Conseil pour mise en oeuvre Clarkconnect

Forum traitant de la distribution ClarkConnect. ClarkConnect est une distribution Linux destiné à transformer un simple PC en un routeur/firewall avec certaines fonctions de serveur internet (Web,Mail,FTP....).

Modérateur: modos Ixus

Conseil pour mise en oeuvre Clarkconnect

Messagepar davidcean » 03 Nov 2009 17:03

Bonjour
Je compte mettre en place ClarkConnect community 5 (firewall et relais SMTP sur la même machine) pour environ 150 utilisateurs avec une configuration matérielle adaptée conformément aux préconisations chez ClarkConnect.

Je pensais faire comme suit :
Internet - Firewall et relais SMTP ClarkConnect - Appliance de sécurité Trend Micro AS, AV, Filtre de contenu - Réseau LAN

L'appliance de sécurité est toujours en cours de validité et est installée en mode "pass through" côté LAN entre CConnect et le reste du réseau (pas de DMZ dans cette configuration). L'avantage de cette appliance est aussi qu'elle m'évitera de surcharger Clarkconnect avec spamassasin, l'AV...

Je veux utiliser le relais SMTP sur ClarkConnect car je ne veux surtout pas translater le port 25 de mon serveur Domino qui se trouve sur le LAN.

Ma question est la suivante :
Que pensez vous de ma config ?
Une DMZ serait plus adaptée ?

Merci à tous pour vos réponses
davidcean
Matelot
Matelot
 
Messages: 9
Inscrit le: 03 Nov 2009 16:21

Messagepar ccnet » 03 Nov 2009 17:27

Pour rester neutre, nous dirons que c'est une configuration étrange. Mais surtout peu sûre pour 150 utilisateurs. Nous sommes plusieurs à avoir expliqué ici ce que devrait être architecture saine pour une configuration avec un relai smtp.
Je n'ai pas très envie de recommencer pour une nième fois le même post. Je serai donc bref.

Le firewall : doit être strictement un firewall. Y faire tourner un relai smtp (ouun proxy) est une très mauvaise idée. Surtout avec 150 users.

Le relai devrait être en dmz. Clarckconnect convient très bien, c'est un bon choix pour ce travail.

je ne veux surtout pas translater le port 25 de mon serveur Domino qui se trouve sur le LAN.

Je ne vois pas le problème et à vrai dire je ne comprend pas ce que vous voulez dire.


En résumé : utiliser un vrai firewall, utiliser une dmz, y placer le relai smtp CC, laisser le serveur Domino en lan si vous voulez.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar davidcean » 03 Nov 2009 18:10

ccnet a écrit:Le firewall : doit être strictement un firewall. Y faire tourner un relai smtp (ouun proxy) est une très mauvaise idée. Surtout avec 150 users.

Le relai devrait être en dmz. Clarckconnect convient très bien, c'est un bon choix pour ce travail.

Histoire de m'enfoncer un peu, j'ai oublié de préciser que je pensais faire de cette même machine un serveur proxy...:oops: En fait je suis à la recherche de solutions sécurisantes c'est pour cela que je demande conseil avant toute chose.

Donc sachant que je veux aussi un proxy est-ce que il faudrait s'orienter vers une architecture du type :
1 machine firewall
et dans la DMZ
1 relais SMTP
1 serveur proxy (c'est bien cela ?)
Ce qui fait que je devrais mettre en place 3 machines ?
merci
davidcean
Matelot
Matelot
 
Messages: 9
Inscrit le: 03 Nov 2009 16:21

Messagepar davidcean » 03 Nov 2009 18:27

ccnet a écrit:
je ne veux surtout pas translater le port 25 de mon serveur Domino qui se trouve sur le LAN.

Je ne vois pas le problème et à vrai dire je ne comprend pas ce que vous voulez dire.


Pour faire sous forme de question : Est-ce une bonne idée de transférer le port 25 vers le serveur domino sur le lan ou bien est il préférable dans mon cas de passer par un relais smtp ?
davidcean
Matelot
Matelot
 
Messages: 9
Inscrit le: 03 Nov 2009 16:21

Messagepar ccnet » 03 Nov 2009 18:31

Comme beaucoup, vous commencez par penser en terme de matériels, logiciels, c'est à dire solutions, avant même d'avoir déterminé tous les paramètres du problème, c'est à dire vos besoins en matière de sécurité et de services informatiques aux utilisateurs. Pour une structure de 150 personnes il ne me semble pas possible, et encore moins sûr, de faire l'économie de ce travail.

L'ensemble doit être conçu globalement en fonction d'un niveau de sécurité requis, et des risques que l'on aura évalués et hiérarchisés.

A partir de là ma réponse à votre question est assez superficielle et ne vaut pas plus que votre travail en amont. Celui ci étant limité, ma réponse est de piètre qualité.

Donc sachant que je veux aussi un proxy est-ce que il faudrait s'orienter vers une architecture du type :
1 machine firewall
et dans la DMZ
1 relais SMTP
1 serveur proxy (c'est bien cela ?)
Ce qui fait que je devrais mettre en place 3 machines ?


Si une seule dmz convient (?) alors proxy et relai smtp en dmz. Proxy et Relai smtp peuvent être montés chacun dans une machine virtuelle sur un ESX 3.5 ou 4. Cloisonnement par vlan souhaitable dans la dmz.

Rien ne permet de dire que cela convient à vos besoins simplement parce que nous ne les connaissons pas.
Dernière édition par ccnet le 04 Nov 2009 12:33, édité 1 fois au total.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar davidcean » 04 Nov 2009 12:29

Bon on peut reprendre à 0 ? Je vais essayer d'être concis. N'étant pas familiarisé avec la définition d'un cahier des charges dans ce domaine, je dirais tout de même que l'exigence de sécurité n'est pas démesurée.

L'existant : 1 machine faisant office de :
- proxy/Firewall sous Microsoft ISA Server
- serveur relais SMTP (application Trend Micro)
Entre ce serveur et le reste du réseau LAN : une appliance de sécurité Trend Micro qui fait filtre antivirus, antispam, filtre de contenu... Les licences de cette appliance sont actives pour encore + de 2 ans. Donc elle devra être réutilisée. Cependant, cette appliance peut être utilisée dans différents contextes sur le réseau (DMZ, ...)

Les statistiques actuelles :
- Mail : Moyenne de 6700 Msg/jour traités par le relais SMTP (dans les 2 sens) dont 5000 Spam et autres. Très peu de faux positif et de faux négatif, l'appliance fait assez bien son boulot.
- Internet : le proxy actuel enregistre en moyenne entre 100k et 150k requêtes sortantes par jour.


Les besoins :
- n°1 : Remplacer une plateforme matérielle vieillissante.
- n° 2 : Utiliser une solution fiable et économique -> c'est pour ça que je me tourne vers les solutions Linux administrables par Web, faciles à maintenir, se rapproche bien d'une appliance toute prête à condition qu'elles soit bien configurée et bien dimensionnée.

- En terme de publication (j'utilise le terme Microsoft), il n'y a rien d'autre que le port SMTP du relais qui est ouvert en entrée. Pas de serveur Web, de site internet ou autres.
- Internet : A part pour 5 utilisateurs, la navigation internet n'est pas stratégique pour l'entreprise. Mais il nous est demandé de pouvoir conserver une trace des sites visités par les utilisateurs par IP (c'est la seule raison pour laquelle nous avons besoin d'un serveur proxy)
- Mail : nous utilisons un serveur Lotus Domino 7 (uniquement en tant que serveur de messagerie)

CCnet, est-ce que mes besoins sont plus clairement définis à vos yeux ? Faut-il de préférence passer par un relais SMTP dans un DMZ ? Peut-on se permettre d'ouvrir le port SMTP du serveur Domino sur le firewall ?
Merci encore
davidcean
Matelot
Matelot
 
Messages: 9
Inscrit le: 03 Nov 2009 16:21

Messagepar ccnet » 04 Nov 2009 12:54

Comme vous l'avez compris ma réponse de 17:31 a été rédigé pendant la votre de 17:27 et n 'en tient pas compte.

C'est mieux évidement. Peut être pouvez vous essayer de vous projeter un peu dans l'avenir ? Les utilisateurs ne demanderons t il pas un jour prochain un moyen d'accéder à leur messagerie à distance ?
Dans quelles conditions ?

A part pour 5 utilisateurs, la navigation internet n'est pas stratégique pour l'entreprise.

Le problème est de déterminer à quel point et donc d''envisager si nécessaire des solutions.

La motivation pour le proxy est claitre et légitime.

Je vous répond ensuite sur le reste.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar davidcean » 04 Nov 2009 13:12

ccnet a écrit:Les utilisateurs ne demanderons t il pas un jour prochain un moyen d'accéder à leur messagerie à distance ?
Dans quelles conditions ?


Oui bien-sûr c'est déja le cas grâce à un VPN opérateur donc totalement sous-traité dans le cadre du réseau intersites. (il s'agit d'un réseau intersite uniquement, tout le monde passe par la même sortie pour internet, les mails via le serveur ISA sur le site central...)

Sinon d'ici à migrer toute la messagerie vers des solutions dites "on the cloud" comme gmail par exemple (c'est loin d'être fait il faut encore vaincre les réticences), il se peut que j'ai besoin d'ouvrir les ports IMAP (pour des iPhone par ex) et WEB côté Domino pour rendre iNotes accessible depuis l'extérieur. Donc effectivement, la solution doit laisser une porte entrouverte de ce côté là même si ce n'est pas du tout à l'ordre du jour.

Concernant la navigation internet pour ces 5 utilisateurs, le mot stratégique est un peu fort. Disons que c'est plus que nécessaire sans être stratégique.
davidcean
Matelot
Matelot
 
Messages: 9
Inscrit le: 03 Nov 2009 16:21

Messagepar ccnet » 05 Nov 2009 20:18

Ma réflexion serait la suivante :

Les licences de cette appliance sont actives pour encore + de 2 ans. Donc elle devra être réutilisée. Cependant, cette appliance peut être utilisée dans différents contextes sur le réseau (DMZ, ...)

On conserve et on la met en dmz. On lui adresse le courrier entrant via une translation d'adresse de l'ip publique vers l'ip privée de la dmz. Puis l'appliance réachemine vers Domino placé dans le lan toujours sur le port 25.


Clarkconnect.
Ici on l'oublie, on met un vrai firewall. Avec des capacités fonctionnelles qui supporterons les évolutions. Je mettrai sans hésiter un Pfsense.

Proxy.
On le place à côté de l'appliance dans la dmz.

il se peut que j'ai besoin d'ouvrir les ports IMAP (pour des iPhone par ex) et WEB côté Domino pour rendre iNotes accessible depuis l'extérieur.

Des Iphones fonctionnent très bien, avec un produit payant (Msuite de Commontime) , qui dotera votre Iphone du Push mail, comme le blackberry. Un seul port à ouvrir. Msuite comporte un proxy.
L'utilisation de Inotes depuis l'extérieur pour être vraiment sûre nécessitera un reverse proxy genre (Vulture par exemple) pour filtrer les url envoyées à Domino. Vous ferez du https bien sûr.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar davidcean » 06 Nov 2009 12:43

ccnet a écrit:Ma réflexion serait la suivante :
On conserve et on la met en dmz. On lui adresse le courrier entrant via une translation d'adresse de l'ip publique vers l'ip privée de la dmz. Puis l'appliance réachemine vers Domino placé dans le lan toujours sur le port 25.


Concernant mon appliance, est-ce qu'elle pourra encore officier en tant que filtre de contenu et Antivirus WEB pour les postes client du LAN ?
davidcean
Matelot
Matelot
 
Messages: 9
Inscrit le: 03 Nov 2009 16:21

Messagepar ccnet » 06 Nov 2009 13:05

Cela me semble ne pas poser de problème. Une même machine qui passe des flux smtp et http dans des sens différents ce n'est pas forcément idéal sur le plan sécurité. Si il existe des patch ou des alertes de sécurité sur ce produit, appliquez les patchs, tenez compte des alertes publiées. Ce n'est pas non plus catastrophique surtout si la machine est bien cloisonnée dans sa dmz.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar davidcean » 06 Nov 2009 13:16

OK.
En tout cas merci pour toutes ces infos, vous m'avez été très précieux.
Amicalement
davidcean
Matelot
Matelot
 
Messages: 9
Inscrit le: 03 Nov 2009 16:21

Messagepar davidcean » 06 Nov 2009 13:53

Concernant mon appliance

ccnet a écrit:On conserve et on la met en dmz. On lui adresse le courrier entrant via une translation d'adresse de l'ip publique vers l'ip privée de la dmz. Puis l'appliance réachemine vers Domino placé dans le lan toujours sur le port 25.

Aïe, c'est là où le bât blesse car c'est malheureusement impossible...
Vue dans le manuel de l'appliance :
The Appliance can be deployed as an inline (pass-through) device only. It cannot be used as a router or proxy server.

Le trafic rentre par un port eth, ressort par l'autre et basta... Il est précisé que dans un contexte DMZ, il est nécessaire d'en utiliser 2 : 1 entre le FW et le LAN et une entre le FW et la DMZ.
Je suis embêté du coup, cette appliance est un vrai boulet en fait.
davidcean
Matelot
Matelot
 
Messages: 9
Inscrit le: 03 Nov 2009 16:21

Messagepar ccnet » 06 Nov 2009 15:00

Le trafic rentre par un port eth, ressort par l'autre

Quelles sont les contraintes d'adressages sur les interfaces ethernet ? Possible dans le même sous réseau ?
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar davidcean » 17 Nov 2009 10:57

ccnet a écrit:
Le trafic rentre par un port eth, ressort par l'autre

Quelles sont les contraintes d'adressages sur les interfaces ethernet ? Possible dans le même sous réseau ?

Bonjour

Je reviens un peu tard sur le sujet (cause déplacement sem dernière )
Pour répondre à vos questions :
1 -
En fait il y a 3 interfaces Ethernet :
- 1 de gestion (avec son IP)
- 2 qui ne possèdent pas d'adresses IP (et ce n'est pas configurable)
Dans la configuration de l'appliance on définit :
- L'ip fixe de l'interface de gestion
- le masque sous-réseau
- la passerelle par défaut (le passerelle ISA vers Internet)
- Les DNS du FAI
et dans un autre onglet, on peut définir les routes statiques (vers les sous réseau des sites distants intersites par ex)

2 -
Donc oui (et c'est déja le cas actuellement) il est tout à fait possible de mettre l'appliance avec les 2 interfaces dans le même sous-réseau.
Physiquement, l'appliance est entre la passerelle ISA côté LAN et le reste du Lan.



Dernier point plus prosaïque, j'ai une enveloppe globale de 2 000 Eur pour investir dans 2 machines.
davidcean
Matelot
Matelot
 
Messages: 9
Inscrit le: 03 Nov 2009 16:21


Retour vers ClarkConnect

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron