Acces à distance pour 2003 derriere 2 Ipcop

[fpires]

Bonjour les amis,

Je suis en train de mettre en place une maquette sous virtual server.

J'ai 2 ipcop (dos à dos), un server 2003 et un client XP


Internet DMZ1(Orange) LAN2(Vert)
Client ------------- Ipcop1 ---------------------- Ipcop2 ----------------- Server2k3


Je souhaiterais que l'authentification se fasse par le server2k3.

Quelqu'un peut-il m'aider ou existe-t-il un addon?

merci

[jdh]

Le schéma est incompréhensible !

Je ne sais pas ce qui t'as fait croire que mettre 2 ipcop successifs permettait d'augmenter la sécurité ... car il n'en est rien !

La position NATURELLE d'une machine auquel on accède est dans la DMZ.

Je ne comprends pas le sens d' "accès à distance" : cette expression est ambigue : il y a plusieurs sens.

Dernier point, la virtualisation complique forcément les mécanismes. Ce n'est donc pas forcément facile de comprendre ce qui se passe ...

[ccnet]

Comprend pas non plus le sens de tout cela.

[fpires]

Mon 2eme Ipcop (ipcop2) se trouve dans la DMZ de mon premier Ipopc (ipcop1).

CLIENT ===Internet=== IPCOP1 ===dmz=== IPCOP2 ===LAN=== SERVER2k3

J'ai besoin de sécurisé au maximun mon architecture.

L'accès à mon LAN doit se faire après une authentification par mon serveur 2k3.

[ccnet]

Totalement illusoire. Ipcop n'est pas conçu pour un fonctionnement de ce type. Penser que 2 firewall identiques à la suite augmentent la sécurité est purement une vue de l'esprit. Surtout lorsque l'on ne sait rien du reste.
Si vous avez un besoin de sécurité de haut niveau, vous êtres a priori une entreprise d'une taille suffisante pour mettre les moyens nécessaire en face. Or dans une entreprise de cette importance (sans parler de la taille) on n'utilise pas ipcop qui ne couvre pas les besoins probables.
Si ipcop comporte une faille connue et exploitable pour obtenir un accès, deux ipcop ne serviront à rien. Il suffira d'exploiter la même faille.

L'accès à mon LAN doit se faire après une authentification par mon serveur 2k3.

Totalement contradictoire avec le "besoin de sécuriser au maximun mon architecture". Avec une exigence de sécurité maximum, sous aucun prétexte on ne donne d'accès au lan même pour un client utilisant un vpn. Encore faudrait il savoir quelle authentification, quel VPN ?
Sécurité maximum, serveur dans le lan utilisateurs ? Là non plus cela ne colle pas.

Si vous exposez clairement la totalité de votre projet, peut être pouvons nous donner des pistes.

[jdh]

J'ai du mal m'exprimer !

Je ne comprends pas du tout ce que signifie "accéder à mon lan".


* 2 firewalls successifs <> sécurité supplémentaire

Je voudrais faire comprendre que 2 IPCOP (ou n'importe quel firewall) n'augmente pas la sécurité !

- En effet, si le premier est compromis par quelque méthode que ce soit, le 2ème le sera par la même méthode !
- Cette façon de faire suppose que l'on fasse les (bons) réglages sur les 2 firewall en même temps. Or, on finit par ne pas respecter cette règle.
- L'hypothèse de mettre 2 firewall de type différent ne renforce pas plus la sécurité car il faut être aussi compétent sur 2 systèmes différents ... ce qui est tout aussi difficile que de maintenir des règles sur 2 systèmes.

Le seul schéma acceptable avec 2 firewall successifs est le suivant :


internet <-> (R) firewall (O) <-> dmz <-> (R) firewall (G) <-> lan (avec AUCUNE autre interface sur chacun des firewall : à noter que R+O n'est pas possible avec IPCOP !)


* schéma incomplet
Le problème de ce schéma (qui est AMHA incomplet !) est que je suppose que le LAN de l'IPCOP2 correspond au LAN de l'IPCOP1. Ceci est un court circuit ! Et c'est très dangereux !!


* une bonne sécurité :
Une bonne sécurité consiste à utiliser un VPN comme OpenVPN (ZERINA chez IPCOP).