Stateful Packet ou Deep Packet Inspection

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Stateful Packet ou Deep Packet Inspection

Messagepar dsbsystem » 12 Août 2008 16:17

Bonjour,

Je me pose la question de savoir si Ipcop est considéré comme SPI ou DPI lorsque l'IDS est activé.

Qu'en pensez-vous ?

Merci
Plusieurs IPCOP V. 1.4X +( trop ?) nombreux addons ...
Avatar de l’utilisateur
dsbsystem
Contre-Amiral
Contre-Amiral
 
Messages: 404
Inscrit le: 18 Juin 2004 15:59
Localisation: Lorraine

Messagepar jdh » 12 Août 2008 16:42

Comme d'hab, une recherche sur wikipedia s'impose :

- http://en.wikipedia.org/wiki/Stateful_firewall
- http://en.wikipedia.org/wiki/Deep_packet_inspection

Deep Packet Inspection serait dit d'un firewall à états (Stateful Packet Inspection) auquel serait adjoint un IDS et un IPS.

La logique serait de dire qu'IPCOP avec IDS activé serait de type DPI tandis que, sans IDS, IPCOP serait de type SPI.


Je me pose une question bête : quel intérêt de l'appeler DPI ou SPI ? (D'autant qu'AMHA un IDS/IPS ne devrait être placé qu'en DMZ après s'être assuré qu'il n'y a réellement AUCUNE possibilité de passer de Green à Red).

(NB: un IPCOP sans BOT peut-il être considéré comme un firewall ? aka avec une règle Green -> Red tout autorisé !)
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Re: Stateful Packet ou Deep Packet Inspection

Messagepar ccnet » 12 Août 2008 17:05

dsbsystem a écrit:Bonjour,

Je me pose la question de savoir si Ipcop est considéré comme SPI ou DPI lorsque l'IDS est activé.

Qu'en pensez-vous ?

Merci


En dehors du débat théorique et sémantique toujours possible où voulez vous en venir ?
S'agissant de la pertinence d'utiliser snort sur ipcop, la question a été débattu plusieurs fois ici. A mon sens utiliser cette possibilité n'est pas rationnelle. Utiliser snort signifie, pour moi, une sonde indépendante et une console de gestion. En pratique c'est aussi pas mal de besoin matériel comme des switchs avec la possiblité de configurer un port span où brancher la sonde. Sans compter les besoins humains pour l'exploitation de Snort.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Re: Stateful Packet ou Deep Packet Inspection

Messagepar dsbsystem » 13 Août 2008 16:03

En dehors du débat théorique et sémantique toujours possible où voulez vous en venir ?
S'agissant de la pertinence d'utiliser snort sur ipcop, la question a été débattu plusieurs fois ici. A mon sens utiliser cette possibilité n'est pas rationnelle. Utiliser snort signifie, pour moi, une sonde indépendante et une console de gestion. En pratique c'est aussi pas mal de besoin matériel comme des switchs avec la possiblité de configurer un port span où brancher la sonde. Sans compter les besoins humains pour l'exploitation de Snort.


Merci de vos réponses et des liens : ma question est ... motivée par un ami I.T qui hésite entre une solution intégrée de type Astaro et Ipcop + 1 serveur 2003 équipé de modules de filtrage mail et antispam.

Son revendeur Astaro a insisté sur la différence SPI / DPI ce à quoi j'ai rétorqué que, compte tenu de la faiblesses des éléments à protéger ( serveur mail) celà ne me semblait pas valoir l'écart de prix qui est très, très conséquent surtout pour une entreprise de 30 postes ...

D'après moi, Ipcop + Advproxy +Urlfilter + BOT + Zerina VPN feraient largement l'affaire et le cout d'un petit serveur de protection mail est ridicule par rapport à un Astaro, solution au demeurant excellent si on admet l'idée d'un UTM "multi-fonctions" .
Avatar de l’utilisateur
dsbsystem
Contre-Amiral
Contre-Amiral
 
Messages: 404
Inscrit le: 18 Juin 2004 15:59
Localisation: Lorraine

Messagepar ccnet » 13 Août 2008 16:28

Son revendeur Astaro a insisté sur la différence SPI / DPI ce à quoi j'ai rétorqué que, compte tenu de la faiblesses des éléments à protéger ( serveur mail) celà ne me semblait pas valoir l'écart de prix qui est très, très conséquent surtout pour une entreprise de 30 postes ...

J'en suis d'accord.
le cout d'un petit serveur de protection mail est ridicule par rapport à un Astaro, solution au demeurant excellent si on admet l'idée d'un UTM "multi-fonctions" .

Et si on ne veut pas faire compliquer à mettre en oeuvre on peut utiliser Clarkconnect Community 4.3 que l'on configure en mode serveur autonome avec une intégration complète déjà faite de postfix+ clamav+spamassassin. Plus la possibilité de configurer Postfix pour améliorer le contrôle anti spams. Très efficace. Simple à installer.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar jdh » 13 Août 2008 16:29

C'est une caricature de comparaison :

- Astaro + 1 srv Windows 2003 + module de filtrage mail/spam
- Ipcop + ...

D'un côté, on a du proprio avec des contrats de maintenance à gogo. C'est l'approche du manager qui ne veut pas de problème (je n'ai pas écrit "qui ne connais rien à la technique"). De l'autre on a du Opensource avec ... une expertise à construire. Je ne connais pas la décision mais je sais vers quel côté cela va pencher.

Il faut découper le problème :

- firewall : filtrage de flux réseau + accès distant + log
- srv mail :

Il existe des solutions simples et efficaces pour le mail : SME, Clarkconnect, Zimbra, Obm, ... (les 2 premières peuvent être aussi firewall).


NB : récemment, pour une PME avec 20 comptes, je viens d'installer un Zimbra (sur un serveur dédié) avec comme client lourd Thunderbird+Lightning. C'est assez sympa et très solide. Il me reste à regarder la sauvegarde (il y a 2 disques en Raid 1 soft mais ce n'est pas de la sauvegarde).
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar ccnet » 13 Août 2008 17:35

jdh a écrit:C'est une caricature de comparaison :
C'est l'approche du manager qui ne veut pas de problème (je n'ai pas écrit "qui ne connais rien à la technique"). De l'autre on a du Opensource avec ... une expertise à construire. Je ne connais pas la décision mais je sais vers quel côté cela va pencher.


C'est clairement la personne qui va se retrancher derrière un unique argument quelque soit les problèmes, techniques, performances, coûts en disant : "j'ai pris le leader mondial et tous les contrats de maintenance. Microsoft c'est les plus forts on peut rien me dire !" Je reviendrai sur ce post plus tard qui est interessant. Pour le moment j'ai une urgence.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité