Securité du port forwarding

[Yata]

Bonjour a tous, <BR> <BR>Je me pose une question existantielle (bon p-e pas tant que ca) sur la securité de mon LAN derriere mon IPCOP. <BR> <BR>N'y a t il pas un enorme risque d'intrusion a Forwarder un port (quel qu'il soit) vers une machine (voir un serveur) ??? <IMG SRC="images/smiles/icon_confused.gif"> <BR> <BR>Qq1 qui par ex. ferait un scan sur ce port pourrai ensuite utiliser les faille de l'OS destination. Non ? <BR> <BR>Merci de m'eclaircir un ti peu

[Yann]

Eh oui, c'est la toute la philosophie du Firewall ! <BR> <BR>On peut tout fermer et ne rien faire avec, ou alors on ouvre seulement certains ports et on s'assure que le service qui tourne derriere le port est blindé. On peut facilement deviner un l'OS du Firewall, plus difficilement à travers un seul port. <BR>Exemple : <BR> <BR>J'ai un firewall Linux, avec un port ouvert en 80 redirigé vers un serveur windows 2000 utilisant IIS. <BR> <BR>A travers un scan, on verra un serveur Linux executant un serveur web du monde Windows... Pas très logique tout ça ? Eh bien pas tant que ça, mais si le serveur IIS n'est pas mis à jour, il sera très facile à un "script kiddy" de prendre controle du serveur Windows. C'est là qu'intervient le rôle d'une DMZ, il permet d'isoler sur un segment réseau les serveurs accessible de l'exterieur (Mail, Web, FTP). Si par mégarde un serveur de cette zone est piraté, il ne pourra en aucun cas, s'attaquer au réseau privé...(Enfin normalement) <BR> <BR>Vas faire un tour sur les doc d'Ixus....y'a pas mal d'exemple...

[Yata]

Merci Yann pour ce cours de philosophie. <BR> <BR>Le probleme d'une DMZ c'est d'avoir des serveur specialisé, ce qui est un luxe. <BR> <BR>Par exemple, dans mon cas, j'ai un Controleur de domaine Win2000 surlequel j'aimerais pouvoir me connecter de l'exterieur en VPN. <BR>Si j'ouvre le port VPN (PPTP), je prend un gros risque de prise en main illicite de mon serveur. <BR>N'y a t il vraiment aucun moyen de se premunir contre un hacking de mon passwd admin ? <BR>Y a t il reellement un risque sur cette connexion VPN ?

[Yann]

Là ca change tout, en effet le VPN (si il est bien configurer) permet effectivement de se connecter de l'exterieur en utilisant une procédure de verification et de cryptage relativement robuste. <BR> <BR>Deux possibilité sont à étudier dans ton cas : <BR> <BR>-Soit tu fait "confiance" en la sécurité de Windows 2000 concernant la procédure de connexion VPN PPTP <BR>-Soit tu parametre ton IPCop afin d'établir une liason IPSec avec un Hote Distant. <BR> <BR>La technologie IPSec est plus robuste (et plus compliqué à mettre oeuvre.)

[antolien]

Windows 2000 fait aussi de l'ipsec il me semble. Et avec ipcop, on ne peu pas configurer de VPN "nomade" , cad pour n'importe quelle ip. Donc ça dépend de ce qu'il veut faire...

[Yann]

La configuration Nomade est possible avec IPCop et Smoothwall après modification du script de la page web d'administration (cf le forum) <BR> <BR>

[antolien]

désolé, d'après la doc il est précisé que ce vpn "nomade" n'est pas supporté par ipcop et qu'on y aura le droit dans la version 2 (hâte de cette version d'ailleurs), je v regarder dans le forum mais jtrouve jamais rien quand je cherche (jsuis nul défoi).

[Yata]

Effectivement, IPsec est apparament plus sur. <BR>Mais egalement bcp plus complexe a metre en place. Et je ne suis pas sur de disposer de suffisament de tps et de neurone. <BR>Mais je vais qd mm fouiller un peu. <BR> <BR>Yann tu ne parle pas de la solution de forwarder les paquet L2TP IPsec comme on le fait pour le PPTP. N'est pas possible ? <BR> <BR>Pour ce qui est du nomade, ca a l'air un peu cho a parametrer. et puis pour ce que j'y ai vu, on ne parle que de clients win2000/xp. Or pour l'instant mon client est un win98. <BR> <BR>pffff pas simple tout ca quant on debute en securité <IMG SRC="images/smiles/icon_rolleyes.gif"> <BR>Merci en tt cas pr les infos