Débat sur une architecture réseau.

[Titofe]

Bonjour,

Je voudrais discuter d’une architecture réseau, ceci suite à un de mes messages sur ce forum et aussi à une remarque de jibe sur ce post, je permets dans faire un autre pour ne pas créer de confusion avec le post de marioysme.

Donc dans ce post j’ai expliqué une architecture que j’utilise actuellement sur l’un de mes réseaux, pour ne pas me répéter suivait le lien si dessus.

Comme le dit si bien jibe j’en mesure les risque en rappelant que le risque zéro n’existe pas …
Mais ce qui me fait réagir c’est le reste de sa penser, je n’ai rien contre surtout si elle est avérais, mais avec le peut d’explication au doute qu’il perçoit, je ne comprends pas trop …

Pour expliquer mon architecture :

- Pourquoi IPCop et non un des serveurs SME pour protéger mon réseau.
J’utilise IPCop car il est très simple d’emploi pour le rajoute d’addons, mais aussi pour son administration, SME à l’inverse n’est pas très intuitif de ce coté là, rappelons que ce n’est pas son but 1er, mais ne voyer pas en moi un débat entre SME et IPCop, tout les deux n’on pas étais conçu pour la même chose et je le sais très bien.

- Donc comme j’utilise IPCop pour la protection, je me retrouve avec un choix de trois réseaux, l’orange, le bleu et le vert.
- le vert c’est le réseau avec tous mes postes client et un serveur qui ne serre que pour le réseau de cette zone.
- l’orange c’est le serveur web pour le monde extérieure et mail pour le réseau Vert (comprenez par là que personne ne consulte c’est mail par le web ni par le webmail ni par le POP3)
- le bleu ne serre qu’à un seul poste client qui ne doit pas ce retrouvé avec le reste du réseau. (Comme vous pouvez le voir encore une raison d’utiliser IPCop)

Donc maintenant parlons du problème rencontrer, le réseau vert doit pouvoir allez chercher ses mail sur le serveur sur la zone orange, mais en aucun cas en passant par le web, vous en conviendrais que ça ne laisse pas beaucoup de possibilité.

Je voudrais si cela est possible d’en débattre, sur le choix que j’ai utilisé et sur les autres possibilités.

Merci.


Titofe

[Stirner]

Salut,


Titofe :

Donc maintenant parlons du problème rencontrer, le réseau vert doit pouvoir allez chercher ses mail sur le serveur sur la zone orange, mais en aucun cas en passant par le web,

???

Cela ne justifi toujours pas que tes serveurs situés en orange soient également reliés a ton green.

Si je ne me trompe pas :

Par défault :

GREEN ---> IPCOP : ouvert
GREEN ---> ORANGE : ouvert
GREEN ---> BLUE : ouvert
GREEN ---> RED : ouvert


Donc si aujourd'hui ton architecture est telle que tu la décris uniquement pour des accés Green -->Orange elle semble inutile. Tu peux récupérer tes mails directement en passant par ton Ipcop.



@+

[micjack]

Salut,

Green --> Mail sur Orange, ben, moi non plus je vois pas ou se trouve le probléme

[Titofe]

Je veux bien vous croire, mais c’est dans quelle version que c’est possible, car un simple PING sur l’adresse IP Orange du Serveur sur la zone Orange ne fonctionne pas.
Un PING sur la passerelle fonctionne, mais c’est tout …

[jdh]

A moins d'avoir installé BOT et dûment paramétré celui-ci, par défaut, IPCOP autorise (hélas) Green vers Orange. Donc à partir d'un PC en Green un ping vers une adresse ip d'une machine en Orange, répond normalement. Où alors cette machine en Orange est MAL paramétrée au niveau IP ... Ce qui semble largement possible ...

Sinon le mieux (quand on a les moyens) est d'installer un serveur de mail en Green et un relais mail (avec antivirus et antispam) en Orange.

[micjack]

un simple PING sur l’adresse IP Orange du Serveur sur la zone Orange ne fonctionne pas.

Je suis bien d'accord sur une mauvaise configuration du réseau ou d'un addon qui bloque.

Ainsi que de pouvoir installer la messagerie sur le Green, mais faut activer le pinholes dans IPCop pour qu'il y ai une autorisation DMZ --> Green (fermé par défaut) Enfin, faut déja que le Green --> Orange fonctionne

[Titofe]

Merci pour l’intérêt que vous porter sur mon sujet.

- BOT est installé sur mon IPCop mais au moment où j’ai fait les tests il était désactivé.
- Pour l’adressage réseau :
Rouge : connexion en PPPOE
Vert : 192.168.121.200 -> IP délivré par l’adresse MAC
Bleu : 192.168.122.200 -> IP délivré par l’adresse MAC
Orange : 192.168.123.200 -> IP du Serveur 192.168.123.250 / 255.255.255.0 / 192.168.23.200 / DNS du FAI.

J’avais déjà fait ce test au début de l’installation (donc sans aucun addons) car j’avais entendu parler que le vert pouvais voir l’orange, mais j’avais eu déjà la même réponse au Ping, Ping de la passerelle Orange ok, Ping d’une IP sur Orange rien.
A savoir que j’en ai en tout 4 IPCop sur 4 site différent et il réagisse tous pareil.

Sinon, mon étonnement est que je ne comprends pas ou il y a un problème, car dans mon idée (je l’avoue), si j’ai besoin d’avoir accès de l’extérieure de mon réseau au Serveur qui ce trouve sur Orange, il faudra créer cette ouverture, donc risque d’une attaque, moi ce que j’ai fait c’est que tout ce qui est gestion du serveur par l’extérieure passe par la zone verte qui et elle relier au « derrière » du serveur SME qui ce trouve sur la zone orange.

Schéma :
Rouge <- - -> IPCop <- - -> Orange <- - - Vert
Les flèche indique le sens ou les communications peuvent ce faire.
Donc :
Rouge aucun filtrage,
Rouge vers Orange tout fermé sauf 80 et 25, Orange vers Rouge aucun filtrage.
Orange vers Vert tout est fermé et Vert vers Orange tout est ouvert.

Moi je ne vois pas ou il y a un souci car si on regarde bien le réseau vert qui est relier sur le serveur SME coté orange est complètement fermé, puis il ne faut pas oublier qu’il est relier derrière le serveur SME qui est lui en monde serveur et passerelle, ceci veut dire quelle protège ce quelle a derrière ; donc ou est le vrai souci ?
Car si je ne me trompe pas :
Web - - - SME (Serveur et passerelle) - - - Réseau
Ceci est la configuration recommandé pour tout utilisateur d’une SME, pouvais vous me dire ou et la différence avec mon architecture et celle de SME ?
Moi la seul que je vois c’est que dans celle qui est conseiller par SME on à toute confiance en sa sécurité (Je n’ai rein à redire de ce coté car une Free-EOS à étais pendant plus 1 ans la seul protection que j’avais sur mon réseau), moi on dira que c’est celle que j’ai fait et celle d’un « parano » qui à bloquer tout conversation de sa SME vers son réseau …


Merci encore pour toute l’intention que vous porterais sur ce sujet.


Titofe

[jdh]

Décidément on ne comprend rien ! (Ou plutôt on comprend trop bien : c'est ce que je soupçonnait)

Dans la zone Orange, il y aurait un SME en serveur + passerelle avec 2 cartes dont une sur Green !

Qu'est ce que ce schéma nullissime ?

ON NE MET PAS DE MACHINE AVEC 2 CARTES DANS UNE DMZ. Sinon ce n'est pas la peine de parler de sécurité.

S'il y a une machine qui doit protéger les autres, c'est l'IPCOP et sûrement pas le serveur SME.

Architecture à revoir ....

C'est bien la peine de se participer au troll IPCOP / SME si c'est pour imaginer ce genre d'architecture.

[Titofe]

Jdh je viens de vérifier les liens que j’ai donné au début fonctionne encore, tu aurai donc pu le voir dé le début que mon serveur sur la zone Orange étais une SME en mode serveur est passerelle …et on aurrai pu ce passer de « Décidément on ne comprend rien ! (Ou plutôt on comprend trop bien : c'est ce que je soupçonnait) Dans la zone Orange, il y aurait un SME en serveur + passerelle avec 2 cartes dont une sur Green ! »
Et le « Qu'est ce que ce schéma nullissime ? » serait ta façon de t’en vouloir de ne pas l’avoir vu avant ou tout simplement histoire dans mettre plein … !!!?

« ON NE MET PAS DE MACHINE AVEC 2 CARTES DANS UNE DMZ. Sinon ce n'est pas la peine de parler de sécurité. » âpres avoir étais faire un tour pour digérer les 1er ligne de ton message, j’apprend un truc (non non, je ne rigole pas), donc tu me dit que je peux sans aucun problème installer ma SME en Serveur Uniquement (car pour ne pas avoir deux carte sur le réseau avec une SME c’est le seul moyen que je connais, mais vu mes faible capacité), mais je peux ne pas encore avoir compris, peux tu me le confirmé SVP.

« S'il y a une machine qui doit protéger les autres, c'est l'IPCOP et sûrement pas le serveur SME. » c’est marrant ça, car quand j’ai fermé tout accès du serveur de la Zone Orange vert la ZONE Verte, j’ai cru utiliser IPCop pour le faire … !!!?

Bon, je suis déçu de la tournure que viens de prendre ce sujet et je ne cache mon plus mon dégout pour le dernier message, mon but n’étais pas de créer une polémique ou tour de je ne sais trop quoi, je ne m’appel pas non plus dieu sinon je n’aurai pas créé ce sujet, je ne connais pas toute les vérités, mais comme je l’ai expliqué plus haut je voulais débattre d’un sujet ou déjà il y avait eu des réticences …

Moi ce que je voulais dire et expliquer : je suis d’accord que mon architecture est assez spécial, mais comme je l’ai dit plus haut c’étais justement pour une configuration spécial, mais d’entendre dire gratuitement quelle est non sécurisé, c’est que forcement que la personne n’a pas pris le temps de lire est si elle la fait ne la pas compris, car si je me trompe pas mon réseau de la zone Vert sa seul sécurité avec la zone Rouge ce ne serrai pas tout simplement pour le début tout ces port qui sont fermé, si oui alors pour quoi sur le coté de la zone Orange vers la zone Vert serrai une faille pour sa sécurité, puisque pour ceux qui on pris le temps de lire, j’ai bien expliquer que c’est port étais fermer …

Bon j’arrête là je suis vraiment déçu, c’étais bien partie, mais pour en prendre plein la tronche par je ne sais qui …
Ce n’était qu’un débat …, en plus français « ECHANGE ».

[micjack]

Bon ok, mais ici le probléme est que tu n'arrive pas à accéder à la patte Orange, donc résoud déja ce probléme non ?

[jdh]

La doc de SME explique CLAIREMENT la différence entre "server-only" et "server and gateway". Quand on a un schéma avec un IPCOP, il n'y a donc AUCUN besoin d'avoir une SME en "server and gateway". Notamment parce que si SME est en "server and gateway", à l'endroit où le serveur sera placé, il y aura FORCEMENT 2 réseaux (Red+Green pour reprendre les couleurs d'IPCOP).

Si tu ne peux pas comprendre que placer dans une zone Orange une machine ayant 2 cartes réseaux (Orange + Green) est une grave incompréhension sur la sécurité, c'est dommage et tant pis pour toi. Malheureusement le découpage en zones est justement fait pour qu'il n'y qu'une machine qui fasse le lien entre 2 zones. Un site qui pourrait t'initier (seul verbe qui convient) : http://christian.caleca.free.fr/

D'ailleurs comment un ping entre une machine en Green et une machine en Orange avec une autre patte sur le réseau Green peut fonctionner ? Le paquet ICMP initial passe par l'IPCOP intermédiaire tandis que le paquet retour ne passe pas par le même chemin puisque la machine en Orange sait communiquer en direct avec la zone Green !

Je pensais naïvement que les schémas "naturels" était connus (et corrigés) mais visiblement on essaie de faire n'importe quoi et on est surpris que cela ne fonctionne pas sans qu'à aucun moment il y ait le moindre questionnement un peu logique.

L'administration de réseau c'est d'abord (et toujours) se poser des questions (et les bonnes de préférence). Si tu souhaites expérimenter des schémas qui ne sont pas ceux qu'il faut faire, cela t'appartient.

Je répète donc : un SME en "server and gateway en zone Orange avec un carte en Green c'est stupide !

(Je peux me tromper mais SME en "server only" n'apporte pas de filtrage de type script iptables, mais cela n'est plus nécessaire que un tel SME est dans une zone Orange d'un IPCOP et avec une SEULE carte). (Je peux me tromper que sur "server only" => pas de filtrage).

(Les schémas précédents donnés par Titofe sont toujours mauvais en terme de sécurité).

Je cite Antolien sur le 2me post : "Il vaut mieux éviter les serveurs birésidents (presence orange+vert)
Le principe de la dmz c'est d'isoler les serveurs du lan et wan, si un de tes serveurs sme est compromi avec ce schéma, ton lan est compromis en même temps que la dmz."

Par ailleurs la pensée de Jibe est toujours de dire qu'il vaut mieux un SME en server+passerelle qu'un IPCOP + un SME en serveur. (Parce que la SME en serveur+passerelle incorpore un filtrage iptables qui peut être meilleur qu'un IPCOP réglé par un débutant). Je suis assez d'accord avec Jibe si cela s'applique à des débutants.

[Titofe]

Merci …

Si j’ai créé se débat sur ma configuration, ce n’est pas pour critiqué l’opinion d’une personne ou de plusieurs personne et je pense à jibe ou d’autre …

Je comprends très bien ce que veut dire et à quoi sert une DNZ, mon but étais tout simplement ou trop simplement de détourner sa fonction …

Je n’ai aucune critique sur la façon que vous proposer de créer ce réseau, car il s’en va sans dire, que tout bon manuel de base me dira la même chose que vous.

Moi ce que je voulais faire et très clairement une utilisation très différente de cette DMZ, et que d’entendre dire (Les schémas précédents donnés par Titofe sont toujours mauvais en terme de sécurité), j’aimerais bien savoir sur quoi tu ta puis pour me dire cela ?
Ce n’est pas sa fonction, oui, mais en quoi dans les explications que j’ai donné plus haut te font dire quelle à créer une faille !?!
A aucun moment tu m’explique cela, tu me rappel que ce n’est pas ça fonction, et à cela je te réponds OUI et crois le bien, je le savais avant de poster ces message …

Si dans le sans ou j’explique mon point de vue, fait croire que je suis sur de tout, je confirme que non, depuis le début que j’ai parlé de mon architecture j’ai un doute, mais enlever une architecture car tout simplement elle n’est pas conventionnelle je ne vois pas ou j’ai avancé et ce que j’ai appris, moi je voudrais qu’on me détaille ou elle est la faille …


Titofe

[jdh]

Le ping d'une machine de Green vers le SME en Orange ne fonctionne pas ! Cela ne te suffit pas ?

Moi je donne une explication qui "démontre" que cette architecture est mauvaise (double chemin au moins).

Je ne suis pas seul à trouver cette architecture mauvaise cf post 1 unnilennium "j'aime beaucoup l'offre de passer par la fenêtre ouverte avec des barreaux si on du mal à rentrer par la porte blindée en direction du vert donnée par cette configuration". Dailleurs ta réponse à unnilenium est "désoler, je n’ai pas le temps vu l’heure de te répondre, mais qui est tu pour prendre les gens pour des abruti juste par ce que tu à vu ou lu un post !!!! Que cette configuration te paraisse étonnante, je le peux le concevoir, mais de la à en juger comme tu le fait sans en connaître ni les raison, ni les moyen mi en place pour ça sécurité, c’est toi qui me fait rire ….". C'est dommage de ne pas prendre en compte ce que te disent les autres SUR LE FOND et d'y voir seulement une remarque déplacée envers toi.

Il n'y a pas de "débat" sur une architecture mauvaise. NOUS te disons qu'IL NE FAUT PAS mettre en oeuvre cette architecture puisqu'elle est mauvaise.

Enfin je pense qu'il est difficile d'être un bon expert ET d'IPCOP ET de SME. Je pense vraiment qu'il n'y a pas lieu de disposer d'une SME en "server+gateway" derrière un IPCOP. Je ne vois pas en ceci une opposition de sens avec jibe (spécialiste du débat IPCOP/SME).

En tout état de cause, il NE FAUT PAS placer une machine en Orange avec une patte vers Green PARCE que cela fait 2 chemins et, partant, 2 systèmes de règles (sûrement incohérents au final). Un ping qui ne fonctionne pas devrait mettre la puce à l'oreille.

[Titofe]

Vu comme ça …, mais avec le reste je trouve qu’à sa ne donne pas pareille, à les mots …

Je ne suis pas seul à trouver cette architecture mauvaise cf post 1 unnilennium "j'aime beaucoup l'offre de passer par la fenêtre ouverte avec des barreaux si on du mal à rentrer par la porte blindée en direction du vert donnée par cette configuration". Dailleurs ta réponse à unnilenium est "désoler, je n’ai pas le temps vu l’heure de te répondre, mais qui est tu pour prendre les gens pour des abruti juste par ce que tu à vu ou lu un post !!!! Que cette configuration te paraisse étonnante, je le peux le concevoir, mais de la à en juger comme tu le fait sans en connaître ni les raison, ni les moyen mi en place pour ça sécurité, c’est toi qui me fait rire ….". C'est dommage de ne pas prendre en compte ce que te disent les autres SUR LE FOND et d'y voir seulement une remarque déplacée envers toi.

Message que j’ai posté juste après :

Je vais essayer de prendre le temps,

Déjà pourquoi cette configuration ? Si j’ai choisi IPCop pour protéger mon réseau, il y a cela plusieurs raison :
En voila une, IPCop est capable de créer 3 différents réseaux, qui est très utile pour partager une seul connexion à Internet et qui permet de ne pas mettre ces œuf dans le même panier (marioysme tu vois on à la même expression …).
Qui répond aussi à ton problème de prix, ces tu combien coute une connexion 4méga / 4 méga par mois, je pense que mon IPCop serra rentabiliser au deuxième mois sans aucun problème…

Comme tout personne qui à une SME, si tu veux travailler dessus il faut pouvoir la joindre, pour cela tu à plusieurs façon ; lui laisser un écran est un clavier ; mettre un ordinateur derrière pour prendre la main en SSH ou HTTPS ;faire une ouverture sur l’extérieure pour que de n’importe ou sur le Web tu puisses prendre la main dessus en SSH ou HTTPS et sinon créer un tunnel VPN pour l’extérieures toujours pour prendre la main en SSH ou HTTPS.
Donc si tu veux parler de sécurité j’en vois une très bonne, aucune ouverture sur le monde extérieur est lui laisser l’écran et le clavier, je pense que tu en conviendras, très bonne sécurité puisse que personne peux la joindre, même pas pour le web ou le ftp et mail, par contre là je ne vois plus à quoi elle serre …

Pour ma par il y a 2 SME sur le réseau que j’ai décrie plus haut, la première qui est en Serveur seul qui ce trouve sur le réseau Vert, elle sert de contrôleur de domaine pour les postes client, elle fait aussi du partage d’application et elle sauvegarde les poste client.
La deuxième qui est en Serveur et passerelle qui est sur le réseau Orange elle sert de Serveur Mail, FTP et Web, pour le moment il n’y a que le réseau Vert qui l’utilise, dans quelque mois 2 autres réseau distant l’utiliserons aussi.
Donc pourquoi l’avoir branché sur le réseau Vert, comme je l’ai dit plus haut il faut bien allez dessus pour l’administrer, donc il va falloir faire une ouverture du réseau Orange pour le réseau Vert, pour ça il y tout les moyen d’écrie plus haut, ok donc ce qui veut dire une ouverture sur la SME sur le monde extérieur, moi je ne veux pas j’ai confiance en sa sécurité et je n’ai aucune envie de la changer donc ce que j’ai fait ces tout simplement brancher la SME par le coté ou son réseau est sécuriser par elle, vers le réseau vert qui est lui aussi sécuriser car aucune ouverture de l’extérieur.
Et comme sur l’IPCop j’utilise l’addons BlockOutTraffic, j’ai créé une règle qui dit que tout ce qui vient de l’IP de la SME est bloquer. Donc moi je peux la voir elle pas.

Donc maintenant si tu veux qu’on discute sécurité, pas de souci, tu serra de quoi tu parle, je dis pas et je ne pense pas que ma solution et sans risque, mais à partir du moment ou un ordinateur et sur le web même avec toute les bonnes volonté le risque zéro n’existe pas …

Bon je vais me coucher, je me relirais demain …


Titofe

Réponse :

trés bien, maintenant le BOT est quelque chose de complexe à utilise cela veut dire que tu maitrixe quasi parfaitement iptable. ce n'est pas forcement le cas de la premiere personne qui voudra faire ton montage

Pour le reste suivais le lien indiqué plus haut.

Je me demande si tu ne prends pas un certain plaisir …

[Titofe]

Sinon je confirme que vert peux faire un Ping sur Orange, par contre le serveur SME en mode passerelle le refuse, mais en installant un poste client sur Orange je réussi, je vais chercher pourquoi pour SME.
Donc en réalité je n’ai pas de souci de ce coté là.
(Mon erreur est de ne pas avoir fait un test sur un autre poste, mais j’espère que vous me croirais si je vous dis que je ne doutais pas de vos dires, mais que je ne voyais pas trop d’où venais l’erreur.)

Merci.