Serveur de partage de fichier, intranet, utilisateur...

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

Serveur de partage de fichier, intranet, utilisateur...

Messagepar bob88 » 13 Mars 2007 13:34

Bonjour tout le monde,

Bon je pense que la question a été posé, mais généralement ça part dans des miliers de détails d'architecture réseau et de sécurité, tout le monde à un avis différent et au final un débutant comme moi n'est pas très avancé (mais il a appris plein de choses au passage).

Donc j'ai une question toute simple, j'ai un réseau avec une DMZ et un LAN, protégé par un IPCOP. Ce que je voudrais, c'est ajouter un serveur pour du partage de fichiers, de la gestion d'utilisateur sur le réseau, du partage d'imprimante, éventuellement un serveur web pour un intranet, et... je ne sais pas quoi comme autres trucs utiles pour un LAN.
J'avais pensé a un SME dans mon LAN, mais, donc, après avoir lu les différents posts, certains disent "oui c'est top", d'autres "c'est le bordel avec IPCOP vaut mieux SME tout seul", d'autres encore "faut le mettre dans la DMZ !", etc...

Donc ce que je compte faire, c'est mettre mon SME en mode serveur seul, dans mon LAN (avec que les modules pour le LAN), et si jamais un jour je veux un serveur web, un serveur de mail, j'en remets un 2ème dans ma DMZ (avec que les modules qui communique avec l'exterieur).
Qu'en pensez-vous ? Ce que je dis n'est pas trop stupide ?
Et je ne suis pas butté, si vous avez autre chose que SME a proposer pour faire ce que je veux, je suis preneur (Free EOS peut-être ?)

Merci d'avance pour vos réponses !
bob88
Matelot
Matelot
 
Messages: 5
Inscrit le: 28 Mars 2006 11:01

Messagepar fraedhrim » 13 Mars 2007 15:04

Salut,

La situation IPCOP plus SME en serveur seul dédié au LAN ne déclenchera sans doute pas de polémique. Ca parait une bonne solution.
Bonne solution aussi que d'ajouter une deuxième SME en DMZ le jour où tu veux faire du serveur web.

Le serveur dédié LAN sur le LAN, le serveur dédié public en DMZ, le tout sécurisé par un firewall.
C'est classique.

Enfin à mon avis de gars qui pense que quand on peut séparer alors on sépare.... :lol:

A+
Avatar de l’utilisateur
fraedhrim
Amiral
Amiral
 
Messages: 1264
Inscrit le: 27 Jan 2004 01:00
Localisation: Nantes

Messagepar Cool34000 » 13 Mars 2007 16:41

Salut !

Ce n'est pas IPCOP + SME qui fait couler de l'encre (électronique :) ) sur ces forums mais plutot d'une manière générale la topologie mise en oeuvre (et le réel besoin d'une telle topologie)...

Dans ton cas, il parait évident que ton SME doit être coté LAN en mode server only derrière ton routeur IPCOP... Il n'y a rien de farfelu dans ton idée ou dans ton besoin... Je n'ai qu'une chose à te dire : fonce !!!

Pour l'ajout d'un serveur web, tu peux même le mettre coté LAN (sans prendre de risque démesuré). Il est néanmoins toujours préférable de mettre un serveur public dans une zone différente du LAN pour des raisons de sécurité (en cas vulnérabilité/faille, ton serveur ne pourra pas infecter le reste du réseau puisqu'il n'y accède pas !)
Mais dans le cas de la DMZ, il te faudra un PC supplémentaire...
Avatar de l’utilisateur
Cool34000
Contre-Amiral
Contre-Amiral
 
Messages: 480
Inscrit le: 10 Sep 2006 10:45
Localisation: Nimes, France

Messagepar sibsib » 13 Mars 2007 22:09

Hello,

Je crois que l'architecture qui fait le plus parler d'elle, c'est un SME en DMZ utilsé à la fois depuis Internet et depuis le LAN. Je fais partie des gens qui trouvent ceci ... vraiment, mais alors vraiment pas terrrible.

Par contre, en prenant le temps de réfléchir à ce qu'on fait (notamment chaque fois que la solution à un problème semble être de faire une nouvelle ouverture sur l'IPCOP), alors oui, IPCOP en firewall, un serveur en DMZ pour les services WEB et un serveur sur le LAN pour les services LAN : selon le besoin, çà peut être lourd, mais çà doit être 'béton' (Enfin... on parle de sécurité tout de même ! ne jamais s'endormir sur les acquis).

Je suis cependant circonspect par rapport à la proposition de cool34000 qui te dit que tu peux héberger des services WEB sur un serveur dans ton LAN ... A mon avis, c'est une mauvaise solution ! Plus mauvaise en tout cas que SME seul. Mais là je déborde...

Pour ta proposition initiale : C'est bon, prends tout de même le temps de réfléchir à profiter de l'isolation supplémentaire : fermes vraiment tout, et ouvres en connaissance de cause.

A+,
Pascal
Sibsib, admin heureux d'un petit SME !!!
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
Avatar de l’utilisateur
sibsib
Amiral
Amiral
 
Messages: 2368
Inscrit le: 11 Mai 2002 00:00
Localisation: France - région parisienne

Messagepar Cool34000 » 14 Mars 2007 00:28

Salut !

sibsib a écrit:Plus mauvaise en tout cas que SME seul. Mais là je déborde...

C'est ce que je pensais sans l'avoir précisé... Regrouper le tout sur SME en mode server-only !
Non c'est pas le top du top niveau sécurité, mais ca y ressemble un peu plus ! Et puis le mode server-only de SME est fait pour ca non ?


Juste une petite question bob88 : y'a t'il déja des serveurs dans ta DMZ ???
S'il n'y en a pas, je te conseille de supprimer IPCOP et d'utiliser SME en passerelle ! Tout simplement !
=> Il est fait pour ca !
=> Il fait tout ce que tu as besoin, et même un peu plus (la messagerie, et encore je ne parle pas des nombreuses contribs)
=> La vie sera plus simple !
=> Tu économisera de l'énergie (pense aux arbres et à EDF :lol: )
Avatar de l’utilisateur
Cool34000
Contre-Amiral
Contre-Amiral
 
Messages: 480
Inscrit le: 10 Sep 2006 10:45
Localisation: Nimes, France

Messagepar bob88 » 14 Mars 2007 12:15

Olà,

Firsto primo, merci bien pour vos réponses. En tant que novice, c'est rassurant de savoir que ce que l'on veut faire est bon avant de mettre en oeuvre (même quand on teste).

Secundo deuxio, oui j'ai déjà 2 serveurs dans ma DMZ. A la base c'était un environnement de test. J'avais un ipcop, avec 2/3 postes client dans le LAN et 2 serveurs (dont 1 web) dans ma DMZ. Et pour continuer l'histoire, on va demenager, donc faudra refaire le réseau dans les nouveaux locaux. Comme on est pas nombreux et qu'on a pas de spécialiste réseau, c'est moi qui m'y colle. Mais c'est bien, j'apprends, ça me fera une paire de lignes en plus sur le CV, puis mine de rien ça me plait encore bien. Je ne prétends pas recréer une architecture de folie et devenir docteur es Réseaux avec ça, mais au moins d'apprendre et de connaitre les trucs de bases qui me feront poser les bonnes questions.

Donc, je compte avoir mon IPCOP en firewall avec une DMZ avec le serveur WEB, et d'autres serveurs (BdD, routage de fichiers...) mais ce sera toujours une DMZ pour tests, le LAN avec les post clients (windows et linux), l'imprimante réseau, un partage de fichier et un serveur type SME pour gérer tout ça (d'après ce que j'ai compris), et éventuellement une interface wifi (à voir plus tard).

J'ai installé SME hier, et je dois bien avoué que j'y pipe pas grand chose à l'authentification des utilisateurs sur le domaine, mais je vais bien trouver... (là je fais des tests avec un client linux).

Voilà, et encore merci.
bob88
Matelot
Matelot
 
Messages: 5
Inscrit le: 28 Mars 2006 11:01

Messagepar jibe » 14 Mars 2007 19:05

Salut,

Etant souvent accusé de troller sur le sujet SME+Ipcop, je confirme que ce que tu as prévu est Ok, bob88. Le seul petit bémol que j'y mets est que tu n'utilises qu'une partie de tes SME, et qu'à ce titre d'autres distribs seraient plus adaptées. Mais cela se discute, et doit être étudié en fonction des besoins précis.

Cool34000 a écrit:Et puis le mode server-only de SME est fait pour ca non ?

Oui et non... Le mode server-only de SME est fait pour utiliser SME soit dans le LAN, soit dans la DMZ. Il désactive la plupart des fonctions de firewalling et de NATing, et fait fonctionner la SME avec une seule carte réseau.

Par contre, mélanger des services orientés WEB et des services orientés LAN dans une même SME en server-only est une hérésie ! Cela oblige à ouvrir le firewall (autrement dit à faire du port-forwarding) et laisser entrer dans le LAN des requêtes qui n'ont rien à y faire. Ce n'est même pas une caractéristique de SME, c'est simplement la logique de l'architecture réseau... Si on met un firewall (Ipcop), c'est pour séparer les choses qui n'ont rien à faire ensemble (services LAN et services WEB). Si on bricole le firewall pour remettre ensemble ce qui devrait être séparé, à quoi bon mettre une Ipcop ???

bob88 a écrit:J'ai installé SME hier, et je dois bien avoué que j'y pipe pas grand chose à l'authentification des utilisateurs sur le domaine, mais je vais bien trouver... (là je fais des tests avec un client linux).

Si cela peut t'aider, voici comment faire avec Ubuntu. Tu peux t'inspirer de la méthode pour d'autres distribs...
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar Cool34000 » 14 Mars 2007 22:40

Salut,

Merci pour tes précisions jibe ! J'avais lu quelque part que SME laisse une partie de son firewall activé même en mode server-only et j'en avais déduis à tort que les services LAN et WEB était bien séparés même s'ils sont physiquement sur la même machine...
Avatar de l’utilisateur
Cool34000
Contre-Amiral
Contre-Amiral
 
Messages: 480
Inscrit le: 10 Sep 2006 10:45
Localisation: Nimes, France

Messagepar jibe » 15 Mars 2007 23:34

Salut,

Cool34000 a écrit:J'avais lu quelque part que SME laisse une partie de son firewall activé même en mode server-only et j'en avais déduis à tort que les services LAN et WEB était bien séparés même s'ils sont physiquement sur la même machine...

Je n'ai pas encore étudié d'assez près le fw de SME7 pour confirmer ou infirmer cela. Mais ce n'est quand même pas très cohérent de mettre des services orientés WEB dans un LAN, fussent-ils séparés de ce LAN par la machine vers laquelle sont redirigés les ports nécessaires...
- D'une part, si tu n'es pas absolument certain que le fw de la SME est bien efficace pour éviter toute faille de sécurité, tu prends un énorme risque ! Risque que tu cherches à éviter en ajoutant une Ipcop pour soi-disant renforcer le firewall et la sécutité !!!
- D'autre part, la sécurité me parait plus difficile à assurer (au niveau du fw, mais aussi au niveau des failles potentielles) lorsqu'on n'a plus qu'une carte comme interface ! Il faudrait étudier de près sur un cas concret, mais si je tente une attaque sur une SME server+passerelle pour atteindre le LAN, il faut que j'arrive à la traverser en entrant par une carte ethernet et en ressortant par l'autre. Ca me parait à priori plus difficile que si le LAN est sur la même interface que moi : je peux alors tenter d'exploiter une faille dans la SME, mais aussi directement, sans même entrer dans la SME, une faille d'une autre bécane du LAN.

[troll on]
... et dans le LAN, j'ai de fortes chances de trouver une machine W$, à laquelle j'ai donc accès directement :mrgreen:
[troll off]
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar johndeuf » 16 Mars 2007 19:19

Salut,

Juste pour dire que j'ai 1 IPCOP, 1 SME (server only) dans la DMZ (serveur web) + 1 SME (server only) dans le LAN (serveur de fichiers et contrôleur de domaine). Tout ça depuis un certain temps et sans aucun pb particulier ! Ton idée me semble donc judicieuse bob88, et si quelqu'un a des arguments justifiés contre cette architecture, je serai heureux de les écouter...
Avatar de l’utilisateur
johndeuf
Premier-Maître
Premier-Maître
 
Messages: 68
Inscrit le: 15 Août 2002 00:00

Messagepar jibe » 16 Mars 2007 19:54

Salut,

johndeuf a écrit:si quelqu'un a des arguments justifiés contre cette architecture, je serai heureux de les écouter...

J'ai bien toujours dit qu'un assemblage SME+Ipcop devait comporter 3 serveurs selon l'architecture que tu décris. Là, je pense que tout le monde est d'accord :wink:

jibe a écrit:Etant souvent accusé de troller sur le sujet SME+Ipcop, je confirme que ce que tu as prévu est Ok, bob88. Le seul petit bémol que j'y mets est que tu n'utilises qu'une partie de tes SME, et qu'à ce titre d'autres distribs seraient plus adaptées. Mais cela se discute, et doit être étudié en fonction des besoins précis.


Je me demande parfois si ceux qui m'accusent de troller sur ce sujet ont bien lu et compris mes posts... :roll:
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar johndeuf » 17 Mars 2007 12:43

Heu...sans vouloir trop dériver, jibe, pourquoi parles-tu de TROIS serveurs ? à moins que tu considères IPCOP comme un serveur ?
Avatar de l’utilisateur
johndeuf
Premier-Maître
Premier-Maître
 
Messages: 68
Inscrit le: 15 Août 2002 00:00

Messagepar sibsib » 17 Mars 2007 21:31

Hello,

Là je peux répondre pour lui : Oui, nous comptons IPCOP dans la liste des serveurs :-) Jusqu'à preuve du contraire, c'est tout de même quelque chose d'assez approchant :-)

Plus sérieusement, l'idée est de dire qu'on choisit soit SME seule, soit une architecture plus lourde, qui nécessite outre le firewall dédié au moins deux 'serveurs' : une machine qui héberge les ressouces du LAN, et une machine qui héberge les ressource orientée Internet.
Donc 3 systèmes ou 1.

JiBé et moi même nous battons contre les montages à un firewall + un serveur "à tout faire", mais ceci n'était absolument pas dans le cadre de ce topic.

<LIGNE ANTI TROLL>
Attention, il s'agit uniquement d'un point de vue !
</LIGNE ANTI TROLL>

A+,
Pascal
Sibsib, admin heureux d'un petit SME !!!
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
Avatar de l’utilisateur
sibsib
Amiral
Amiral
 
Messages: 2368
Inscrit le: 11 Mai 2002 00:00
Localisation: France - région parisienne

Messagepar jibe » 17 Mars 2007 22:06

Salut,

Image Merci sibsib ! Je n'aurais pas mieux répondu à johndeuf ! :biz:
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar johndeuf » 22 Mars 2007 16:59

ok messieurs merci pour ces précisions
et j'affirme haut et fort que j'adhère à ce point de vue !
Avatar de l’utilisateur
johndeuf
Premier-Maître
Premier-Maître
 
Messages: 68
Inscrit le: 15 Août 2002 00:00


Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité