Retour experience IPCop 1.3

par **MisterT** » 07 Mai 2003 23:46

Cela reprend une question que j'ai posée dans un autre post (je la "sors" de l'autre <A HREF="http://forums.ixus.net/viewtopic.php?t=3886&start=30" TARGET="_blank">discussion</A> pour ne pas mélanger trop les réponses... J'aurai donc une question ouverte à ceux qui ont installé la nouvelle release d'IPCop (avec ou sans patch <IMG SRC="images/smiles/icon_wink.gif"> : qu'est-ce que la version 1.3 vous a apporté que ne faisait pas la 1.2, et quel bénéfice en avez-vous tiré (en termes de coût surtout...) ? Par exemple, y a-t-il des fonctionalités que vous ne pouviez obtenir et que vous obtenez maintenant ? Ou y a-t-il des aspects qui, bien que disponibles avant, n'offraient pas toutes les mêmes fonctionalités ou facilités avec la 1.2 ? est-ce que votre travail d'administration de la plateforme a changé (simplifié ?) ? etc... Merci,

par **Rbill** » 08 Mai 2003 00:00

Passage 1.2 à 1.3 : Ajout de Ram becoz Snort gourmand Passage 1.3 à 1.3 + fix1 : Plus de mémoire diponible mais perte d'informations gerable par le webmanager Au niveau avantage : Iptables

par **MisterT** » 08 Mai 2003 00:07

Merci pour cette réponse... Et en allant un peu plus loin : qu'est-ce que le passage à IPtables t'as apporté concrètement ? As-tu gagné des fonctionalités (lesquelles ?) ou du temps de gestion (combien ?)

par **Rbill** » 08 Mai 2003 00:21

Je m'emmelais les pinceaux avec Ipchains. De plus le plebiscite de Tomtom <IMG SRC="images/smiles/icon_wink.gif"> pour Iptables m'a facilité la tache pour un meilleur controle du transit des informations et notament en consultant le forum smoothwall. Interdire un acces ou le rediriger est bien plus facile. L'investissement n'est que "personnel" donc aucun cout financier.

par **Vinzstyle** » 08 Mai 2003 00:47

Le passage au noyau 2.4 et à IPTables sont les atouts majeurs de la 1.3.0 par raport à la 1.2.0 IPChains devenait vraiment archaïque, et c'est un vrai passoir comparé à IPTables qui est Statefull, et ça, c'est vraiment une évolution majeure. Pour le reste, mis à part Snort 2, il n'y a pas de grands changements.

par **dbomber** » 08 Mai 2003 10:26

Pour moi, IPCOP 1.3 m'a apporté plus de sécurité (qui rime avec sérénité). Sur le 1.2, ce n'était qu'ipchain, donc si tu voulais faire du FTP, t'était obligé de laisser ouvert les ports >1024. Avec la 1.3, comme c'est iptable, tous les ports sont bloqués par défaut. Donc plus de sécurité. Je trouve l'interface de gestion par le web mieux faite. En plus, le transfert de port est plus simplifié (pas besoin d'ouvrir des ports....faire des doubles manipulations comme c'était le cas dans la 1.2), même s'il serait interessant de pouvoir forwarder des tranches de ports (c'est bon les tranches de porc <IMG SRC="images/smiles/icon_biggrin.gif"> ) depuis l'interface (et non à la mano comme c'est le cas actuellement) Voilou, violi, voila......

par **MisterT** » 08 Mai 2003 16:14

Merci pour ces réponses. Mais pouvez-vous être plus précis ? En dehors de dbomber qui parle d'une amélioration de la sécurité (qui est difficilement quantifiable), comment chiffreriez vous le gain apporté par cette nouvelle version ? Essayez de penser en terme de temps/homme : avez-vous gagné des minutes d'administration par jour ? par semaine ? combien ? Le fait que la nouvelle version apporte Snort2 : OK. Mais qu'est-ce que cela a changé dans votre environnement quotidien ? Pour info, je suis au courant des améliorations de la 1.3 (j'ai lu la doc comme tout le monde...). Le but de ma question est de savoir ce que cela a changé réellement chez les personnes qui l'utilisent... En gros, je cherche à estimer le "ROI" (retour sur investissement) d'un tel upgrade. Je suis d'accord que le coût d'un tel upgrade n'est pas lourd sur une machine, mais lorsqu'on en a un certain nombre à modifier + des personnes à "former" au nouvel environnement + des docs opérationnelles à changer, la question du ROI se pose immédiatement. Merci beaucoup de votre aide à tous,

par **dbomber** » 08 Mai 2003 18:13

Pour répondre à ta question, MisterT, ben en fait ça dépend de ta config d'IPCOP. Je m'explique, supposons que tu veuilles bloquer les ports >1024. Sur le 1.2, j'estime à 5/10 minutes/homme pour les modifs des fichiers de config à la mano (en supposant que tu sais ce que tu fais). Comme les ports >1024 sont bloqués par défaut sur la 1.3, pas de manip. C'est donc 5/10 minutes/homme de gagner pour la 1.3. Si maintenant tu laisses les ports >1024 ouverts sur la 1.2 (FTP?), il n'y a plus de gain de temps. Par contre, le gain se fait au niveau de la sécurité. Bon la c'est super dur à quantifier (je ne suis pas assez calé sur le sujet). Mais tu devrais te poser la question, quelles sont les risques si je laisse ouvert les ports>1024? Sinon, au niveau de l'admin journalier, sincérement, je ne pense que tu y gagne en temps. Il n'y a pas assez de changement. Le temps que tu gagne, ce sera dans l'installation, ou plutot dans le paramétrage de ton IPCOP. Par contre, je n'ai pas compter la formation à iptables ou la modif des doc opérationnels (mais bon la doc ne dépend pas du nombre d'IPCOP). PS: je pense qu'avec la 1.3, il y a+ de modems USB reconnu et l'installation de ces modems (quand ça marche) est plus rapide (mieu faite). Mais je pense que cela t'interesse pas puisque apparament, tu dois avoir un nombre non conséquent d'IPCOP et donc surement une connection autre qu'avec un "simple" modem USB.

par **seb57** » 08 Mai 2003 19:20

il est clair que la maj vers la 1.3 va te generer du temps homme exceptionnel mais la gestion en est quand même simplifié et on reste sur le même "produit" quand même donc il y a une une grande partie d'intuitif la dedans le seul conseil que je puisse te donner car tu en a apparement la possibilité c'est de faire un essaie avec une de tes ipcop et un de tes utilisateur pour voir ce que ca donne quand a la doc opérationnelle tu ne la fait qu'une fois ou presque non ??? et pour ce qui est de quantifié ROI sur des semaines c'est un peu trop tot non !!! <IMG SRC="images/smiles/icon_smile.gif">

par **Vinzstyle** » 08 Mai 2003 19:27

Sur la version 1.3 il est possible de forwarder des "tranches de ports" (perso, je préfère dire intervalle <IMG SRC="images/smiles/icon_smile.gif">). Pour ça il faut taper 1000-2000 ou 1000:2000 (au choix).

par **dbomber** » 08 Mai 2003 21:05

>Sur la version 1.3 il est possible de forwarder des "tranches de ports" (perso, je >préfère dire intervalle ). Pour ça il faut taper 1000-2000 ou 1000:2000 (au choix). C'est quand même un grand pas en avant pour IPCOP...ne plus se taper les tranches de porc ( <IMG SRC="images/smiles/icon_smile.gif"> ) à la mano <IMG SRC="images/smiles/icon_smile.gif"> C'est bon à savoir! <IMG SRC="images/smiles/icon_biggrin.gif"> Merci Vinzstyle.

par **MisterT** » 08 Mai 2003 21:57

Merci pour ces avis (et pour les tranches de porc... <IMG SRC="images/smiles/icon_smile.gif"> Je suis d'accord avec tout ce que vous dites. Mon soucis est d'arriver à le quantifier pour pouvoir dégager des ressources pour faire cette migration... Je sais que techniquement ca vaut le coup, c'est sûr, mais il faut toujours justifier financièrement dans ces cas là... Je crois qu'un argument important est le suivant : si actuellement tu "connais" ipchains et que tu ne "connais" pas iptables, le changement va nécessiter une formation (+ doc). Ca, c'est couteux. Mais si demain, pour d'autres raisons, tu as du te former sur le "stateful", alors la migration ne coûte plus rien... ou presque. Et tout le monde y gagne (sécurité, admin, graphes,...) A suivre donc...

par **Yann31** » 09 Mai 2003 10:52

Je pense que tu as perdu plus de temps à poser tes questions que si tu avais deja installé IpCop 1.3. D'accord le ROI est important dans le milieu professionnel. Mais dans le cas de Ipcop le retour sur investissement n'est pas palpable. on ne peut pas vraiment dire que tu vas perdre du temps (donc de l'argent) en installant la 1.3. Mais si tu veux vraiment calculer combien ca va couter à ton patron que tu installes IpCop, on peut calculer çà. Si par exemple, tu es payé 15.000€ / mois, ton salaire avec les charges doit lui revenir à 30.000€, tu travailles 35h/semaine. Ca fait à peu prés du 198€ de l'heure. Tu vas "perdre" 1/2 heure à installer IpCop. Tu peux donc dire à ton patron que tu lui fais perdre 99€ en migrant vers la 1.3. Tout çà pour dire que sur des projets importants il est peut-etre bon de se prendre la tête avec çà, mais pour quelque chose qui te prendra 1/2 heure à installer, qui sera transparent pour les utilisateurs, c'est limite... PS: Ne va pas dire à ton patron que çà va lui couter 99€, çà m'etonnerait que tu gagnes 100.000Frs / mois (ou sinon garde ton boulot). Les + perspicaces comprendront que j'ai poussé l'exagération...

par **Rbill** » 09 Mai 2003 10:58

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-05-09 10:52, Yann31 a écrit: Tout çà pour dire que sur des projets importants il est peut-etre bon de se prendre la tête avec çà, mais pour quelque chose qui te prendra 1/2 heure à installer, qui sera transparent pour les utilisateurs, c'est limite... </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Je suis tout à fait d'accord avec toi! Désolé si je vais être cru, à un moment je suis demandé si ce n'était pas creer un grand fils de discussion <IMG SRC="images/smiles/icon_rolleyes.gif">

par **MisterT** » 09 Mai 2003 11:41

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-05-09 10:52, Yann31 a écrit: Je pense que tu as perdu plus de temps à poser tes questions que si tu avais deja installé IpCop 1.3. D'accord le ROI est important dans le milieu professionnel. Mais dans le cas de Ipcop le retour sur investissement n'est pas palpable. on ne peut pas vraiment dire que tu vas perdre du temps (donc de l'argent) en installant la 1.3. (...) Tout çà pour dire que sur des projets importants il est peut-etre bon de se prendre la tête avec çà, mais pour quelque chose qui te prendra 1/2 heure à installer, qui sera transparent pour les utilisateurs, c'est limite... (...) </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Pour upgrader un firewall, oui : 1/2 heure max... Mais le problème n'est pas là : le coût vient principalement des à cotés - formation/présentation/explications à l'équipe de support chargée de la maintenance ou des changements - mise en conformités des docs (descriptions, procédures opérationelles, etc...) - gestion du projet de migration (déplacement d'une personne sur sites distants pour effectuer les mises à jour, downtime potentiel pour les utilisateurs à négocier,...) En milieu professionel, c'est ce qui coûte le plus ! :-/ Pour ceux que cela intéresse, j'ai estimé ces coûts comme suit : - revue/modif des docs : 2 jours/homme (1 jour d'écriture, 1 jour de corrections après validation par les utilisateurs de cette documentation). En considérant que les docs initiales pour la version précédente existent déjà, bien entendu... - présentation/formation : 1 demi-journée de préparation (0.5 jour/homme) + 3 demi-journées pour les présentations (équipes 24x7, donc on ne peut pas voir tout le monde en une seule fois) : 1.5 j/homme (à multiplier par le nombre de participants) - gestion du projet : dépend du nombre de sites concernés, mais compter environ 1j/homme par site, entre le travail de coordination central et le déplacement de la personne distante (+ éventuellement le coût du billet de train/avion + coûts exceptionnels d'intervention nuit/week-end s'il n'est pas possible de faire la migration pendant les heures de bureau - heureusement, je n'ai pas cette dernière contrainte... <IMG SRC="images/smiles/icon_smile.gif">. Comme vous le voyez, ca va loin... C'est pour cela que je voulais savoir si ca valait le peine de le faire... Pour l'instant, je ne pense pas. Merci pour vos feedback,

Retour experience IPCop 1.3

Qui est en ligne ?