Bonjour,
Je me pose la question de savoir si Ipcop est considéré comme SPI ou DPI lorsque l'IDS est activé.
Qu'en pensez-vous ?
Merci
Stateful Packet ou Deep Packet Inspection
Modérateur: modos Ixus
7 messages
• Page 1 sur 1
Stateful Packet ou Deep Packet Inspection
par dsbsystem » 12 Août 2008 16:17
Plusieurs IPCOP V. 1.4X +( trop ?) nombreux addons ...
-
dsbsystem - Contre-Amiral
- Messages: 404
- Inscrit le: 18 Juin 2004 15:59
- Localisation: Lorraine
par jdh » 12 Août 2008 16:42
Comme d'hab, une recherche sur wikipedia s'impose :
- http://en.wikipedia.org/wiki/Stateful_firewall
- http://en.wikipedia.org/wiki/Deep_packet_inspection
Deep Packet Inspection serait dit d'un firewall à états (Stateful Packet Inspection) auquel serait adjoint un IDS et un IPS.
La logique serait de dire qu'IPCOP avec IDS activé serait de type DPI tandis que, sans IDS, IPCOP serait de type SPI.
Je me pose une question bête : quel intérêt de l'appeler DPI ou SPI ? (D'autant qu'AMHA un IDS/IPS ne devrait être placé qu'en DMZ après s'être assuré qu'il n'y a réellement AUCUNE possibilité de passer de Green à Red).
(NB: un IPCOP sans BOT peut-il être considéré comme un firewall ? aka avec une règle Green -> Red tout autorisé !)
- http://en.wikipedia.org/wiki/Stateful_firewall
- http://en.wikipedia.org/wiki/Deep_packet_inspection
Deep Packet Inspection serait dit d'un firewall à états (Stateful Packet Inspection) auquel serait adjoint un IDS et un IPS.
La logique serait de dire qu'IPCOP avec IDS activé serait de type DPI tandis que, sans IDS, IPCOP serait de type SPI.
Je me pose une question bête : quel intérêt de l'appeler DPI ou SPI ? (D'autant qu'AMHA un IDS/IPS ne devrait être placé qu'en DMZ après s'être assuré qu'il n'y a réellement AUCUNE possibilité de passer de Green à Red).
(NB: un IPCOP sans BOT peut-il être considéré comme un firewall ? aka avec une règle Green -> Red tout autorisé !)
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
Re: Stateful Packet ou Deep Packet Inspection
par ccnet » 12 Août 2008 17:05
dsbsystem a écrit:Bonjour,
Je me pose la question de savoir si Ipcop est considéré comme SPI ou DPI lorsque l'IDS est activé.
Qu'en pensez-vous ?
Merci
En dehors du débat théorique et sémantique toujours possible où voulez vous en venir ?
S'agissant de la pertinence d'utiliser snort sur ipcop, la question a été débattu plusieurs fois ici. A mon sens utiliser cette possibilité n'est pas rationnelle. Utiliser snort signifie, pour moi, une sonde indépendante et une console de gestion. En pratique c'est aussi pas mal de besoin matériel comme des switchs avec la possiblité de configurer un port span où brancher la sonde. Sans compter les besoins humains pour l'exploitation de Snort.
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
Re: Stateful Packet ou Deep Packet Inspection
par dsbsystem » 13 Août 2008 16:03
En dehors du débat théorique et sémantique toujours possible où voulez vous en venir ?
S'agissant de la pertinence d'utiliser snort sur ipcop, la question a été débattu plusieurs fois ici. A mon sens utiliser cette possibilité n'est pas rationnelle. Utiliser snort signifie, pour moi, une sonde indépendante et une console de gestion. En pratique c'est aussi pas mal de besoin matériel comme des switchs avec la possiblité de configurer un port span où brancher la sonde. Sans compter les besoins humains pour l'exploitation de Snort.
Merci de vos réponses et des liens : ma question est ... motivée par un ami I.T qui hésite entre une solution intégrée de type Astaro et Ipcop + 1 serveur 2003 équipé de modules de filtrage mail et antispam.
Son revendeur Astaro a insisté sur la différence SPI / DPI ce à quoi j'ai rétorqué que, compte tenu de la faiblesses des éléments à protéger ( serveur mail) celà ne me semblait pas valoir l'écart de prix qui est très, très conséquent surtout pour une entreprise de 30 postes ...
D'après moi, Ipcop + Advproxy +Urlfilter + BOT + Zerina VPN feraient largement l'affaire et le cout d'un petit serveur de protection mail est ridicule par rapport à un Astaro, solution au demeurant excellent si on admet l'idée d'un UTM "multi-fonctions" .
-
dsbsystem - Contre-Amiral
- Messages: 404
- Inscrit le: 18 Juin 2004 15:59
- Localisation: Lorraine
par ccnet » 13 Août 2008 16:28
Son revendeur Astaro a insisté sur la différence SPI / DPI ce à quoi j'ai rétorqué que, compte tenu de la faiblesses des éléments à protéger ( serveur mail) celà ne me semblait pas valoir l'écart de prix qui est très, très conséquent surtout pour une entreprise de 30 postes ...
J'en suis d'accord.
le cout d'un petit serveur de protection mail est ridicule par rapport à un Astaro, solution au demeurant excellent si on admet l'idée d'un UTM "multi-fonctions" .
Et si on ne veut pas faire compliquer à mettre en oeuvre on peut utiliser Clarkconnect Community 4.3 que l'on configure en mode serveur autonome avec une intégration complète déjà faite de postfix+ clamav+spamassassin. Plus la possibilité de configurer Postfix pour améliorer le contrôle anti spams. Très efficace. Simple à installer.
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
par jdh » 13 Août 2008 16:29
C'est une caricature de comparaison :
- Astaro + 1 srv Windows 2003 + module de filtrage mail/spam
- Ipcop + ...
D'un côté, on a du proprio avec des contrats de maintenance à gogo. C'est l'approche du manager qui ne veut pas de problème (je n'ai pas écrit "qui ne connais rien à la technique"). De l'autre on a du Opensource avec ... une expertise à construire. Je ne connais pas la décision mais je sais vers quel côté cela va pencher.
Il faut découper le problème :
- firewall : filtrage de flux réseau + accès distant + log
- srv mail :
Il existe des solutions simples et efficaces pour le mail : SME, Clarkconnect, Zimbra, Obm, ... (les 2 premières peuvent être aussi firewall).
NB : récemment, pour une PME avec 20 comptes, je viens d'installer un Zimbra (sur un serveur dédié) avec comme client lourd Thunderbird+Lightning. C'est assez sympa et très solide. Il me reste à regarder la sauvegarde (il y a 2 disques en Raid 1 soft mais ce n'est pas de la sauvegarde).
- Astaro + 1 srv Windows 2003 + module de filtrage mail/spam
- Ipcop + ...
D'un côté, on a du proprio avec des contrats de maintenance à gogo. C'est l'approche du manager qui ne veut pas de problème (je n'ai pas écrit "qui ne connais rien à la technique"). De l'autre on a du Opensource avec ... une expertise à construire. Je ne connais pas la décision mais je sais vers quel côté cela va pencher.
Il faut découper le problème :
- firewall : filtrage de flux réseau + accès distant + log
- srv mail :
Il existe des solutions simples et efficaces pour le mail : SME, Clarkconnect, Zimbra, Obm, ... (les 2 premières peuvent être aussi firewall).
NB : récemment, pour une PME avec 20 comptes, je viens d'installer un Zimbra (sur un serveur dédié) avec comme client lourd Thunderbird+Lightning. C'est assez sympa et très solide. Il me reste à regarder la sauvegarde (il y a 2 disques en Raid 1 soft mais ce n'est pas de la sauvegarde).
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par ccnet » 13 Août 2008 17:35
jdh a écrit:C'est une caricature de comparaison :
C'est l'approche du manager qui ne veut pas de problème (je n'ai pas écrit "qui ne connais rien à la technique"). De l'autre on a du Opensource avec ... une expertise à construire. Je ne connais pas la décision mais je sais vers quel côté cela va pencher.
C'est clairement la personne qui va se retrancher derrière un unique argument quelque soit les problèmes, techniques, performances, coûts en disant : "j'ai pris le leader mondial et tous les contrats de maintenance. Microsoft c'est les plus forts on peut rien me dire !" Je reviendrai sur ce post plus tard qui est interessant. Pour le moment j'ai une urgence.
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
7 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité