'il faut contrôler ce traffic car une fois pris le contrôle d'une machine (en Orange mais surtout en Green), il n'y a plus aucune barrière !

Donc si tu souhaites la meilleure sécurité, places en zone Orange TOUTES les machines ayant accès à Red et fonctionnant comme "proxy" (au sens original de "mandataire") pour les machines de Green.



NB : Il reste difficile de disposer de proxies (pluriel de proxy) pour TOUS les protocoles.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Lebidochon » 25 Juin 2006 23:51

Merçi à ShonGail et jdh pour vos réponses...

Effectivement, vu sous cet angle, la politique des zones GREEN et ORANGE d'IPCOP est cohérente,
puisqu'elle isole la zone ORANGE de la zone VERTE (de ce fait, si la zone ORANGE est "envahie", elle ne peut pas
se propager sur la zone VERTE).

Par contre, étant donné que la zone VERTE à accés la zone ROUGE et ORANGE, "l'invasion" peut venir de la zone
VERTE et se progager sur la zone ORANGE.Rare sont les personnes à savoir régler leur Firewall sur les postes de travail
en zone VERTE.

Normalement, les serveurs de Courriers(postfix),FTP(vsftpd),SAMBA,stream video(VLC) doivent etre sur des machines séparées et de ce fait sont plus facile à protéger via des regles Iptables limitatives propre à chaque serveur (normal....il y a moins régles ).

Effectivement Jdh, il faut faire des compromis......

Ma question...n'était pas innocente....

Pour ma topologie, j'avais pensé mettre tous les postes de travail et mes serveurs SAMBA,Ftp,Courrier en zone VERTE avec acces completement interdit en zone ROUGE.La zone ORANGE aurait hébergé un serveur FTP,Courrier,et PROXY.
Etant donné que la zone VERTE à acces à la zone ORANGE, je pensai en limiter l'acces aux ports 21,110,25 et proxy.
De ce fait, quelques postes en zone VERTE peuvent acceder à internet via le proxy en zone ORANGE.Tous les postes
en zone VERTE pourront envoyé/recevoir leur mail via le serveur de courrier en zone ORANGE.De plus ils peuvent "ulploder/
downloader" sur le FTP en zone ORANGE...pour des échanges avec des "clients" sur internet.
Le Proxy me permettrai de filtrer la navigation.Un antivirus sur les serveurs mails et ftp devrait limiter les virus.
Cette topologie me permetterai de securisé ma zone VERTE (serveur samba et ftp )....ma zone ORANGE ne pouvant pas
acceder à la zone VERTE....elle ne pourrait donc pas "l'envahir".

Les logiciels que je retiens sont :
IPCOP comme firewall/routeur
SAMBA comme serveur de fichier/imprimante
VSFTPD comme serveur ftp
POSTFIX comme serveur de courrier
VLC serveur video (....pour regarder le tennis/foot)
Windows XP pro sur tous les postes de travail
THUNDERBIRD comme lecteur de courrier
.....par contre pour le seveur PROXY(filtrant)....aie !!! je cherche...une petite idée ?

Pensez vous que ma topologie est utopiste ?

Vous remerciant par avance...

LeBidochon.
Avatar de l’utilisateur
Lebidochon
Second Maître
Second Maître
 
Messages: 28
Inscrit le: 14 Oct 2003 00:00

Messagepar foxgnome » 27 Juin 2006 01:18

Lebidochon a écrit:Windows XP pro sur tous les postes de travail


Tout ça pour ça ;)
Avatar de l’utilisateur
foxgnome
Aspirant
Aspirant
 
Messages: 122
Inscrit le: 17 Sep 2003 00:00
Localisation: Paris

Messagepar jmripert » 27 Juin 2006 17:34

utopiste ? non, mais il faut les moyens $$$ pour une telle installation... un peu de temps aussi...

Même remarque que foxgnome... "tout ça pour ça !?"... quitte à faire un truc au poil, windows faut éviter... non pas qu'il ne soit pas sécurisé (il s'est quand même bien amélioré), mais les utilisateurs, y savent faire plein de truc sur windows, mais rien de rien sur linux (par exemple)... le temps qu'ils s'adaptent on aura une distribution gnu/linux/windows...........
jmripert
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 168
Inscrit le: 16 Mars 2005 11:42
Localisation: Haute-Savoie

Messagepar Lebidochon » 28 Juin 2006 01:09

jmripert a écrit: "tout ça pour ça !?"


Hello, et merci pour vos réponses,

Ce que je n'ai pas dit :
-j'ai 37 postes utilisateurs déjà actifs....
-2 serveurs samba actifs
-1 serveur ftp actif
-1 serveur mail actif
-les serveurs stockent des données (issus de simulation) et sont
la base de l'activté de la société.(1 tetra 500 en constant ....plus ceux en archive )
-Les logiciels utilisés sont dévelopés en interne et ne necessite pas l'acces à internet.
- 2 acces ADSL disponibles

Le projet....consiste à mettre à disposition pour les clients(via internet) des données par
les utilisateurs de la societé sans que ceux-ci sorte de l'intranet.Les clients (sur internet) doivent nous
fournir des données ....et les utilisateurs doivent les récupérer sans sortir de notre intranet.Il ya donc
pour cela le serveur FTP en zone ORANGE.

Pourquoi 2 serveurs de courrier ? Les utilisateurs vont chercher le courrier sur le serveur de courrier
en zone VERTE.Le serveur de courrier va chercher le courrier en zone ORANGE.Les clients nous envoyent du courrier sur le serveur en zone ORANGE.De plus sur les serveurs de courriers il y aura deux antivirus de fabriquant different...faut jouer avec la chance.

Mais voila... 2 postes nessecite l'acces à internet en utilisation tres precises.Je voulais donc mettre
un server Proxy pour filtrer l'acces tres précisement à l'internet pour ces postes.

Le but du jeu consiste à permettre les échanges avec internet sans que aucun poste utilisateur n' accede...à internet, le tout bien sur pour des raisons de sécurité.

Conclusion,
L'investissement est dérisoire.....car au pire j'achete MNF2....sinon je fais un don à IPCOP.
Le matériel serveur ?....que de la récuperation interne.
Le cablage est existant ...en catégorie 8 (cela va en faire rire plus d'un....j'ai refait moi meme le cablage suite à des problemes de parasite !, le 100 passait en 10.....et ne parlons pas du 1000)
Les switchs sont déjà en placent et actifs.

A l'epoque j'avais fait la migration des serveurs NOVELL vers SAMBA. (100 % SUCCES , merci SAMBA)
Maintenant, je voudrai ouvrir nos serveurs à internet et en garder 100% la maitrise.
Normalement j'ai les moyens de faire quelque chose qui tienne la route....mais faut penser
à tout et pas se tromper.....malheureusement ou heureusement ...on ne sait PAS TOUT !
alors me voila ....et vous voila.

En vous remerciant par avance pour vos conseils.

LeBidochon
Avatar de l’utilisateur
Lebidochon
Second Maître
Second Maître
 
Messages: 28
Inscrit le: 14 Oct 2003 00:00


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron