salut
mon prb est que pour sécuriser un LAN j'ai proposer l'architecture suivante :
internet------------>ipcop1---------->ipcop2------->LAN
ipcop1 a 3 interfaces rouge vert et orange (pour les serveur )
ipcop2 a 2 interfaces rouge et vert
avec cette architecture la connexion devient faible
et si j'ai utiliser un seul ipcop la connexion devient fort
Est ce que c'est cette architecture est fausse ou quoi ? Ou est ce que ipcop est la cause de ca ?
le service proxy est désactive dans les deux ipcop
probleme de débit de connexion avec ipcop
Modérateur: modos Ixus
8 messages
• Page 1 sur 1
probleme de débit de connexion avec ipcop
par metal_feul » 21 Avr 2010 19:21
- metal_feul
- Matelot
- Messages: 7
- Inscrit le: 22 Déc 2009 19:14
par Mister-Magoo » 21 Avr 2010 20:34
Intérêt de 2 IPCop à la queue leuleu ??
Dis-moi de quoi tu as besoin, va visiter le support technique de Mister Magoo et tu apprendras comment t'en passer
-
Mister-Magoo - Lieutenant de vaisseau
- Messages: 217
- Inscrit le: 21 Avr 2005 11:31
- Localisation: Leyrieu
par ccnet » 21 Avr 2010 20:37
Je suppose que vous voulez parler du débit disponible selon l'architecture utilisée.
L'utilisation de deux ipcop successifs est une aberration autant sur le plan pratique que sur le plan de la sécurité. Indépendamment de vos problèmes de performances cette solution est à proscrire.
Elle n'apporte rien en terme de sécurité si ce n'est des risques supplémentaires puisqu'il faut maintenir cohérentes de deux configurations de façon totalement manuelle, sans outils pour cela. Les sources d'erreurs sont augmentées. La sécurité est donc diminuée.
Cette configuration introduit deux translations successives, ce qui n'a que des inconvénients.
Votre proposition est à revoir. J'espère que vous n'avez pas proposé cela à un client, à une entreprise.
Vous parlez de serveurs, sans plus de précisions. On comprend bien qu'il faut une dmz. Mais une seule suffit-elle ? Quels type de serveurs ? Des problèmes potentiels de translation en vue. Impossible de confirmer ou d'infirmer avec le peu d'informations données.
Merci de prêter un peu d'attention à la langue pour ceux qui vous lisent.
L'utilisation de deux ipcop successifs est une aberration autant sur le plan pratique que sur le plan de la sécurité. Indépendamment de vos problèmes de performances cette solution est à proscrire.
Elle n'apporte rien en terme de sécurité si ce n'est des risques supplémentaires puisqu'il faut maintenir cohérentes de deux configurations de façon totalement manuelle, sans outils pour cela. Les sources d'erreurs sont augmentées. La sécurité est donc diminuée.
Cette configuration introduit deux translations successives, ce qui n'a que des inconvénients.
Votre proposition est à revoir. J'espère que vous n'avez pas proposé cela à un client, à une entreprise.
Vous parlez de serveurs, sans plus de précisions. On comprend bien qu'il faut une dmz. Mais une seule suffit-elle ? Quels type de serveurs ? Des problèmes potentiels de translation en vue. Impossible de confirmer ou d'infirmer avec le peu d'informations données.
Merci de prêter un peu d'attention à la langue pour ceux qui vous lisent.
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
par metal_feul » 22 Avr 2010 09:51
je m'excuse pour ma langue pcq je suis anglophone et pas francophone
alors d'apres ce que vous disez je doit utiliser un seul ipcop avec 3 carte reseaux
internet ---------------->ipcop------------------>LAN
mais suposons qu' un intrus mettre le controle sur mon ipcop alors il va facilement mettre le controle sur mon LAN pour cela j'ai proposer l'architecture precedente
les serveur que je veut utiliser sont DNS, MAIL, WEB
merci de votre reponses
alors d'apres ce que vous disez je doit utiliser un seul ipcop avec 3 carte reseaux
internet ---------------->ipcop------------------>LAN
mais suposons qu' un intrus mettre le controle sur mon ipcop alors il va facilement mettre le controle sur mon LAN pour cela j'ai proposer l'architecture precedente
les serveur que je veut utiliser sont DNS, MAIL, WEB
merci de votre reponses
- metal_feul
- Matelot
- Messages: 7
- Inscrit le: 22 Déc 2009 19:14
par ccnet » 22 Avr 2010 11:40
Vous devriez n'utiliser qu'un seul ipcop (plus généralement un seul firewall).
Ceci appelle deux réflexions.
1. Si un attaquant parvenait à prendre le contrôle du premier ipcop, je ne vois aucune raison pour qu'il n'y parvienne pas de la même façon avec le second. Les mêmes causes provoquant les mêmes effets.
2. Ce raisonnement est révélateur d'une méconnaissance des intrusions. Sauf raison spécifique on ne s'attaque pas au firewall lui même mais aux serveurs, surtout applicatifs, qui sont derrière celui ci et qui sont accessibles depuis internet compte tenu des services qu'ils mettent à disposition. Un serveur Web est une cible privilégiée. Et il y a bien plus de choses intéressantes sur un serveur web ou un serveur SQL que sur un firewall. Les ports 80 et 443 sont ouverts et passer le firewall n'est plus le problème. Dès lors on va tenter d'exploiter soit une faille connue du serveur http (et non corrigée), soit une mauvaise configuration, ou encore des maladresses dans le code (php, asp, ...) du site lui même. Une injection sql ou une injection de code ou encore un débordement de tampon vont nous permettre de prendre un contrôle plus ou moins grand de cette machine. De là nous tenterons de rebondir vers des machines voisines en exploitant les règles du firewall qui le permettent.
Pour limiter les possibilités de rebonds et l'étendue de l'intrusion il est nécessaire de cloisonner le réseau. Par conséquent mettre dans la même dmz une machine qui autorise flux sortant et entrant (mail) avec une qui ne devrait faire que du flux sortant (web) est une erreur grave.
Et donc ipcop n'est surement pas la bonne solution pour gérer cette situation qui réclame des dmz multiples, et ou, des vlans.
Enfin exposer directement le serveur web et serveur de mail est aussi une erreur grave. Il devrait y avoir un relais smtp et un reverse proxy réalisant un filtrage applicatif. Je passe les détails. J'en ai déjà parlé ici à de nombreuses reprises.
Le dns pourquoi faire ? Le serveur web utilise une base de données ? Existe t il un proxy pour la navigation ? Tout cela est à prendre en compte.
Voilà pourquoi j'estime que la proposition d'architecture faite à votre client n'est pas sérieuse. Celui ci est dans l'illusion de la sécurité parce qu'il a 2 firewall ! la belle affaire !!
mais suposons qu' un intrus mettre le controle sur mon ipcop alors il va facilement mettre le controle sur mon LAN pour cela j'ai proposer l'architecture precedente
Ceci appelle deux réflexions.
1. Si un attaquant parvenait à prendre le contrôle du premier ipcop, je ne vois aucune raison pour qu'il n'y parvienne pas de la même façon avec le second. Les mêmes causes provoquant les mêmes effets.
2. Ce raisonnement est révélateur d'une méconnaissance des intrusions. Sauf raison spécifique on ne s'attaque pas au firewall lui même mais aux serveurs, surtout applicatifs, qui sont derrière celui ci et qui sont accessibles depuis internet compte tenu des services qu'ils mettent à disposition. Un serveur Web est une cible privilégiée. Et il y a bien plus de choses intéressantes sur un serveur web ou un serveur SQL que sur un firewall. Les ports 80 et 443 sont ouverts et passer le firewall n'est plus le problème. Dès lors on va tenter d'exploiter soit une faille connue du serveur http (et non corrigée), soit une mauvaise configuration, ou encore des maladresses dans le code (php, asp, ...) du site lui même. Une injection sql ou une injection de code ou encore un débordement de tampon vont nous permettre de prendre un contrôle plus ou moins grand de cette machine. De là nous tenterons de rebondir vers des machines voisines en exploitant les règles du firewall qui le permettent.
Pour limiter les possibilités de rebonds et l'étendue de l'intrusion il est nécessaire de cloisonner le réseau. Par conséquent mettre dans la même dmz une machine qui autorise flux sortant et entrant (mail) avec une qui ne devrait faire que du flux sortant (web) est une erreur grave.
Et donc ipcop n'est surement pas la bonne solution pour gérer cette situation qui réclame des dmz multiples, et ou, des vlans.
Enfin exposer directement le serveur web et serveur de mail est aussi une erreur grave. Il devrait y avoir un relais smtp et un reverse proxy réalisant un filtrage applicatif. Je passe les détails. J'en ai déjà parlé ici à de nombreuses reprises.
Le dns pourquoi faire ? Le serveur web utilise une base de données ? Existe t il un proxy pour la navigation ? Tout cela est à prendre en compte.
Voilà pourquoi j'estime que la proposition d'architecture faite à votre client n'est pas sérieuse. Celui ci est dans l'illusion de la sécurité parce qu'il a 2 firewall ! la belle affaire !!
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
par metal_feul » 22 Avr 2010 18:32
premièrement ce sujet est mon projet de fin d'étude mon encadreur me proposer le sujet il ma dit qu'il ya
des spams dans le serveur mail je réfléchir a copfilter
voici leur ancienne architecture
internet ---->switch------->ipcop---------->LAN
------->DNS
------->MAIL
------->WEB
comme vous voyer les 3 serveurs sont connecté directement a l'internet avec le switch
alors j'ai réfléchir a les sécuriser avec ipcop et copfilter (spams)
et je comprend pas ce que ve dire " cloisonner le réseau "
quand j'ai arrivé dans l'université j'ai trouver le DNS deja installer et le serveur web (site web) n'utilise
pas une base de données et il n'y a pas d'un proxy pour la navigation sur internet
pour qoui est une erreur de mettre en DMZ le serveur WEB et MAIL ? voici cette image
alors comment je peut sécuriser mes serveurs dans ce cas la ?
des spams dans le serveur mail je réfléchir a copfilter
voici leur ancienne architecture
internet ---->switch------->ipcop---------->LAN
------->DNS
------->WEB
comme vous voyer les 3 serveurs sont connecté directement a l'internet avec le switch
alors j'ai réfléchir a les sécuriser avec ipcop et copfilter (spams)
et je comprend pas ce que ve dire " cloisonner le réseau "
quand j'ai arrivé dans l'université j'ai trouver le DNS deja installer et le serveur web (site web) n'utilise
pas une base de données et il n'y a pas d'un proxy pour la navigation sur internet
pour qoui est une erreur de mettre en DMZ le serveur WEB et MAIL ? voici cette image
alors comment je peut sécuriser mes serveurs dans ce cas la ?
- metal_feul
- Matelot
- Messages: 7
- Inscrit le: 22 Déc 2009 19:14
par jdh » 22 Avr 2010 19:13
Le schéma tel que présenté sur l'image est correct.
(Mais il est bien éloigné du schéma initial !)
La sécurisation, sur cette base consiste à
- 1, limiter les flux de zones à zones au minimum : BOT est l'outil qu'il faut;
- 2, sécuriser chacun des serveurs en DMZ "par eux-même".
Par exemple,
- le serveur web devra être à jour de version,
- le serveur mail devra être à jour de version,
- le serveur mail doit disposer de son propre AV/AS ...
Comme quoi un schéma aide à comprendre le contexte voir les besoins ...
(Mais il est bien éloigné du schéma initial !)
La sécurisation, sur cette base consiste à
- 1, limiter les flux de zones à zones au minimum : BOT est l'outil qu'il faut;
- 2, sécuriser chacun des serveurs en DMZ "par eux-même".
Par exemple,
- le serveur web devra être à jour de version,
- le serveur mail devra être à jour de version,
- le serveur mail doit disposer de son propre AV/AS ...
Comme quoi un schéma aide à comprendre le contexte voir les besoins ...
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par metal_feul » 22 Avr 2010 19:38
mais je doit mettre les serveur connecter a l'interface orange de ipcop voila mon but pour les sécuriser
et c'est quoi BOT
et c'est quoi BOT
- metal_feul
- Matelot
- Messages: 7
- Inscrit le: 22 Déc 2009 19:14
8 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité