caractéristique d'un serveur IPCOP pour 280 users(résolu)

[julesboucan]

Bonjour à vous tous,
je dois proposer un serveur pour la configuration de IPCOP avec quelques addons, à savoir Advanced Proxy, Copfilter, Urlfilter, Guardian et Snort.

Mon inquiètude est surtout par rapport à la taille de la méoire RAM, et processeur.

Le LAN comporte 280 users dont 200 en moyenne connectés en permanence.

Merci pour suite d'avance.

[Franck78]

Mon inquiètude est surtout par rapport à la taille de la méoire RAM, et processeur.

ah bon? Et c'est quoi qui te rend inquiet? Utiliser un processeur à 1% de ses capacités? Payer trop cher une machine? Ecumer internet à la recherche d'un 386 neuf qui convient ?

Avoue que c'est bizarre hein comme question

Taille de la RAM: as-tu vraiment regardé le prix de la RAM? Ou pour te rassurer tu penses à vraiment *beaucoup* de RAM (eg >64Gigas)???

[jdh]

(Où est ce job de responsable réseaux ? Moi j'ai les compétences et surtout l'expérience ... Quelle inconscience d'espérer la sécurité avec une expérience si débutante ! Tu n'y es pour rien julesboucan mais je doute que tu sois à la bonne place ... On appelle cela l'erreur de casting ! Et pour moi qui ai recruté, c'est d'abord l'erreur du recruteur. Mais c'est beau de faire confiance à si peu de réflexion. J'ai eu perso la chance d'être toujours "challengé" : on m'a fait confiance parce que j'essayais d'abord de faire le tour du problème ...)


Franchement, le SEUL critère du nombre d'utilisateurs est-il capable de sizer un firewall ?

Si tu ne vois pas le côté surréaliste de cette question, on est désolé pour toi ...


Peut-être que la taille de la ligne, l'utilisation d'un proxy, l'authentification, la sauvegarde, les types de flux, les serveurs en dmz, les antivirus, les vpn, ... pourraient être des éléments entrants en ligne de compte pour sizer un firewall ? (J'oublie surement encore d'autres éléments ...)

Ah maintenant tu comprends qu'il y a d'autres choses ... Désolé !

(Tu cites quelques addons mais, quand on cite snort, par exemple, c'est que l'on ne sait pas ce que c'est.)




(Ma volonté n'est pas de te mettre la tête par terre, mais il faut bien que tu progresses en posant des question en donnant DES infos.)

[julesboucan]

J'ai l'impression que vous pensiez que j'ai un boulot super où je gagne des milliers d'euros et que je n'ai pas le mérite et je viens vous voir pour prendre connaissance histoire que vous fassiez tout le travail à ma place. Vous vous trompez largement si c'est ce que vous pensiez, sinon je présente mes excuses. Mais reconnaissiez que quelques fois vous exagérez dans vos expressions.

Vous dîtes que ixus est un forum, à quoi sert les forums s'ils faut être expert avant d'être membre, moi je me suis jamais proclammé expert, j'ai deux ans d'expériences d'administration et je sais que j'ai du chemin par rapport à quelqu'un qui a 20 ans, et j'en connais qui sont plus expérimentés mais assez simple.

Je connais d'autres forums assez robustes aussi mais les gars ne donnent pas de tel propos.

L'autre chose pour laquelle j'ai connu ixus est IPCOP,entre temps je déployais des solutions Squid+DG+HAVP + firewall avec webmin. Mais depuis que j'ai découvert IPCOP, je suis fan et je veux l'adopter.

Chacun a eu un début, et personne n'est né avec quoi que soit, et on ne peut pas forcement être pareil, c'est ce qui fait la différence entre nous.

Si vous jugez pas bon de me répondre, ne repondez plus à mes posts au lieu de me balancer des propos pareils, mais une chose est sûr je finirai pas résoudre mes problèmes d'une manière à une autre même s'il faudra prendre le temps qu'il faut.

Je vous remercie.

[Gesp]

Par rapport au problème que tu poses :
-snort n'est pas la panacée et demande un gros boulot de suivi des logs.
Probablement beaucoup plus de 50% des gens qui l'utilisent sur IPCop n'en tirent pas profit.
Si on exploite pas les logs (ce qui est fastidieux), cela n'apporte qu'une vulnérabilité potentielle de plus.

- concernant le reste et sachant qu'il ne faut pas mettre plus de 3 Go de mémoire en pratique sur un kernel 32 bits sans recourir au tuning du noyau , tu pars avec 3 Go et la taille du cache proxy sera ajusté en conséquence.

http://marc.info/?l=ipcop-devel&m=119628375314583&w=2

[jdh]

Bon ! Je vais répondre très directement !


* sizer un IPCOP

Tu indiques quelques addons et tu donnes principalement le nombre de users.
Cela ne te parait pas court pour sizer un firewall ? C'est dommage ...

Par exemple Snort est l'exemple type de ce que j'appelle la "fausse bonne idée". On peut croire que c'est une bonne idée de repérer les paquets ip "bizarres". Si on connaît un peu la question, on observe qu'il faut une compétence forte et un temps important pour exploiter correctement cet outil (distinguer le positif du faux positif). Par ailleurs, il me semble assez mal placé sur le firewall (il suffit d'aller sur le site de snort > doc > ids deployement guide > howto pour s'en rendre compte). 2ème par ailleurs, snort et ses règles représentent 20M parmi 98M d'un IPCOP embarqué, ce qui est énorme. 3me par ailleurs, la puissance nécessaire à l'analyse des paquets "on the fly" est loin d'être négligable. Bref une "fausse bonne idée".

(A titre perso, un, je ne m'estime pas suffisamment compétent pour exploiter un ids, deux, je n'ai pas suffisamment de temps à y consacrer).

Autre exemple, l'utilisation de Copfilter est aussi une "fausse bonne idée". La consommation mémoire et l'utilisation cpu sont assez importante (plus encore que snort !) : AMHA un minimum de 1G est nécessaire. Par ailleurs, la conception d'une architecture plus saine permet d'éviter l'utilisation de cet addon.

200 utilisateurs sont connectés en permanence ? Mais alors ne faudrait-il pas penser à 2 firewalls et à un dispositif de bascule ?

Concernant Squid (et, partant, les addons basés dessus), l'influence de quelques paramètres, comme la "basique" taille du cache, est déterminante. Et, faute d'avoir lu le site de Squid ou la remarque du site d'IPCOP, les débutants font N'IMPORTE QUOI !

D'autres éléments sont peut-être à prendre en compte : le reste du réseau, la taille de la ligne (ou des lignes) internet, l'authentification des utilisateurs.

Bref la question telle qu'elle est posée ne peut avoir de réponse sauf générale.

(AMHA, je ne choisirais pas IPCOP pour 280 utilisateurs.)


* Le reste des questions

Tu as posé un certain nombre de questions qui montrent que tu es, d'une part très débutant (malgré 2 ans), et d'autre part, peu capable de trouver des réponses adaptées (malgré un moteur puissant comme G).

Je cite :
- "impossible d'accéder à un VPN" : incompréhensions diverses (fichier de conf confondu avec fichier binaire, adresse ip publique, blacklistage, config d'un routeur ...),
- contrôle à distance : manque flagrant de recherche, pas d'écoute des réponses,
- personnalisation de page d'urlfilter : on ne sait pas si le "souhait" est résolu (malgré la piste "logique" de Gaston),
- analyse de logs snort : je donne une réflexion issue de l'expérience mais quand on size on reprend snort,
- securiser un serveur Exchange : compréhension de travers, manque de recherche (open relay),
- plantage d'ipcop : recherche erronée (pas de recul par rapport à ce qui est lu).


Inscrit depuis le 7 aout, tu fais le tour des questions.

Tu démontres un réel talent pour ne pas comprendre les docs que tu trouves ou les comprendre de travers. A chaque fois c'est par le petit bout de la lorgnette qu'est examiné le problème.

Moi cela fait plus de 20 ans que je travaille en informatique après des études scientifiques. Je suis, donc, très attaché à comprendre avant d'agir. Cela passe par la lecture critique des docs et un profil bas.

Aujourd'hui, je recrute des collègues. Franchement, pour 2 ans d'expérience (plus la formation, à minima B+2, peut-être "ingénieur" ?), j'ai heureusement trouvé des jeunes ayant une pratique plus forte et un recul plus profond. Il est vrai que je contribue chaque jour à augmenter leur esprit critique.

Je perds donc mon temps sur ce fil. En conséquence je ne répondrais plus aux questions de julesboucan ...

S'il y a des courageux ...

[ccnet]

Pour commencer, il me semble réaliste de prendre en compte les remarques de jdh. Je les partage.

Pour compléter.

Snort sur sur ipcop est une fausse bonne idée pour une raison supplémentaire. Mettre snort en écoute sur une interface dotée d'une ip est vraiment une mauvaise idée. Comment laisser détecter la présence de snort. Un déploiement possible de snort, selon moi plus correct, c'est de placer un switch avec la possibilité de configurer un port span entre la firewall et internet. La machine snort aura une interface sans ip et une autre connecté à un réseau d'administration. Le bon fonctionnement de snort suppose que l'on ne rate pas de paquet. D'où le problème d'évaluler les débits, lignes, etc ... Dans le cas contraire snort ne sert à rien : il suffit de saturer la sonde pour éluder snort. Trivial.
Tout cela en supposant que l'ids soit nécessaire. Ce qui reste à prouver en particulier pour les raisons déjà développées relativement à son exploitation.

280 utilisateurs. Serveur de mail interne Exchange 2003 (donc fragile). Ok. Passerelle smtp antispam antivirus sur ipcop : à nouveau fausse bonne idée. Avez vous une idée du volume de spam que va devoir encaisser votre passerelle ?
Moi oui. Entre 50 000 et 100 000 par jour. Cela nécessite une machine dédié à cette tâche. Pas très puissante, mais dont on peut ne pas craindre de la perdre par déni de service même temporaire. Ce n'est pas le cas du firewall, on ne peut se le permettre. Donc exit Copfilter.

Globalement même combat pour Squid, urlfilter et autre outils de filtrage de contenu : proxy dédié.

Vous pourriez envisager Vmware ESX 3.5 pour virtualiser ces deux machines sur le même serveur physique. A condition qu'ils soient dans la même dmz, ce qui semble possible. Quand les utilisateurs voudrons faire du webmail, il faudra envisager un reverse proxy.

(AMHA, je ne choisirais pas IPCOP pour 280 utilisateurs.)

Moi non plus.

Sinon un lien qui donne une idée de comment réfléchir la question :
http://www.pfsense.org/index.php?option=com_content&task=view&id=52&Itemid=49

Maintenant vous avez du travail. Manifestement c'est un peu gros pour vous ce projet.

[jdh]

ccnet, nous avons oublié, en plus, de parler de vpn ... parce que c'est généralement dans le firewall qu'on place le serveur vpn ...

Et un serveur vpn cryptant en 3DES plusieurs canaux simultanés cela demande juste un peu de puissance ...

[yawple]

Bonjour,

(AMHA, je ne choisirais pas IPCOP pour 280 utilisateurs.)

Moi non plus, vu la taille du reseau je proposerai un solution plus robuste qu'IPCOP tel qu'un UTM avec du filtrage applicatif en plus et en option de la redondance de type cluster.

[ccnet]

Le problème n'est pas la robustesse. Ipcop n'en manque pas. Mais sur le plan de la richesse fonctionnelle dès que l'on à près de 300 utilisateurs il est certain, ou presque, qu'il va y avoir des besoins qu'ipcop ne couvre pas (on le voit biens dans la liste des premiers besoins exprimés). Les débits que le firewall pourra effectivement assurer sont aussi un vrai pb.

[yawple]

J'entendais par robustesse les focntionnalités. Je veux dire par là que les modules supplementaires ajouté prennent des ressources et des fois ne sont pas forcement stable lors d'un utilisation importante (je pense à Copfilter)

Bien sur qu'Ipcop de base est stable vu qu'il fonctionne avec IPTABLE çà me ferai mal de voir IPTABLE pas stable

[ccnet]

Vous me faites penser à ces gens à qui l'on dit sciences occultes et qui comprennent érotisme.

[jdh]

vu la taille du reseau je proposerai un solution plus robuste qu'IPCOP tel qu'un UTM avec du filtrage applicatif en plus et en option de la redondance de type cluster

On dirait le discours d'un commercial ou d'un jeune ingénieur tout juste sorti de son école !

UTM c'est du marketing ! cf Wikipedia http://fr.wikipedia.org/wiki/Unified_threat_management

Il y a 10 ans, Checkpoint faisait sa pub sur "statefull : le contrôle par état de la connexion".
Netfilter alias iptables, apparu vers 2001-2002, apportait le statefull à Linux !
N'importe quelle appliance utilise depuis longtemps du Linux et est donc comparable à IPCOP.

Copfilter c'est l'UTM d'IPCOP, si on y réflechit juste un peu.


Le "vu la taille du réseau" impose plutôt une réflexion sur TOUTE l'architecture. Le firewall n'est qu'un élément, petit élément même s'il est important. Ce qui serait utile c'est le doublement et la bascule.

Un exemple, comme il y a un serveur Exchange interne, ce qui est judicieux c'est de mettre un serveur relais mail avec filtrage AV/AS (Antivirus/Antispam pour ceux qui n'ont pas l'habitude). L'intérêt de Copfilter diminue ainsi ... (Et évidemment, il faut en parallèle interdire les sorties POP3 ! D'ailleurs cela ne serait justifié que par des malins qui voudraient récupérer leur mails perso, donc interdit !)


Bref cette réflexion n'apporte rien.

[yawple]

Vous me faites penser à ces gens à qui l'on dit sciences occultes et qui comprennent érotisme.

ccnet, je vois pas du tout le rapport avec le topic, et je comrpend pas du tout le sens, peut etre ne suis-je pas équipé pour....mais bon c'est comme vous voulez...


jdh, bien sur qu'UTM c'est marketing j'ai jamais pensé le contraire, et oui je rejoins votre idée que Copfilter c'est la partie UTM d'IPCOP.
Ensuite quand les moyens le permettent, il est plus judicieux de separer les roles d'analyse pour la partie messagerie.

(Et évidemment, il faut en parallèle interdire les sorties POP3 ! D'ailleurs cela ne serait justifié que par des malins qui voudraient récupérer leur mails perso, donc interdit !)

Beaucoup de messagerie de type perso sont équipé de webmail, vous conviendrez qu'interdir le POP3 (et l'IMAP4 au passage) ne suffit pas à empecher les utilisateurs de consulter leur emails perso.

Pour l'analyse applicative et UTM je sous-entendais les appliances de marques netasq et arkoon par exemple (j'en oublie surement) et leur techno d'analyse applicative.
Leur techniologie ne s'arretent pas à analyse un mail afin de savoir s'il y a un virus dedans ou si c'est du spam, leur techno verifie que le protocole qui est soit disant du SMTP pour ici le mail, ou du HTTP ou du FTP est bien conforme aux RFC par exemple et ne masque par autre chose.

Bref cette réflexion n'apporte rien.

Ok restons en là alors

Merci pour ces echanges

[jdh]

Il y a 10 ans, je choisissais Raptor (aujourd'hui devenu Symantec) au lieu de CheckPoint pour une entreprise d'une certaine taille.

J'avais été séduit par le principe de l'analyse applicative ou plutôt protocolaire.

Principes repris dans les appliances WatchGuard (aussi utilisés ensuite dans la même entreprise). WatchGuard se vantant d'avoir dans ses rangs un des créateurs de Netfilter/Iptables (Rusty Russel).

Mais déjà le proxy était hors du firewall ... (hélas c'était msproxy !)


AMHA, il faudrait cette analyse protocolaire dans le firewall mais l'analyse AV/AS devrait être laissée au relais mail ou au proxy http/ftp.