[RESOLU] Architecture réseau (SME + Ipcop)

[shwing]

Bonjour,

Je vais reinstaller ma SME, pour profiter du raid. Et là question existentielle. Explications -->

J'uitilise wrap-IpCop (www.pcengines.ch) et SME en DMZ.

Sur ma SME j'utilise: webmail - http - ftp - samba (pour les dossier partager + PDC)

Donc je pensais refaire mon réseau comme ceci:

-- Internet -- WrapCop -- SME -- LAN

au lieu de :

Internet
|
|
Wrapcop --> LAN --> PC
|
| --> DMZ --> SME



et ne plus utliser la DMZ avec ma SME dedans, mais plutot faire une nouvelle zone Blue pour mon wifi.


J'ai lu que PDC en DMZ, n'est pas super top au nivau sécurité. Un autre avantage 'technique' est que lors de transfert de gros ficher entre le LAN et la DMZ, la vitesse max est de 5Mb/s, le pross d'Ipcop est un 233Mhz. Là je gagnerais quelques minutes.

Certains diront peut-être de virer ipcop et seulement garder SME en front, mais je sentimentallement attaché à mon wrap

Je ne souahite pas faire de nouveau un post qui déchainera les passions, comme il y a eu dernièrement, mais juste savoir si mon idée n'est pas trop 'à côté de la plaque'.

merci pour vos conseils.

[mad_dog]

Disons que si tu souhaites placer ta SME en DMZ, je te conseille de bien la sécurisé car elle n'est pas du tous protégé par un firewall !

En DMZ, je placerais plus des serveurs qui n'ont qu'une fonction ce qui permet de mieux controler les accès à ses fonctions, la SME présentant tellement de services pourrais etre un peux sensible, d'autant plus avec un SAMBA monté dessus !

[stado65]

Disons que si tu souhaites placer ta SME en DMZ, je te conseille de bien la sécurisé car elle n'est pas du tous protégé par un firewall !

Ah bon ?...

Elle sera toujours protégée par le firewall de ton IPCop (l'accès Red vers Orange est closed par défaut, il faut faire du port-forwarding).
De plus, les règles IPtables de la SME restent actives même en mode server-only.

A+

stado65

[Grand-Pa]

De plus, les règles IPtables de la SME restent actives même en mode server-only.

Euh... Non...

[mad_dog]

Elle sera toujours protégée par le firewall de ton IPCop (l'accès Red vers Orange est closed par défaut, il faut faire du port-forwarding).

Reprenez moi si je ne me trompe, le but d'une DMZ est d'offrir un pasage direct de tous le ports vers cette zone !

C.F : http://www.securite.teamlog.com/publication/7/13/76/

et d'après mo en server-only le firewall n'est actif car utlisé simplemt en mode passerrelle dan le cas ou 2 interfaces réseaux sont présentes.

[shwing]

bon... je voulais éviter les 'engeulades'...

mais je crois que je vais prendre la soluce 'secure' c-a-d : -- net -- ipcop -- SME -- Lan.

Merci pour vos points de vus et explications.

[shwing]

j'ai oublié une question crucial (c'est tout moi ça)

il préférable de la mettre en mode gateway + server ou en mode server only ?


en sachant que dans le mode gateway + server, je profitrais du proxy. (mais c'est détails ça)

[mad_dog]

En server only, si ta SME en derrière la patte verte et connecté aussi sur ton LAN !

[stado65]

De plus, les règles IPtables de la SME restent actives même en mode server-only.

Euh... Non...

Ben chez moi, si...
Ou alors, j'ai rien compris

Ma config : SME 7pre1 en server-only dans la Green de mon IPCop

Je dois faire un "service masq stop" pour supprimer toutes les règles sinon,certaines restent actives.
Ca m'a surpris, car je croyais qu'en server-only, tout était ouvert...

De plus, pour la DMZ d'IPCop, le flux Red -> Orange est bien fermé par défaut.
On forwarde certains ports (http, ftp, smtp, pop3,...) à la demande et c'est pas plus mal.

stado65

[oblooblo2000]

web-----> ipcopFW avec port http... ouvert -> sme server only fournissant http, smtp... = dans la dmz -> ipcop (ou sme serveur+ passerelle) tous ports fermés (le + souvent) -> sme serveur only et/ou PC dans le LAN

en clair:
web->ipcop->sme serveur->ipcop->LAN + sme serveur
ou
web->ipcop->sme serveur->sme serveur + gateway ->LAN

[jibe]

Salut,

Rassurez-vous, je ne viens pas troller Je suis là en observateur seulement
Simplement, je n'ai rien compris au dernier post

AMHA, lorsqu'on touche à la sécurité d'un réseau (vouloir l'améliorer en choisissant une meilleure architecture, c'est bien "y toucher" ), il est préférable de ne pas se baser sur des a-priori, des affirmations non démontrées et autres "il me semble que" ou "je croyais que". SME comme IPCOP ont un fonctionnement très précis selon la façon dont ils sont configurés, et seule l'analyse précise de ce fonctionnement peut permettre de voir comment l'améliorer et/ou l'adapter à ses besoins.

N'en ayant jamais eu besoin, je n'ai jamais mené une telle étude. Aussi, vos conclusions m'intéressent, dans la mesure où elles sont établies scientifiquement et non pas empiriquement voire émotionnellement

[gla]

Salut Jibe...
[Mode Troll=ON]

N'en ayant jamais eu besoin, je n'ai jamais mené une telle étude. Aussi, vos conclusions m'intéressent, dans la mesure où elles sont établies scientifiquement et non pas empiriquement voire émotionnellement

Mais il me semble que 95% des découvertes scientifiques mondiales sont issues de l'expérimentation...
En fait, c'est même souvent après avoir découvert de manière empirique un phénomène que l'on recherche dans le domaine en question...
[Mode Troll=OFF]

En fait, pour aller dans le sens de jibe, je pense également que l'empirisme a du bon quand on le fait dans un labo ! pas en prod... (re- )

[jibe]

Salut gla et les autres

[Mode NoTroll=ON]

Mais il me semble que 95% des découvertes scientifiques mondiales sont issues de l'expérimentation...

C'est bien pour ça que je m'intéresse à ce sujet
Il me semble simplement que non seulement les expériences sont faites en labo, mais aussi qu'elles sont faites avec toute la rigueur scientifique requise. Empirisme au départ parfois, mais ensuite contrôles et analyses pour savoir si on a trouvé quelque chose de vraiment intéressant ou qui en a seulement l'air...

Semble finalement qu'on se comprenne assez bien

[shwing]

je l'avais pas vu remonté c'lui-là !

[modetroll=on]
cela à bien dévié du sujet de départ. cela aussi me ressemble ; )
[modetroll=off]


Sinon pour clore le sujet:

ma config choisi:

RED
|
|
Ipcop - - GREEN --- SME & PC
|
| - - ORANGE WXP (pc test)

[jibe]

Salut,

C'est donc ton choix final. Si cela te convient, c'est parfait. J'aimerais simplement comprendre où est le supplément de sécurité apporté par IPCop sur une SME dans le LAN vers laquelle, si j'ai bien compris, tu rediriges tous les ports nécessaires pour http(s), ftp and so on ?

Perso, j'aurais fait :

WAN
|
Switch -- SME serveur/passerelle -- LAN
|
WXP (pc test)

J'y perds la séparation du firewall sur une machine distincte, je ne nie pas, mais j'évite de ramener dans le LAN tous les ports nécessaires au trafic SME <-> WAN...

Au passage, j'y gagne une bécane (mais j'y perds un switch ) que je peux toujours utiliser en SME serveur seul pour mes besoins de serveur de fichier, d'impressions et autres services côté LAN que je sépare ainsi physiquement du firewall. Sûr qu'on peut faire beaucoup mieux en matière de sécurité, mais comparons ce qui est comparable. (Presque) même matériel, compétences SME seules nécessaires dans ma proposition...

Bon, encore une fois, ce n'est que mon avis et chacun est bien libre de faire ce qui lui semble le meilleur. Je ne fais que proposer une solution alternative qui me parait (un peu) meilleure, mais si quelqu'un veut appeler ça du troll, je sors immédiatement