IPCOP question pour la DMZ

par **youky** » 22 Mai 2003 16:55

Bonjour a tous. <IMG SRC="http://www.corporatemosaic.com/graphics/isa 2.JPG" BORDER="0"> Je voudrais mettre en application le shéma ci dessus pour creer un VPN entre deux serveur MS ISA tous deux avec une interface internet (J'ai pas le choix du firewall, c'est pour un client qui fournit le matos). Quelles sont les modifications a apporter a IPCOP pour que mes client LAN puissent acceder aux ressources de l'autre coté du VPN. J'imagine que des changement dans IPTABLE seront nécessaires pour router tous les paquets vers le subnet de l'autre coté du VPN ainsi que des ouverturse de ports mais je suis dans le flou. Merci d'avance de votre aide <IMG SRC="images/smiles/icon_biggrin.gif"> . Youky

par **tomtom** » 22 Mai 2003 17:29

Mais quelle horreur ! Je ne vois vraiment pas l'interet de mettre une dmz si c'est pour faire ça...... Enfin, sinon, je suppose qu'il suffit d'ajouter sur IPCop la route vers le lan distant sur le serveurISA, voila tout.... Et il faudra egalement accepter les comm depuis orange vers DMZ, donc en gros tout ouvrir dans dmz pinhloes... Beurk <IMG SRC="images/smiles/icon_frown.gif"> Tom

par **seb57** » 22 Mai 2003 17:41

pourquoi brancher les serveurs a ipcop si ce n'estpour réduire le traffic internet du green mais bon tu pourrais aussi supprimer l'acces net a l'orange et faire un "vrai réseau" en gonflant un peu l'acces net principal et unique !!! <IMG SRC="images/smiles/icon_confused.gif">

par **antolien** » 22 Mai 2003 17:41

oups, j'avais mal lu. alors, même réponse que tomtom. mais BEURK aussi <IMG SRC="images/smiles/icon_lol.gif">

par **youky** » 22 Mai 2003 18:43

Merci de vos réponses, Je sais que c'est on ne peut plus inapproprié comme application de IPCOP. Néanmoins voila la situation: Je souhaite creer depuis un mois maintenant un VPN entre IPCOP et Checkpoint entre un de nos clients et notre reseau. Ce client sous traite tout son support IT a une boite de consultant. Ces derniers sont chargés de mettre en place le VPN avec moi. La connection IPCOP Checkpoint requiere une update de checkpoint qui necessitera un mois de preparation avant implementation. En attendant l'equipe de consultant propose de me preter une boite W2K avec ISA serveur car ils pont un ISA serveur disponible de chez le client et ainsi le VPN serait dispo rapidement. Le but du VPN est de creer un connection Terminal server avec un serveur sur le reseau du client. Le truc c'est que je n'aurai aucun controle sur le serveur ISA et qu'en plus il sera en direct sur le net (ISA n'aime pas trop le NAT parait-il) d'ou l'idee de l'isoler dans la DMZ et d'ouvrir juste les ports necessaires. Ainsi je minimiserai les risques d'intrusion. Voila l'idée qui je le concois peut paraitre sogrenue. Si vous avez une autre idée de config je suis preneur. D'avance merci de vos conseils. Youky

par **tonic23** » 22 Mai 2003 20:15

je placerais un firewall type ipcop entre ton serveur ISA et ton lan , donc juste 2 interface une red et une green . et placer les regles pour le trafic de tes clients lan. bon il te faut trouver une machine supplementaire et rajouter quelques routes... ceci me parait la solution la plus rapide a mettre en place (bon tu auras 2 machine a surveillez et a patcher pour la secu?)

par **youky** » 23 Mai 2003 10:24

Merci tonic23 Pour les autres, d'autres idées ou recommandations constructives? Youky

par **remi** » 23 Mai 2003 10:32

Quel horreur le graph de départ !! Sinon Green+Red, c la solution la mieux adapté...

par **tomtom** » 23 Mai 2003 10:52

Tout à fait d'accord... Mais j'ai peur que IPCop ne sacha pas forwarder les protocoles vpn en les nattant.... Il y a un module du kernel qui permet de faire ça, mais je ne pense pas qu'il soit integré à IPcop... Sinon, il faut intercaler IPcop entre le serveur ISA et lee green, mais dans ce cas là tu perds ton acces internet... Bref, il n'y a pas de solution miracle. Il faut implanter ta passerelle VPN sur l'acces RED, cad sur IPCop... En attendant, je me passerais de VPN si j'etais toi... Tom

par **youky** » 23 Mai 2003 11:01

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-05-23 10:32, remi a écrit: Quel horreur le graph de départ !! </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> On le saura... <IMG SRC="images/smiles/icon_biggrin.gif"> Je vais de ce pas y rajouter des petites fleurs histoire de... (LOL) <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Sinon Green+Red, c la solution la mieux adapté... </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Merci Remi/Tomtom _________________ always look at the bright side of life

par **antolien** » 23 Mai 2003 11:09

son idée n'est pas tant saugrenue, déjà , pour connecter un vpn checkpoint avec du nat est presque peine perdue. donc utiliser un serveur avec un autre accès internet direct est une bonne idée. Et ISA serveur est un firewall pas trop mauvais, certains vont rire en disant "c'est sous windows 2000", mais connaissez vous ce firewall ? en plus si c'est pour faire du ts, il aura juste à ouvrir un port entre la dmz et le lan (même pas sûr si c'est dans l'autre sens lan->dmz->site distant, il n'y aura rien besoin d'ouvrir). donc une fois le vpn établi, il suffirait de mettre une route (plage ip site distant) sur ipcop avec l'ip du serveur comme passerelle et une route sur le serveur(plage ip lan) avec comme passerelle la pate orange d'ipcop. cela me parraît une bonne solution "de rechange"...

par **remi** » 23 Mai 2003 11:14

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-05-23 10:32, remi a écrit: Quel horreur le graph de départ !! </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Ce n'est pas l'estethique qui m'a fait sauter de ma chaise, (c clair, c l'essentiel), c l'installation qu'il décrivait.... Dslé de ne pas avoir été clair depuis le dbut...

par **gla** » 23 Mai 2003 11:21

Ce qu'on avait fait dans ma boite, c'est de placer le ISA dans la DMZ et de mettre un lien vers le green, mais pas de lien vers le net. ainsi l'accès VPN est ouvert de l'internet vers le ISA et ensuite la mécanique d'authentification de ISA permet de rentrer dans le domaine. cela permet de n'ouvrir que les ports VPN sur le FW principal (Cisco chez nous) Donc le ISA n'est pas sur le NET. Le problème avec ta config, c'est que si tu places ton serveur ISA dans le domaine, il dispose d'une copie de la base de compte... et c'est pas top.

par **tomtom** » 23 Mai 2003 11:26

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-05-23 11:09, antolien a écrit: son idée n'est pas tant saugrenue, déjà , pour connecter un vpn checkpoint avec du nat est presque peine perdue. donc utiliser un serveur avec un autre accès internet direct est une bonne idée. Et ISA serveur est un firewall pas trop mauvais, certains vont rire en disant "c'est sous windows 2000", mais connaissez vous ce firewall ? en plus si c'est pour faire du ts, il aura juste à ouvrir un port entre la dmz et le lan (même pas sûr si c'est dans l'autre sens lan->dmz->site distant, il n'y aura rien besoin d'ouvrir). donc une fois le vpn établi, il suffirait de mettre une route (plage ip site distant) sur ipcop avec l'ip du serveur comme passerelle et une route sur le serveur(plage ip lan) avec comme passerelle la pate orange d'ipcop. cela me parraît une bonne solution "de rechange"... </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Ce n'est bien entendu pas par rapport à la qualité du firewall que je dis beurk ! Il aurait mis un IPCop ici que ça n'aurait pas été mieux. Le problème vient du fait de mettre un acces direct sur la DMZ avec un firewall qui va donc la considerer comme un green. En clair, pour moi, en cas de compromission d'un serveur de DMZ, il a un acces via le vpn au lan distant.... C'est pour cela qu'il n'y a pas grande différence à mettre cet accès directement dans le green, ou au moins les ordis ne devraient pas être compromis par une attaque sur les sereurs de DMZ. Il y a également un danger à fournir un deuxième acces à internet aux utilisateurs du reseau. Et il va également falloir refaire toutes les règles de protection du second firewall, pour correspondre à la politique securité mise en place sur le premier. Bref, c'est une porte en plus à defendre (pardonnez moi cette métaphore hasardeuse <IMG SRC="images/smiles/icon_wink.gif"> ) Tom

par **antolien** » 23 Mai 2003 11:27

il y a quelque chose que je ne comprend pas. d'après le shéma, le serveur isa est directement relié au net et à donc son propre accès. c'est ça ? ensuite, vous lui conseillez de garder une config green+red ? mais comment va-t-il pouvoir créer son vpn ? sachant que pour l'instant ce n'est pas possible (à moins de désactiver le nat...) <IMG SRC="images/smiles/icon_confused.gif">

IPCOP question pour la DMZ

Qui est en ligne ?