Débat sur la sécurité de SME v7.1(resolue)

[marioysme]

Bonjour je veux savoir si la SME v7.1 a besoin d’être protégé par une ipcop si le niveau de sécurité est très bon juste avec SME ou s’il faut ajoute des contrib à SME v7.1 pour le rendre le niveau de sécurité comme un ipcop.


L’homme est une cigale aveugle.

La vérité est aujourd’hui bien établie, au fil des années « l’indien » est en voie de disparition !

[laurent63]

Bonjour,
Pour ma part, j'utilise un IPCOP en plus du SME (serveur de mails et web) dans la DMZ.
SME doit être suffisament sécurisé, mais il n'y a pas d'interface web pour le firewall. L'interêt d'IPCOP, est qu'il permet de créer une DMZ pour le serveur de mail et/ou web. Le fait d'avoir une seule machine pour le firewall, le mail, le web est peut-être moins sécurisé. Mais ce n'est que mon avis.

[micjack]

Salut,

Je pense que tu t'es trompé dans ton titre marioysme, tu aurais du marquer "Troll" et non pas Débat

Si tu cherche bien sur le site, tu vera qu'il y'a au moins 4 sujets (euh, troll) sur cette question, (Mot clé Jibe
) les contrubutions à ces topics son riches en avis et de logique, même si en finalité, personne n'a réussi à se metre d'accord. Toutes ces logique son sur le papier et par un principe de fonctionnement, mais via les forum, rien ne peut etre démontré.

Bon courrage.

[jibe]

Salut,

Bon, pas la peine que j'en rajoute, alors

Il semble qu'on avait déjà discuté de la chose dans ton autre topic, mario. Là ce serait pour un autre réseau ou le même ?

Je te résume quand même mon avis : SME est conçue pour être un serveur-passerelle "tout en un". Y ajouter un firewall peut certes être nécessaire si on a besoin d'une grande sécurité, mais on sort alors de sa philosophie et des montages aberrants sont souvent réalisés => déconseil de ma part. Sauf grandes exigences en sécurité, il n'y a pas "besoin" de mettre une Ipcop.

Le cas de laurent63 est un montage qui fonctionne, puisqu'il n'utilise que le serveur web et le serveur mail. Mais c'est plus difficile à réaliser (SME est faite pour être mise en place sans connaissances) et comme le dit micjack, personne n'a prouvé que c'est meilleur (allez, je suis honnête : pas prouvé non plus que c'est moins bon, sauf le risque bien plus grand d'une mauvaise config).

Pour répondre à ta question plus valablement, il faudrait que tu nous précises très exactement tes besoins de sécurité. C'est par là qu'il faut commencer : tenter d'évaluer la valeur et la confidentialité des données, l'intérêt pour des personnes diverses de tenter une intrusion. Pour prendre des extrèmes, je dirais que SME est largement assez sécurisé pour une utilisation personnelle ou SOHO, mais pas assez pour une banque

N'oublie pas également que la sécurité passe aussi par d'autres facteurs, dont je parle dans un des... trolls : politique de sauvegardes, accès physique, et bien d'autres. La qualité de la sécurité est celle du plus faible maillon de la chaine, et la SME en elle-même n'est pas un maillon faible

[fraedhrim]

[Troll]
...Then put your little hand in mine
There ain't no hill or mountain we can't climb
Babe
I got you babe I got you babe...

"Debout les campeurs et haut les coeurs, et mettez bien vos bottes, parce que ça caille aujourd'hui !
- Oh oui, ça caille meme drôlement, on est pas à Miami !!!..."


[/Troll]

[Stirner]

Salut,


jibe tentant désespérément de faire comprendre son point de vue :







@+

[micjack]

C'est un peu dégueu comme gif animé, j'ai déja mal pour Jibe, t'as pas plus soft ?

[marioysme]

je me roule sur le sol lollllllllllllll est bonne


L’homme est une cigale aveugle.

La vérité est aujourd’hui bien établie, au fil des années « l’indien » est en voie de disparition !

[tomtom]

Non c'etait juste pour que jibe clique sur le lien pour savoir ce que j'avais pu dire sur cette solution

Rien du tout !


Je déménage de toute façon j'ai pas le temps de troller


t.

[jibe]

Salut,

Non c'etait juste pour que jibe clique sur le lien pour savoir ce que j'avais pu dire sur cette solution

J'eus peut-être cliqué si j'avais vu le lien...

Je déménage de toute façon j'ai pas le temps de troller

Bien que je ne déménage pas, je ne trolle pas.

C'est un peu dégueu comme gif animé, j'ai déja mal pour Jibe, t'as pas plus soft ?

Ah bon, c'est un gif animé ? J'avais cru que Stirner avait réussi à pirater ma webcam !

[jibe]

Pour ceux qui veulent troller , et surtout pour prouver que je cherche simplement à donner la réponse qui me semble la meilleure en fonction de ce que j'ai cru comprendre du problème, voilà ce que j'ai répondu à un MP de marioysme :


Salut,

Merci jibe toi tu pence que je suis bien protégé avec SME tout se qu'il me faut c'est d'avoir un bon backup a tout les jours tu sais que oui ce n’est pas facile de faire comprendre.

Ok je précise que oui je veux monte des serveurs web et un serveur email et un serveur ftp je ne veux pas maitre tout mes œuf dans le même panier vais faire une autre démo de réseaux

Internet (câble)
|
|
Cisco Soho
| | | |
| |
|
|
|
|
|
|
|_IP statique 69.70.xx.xx (red) SME dédiée services WAN – Switch- 5 serveur web (1e phase)
|_1_serveur seulement_ email
|_1_serveur seulement FTP
|_réseau (bureaux administration)
Que pence tu de celle-ci plus simple non sans ipcop

Je ne sais pas trop quoi te dire, connaissant encore moins les Cisco qu'Ipcop... Si je comprends bien, ton Cisco serait en mode bridge (modem uniquement), puis une première SME en serveur-passerelle aurait dans son LAN d'autres serveurs ? Mais, à moins qu'ils ne servent qu'en local, ces différents serveurs devraient être accessibles depuis Internet... Possible par transfert de ports, mais là tu as très peu de sécurité... Si tu veux séparer tes serveurs et ton firewall, autant prendre une Ipcop et mettre les serveurs en DMZ.

Mais évite de poser ce genre de question en privé : il est toujours mieux d'avoir plusieurs avis, et les réponses peuvent en intéresser d'autres

--------------------------------------------------------
Attention : le schéma est mal rendu sur PhpBB, mais curieusement était bon lorsque j'ai cliqué sur "citer" pour répondre au MP... En fait, tout ce qui est en-dessous de la première SME est connecté au swith qui serait, d'après moi, côté LAN de cette SME.

[marioysme]

pour refaire mon demo

Internet (câble)ip(dynamique)xxx.xxx.xxx.xxx
|
|
Cisco Soho(ici trois ip statique) (69.70.01.01-1e port) (69.70.01.02-2e port)(69.70.01.03-3e port)
| | | |
| |
|
|
|
|
|
|
|_IP statique69.70.01.01(red)1e SME dédiée services WAN – Switch-5 serveur web(brancher derriére la 1e sme)
|_1_serveur seulement_ email (brancher derriére la 1e sme)
|_1_serveur seulement FTP (brancher derriére la 1e sme)
|_réseau (bureaux administration) (brancher derriére la 1e sme)

Que pence tu de celle-ci plus simple non sans ipcop

L’homme est une cigale aveugle.

La vérité est aujourd’hui bien établie, au fil des années « l’indien » est en voie de disparition !

[jibe]

Salut,

Bon, depuis que je m'emm** à faire des schémas, les espaces étant bouffés par PhpBB, j'ai fini par trouver l'astuce : avec des balises code, les espaces sont préservés. Donc, marioysme, j'avais bien compris et tu voudrais faire ceci :

Code: Tout sélectionner

Internet (câble)ip(dynamique)xxx.xxx.xxx.xxx
|
|
Cisco Soho(ici trois ip statique) (69.70.01.01-1e port) (69.70.01.02-2e port)(69.70.01.03-3e port)
| | | |
| |
|
|
|
|
|
|
|_IP statique69.70.01.01(red)1e SME dédiée services WAN – Switch-5 serveur web(brancher derriére la 1e sme)
                                                             |_1_serveur seulement_ email (brancher derriére la 1e sme)
                                                             |_1_serveur seulement FTP (brancher derriére la 1e sme)
                                                             |_réseau (bureaux administration) (brancher derriére la 1e sme)


Présenté autrement, en simplifiant pour ceux qui n'ont pas un écran assez large :

Code: Tout sélectionner

Internet
     |
  Cisco
     |
   SME --- Switch
           | | | |_Serveur web
           | | |__ Serveur mail
           | |___ Serveur FTP
           |_____ Réseau


Ce que j'ai dit par MP et dans mon dernier post reste donc valable : c'est bon si tes serveurs situés derrière la première SME ne servent qu'en local. Sinon, il vaudrait mieux les mettre tous dans la DMZ d'une Ipcop.

[marioysme]

Merci jibe la je comprendre mieux je n’ai pas choix je dois maitre un ipcop pour que le serveur email et ftp marche

Moi qui pensait que la SME 1 pouvais servir de redirection verre les serveurs seul et que net pouvait passe par la SME 1 et être redirige verre les autre SME 2 ftp et SME 3 email et les autre SME 4 web, SME 5 web, ect…….

merci de ton aide

Tu as fait la lumière sur mes questions ??????



Mais une autre tite question sur les SME derrières un ipcop
Les SME doive tu être configure en serveur seul ou en serveur passerelle ????

[Titofe]

Elle doit être en Serveur et Passerelle, ou plutôt je te conseille de la mètre en serveur et passerelle, car comme cela elle se protégera, si tu ne le fait pas, toute ça sécurité serra faite que par ce que tu métras entre elle et le monde extérieure.

Pour les paramètres tu la mais en IP Fixe.

Voici un exemple de l’un de mes réseaux :

. . . . . . . . . . . . . . . . . . . . . . . . . . . Modem
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .|
. . . . . . . . . . . . . . . . . . . . . . . . . . . .IPCop
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .|
Switch Zone Orange . . . . . . . . . Switch Zone Vert . . . . . . . . . . . Switch Zone Bleu
. . . . . . .|. . . . . . . . . . . . . . . . . . . . . . .|. . . . . . . . . . . . . . . . . . . . . . .|
Serveur SME 7.1 . . . . . . . . . . . . . . . .PC . . . . . . . . . . . . . . . . . . . . .PC
Serveur et Passerelle
Mail, FTP et Web
. . . . . . .|
Relier au Switch
de la Zone Verte


Titofe