recherche sécurité désepérément

[tito]

Bonjour, j'ai besoin de vos conseils. Je suis à la fois néophyte sur linux et sur la sécurité des réseaux. Certains m'ont déjà répondu en partie sur le forum SME qu'ils m'excusent de me retrouver là, masi j'aimerais un peu plus de réponses si possible. <BR> <BR>Alors voilà la configuration: une vingtaine d’ordis sous windows 98 ou xp sur un seul réseau. Une connexion adsl. Un fournisseur d’accès : wanadoo avec un boîte aux lettres chez eux. Un hébergeur (je sais plus comment on dit) de nom de domaine : relais internet qui redirige nos mails et les passe à l’antivirus. <BR> <BR>Etape 0. C’est avant que je sois là : on accède à internet à partir d’un seul poste sous win98 relié au modem et tous les mails sont récupérés sur ce poste (appelons le A) <BR> <BR>Etape 1. j’installe sur A zone alarm, un petit proxy Proksi pour partager internet et un serveur de messagerie Hamster qui va récupérer les messages sur le seul compte que l’on ait et les redistribue sur des boîtes locales d’ou ils seront récupérés par le logiciel de messagerie de chaque ordi/utilisateur. <BR> <BR>Etape 2. c’est maintenant : j’installe SME sur un vieil ordi, le modem passe de A à SME. Et voili. <BR> <BR>Ma question est la suivante, sachant que mon but est que le réseau soit sécurisé, ai-je fait le bon choix avec SME. Vu que je n’ai pas besoin (pour le moment en tous cas) ni d’héberger un site, ni que sme soit un serveur mail (j’ai toujours hamster pour cela. Quoique.. pourquoi ne pas remplacer Hamster par Sme ? est-ce facile et simple ? je ne me suis pas penché sur la question), il aurait plus judicieux me dit Remi que j’utilise IPCOP. <BR> <BR>IPCOP est-il plus sécurisé que SME ? SME ou IPCOP sont mieux ou aussi bien qu'un routeur/firewall matériel (je veux dire un boitier qui fait que ça et je sais pas ce qu'il y a dedans ni comment ça marche) ? <BR> <BR>Que dois-je faire d'autre pour sécuriser mon réseau ? <BR> <BR>Si je garde SME dois-je le configurer pour qu'il soit plus sécurisé ? J'ai fait un test à partir de sites spécialisés de scan et il m'ont trouvé des ports ouverts (http, icmp ping, smtp, ident/authentification, Https) est-ce inquiétant ? <BR> <BR>Voilà, merci de votre patience. J'aimerais dire à ma boîte que j'ai une solution fiable et leur avancer quelques arguments convaincants, je compte sur vous.

[Vinzstyle]

Je pense que tu devrais prendre IPCop. <BR>Comme tu as déjà un serveur de mail à l'interieur de ton réseau pas besoin de celui de SME (sauf si tu veux changer). <BR>Ensuite, IPCop est plus secure que SME puisque'il y a mois de service qui tournent. <BR> <BR>Par contre, je ne peux pas me prononcer en ce qui concerne les "firewalls matériels". Tout ce que je sais c'est qu'ils sont beacoups plus cher qu'une solution à base d'IPCop ou de SME et qu'ils sont mit à jour moins fréquement.

[lucyfire]

evite les solutions matériels car ils te font signer pour 48 mois en tout tu vas payer 60000 balles d'abonnement, locations , bla bla:boxe: alors que ipcop sur un pc recupéré sur le tas et il est évolutif et tu peux rajouter des regles de filtrage dansguardian ou squidguard bref tu peux faire comme tu veux et il t'en coutera une broutille a coté de la solution hard.

[Giejo]

l'avantage d'une solution materielle (en general) c'est que le code source n'est pas connu ... <BR>donc c'est plus difficelement exploitable par n'importe qui... <BR>mais c clair que c'est super cher

[lucyfire]

je suis pas d'accord avec toi Giejo car c'est pas parceque le code source est connu que la secu est defaillante le contraire se rencontre tous les jours et ça oblige les programmeurs a encore + de rigueur et si on pense faire de la secu parce qu'on cache jalousement son code source c'est illusoire y a qu'a voir des systèmes propriétaires bien connu tomber tous les jours ou presque. <BR> <BR>@+ <BR> <BR>lcf

[dbomber]

tiens, tiens ,il me semble que j'ai déjà vu ça quelque part <IMG SRC="images/smiles/icon_biggrin.gif"> (obscurentisme quand tu nous tiens!) <BR> <BR>C'est clair qu'il faut mieux une solution logiciel (genre IPCOP) parce que moyennant un peu d'effort tu peux facilement l'adapter pour tes besoins, mais surtout, car lorsque des failles sont découvertes, les dévelopeurs mettent au point un patch trés rapidement. <BR>De plus ça te coutera BEAUCOUP moins chére....

[remi]

Il n'y a pas de meilleur solution, et meme si je suis un "adorateur" de IPCOP, je ne dis pas que c'est mieux qu'un firewall Cisco... <BR> <BR>Je pense qu'il faut faire un audit... <BR>nb de post, situation web actuelle, besoin (antivirus, serveur web, messagerie), budget. <BR> <BR>Une fois toutes ces informations recceuillies, la : un petit point pour choisir la solution. <BR> <BR> <BR> <BR>Firewall Logiciel/matériel, le débat est sans limite c comme Linux/Windows , etc... <BR> <BR> <BR>

[nexus21]

Au risque de paraitre trouble fête, je pense que les solutions logicielles (type IPCop, SME et autre) sont parfaitement adaptées à des structures de moyenne taille souhaitant se protéger des scans intempestifs de quelques scripts kiddies et même de tentatives d'assaut d'un hacker plus chevronné. Mais il est clair que même si le soft est efficace, le hard, quant à lui, n'est pas infaillible. Et une solution 100% hardware dédiée sécurité sera mieux adaptée pour des entreprises de plus grande taille. Personnellement je préconise Sonicwall pour des sociétés ayant des sites distants avec Adsl et souhaitant faire du VPN car, pour une soluce hardware, c'est encore abordable (750&#8364;HT la version SOHO 5 postes) et surtout stable. <BR> <BR>Maintenant, ça vaut ce que ça vaut mais pour l'instant j'ai pas eu de problème majeur avec ces clients. Petit détail quand même, les applis qui nécessitent des ports secondaires dynamiques (Netmeeting par exemple) ne fonctionnent pas avec certaines solutions soft (Smoothwall ou Mandrake SNF) et sans problème avec du hard. <BR> <BR>A mon avis et pour résumer, dans le cas général, choisir du soft avec un pc récup mais pour des applis distantes qui ont besoin de ports dynamiques ou de gestion de VPN et de QoS, je prendrai plutot du Hard, si le budegt le permet. Qu'en pensez vous?

[hb]

pourquoi pas le serveur de mail chez toi ??? <BR> <BR>j'ai vu tourner une soluce avec transpaq (wanadoo pro) de type SMTP relay. <BR>nos mails : <!-- BBcode auto-mailto start --><a href="mailto:toutes_mes_adresses@mondomaine.com">toutes_mes_adresses@mondomaine.com</a><!-- BBCode auto-mailto end --> sont mise en cache chez transpaq (100 Mo max je crois) pour un nombre illimité d'adresse. ensuite il le route sur notre serveur de mails interne (ip : 10.*.*.*) <BR>comme il fournissait le FW il configurait lui meme la translation NAT. <BR> <BR>je crois que dyndns propose egalement ce service avec ton nom de domaine mais la c'est plus gratuit. <BR> <BR>l'interet me direz vous ? <BR> <BR>ça depend du ratio mails internes / mails externes <BR>la connexion interne est plus rapide (interessant pour les grosses pieces jointes) <BR>et continuité de service en cas de coupure du lien vers internet. <BR> <BR>je dirais donc IPCOP + serveur de mail + possibilité de faire une DMZ plus tard pour hebergé un serveur WEB ou FTP <BR> <BR>un FW hard mais parait plus serieux pour une grosse entreprise, mais hors de prix pour les petites boutiques. <BR>dans ma boutique on avait besoin de 3 DMZ d'ou l'aquisition d'une boite noire <BR>et puis c'est devenu une directive groupe, ça facilite les choix .... <BR> <BR>

[Giejo]

lucyfire: ce que je voulais dire c'est que pour un firewall materiel c'est plus difficilement exploitable... mais pas inexploitable (le fait que le code source ne soit pas connu) <BR>je ne faisais aucunement allusion a la pseudo gueguerre Linux-Microsoft <IMG SRC="images/smiles/icon_smile.gif"> <BR>je te rassure je ne suis pas contre l'open source loin de la mais dans le cadre de la securite je pense que les firewalls materiels ont leurs mots à dire

[lucyfire]

moi je pense que les failles il y en a autant sur les firewall matos ou logiciels, va voir sur astalavista.box.sk et tape quelques firewall matos ou logiciel ça te donnera les vulnérabilité, on a trop vu et pas que dans le domaine info des systèmes d'authentification a carte, a jeton, etc meme avec un code source propriétaire, y a toujours un mec qui tape sur son clavier a un moment ou un autre et qui se goure en pensant au petit dernier qui est malade et que ton boss veut a peine te laisser partir pour l'emmener chez le toubib c'est humain, on en fait tous !! <IMG SRC="images/smiles/icon_razz.gif">

[remi]

D'apres ta description, je vois le topo suivant : <BR> <BR>1 tu install un IPCOP GREEN+RED+ORANGE, pour partage de la connexion, firewall, reconnexion auto. <BR> <BR>2. Tu install une SME que tu mets dans la DMZ, ca fait aussi serveur Web, s'il y a un site web... <BR> <BR> <BR>Tu peux aussi t'orienter sur une solution Clarkconnect qui regroupe tout... <BR> <BR>Voili voilou...

[tito]

quand je parlais d'une solution matérielle je ne pensais pas à des solutions à "60000 balles d'abonnement" que je savais même pas que ça existait. Non je pensais à des routeurs qui sont censés faire firewall, par exemple sous le nez j'ai une pub : LanBooster 2204 "le routeur universel" qui fait plein de choses dont firewall et pour un prix dont je ne me souviens plus mais qui est inférieur à 5000 balles (francs). <BR>c'était plutôt avec ce genre de solution que je voulais une comparaison avec ipcop (ou autre). Et si possible avec un ipcop "première installation" je veux dire sans avoir toucher aux config iptables. <BR> <BR>Autre chose : un firewall tel zone alarm filtre les logiciels qui accédent aux net. Pourquoi les firewall sous linux ne font pas la même chose ? Parce que ça n'a pas paru intéressant ou parce que c'est difficile (ou impossible ?) à mettre en oeuvre ? <BR> <BR>En plus d'ipcop Il me semble intéressant d'avoir zone alarm sur chaque poste windows pour faire ce filtrage. Mais je me pose une question : supposons qu'un pirate passe le firewall iptable (supposons par exemple que j'ai voulu configurer iptables et que par erreur j'ai annulé toute protection) peut-il être détecté par zone alarm ? Il me semble que non, mais je voudrais une confirmation. <BR> <BR>Voilà merci de votre patience.

[remi]

Pas obligatoirement.... <BR>En fait, IPCOP par example, autorise tout ce qui sort, et empeche tout ce qui rentre. <BR>Mais si tu te sert de internet pour aller sur le web, et faire du FTP, tu peux tres bien dire de bloquer tous ce qui sort sur les autres ports... <BR> <BR>

[lucyfire]

pour tito les firewall applicatifs sont tres gourmand en resources donc difficile a mettre en oeuvre sur un P120/64mo il en va de même pour les firewall matos qui sont des routeurs "améliorés" et puis la secu des routeurs on en a vu rebooter quelque un apres des attaques ! <IMG SRC="images/smiles/icon_lol.gif"> <BR> <BR>lcf