demande d'eclaircissement sur BOT

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Publier une réponse

demande d'eclaircissement sur BOT

Messagepar team94 » 25 Fév 2009 11:37

bonjour à tous, :D

je possede chez moi plusieurs machines, un serveur (web,ftp)et 3pc, j'ai mis le serveur sur une interface orange DMZ et le reste sur une interface verte tous fonctionne correctement.

je voudrait proteger mon reseaux contre les tentatives d'intrusions, j'ai lu sur le forum qu'il valait mieux installer BOT plutot que ids+guardian.
http://forums.ixus.fr/viewtopic.php?t=41892

Mais je ne comprend pas une chose BOT bloque bien le traffic sortant moi je veut proteger mon reseaux contre le traffic entrant, etant le seul a utiliser les machines je pense que BOT n'a pas d'interet pour moi ?

pourriez vous m'eclairer sur l'interet de BOT dans mon cas merci de vos réponse ! :lol:
team94
Quartier Maître
Quartier Maître
 
Messages: 11
Inscrit le: 31 Jan 2009 23:35
Haut

Messagepar jdh » 25 Fév 2009 11:55

BOT est un outil totalement indispensable avec un IPCOP.

Il permet de décrire précisément chaque flux (entrant ou sortant).

Il est totalement indispensable car les règles par défaut d'IPCOP (rappelées dans le newbie-kit) sont, pour moi et pour beaucoup, contraires à la sécurité.

Par exemple, une règle par défaut est "Green vers Red tout autorisé" est absurde. En effet, si sur un PC est installé un virus genre worm ou mass-mailer, il n'aura aucune peine à envoyer des mails.

Le principe est d'interdire tout par défaut puis d'ouvrir ce qui est nécessaire. BOT permet de le faire simplement et avec efficacité.

Concernant les connexions entrantes, il faut explicitement les définir pour IPCOP ou n'importe quelle box. Il n'y a, à priori, pas de connexion entrante possible sans paramétrage. Ce qui me parait logique.


IPS ou Guardian sont 2 choses distinctes et différentes de BOT.
IPS désigne un "analyseur de flux" capable de détecter une "anomalie". L'expertise (et le temps) nécessaire pour en tirer profit n'est pas présente en général dans les petites PME. C'est donc inutile voire dangereux (on peut s'inquiéter inutilement).
dansGuardian est un complément au filtrage http. C'est plus élaboré que le "simple" filtrage sur le nom ou l'adresse ip. Cela dit c'est bien sur plus gourmand que l'excellent SquidGuard.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes
Haut

Messagepar ccnet » 25 Fév 2009 12:04

J'adhère sans réserve à la réponse de Jdh.
Pour en savoir plus sur l'aspect IPS, recherchez ici les posts consacrés à Snort par exemple.
Si vous voulez augmentez le degré de protection de votre réseau (mais est ce bien nécessaire ?) il faudra envisager des modifications d'architecture profonde, comme la mise en place d'un reverse proxy par exemple.
Dernière édition par ccnet le 25 Fév 2009 16:02, édité 1 fois au total.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris
Haut

Messagepar team94 » 25 Fév 2009 12:48

ok merci de vos reponse je vais m'orienter vers BOT et squidguard

merci encore

@bientot :D
team94
Quartier Maître
Quartier Maître
 
Messages: 11
Inscrit le: 31 Jan 2009 23:35
Haut
Publier une réponse

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Google [Bot] et 1 invité

Powered by boolaz