Architecture et sécurité de mon réseau

[Nello]

Bonjour,

A l'occasion d'une reconfiguration de mon réseau et de l'acquisition d'une nouvelle machine, je cherche un moyen de sécuriser mon réseau proprement tout en faisant simple pour éviter le fouillis.
Pour ce faire je dispose de quatre machine pour mon installation pare feu + serveurs :
- un PII 400 96 Mo ram que j'utilise actuellement pour IPCOP
- un PIII 800 384 Mo ram que j'utilise actuellement comme serveur
- un PII 400.
- un serveur PIII HP raid 5 hotplug.
J'aimerais avoir votre avis sur une configuration de ce type :

Code: Tout sélectionner

             Internet
                 |
                 |
               IPCOP ---------------- zone verte 192.168.1.x
                 |
               (DMZ)
   |-------------|----------------|
Honeypot (1)     |               Serveur sql (3) 192.168.2.4
192.168.2.3      |
                 |
        Serveur web, ftp (2)
              192.168.2.2


(1) Comme je n'ai jamais reçu d'attaques dignes d'espionnage industriel je pense qu'un honeypot à intéraction faible suffirait à occuper et décourager les quelques énergumènes qui traînent ici ou là.
Evidemment, le reste de la dmz sera totalement inaccessible depuis cette machine (drop de l'ip dans iptables). Par contre, je ne sais pas comment paramétrer ipcop pour qu'il renvoie les tentatives d'intrusion vers le honeypot.

(2) Il s'agit du serveur principal. Apache est "protégé" avec les modules dos_evasive et mod_security.
Cela dit, je rencontre d'énormes soucis avec mod_security car il me génère plein de faux positifs. Et comme c'est un module "réactif", cela se traduit par l'interdiction d'effectuer l'opération désirée (panneau d'administration de forums, accès awstats, etc.) La configuration est beaucoup trop difficile dès qu'on sort de la configuration de base pour anticiper les faux positifs.
D'où l'idée du honeypot après retour à une configuration plus light du mod_security.

(3) Afin de soulager la charge du serveur principal j'envisage de déporter les services sql et peut-être mail sur une autre machine. J'hésite cependant à la passer en zone verte pour qu'il récupère tous les logs de la dmz à intervalles réguliers (je vais devoir sérieusement y penser car le "miroir" qui s'occupe de ça est chez un ami qui va devoir arrêter ce service).

J'hésite sur certains points comme l'attribution de quelle machine à quel service. IPCOP rame comme un fous avec copfilter (96 petits Mo de ram obligent).
Le honeypot est-il réellement utile ? D'après les docs que j'ai recueillies il semblerait qui oui. Du moins dans un premier temps histoire d'apprendre le comportement des vilains laids qui viennent et de redre mod_security plus permissif comme dit plus haut. Mais je n'ai pas l'expérience de l'utilisation donc un retour "vécu" serait agréable

Enfin, je suis sûr qu'il est possible d'optimiser tout ça mais je sèche un peu sur ce point, faute d'expérience.

Je vous remercie d'avance

[S0l0]

Par contre, je ne sais pas comment paramétrer ipcop pour qu'il renvoie les tentatives d'intrusion vers le honeypot.

Contrairement a ce que l'on croit pour capturer du traffic sur un honeypot , il faut volontairement laisser des regles permissives de ton firewall vers ton honeypot qui doit/devra simuler un certains nombre de service/os .
Les administrateur on tendances a croire qu'il faut super securiser leur site puis le firewall et ensuite planter un honeypot dans un coin pour attendre jean-kevin-malintentionner , non non non il faut VOLONTAIREMENT laisser passer un certains nombres de traffic/protocol vers ce honeypot.

Le honeypot est-il réellement utile ?

Tout depend de ce que ton entreprise fait et toi ce que tu cherche a faire pour securiser ton reseaux.
Mais de mon simple avis je dirais en environnement de production non ca n'aporte pas grand chose de plus si ce n'est du travail en plus.

D'après les docs que j'ai recueillies il semblerait qui oui

Argument commercial et de geek parano

Du moins dans un premier temps histoire d'apprendre le comportement des vilains laids qui viennent

Ne fantasme pas trop tu vas surtout avoir la visite de bot en perl , php et autre language de scripting qui viendront fouiller sur ton site web a la recherche de failles dans tes scripts , puis d'autres bot plus evoluer pour scanner tes serveurs a la recherche de service vulnerable , de serveur particulier etc......Mais il est vrai que t va apprendre beaucoup sur ses sales betes

Pour ce qui est de ton architecture elle est tres bien , et je dirais qu'une sonde snort/prelude/celui_que_tu_voudras t'apportera certainement plus qu'un honeypot dans un premier temps ( pense a le tuner parce que tout celle que j'ai vu en production c'est l'install par defaut ).

Pense aussi a tester les regles de ton firewall une a une souvent en envoyant un paquet qui pourtant correspond a une regle drop de ton FW du fait qu'elle soit malformater passe le filtre de ton FW ( j'ai pas dit toujours j'ai dit souvent ).

[jdh]

Je suis globalement assez d'accord avec S0l0.

Cependant, il me paraitrait assez logique d'isoler le honeypot sur sa propre zone et non dans la zone Orange. En effet, si on veut un schéma sur, il faudrait que les 2 autres serveurs de cette zone dispose de leur propre firewall. Autant les mettre sur une autre zone.

Perso, je ne crois pas à cette technique d'honeypot. Je ne vois pas, à mon niveau, l'utilité de laisser entrer un trafic pourri afin de l'analyser. Que cela ait du sens dans une entreprise completement tourné vers Internet et dont c'est le métier, pourquoi pas ! De plus cela supposerait que mon entreprise est prète à payer cette veille techno. Or mon entreprise me paye plutôt pour mettre en oeuvre des schémas simples et surs. D'autant que la démarche suppose que l'on y consacre du temps ...

Il y a un discours marketing insistant que cette idée mais je ne vois pas de résultats car si cela fonctionnait cela produirait des "contre-mesures" au sein de services comme les reverse-proxies par exemple. Et puis il ne faut pas oublier qu'à la manière d'un IPS/IDS sur lequel on activerait une réaction à un certain trafic, le pirate pourrait créer automatiquement un Denial Of Service.

Que l'idée soit à observer (cf articles dans n° récents de MISC) ok mais de là à la mettre en oeuvre moi-même ...

Il pourrait être intéressant de voir sur des habitués d'Ixus s'y sont essayé ou s'il ont mis en prod. Je suis persuadé qu'il y a par contre plutôt des IPS/IDS en prod (bonne idée) que des Honeypot.

[Kane]

Salut,

alors je retrouve un peu de ce que j'ai envie de mettre en place dans ton réseau, mais avant j'ai une question : qu'est ce qui relie ton IPCOP au net ?

Si c'est une box (livebox, freebox...), elles savent normalement gérer une DMZ donc un petit switch a ce niveau et tu te crées une DMZ avant ton IPCOP. Cette zone ne sera protégée que par ta box (donc faiblement) et tu pourras y mettre ton honeypot.

Le fait d'utiliser la DMZ derriere IPCOP sous entend ce que disent S0l0 et jdh, c'est une zone protégée vers laquelle tu ne laisses passer que peu de choses, que tu filtres et que tu logs.

Donc à mon avis, laisses tomber le Honeypot, pas parce que ca sert à rien mais plutot parce que tu es un peu court en machines

Pour le mail, le mieux serait un relais dans ta DMZ et le serveur dans ton vert, mais disons qu'à titre perso, ce n'est pas une obligation (pour un particulier j'entends). Pour ton serveur SQL, aucune idée, existe t il un systeme de synchro maitre-esclave comme pour LDAP, sans doute...
Pour ton serveur ftp, si vraiment ton but est la sécurité et si tu ne fais pas de ftp anonyme, essaies peut etre avec ssh plutot.

En espérant t'avoir aidé

[Nello]

Bonjour,

désolé pour le retard mais j'ai un regain de travail non prévu depuis hier. Je vais prendre le temps de répondre de manière détaillée à tous les conseils qui m'ont été donnés un petit peu plus tard. Ne m'en veuillez pas

[Nello]

Salut,

bon après plusieurs tests je ne retiendrai pas la solution du Honeypot. Par contre je vais placer Ipcop en DMZ de ma freebox, puis placer les serveurs en DMZ de Ipcop. La zone verte de Ipcop servira à une machine dédiée aux backups et au contrôle de Ipcop.

Dans la zone verte de la Freebox je vais placer les postes de travail. Ils s'agit de postes Linux donc pas de problème. Et les utilisateurs ont toute ma confiance

Donc le schéma serait le suivant :

Code: Tout sélectionner

             Internet
                 |
                Freebox ---------------zone verte (deux postes de travail sous Linux)
                 |
               (DMZ)
                 |
               IPCOP ---------------- zone verte (machine dédiée aux backups et au contrôle d'Ipcop)
                 |
               (DMZ)
                 |----------------- Serveur web
                 |----------------- Serveur sql


Comment trouvez-vous ce montage ?

[jibe]

Salut,

Perso, j'aurais plutôt passé la FreeBox en bridge et mis les postes sur le vert d'Ipcop...

[manu59]

l'intérêt de mettre IPCop sur la DMZ de la Freebox ?

[tomtom]

Attention aux noms, il me semble que chez free "DMZ" représente seulement une machine vers laquelle toutes les connexions entrantes sont redirigées.
Voila pourquoi il est conseillé souvent si on utilise un firewall derrière une box de le mettre en "DMZ" pour ne pas avoir à se farcir tous les transferts de ports deux fois, dont une avec l'interface free (beurk)

Et par contre les autres pc sont simplement clients et n'ont pas les contraintes d'ipcop (double nat donc, peut-etre du filtrage d'url etc.)

Enfin, c'est comme ça que je vois la chose...

t.

[Nello]

Salut,

le principe est exactement celui décrit par tomtom.

Je n'ai pas envie d'avoir à tout rediriger deux fois (même si je n'ouvre que deux ou trois ports vers les serveurs, ce qui n'est pas un travail de titan) et je ne veux pas mettre les postes de travail derrière Ipcop car certains services fournis par Free sont alors inopérants.

Cela-dit, si ça pose trop de problèmes, je placerai un switch derrière la Freebox, tout le monde sera dans le même sous-réseau et adieu la DMZ de la freebox. Au final je pense que ça ne changera pas grand chose.

[jibe]

Salut,

Que ce soit en utilisant sa "DMZ" ou en la passant en mode bridge, le résultat est donc le même : la FreeBox devient un simple modem.

Alors, je ne vois pas ce qui pourrait poser problème, et je mettrais les PC dans le vert d'Ipcop, c'est à dire schéma très classique :

Internet
|
Freebox en bridge ou sortie DMZ
|
Ipcop ------ LAN (PC et machine de backup)
|
DMZ (serveurs)

A moins bien sûr que les PC et la machine de backup ne doivent pas être dans le même réseau... Mais peut-être que dans ce cas on pourrait utiliser l'interface bleue d'Ipcop (je ne connais pas Ipcop, c'est peut-être une bêtise...)

Le firewall d'Ipcop est quand même nettement meilleur que celui de la FreeBox (enfin, j'espère ) alors, pourquoi ne pas en faire profiter les PC ?

[manu59]

Voila pourquoi il est conseillé souvent si on utilise un firewall derrière une box de le mettre en "DMZ" pour ne pas avoir à se farcir tous les transferts de ports deux fois, dont une avec l'interface free (beurk)

Comprends pas, j'héberge un ftp chez moi et je ne me suis pas tapé deux fois le transfert

peut-être n'ai-je pas compris ce que tu as expliqué

[tomtom]

Comprends pas, j'héberge un ftp chez moi et je ne me suis pas tapé deux fois le transfert

peut-être n'ai-je pas compris ce que tu as expliqué

Sans doute que tu n'es pas en mode routeur...
Si ta box est en routeur, tu peux spécifier une adresse dite "DMZ" (qui n'a aucun rapport avec une DMZ au sens classique du terme puisque la machine "DMZ" est sur le même reseau que les autres !)

Dans ce cas, toutes les connexions arrivant vers la box sont renvoyées vers l'adresse spécifiée.
Si tu ne spécifies pas cette adresse, les connexions entrantes sont droppées (enfin je suppose, ou bien traitées par la box)

Que ce soit en utilisant sa "DMZ" ou en la passant en mode bridge, le résultat est donc le même : la FreeBox devient un simple modem.

Ben quand même pas tout à fait, car même si la fb ne dispose sans doute pas d'un fw performant (encore que je ne sais pas du tout ce que c'est), elle présente au minimum la fonction de masquage du réseau en mode routeur, et du coup les connexions entrantes ne sont pas envoyées directement vers le pc qui est derrière comme dans le cas du bridge.
Par contre, cette fonction est reportée sur l'ipcop dans le cas ou on met la box en mode bridge et ipcop juste derrière.

Mais Nello souhaite que des postes soient sans filtrage, directement connectées (ça peut arriver pour xx yy raisons), et dans ce cas pourquoi pas, son architecture n'est pas si mauvaise.

Il m'est arrivé de mettre une machine tout en haut de mon architecture, pour avoir une vision du traffic avant toute intervention pas un de mes équipements !

t.

[jibe]

Salut,

elle présente au minimum la fonction de masquage du réseau en mode routeur, et du coup les connexions entrantes ne sont pas envoyées directement vers le pc qui est derrière comme dans le cas du bridge.

Ok : je croyais la pseudo-DMZ de la FreeBox totalement transparente.

Mais Nello souhaite que des postes soient sans filtrage

Au temps pour moi : je n'avais pas vu cette contrainte... Dans ce cas, effectivement... Mais comme tu l'expliques, avec la FB en mode routeur, les connexions entrantes ne sont pas renvoyées directement sur les postes. En plus, je croyais la FB munie d'un (mauvais, certes) firewall ?

Pour avoir les PC sans filtrage, ne vaut-il pas mieux les mettre sur une interface de l'Ipcop qu'on paramètre sans filtrage (je ne sais pas si c'est possible ? connais pas Ipcop ) ?

[Nello]

Salut

Pour avoir les PC sans filtrage, ne vaut-il pas mieux les mettre sur une interface de l'Ipcop qu'on paramètre sans filtrage (je ne sais pas si c'est possible ? connais pas Ipcop ) ?

Je désire placer les ordinateurs personnels en dehors de la zone gérée par Ipcop car certains services comme la freeboxtv ou le freeplayer pour ne citer qu'eux sont une véritable galère à configurer avec Ipcop, quand ce n'est tout simplement pas impossible. Les pc sont des Ubuntu dont le pare-feu est proprement configuré. Je ne m'inquiète pas pour eux

Par contre, je tiens à ce que mon réseau "serveurs" soit placé à part car je ne veux pas d'interférences en cas de problème (compromission, etc.) C'est pour ça que j'avais l'idée de placer le poste "Backup" dans la zone verte d'Ipcop. Puis régulièrement. Il servira aussi de contrôle d'ipcop sans aucun autre accès.

voilà