securite ports ouverts

[jrebell]

bonjour,
j'ai SME server 7 derriere CI.box en mode bridge
j'ai teste les ports ouverts sur SME par shields up
ouverts:25, 80, 443, 465
fermes:113
autres:stealth
j'ai serveur web sur SME :ports 80, 443 ->normal
j'utilise smtp de SME:ports 25 ->normal
quel est l'interet d'ouvrir 465 ?
qu'elle est la methode la plus simple pour le fermer sur SME ?
comment rendre stealth le port 113 ?
subsidiaire:
est-il preferable de mettre serveur web dans une dmz et comment le faire sur SME ?
merçi pour vos reponses

[jibe]

Salut,

Le port 465 sert au SMTPs (SMTP sécurisé).

Le port 113 sert pour l'authentification. Je ne pense pas que ce soit un gros problème de le laisser fermé au lieu d'invisible : faut pas être trop parano non plus D'autant plus que je ne suis pas sûr que ce soit très simple à faire, ni que ce soit bien bon... Jamais étudié la question, mais si c'est ainsi il doit y avoir une raison (et si quelqu'un la connait, ça me permettra de me coucher un tout petit peu moins bête )

Oui, bien sûr, le serveur web est mieux dans une DMZ. Encore faut-il que les avantages à le faire soient plus importants que les inconvénients. Mettre une SME dans une DMZ, c'est introduire des services LAN (samba, serveur d'imprimante...) dans une DMZ où ils n'ont rien à faire. Il faut aussi que la DMZ et le LAN soient derrière un bon firewall, et si tu comptes sur ta *box pour cela, je suis presque sûr que SME en frontal (avec la *box en bridge) est bien meilleur

En résumé :

Le mieux :

WAN
|
modem
|
Ipcop --- (DMZ) Debian, Centos etc. : services Web
|
LAN --- Debian, Centos etc. : services LAN

Excellent :

WAN
|
modem (ou *box en bridge)
|
SME (tous services+firewall)
|
LAN

[jrebell]

Salut,

je ne suis pas sûr d'avoir tout compris:oops:
dans ton schéma Excellent
ne peut-on creer une DMZ en interne(sur une i-bay ? ) sur SME ou sur une autre SME reliée au 1er SME faisant office de firewall

[jibe]

Salut,

La SME est un multi-serveur-passerelle tout-en-un configuré automatiquement (une solution "VSB", Vite Simple et Bien comme on dit chez FreeEOS). L'intérêt est que n'importe qui, même sans connaissances en informatique, peut la mettre en place. Le revers de la médaille est une bien plus grande difficulté que dans un système Linux "normal" pour configurer tout un tas de choses, le firewall en particulier.

C'est un choix. Comme le prêt-à-porter ou la confection. Bien sûr, on peut retoucher un peu le prêt à porter pour l'ajuster, mais ça reste limité et pas très facile, alors que tout est fait parfaitement dès la coupe et la couture dans le cas de la confection. C'est la raison pour laquelle je ne mets pas de SME dans "le mieux". Et une seconde SME, c'est un peu prévu (c'est l'une des raisons d'être du mode "serveur seul"), mais il n'en reste pas moins que c'est une solution multi-serveurs, et qu'à mon avis il est préférable (ok, il y a certains cas où...) d'opter pour "le mieux" avec d'autres distribs.

Quant à ta DMZ dans une Ibay, ce n'est pas si idiot. C'est d'ailleurs en gros ce qui se passe : le firewall ne transmet dans le LAN que ce qui est nécessaire, créant ainsi une sorte de DMZ interne. Et la finalité des ibayx peut être ajustée par plusieurs paramètres qui assurent une sécurité adaptée selon qu'elle est destinée à être ouverte sur le web (cas des ibays hébergeant un site web ou des fichiers accessibles par un FTP externe) ou au contraire tournée vers le LAN (cas d'hébergement de fichiers samba).

Donc, en fait, c'est "VSB" et tu n'as rien à faire, si ce n'est de bien configurer le tout en fonction de tes besoins. C'est la SME qui réalise d'elle-même cette pseudo-DMZ interne en fonction de tes choix

Par contre, la SME ne gére que deux cartes réseau (bien qu'il me semble avoir vu passer quelque chose pour en ajouter une troisième... Tout est possible, mais je déconseille : c'est trop détourner la SME de sa vocation d'origine). Il t'est donc impossible de créer une DMZ. Si tu mets une autre SME, ce sera dans le LAN. C'est envisageable si tu veux décharger la SME en gateway, qui assurera tous les services orientés web, et la seconde dans le LAN s'occupera de ceux orientés LAN (samba, imprimantes...).

[jrebell]

salut,
merçi Amiral pour tes explications detaillees et philosophiques
je resume: soit je continue 'VSB' avec SME en bidouillant un peu grâce aux infos de ce forum
soit je met les mains dans le cambouis et passe à Ipcop, Debian que je connais un peu et j'aurais peut-être besoin d'autres forums
A+

[fred-info]

Bonjour,

pour "isoler" les réseaux sans rajouter de cartes eth. j'aurais tendance à faire :

WAN
I
I
SME passerelle avec nat sur SME services wan
I
I
ROUTEUR
I I
I I
I SME services wan
I
I
Switch LAN
I
I
SME serveur et postes clients

Ce qui en gros crée une DMZ. Qu'en pensez-vous ?

[Franck78]

Tu vas donner des gros boutons à Jibe avec ça. Trois SME et un routeur (quelle distri). Soit quatre machines quand il en propose une seule voire difficilement deux

Oublie rapidement 'ta sorte de dmz'. Tu as compté le nombre de carte réseau dans ton histoire Je sais pas ce que tu appelles sans rajouter de carte mais c'est raté

[jibe]

Salut,

Effectivement, dans le genre usine à gaz, c'est assez cocasse

C'est quoi "SME passerelle avec nat sur SME services wan" ??? Tu fais ça comment ? Et pourquoi natter les services WAN et pas les requêtes du LAN ?

Quitte à mettre trois serveurs, j'aurais remplacé la fameuse "SME passerelle avec nat sur SME services wan" et le routeur par une IPcop => mon schéma intitulé "le mieux". J'y perds peut-être une carte réseau (moins de 6€ chez LDLC), mais j'y gagne un routeur et en simplicité ! Ceci dit, encore une fois, ce montage est bien, mais pourquoi s'emm*** avec des SME difficiles à configurer et utilisées partiellement plutôt que mettre des Debian (par ex.) ?

En archi réseau, je pense qu'il faut savoir faire ce qui est nécessaire et suffisant. Dans bien des cas, une SME seule est suffisante. Si une séparation des services et/ou une DMZ sont nécessaires, je n'ai absolument rien contre, contrairement à ce que certains détournements de mes propos (voir les autres trolls sur le sujet) ont pu laisser croire. Mais là encore, il faut se contenter de ce qui est suffisant. Et bien étudier comment configurer le tout, et choisir ses distribs aussi parmi ce qui couvre le nécessaire en dépassant le moins possible le suffisant.

Tout ce qu'on gagne en simplicité, on le gagne souvent en sécurité : on pourra bien mieux filtrer (ou tout au moins infiniment plus facilement, ce qui veut dire qu'au final, ce sera généralement mieux fait) et diriger les flux avec une Ipcop qu'avec une SME et un routeur derrière. De même, on pourra bien plus facilement n'avoir que les services utiles et fermer tous les ports inutiles avec des Debian placées derrière l'Ipcop qu'avec des SME

Once again, la SME est principalement conçue pour être serveur unique tout en un. Elle est très souvent suffisante pour SOHO, PME/PMI etc.

[fred-info]

Effectivement, dans le genre usine à gaz, c'est assez cocasse

Je confirme



Et encore j'ai mis un routeur, pas un PIX 525.


Je suis absolument d'accord plus c'est simple moins on s'en..... et mieux on administre.

Je suis pas trop debian, c'est surement dommage.
Je m'appui sur SME, FREE-EOS, Mandrake 10 et de temps en temps Novell, DRDos

Par contre je trouve dommage que SME ne soit pas prévu avec 3 eth.


Je vous souhaite un bon WE et vous promet que la prochaine fois je serais (un peu plus) sérieux.

A bientôt



PS : La dernière ligne de mon message aurait du vous mettre sur la voie

[jibe]

Salut,

Je suis pas trop debian, c'est surement dommage.

J'avoue que moi non plus. Probablement que les Debian ne m'aiment pas
Je me suis battu sans succès pour mettre les bons charset sur la seule Debian que j'ai installée et j'ai de gros problèmes d'instabilité sur la pluspart des Ubuntu (base Debian) que j'ai installées

C'est pour ça que je mets toujours Debian ou Centos dans mes schémas

<TROLL>
Centos, c'est bien meilleur que Debian. C'est la raison pour laquelle SME est bâtie sur Centos
</TROLL>