Débat sur la sécurité de SME v7.1(resolue)

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

Débat sur la sécurité de SME v7.1(resolue)

Messagepar marioysme » 25 Jan 2007 19:32

Bonjour je veux savoir si la SME v7.1 a besoin d’être protégé par une ipcop si le niveau de sécurité est très bon juste avec SME ou s’il faut ajoute des contrib à SME v7.1 pour le rendre le niveau de sécurité comme un ipcop.


L’homme est une cigale aveugle.

La vérité est aujourd’hui bien établie, au fil des années « l’indien » est en voie de disparition !
Dernière édition par marioysme le 02 Fév 2007 03:43, édité 2 fois au total.
L’homme est une cigale aveugle.La vérité est aujourd’hui bien établie, au fil des années
« l’indien » est en voie de disparition !
Avatar de l’utilisateur
marioysme
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 179
Inscrit le: 06 Déc 2006 17:38
Localisation: Québec,Longueuil

Sécurité SME

Messagepar laurent63 » 25 Jan 2007 19:46

Bonjour,
Pour ma part, j'utilise un IPCOP en plus du SME (serveur de mails et web) dans la DMZ.
SME doit être suffisament sécurisé, mais il n'y a pas d'interface web pour le firewall. L'interêt d'IPCOP, est qu'il permet de créer une DMZ pour le serveur de mail et/ou web. Le fait d'avoir une seule machine pour le firewall, le mail, le web est peut-être moins sécurisé. Mais ce n'est que mon avis.
laurent63
laurent63
Quartier Maître
Quartier Maître
 
Messages: 21
Inscrit le: 03 Juil 2005 22:26

Messagepar micjack » 25 Jan 2007 19:57

Salut,

Je pense que tu t'es trompé dans ton titre marioysme, tu aurais du marquer "Troll" et non pas Débat :D

Si tu cherche bien sur le site, tu vera qu'il y'a au moins 4 sujets (euh, troll) sur cette question, (Mot clé Jibe
) les contrubutions à ces topics son riches en avis et de logique, même si en finalité, personne n'a réussi à se metre d'accord. Toutes ces logique son sur le papier et par un principe de fonctionnement, mais via les forum, rien ne peut etre démontré.

Bon courrage.
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar jibe » 25 Jan 2007 20:46

Salut,

Bon, pas la peine que j'en rajoute, alors :lol:

Il semble qu'on avait déjà discuté de la chose dans ton autre topic, mario. Là ce serait pour un autre réseau ou le même ?

Je te résume quand même mon avis : SME est conçue pour être un serveur-passerelle "tout en un". Y ajouter un firewall peut certes être nécessaire si on a besoin d'une grande sécurité, mais on sort alors de sa philosophie et des montages aberrants sont souvent réalisés => déconseil de ma part. Sauf grandes exigences en sécurité, il n'y a pas "besoin" de mettre une Ipcop.

Le cas de laurent63 est un montage qui fonctionne, puisqu'il n'utilise que le serveur web et le serveur mail. Mais c'est plus difficile à réaliser (SME est faite pour être mise en place sans connaissances) et comme le dit micjack, personne n'a prouvé que c'est meilleur (allez, je suis honnête : pas prouvé non plus que c'est moins bon, sauf le risque bien plus grand d'une mauvaise config).

Pour répondre à ta question plus valablement, il faudrait que tu nous précises très exactement tes besoins de sécurité. C'est par là qu'il faut commencer : tenter d'évaluer la valeur et la confidentialité des données, l'intérêt pour des personnes diverses de tenter une intrusion. Pour prendre des extrèmes, je dirais que SME est largement assez sécurisé pour une utilisation personnelle ou SOHO, mais pas assez pour une banque :wink:

N'oublie pas également que la sécurité passe aussi par d'autres facteurs, dont je parle dans un des... trolls : politique de sauvegardes, accès physique, et bien d'autres. La qualité de la sécurité est celle du plus faible maillon de la chaine, et la SME en elle-même n'est pas un maillon faible :wink:
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar fraedhrim » 25 Jan 2007 21:13

[Troll]
...Then put your little hand in mine
There ain't no hill or mountain we can't climb
Babe
I got you babe I got you babe...


"Debout les campeurs et haut les coeurs, et mettez bien vos bottes, parce que ça caille aujourd'hui !
- Oh oui, ça caille meme drôlement, on est pas à Miami !!!..."

:lol:
[/Troll]
Avatar de l’utilisateur
fraedhrim
Amiral
Amiral
 
Messages: 1264
Inscrit le: 27 Jan 2004 01:00
Localisation: Nantes

Messagepar Stirner » 26 Jan 2007 09:57

Salut,


jibe tentant désespérément de faire comprendre son point de vue :


Image


:lol: :lol: :lol: :lol: :lol: :lol: :lol: :lol:

@+
Avatar de l’utilisateur
Stirner
Vice-Amiral
Vice-Amiral
 
Messages: 777
Inscrit le: 06 Jan 2006 07:45
Localisation: Calva...Dos...

Messagepar micjack » 26 Jan 2007 11:39

C'est un peu dégueu comme gif animé, j'ai déja mal pour Jibe, t'as pas plus soft ? :lol:
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

je suis crampe

Messagepar marioysme » 26 Jan 2007 18:35

je me roule sur le sol lollllllllllllll est bonne
:lol: :lol: :lol: :lol: :lol: :lol:

L’homme est une cigale aveugle.

La vérité est aujourd’hui bien établie, au fil des années « l’indien » est en voie de disparition !
L’homme est une cigale aveugle.La vérité est aujourd’hui bien établie, au fil des années
« l’indien » est en voie de disparition !
Avatar de l’utilisateur
marioysme
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 179
Inscrit le: 06 Déc 2006 17:38
Localisation: Québec,Longueuil

Messagepar tomtom » 26 Jan 2007 19:08

Non c'etait juste pour que jibe clique sur le lien pour savoir ce que j'avais pu dire sur cette solution :-ooo: :-ooo: :-ooo: :-ooo:

Rien du tout !


Je déménage de toute façon j'ai pas le temps de troller


t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar jibe » 27 Jan 2007 01:04

Salut,

Stirner a écrit:Image

Image Image Image :lol: Image Image Image :lol:

tomtom a écrit:Non c'etait juste pour que jibe clique sur le lien pour savoir ce que j'avais pu dire sur cette solution :-ooo: :-ooo: :-ooo: :-ooo:

:?: J'eus peut-être cliqué si j'avais vu le lien...

tomtom a écrit:Je déménage de toute façon j'ai pas le temps de troller

Bien que je ne déménage pas, je ne trolle pas. Image

micjack a écrit:C'est un peu dégueu comme gif animé, j'ai déja mal pour Jibe, t'as pas plus soft ? :lol:

Ah bon, c'est un gif animé ? J'avais cru que Stirner avait réussi à pirater ma webcam !
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar jibe » 27 Jan 2007 01:57

Pour ceux qui veulent troller :twisted: , et surtout pour prouver que je cherche simplement à donner la réponse qui me semble la meilleure en fonction de ce que j'ai cru comprendre du problème, voilà ce que j'ai répondu à un MP de marioysme :


Salut,

marioysme a écrit:Merci jibe toi tu pence que je suis bien protégé avec SME tout se qu'il me faut c'est d'avoir un bon backup a tout les jours tu sais que oui ce n’est pas facile de faire comprendre.

Ok je précise que oui je veux monte des serveurs web et un serveur email et un serveur ftp je ne veux pas maitre tout mes œuf dans le même panier vais faire une autre démo de réseaux

Internet (câble)
|
|
Cisco Soho
| | | |
| |
|
|
|
|
|
|
|_IP statique 69.70.xx.xx (red) SME dédiée services WAN – Switch- 5 serveur web (1e phase)
|_1_serveur seulement_ email
|_1_serveur seulement FTP
|_réseau (bureaux administration)
Que pence tu de celle-ci plus simple non sans ipcop



Je ne sais pas trop quoi te dire, connaissant encore moins les Cisco qu'Ipcop... Si je comprends bien, ton Cisco serait en mode bridge (modem uniquement), puis une première SME en serveur-passerelle aurait dans son LAN d'autres serveurs ? Mais, à moins qu'ils ne servent qu'en local, ces différents serveurs devraient être accessibles depuis Internet... Possible par transfert de ports, mais là tu as très peu de sécurité... Si tu veux séparer tes serveurs et ton firewall, autant prendre une Ipcop et mettre les serveurs en DMZ.

Mais évite de poser ce genre de question en privé : il est toujours mieux d'avoir plusieurs avis, et les réponses peuvent en intéresser d'autres :wink:

--------------------------------------------------------
Attention : le schéma est mal rendu sur PhpBB, mais curieusement était bon lorsque j'ai cliqué sur "citer" pour répondre au MP... En fait, tout ce qui est en-dessous de la première SME est connecté au swith qui serait, d'après moi, côté LAN de cette SME.
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

une meilleur expliquation

Messagepar marioysme » 27 Jan 2007 02:40

pour refaire mon demo

Internet (câble)ip(dynamique)xxx.xxx.xxx.xxx
|
|
Cisco Soho(ici trois ip statique) (69.70.01.01-1e port) (69.70.01.02-2e port)(69.70.01.03-3e port)
| | | |
| |
|
|
|
|
|
|
|_IP statique69.70.01.01(red)1e SME dédiée services WAN – Switch-5 serveur web(brancher derriére la 1e sme)
|_1_serveur seulement_ email (brancher derriére la 1e sme)
|_1_serveur seulement FTP (brancher derriére la 1e sme)
|_réseau (bureaux administration) (brancher derriére la 1e sme)

Que pence tu de celle-ci plus simple non sans ipcop

L’homme est une cigale aveugle.

La vérité est aujourd’hui bien établie, au fil des années « l’indien » est en voie de disparition !
Avatar de l’utilisateur
marioysme
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 179
Inscrit le: 06 Déc 2006 17:38
Localisation: Québec,Longueuil

Messagepar jibe » 27 Jan 2007 21:51

Salut,

Bon, depuis que je m'emm** à faire des schémas, les espaces étant bouffés par PhpBB, j'ai fini par trouver l'astuce : avec des balises code, les espaces sont préservés. Donc, marioysme, j'avais bien compris et tu voudrais faire ceci :

Code: Tout sélectionner
Internet (câble)ip(dynamique)xxx.xxx.xxx.xxx
|
|
Cisco Soho(ici trois ip statique) (69.70.01.01-1e port) (69.70.01.02-2e port)(69.70.01.03-3e port)
| | | |
| |
|
|
|
|
|
|
|_IP statique69.70.01.01(red)1e SME dédiée services WAN – Switch-5 serveur web(brancher derriére la 1e sme)
                                                             |_1_serveur seulement_ email (brancher derriére la 1e sme)
                                                             |_1_serveur seulement FTP (brancher derriére la 1e sme)
                                                             |_réseau (bureaux administration) (brancher derriére la 1e sme)


Présenté autrement, en simplifiant pour ceux qui n'ont pas un écran assez large :

Code: Tout sélectionner
Internet
     |
  Cisco
     |
   SME --- Switch
           | | | |_Serveur web
           | | |__ Serveur mail
           | |___ Serveur FTP
           |_____ Réseau


Ce que j'ai dit par MP et dans mon dernier post reste donc valable : c'est bon si tes serveurs situés derrière la première SME ne servent qu'en local. Sinon, il vaudrait mieux les mettre tous dans la DMZ d'une Ipcop.
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

merci jibe

Messagepar marioysme » 27 Jan 2007 23:00

Merci jibe la je comprendre mieux je n’ai pas choix je dois maitre un ipcop pour que le serveur email et ftp marche

Moi qui pensait que la SME 1 pouvais servir de redirection verre les serveurs seul et que net pouvait passe par la SME 1 et être redirige verre les autre SME 2 ftp et SME 3 email et les autre SME 4 web, SME 5 web, ect…….

merci de ton aide

Tu as fait la lumière sur mes questions ??????

:biz:

Mais une autre tite question sur les SME derrières un ipcop
Les SME doive tu être configure en serveur seul ou en serveur passerelle ????
Avatar de l’utilisateur
marioysme
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 179
Inscrit le: 06 Déc 2006 17:38
Localisation: Québec,Longueuil

Messagepar Titofe » 27 Jan 2007 23:39

Elle doit être en Serveur et Passerelle, ou plutôt je te conseille de la mètre en serveur et passerelle, car comme cela elle se protégera, si tu ne le fait pas, toute ça sécurité serra faite que par ce que tu métras entre elle et le monde extérieure.

Pour les paramètres tu la mais en IP Fixe.

Voici un exemple de l’un de mes réseaux :

. . . . . . . . . . . . . . . . . . . . . . . . . . . Modem
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .|
. . . . . . . . . . . . . . . . . . . . . . . . . . . .IPCop
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .|
Switch Zone Orange . . . . . . . . . Switch Zone Vert . . . . . . . . . . . Switch Zone Bleu
. . . . . . .|. . . . . . . . . . . . . . . . . . . . . . .|. . . . . . . . . . . . . . . . . . . . . . .|
Serveur SME 7.1 . . . . . . . . . . . . . . . .PC . . . . . . . . . . . . . . . . . . . . .PC
Serveur et Passerelle
Mail, FTP et Web
. . . . . . .|
Relier au Switch
de la Zone Verte



Titofe
Avatar de l’utilisateur
Titofe
Vice-Amiral
Vice-Amiral
 
Messages: 599
Inscrit le: 13 Sep 2006 17:02

Suivant

Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité