Faites vous confiance à IPCOP ??? :)

[Oli_69]

<BR>Salut à tous <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Je suis votre forum depuis un certain moment, mais j'ai décidé de m'y inscrire seulement aujourd'hui <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Je vais commencer par remercier tous les membres actifs de ce forum, qui rendent bien des services à des gens comme moi, qui n'ont jamais pris le soin de s'incrire pour les remercier <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>Bon. <BR> <BR>J'ai quand meme une ou deux questions à vous poser <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Je connais ipcop depuis les débuts de la 1.2, j'avais déjà fait mumuse avec <IMG SRC="images/smiles/icon_smile.gif"> Dernièrement, j'ai fais des tests avec la 1.3, que je trouve tout aussi excélénte. <BR> <BR>Je n'ai pas besoin de solution ipcop pour faire du NAT car je dispose du fabuleux modem Speedtouch home, transformé en ST510v3 (firm 725). <BR> <BR>Petite appartée : LE site de ce modem : <!-- BBCode u2 Start --><A HREF="http://www.forpage.com/forum/index.php" TARGET="_blank">FORPAGE.com</A><!-- BBCode u2 End --> <BR> <BR>Ce dernier comble largement tous mes besoin, et je me sens super protégé derière lui. <BR> <BR>Ma question est la suivante : <BR> <BR>en basculant mon 510 en bridge (manip super facile qui ne prends que 2s <IMG SRC="images/smiles/icon_smile.gif"> ) j'ai réussit à faire du VPN avec un pote qui lui aussi a le meme modem que moi, et un ipcop. Mais je ne fais pas autant confiance à IPcop qu'à mon routeur/FW. <BR> <BR>Ai je tord ou raison ? <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Pour le moment, j'ai préféré repasser mon modem en NAT, et me servir d'ipcop en tant que passerrelle. <BR> <BR>Je perd quelques fonctionnalitées d'ipcop, style le dyndns (ipop ayant un ip privé) le VPN, mon modem ne supportant pas le NAT-T(transversal) et je ne peux pas fwder le protocole 50. <BR> <BR>Ceci mis à par, ipcop me sert uniquement de proxy web. <BR> <BR>En proxy, j'ai aussi testé longement ISA server, Clarckconnect. <BR> <BR>Precision utile, comme je me sert d'un routeur, et d'un Xp pour les divers dl etserveur apache et ftp, je ne vois pas la nécéssité d'alumer une alim 250w suppémentaire. Par conséquant, tous mes Proxy de test tournent en VMware sous mon XP. <BR> <BR>Et pas qu'une seule VMware <IMG SRC="images/smiles/icon_smile.gif"> Il y a une débian en cours d'install et de test, un clarkconnect, un ipcop. Une seule de ces trois VMware tourne. Mais à coté de ca, j'ai aussi un serveur 2003, controleur de domaine, et cache DNS. <BR> <BR>Ca me permet de me retrouver avec un paquet de machine sur mon rézo tout en utilisant qu'une seule tour. Pratiq pour réduire la facture EDF <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR> <BR> <BR>Bon la question n'est pas assez clair, je la repose. Faites vous suffisament confiance à IPcop pour le laisser seul en protection de votre Lan ? <BR> <BR>Parce que comme tout OS, les spécialistes de sécurité et de hack, style organisme gouvernementaux, ne doivent pas avoir trop de mal à passer au travers, non ? <BR> <BR>J'suis assez paranoïaque, à ce sujet, meem si je n'ai vraiment pas grand chose à cacher dérière <IMG SRC="images/smiles/icon_biggrin.gif"> <BR> <BR> <BR> <BR>BOn, vous grand amateur d'ipcop, forcément vous devez lui faire bien confiance. <BR> <BR>A vous de me dire <IMG SRC="images/smiles/icon_wink.gif">

[seb57]

si tu veux vraiment etre top sécurité et économiser de l'electricité : <BR>une solution n'allume pas ton pc !!! <IMG SRC="images/smiles/icon_biggrin.gif"> <BR>bon sérieusement j'ai pas tout compris de tes mods sur ton modem mais je pense qu'il fait firewall c'est ça ??? <BR>il est clair qu'un firewall physique et plus sécurisé qu'un firewall perso sur une bécane car il ne se contente pas de faire apparaitre les port comme fermé mais les ferme physiquement <BR>mais bon ipcop me semble une trés bonne soluce relativement fiable qui se base quand même sur une architecture qui a fait ses preuves (noyeau 2.4 et iptable) <BR>donc je pense qu'il est suffisament sécuritaire pour les risques d'attaques courantes. <BR>pour ce qui est du gouvernement et autre c'est pas ton modem qui va changer grand chose et si y arrive pas a rentré par la y rentrerons par ta porte d'entrée et c'est justement en ayant une sécurité trop importante que tu attirera leur convoitise !!! <BR>et trés franchement c'est pas en utilisant xp et wmware que tu vas réussire a cacher quelque chose <IMG SRC="images/smiles/icon_biggrin.gif"> <IMG SRC="images/smiles/icon_biggrin.gif"> <IMG SRC="images/smiles/icon_biggrin.gif"> <IMG SRC="images/smiles/icon_biggrin.gif"> <IMG SRC="images/smiles/icon_biggrin.gif"> <IMG SRC="images/smiles/icon_biggrin.gif"> <IMG SRC="images/smiles/icon_biggrin.gif"> mdr <BR>et pour ce qui est du courant c'est pas ça qui va changer grand chose sur ta facture vu la config mini d'ipcop t'a pas besoin d'une alim 250 w <BR> <IMG SRC="images/smiles/icon_smile.gif">

[antolien]

il y a certainement mieux qu'ipcop comme firewall. <BR>par contre ce que tu dis m'étonne, tu fais plus confiance à un modem transformé pour faire un simple NAT qu'a ipcop qui fait du firewalling statefull ? <BR> <BR>le NAT est assez nul point de vue protection, car tu n'as ni d'antispoofing, ni de mesure anti DoS , ni d'IDS, etc... <BR> <BR>en plus c'est juste de la translation d'adresse avec tes ports en close et donc visibles, au lieu d'avoir tes ports invisibles en stealth. par exemple si tu as winXP, le port 5000 sera ouvert avec du NAT. pas de logs, donc pas de contrôle sur ce qui se passe... <BR> <BR>en bref, oui je fais confiance à ipcop et j'ai fait l'inverse de ce que tu as fait. <BR> c'est à dire transformer mon routeur nat en simple modem pour faire du vpn et ainsi avoir un contrôle total et centralisé de l'activité entre mon réseau local et internet avec ipcop. <BR> <BR> <IMG SRC="images/smiles/icon_razz.gif">

[dbomber]

De toute maniére, le firewall ne fait TOUTE la sécurité. En fait, il ne suffit de mettre en marche un firewall pour être en sécurité, il faut aussi éplucher les logs, mettre à jour ton antivirus, appliquer les patchs correctifs, bien penser à l'architecture de ton réseau .... et surtout ne pas utiliser des logiciels style XP (truffé de failles lol: ). <BR> <BR>Pour finir je dirais que le risque 0 n'existe pas (tout comme la protection à 100%). <IMG SRC="images/smiles/icon_biggrin.gif">

[seb57]

c'est clair "le firewall c'est ton meilleur ennemi" <IMG SRC="images/smiles/icon_biggrin.gif"> <IMG SRC="images/smiles/icon_smile.gif">

[antolien]

de plus, utiliser Vmware te fait peut-être économiser de l'énergie; mais mettre en frontal une émulation d'un firewall sur windows XP est assez limite point de vue sécurité. D'autant que si tu fais tourner plusieurs machines sur une seule tu as intérêt à avoir un grosse configuration avec bcp de ram. Vmware est en plus un logiciel payant. comme isa server, et le reste. <BR>alors rien que le prix des licenses va te payer quelques années de consomation d'un ipcop.

[Vinzstyle]

Cette phrase ente guillemets est le titre de deux éditions de Linux Magazine, qui sont très complets et vraiment bien fait. A lire absolument !<BR><BR><font size=-2></font>

[seb57]

oui en fin sans etre l'avocat du diable la facture EDF il est obligé de la payer !!! <IMG SRC="images/smiles/icon_smile.gif">

[seb57]

oui c'est pas de moi c'est pour ça que j'ai mis les guillmets je pense que tout le monde ou presque connait <IMG SRC="images/smiles/icon_smile.gif">

[Oli_69]

Ok merci de vos réponses. <BR> <BR>Je reprécise quelques trucs <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Pour ce qui est de la conso edf. C'est simple. Je suis bien obligé d'avoir déjà une machine qui tourne pour les différent roles que je lui attribue. <BR> <BR>Donc si je veux en plus un ipcop, il me fo bien une seconde machine. <IMG SRC="images/smiles/icon_smile.gif"> Pour des tests plus poussés, il m'arrive d'installer sur d'autres machine, style un p200 avec un AT de 200w ou un c450 avec un atx de 150w. <BR> <BR>Je trouve donc que pour une utilisation personnelle 24/24, une seule machine vaut mieux que deux <IMG SRC="images/smiles/icon_smile.gif"> Surtout pour arriver au meme résultat <IMG SRC="images/smiles/icon_smile.gif"> Mon routeur ne consommant que qq watt <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>Pour ce qui est de la VMWAre. <BR> <BR>C'est assez simple, les cartes sont en bridge. Elles ont des IP à part de celle de mon XP. <BR> <BR>Celle dont ce sert IPcop ne sont pas active ous xp. C'est à dire que tous les protocoles sont désactivés, et qu'elles n'ont pas d'ip. Qui plus est, elles sont reliées physiquement sur un rézo à part. PAs le meme switch <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR> <BR>Pour ce qui est de mon modem. Il s'agit plus que d'un simple routeur NAT, puisqu'il s'agit avant tout d'un firewall physique. Qui me drop tous les ports hormis ceux utilisés par mes NAT (4-5 c'est tout) <BR> <BR>Pour vous montrer un peu, voici un erxemple de sa configuration. Ce n'est pas la mienne mais une de base. <BR> <BR><!-- BBCode Start --><B><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>[ pfilter.ini ] <BR>chain delete chain=FORWARD <BR>chain create chain=FORWARD <BR>chain delete chain=OUTPUT <BR>chain create chain=OUTPUT <BR>chain delete chain=INPUT <BR>chain create chain=INPUT <BR>chain delete chain=SOURCE <BR>chain create chain=SOURCE <BR>chain delete chain=SINK <BR>chain create chain=SINK <BR>rule create chain=FORWARD index=0 srcintfgrp=wan dstintfgrp=wan action=drop <BR>rule create chain=FORWARD index=1 srcintfgrp=wan prot=icmp icmptype=echo-reply action=accept <BR>rule create chain=FORWARD index=4 src=10.10.1.1 action=deny <BR>rule create chain=FORWARD index=5 src=10.10.1.2 action=deny <BR>rule create chain=FORWARD index=6 src=10.10.1.3 action=deny <BR>rule create chain=INPUT index=0 srcintfgrp=wan prot=tcp dstport=0 dstportend=1024 action=drop <BR>rule create chain=INPUT index=1 srcintfgrp=wan prot=tcp dstport=2121 action=accept <BR>rule create chain=INPUT index=2 srcintfgrp=wan prot=tcp dstport=21 action=accept <BR>rule create chain=INPUT index=3 srcintfgrp=wan prot=tcp dstport=50025 dstportend=50026 action=accept <BR>rule create chain=INPUT index=4 srcintfgrp=wan prot=tcp dstport=80 action=accept <BR>rule create chain=INPUT index=5 srcintfgrp=wan prot=tcp syn=yes ack=no action=drop <BR>rule create chain=INPUT index=7 srcintfgrp=wan prot=udp dstport=0 dstportend=1024 action=drop <BR>rule create chain=INPUT index=8 srcintfgrp=wan prot=udp srcport=dns action=accept <BR>rule create chain=INPUT index=10 srcintfgrp=wan prot=udp action=drop <BR>rule create chain=SOURCE index=0 dstintfgrp=!wan action=accept <BR>rule create chain=SOURCE index=1 prot=udp dstport=dns action=accept <BR>rule create chain=SOURCE index=2 prot=udp dstport=67 action=accept <BR>rule create chain=SOURCE index=3 action=drop <BR>rule create chain=SINK index=0 srcintf=eth0 prot=udp dstport=tftp action=drop <BR>rule create chain=SINK index=1 srcintf=eth0 srcbridgeport=1 action=accept <BR>rule create chain=SINK index=2 srcintfgrp=!wan action=accept <BR>rule create chain=SINK index=3 prot=udp dstport=dns action=accept <BR>rule create chain=SINK index=4 prot=udp dstport=68 action=accept <BR>rule create chain=SINK index=5 prot=icmp icmptype=echo-request action=drop <BR>rule create chain=SINK index=6 action=drop <BR> <BR>[ pfirewall.ini ] <BR>assign hook=input chain=INPUT <BR>assign hook=sink chain=SINK <BR>assign hook=forward chain=FORWARD <BR>assign hook=source chain=SOURCE <BR>assign hook=output chain=OUTPUT <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --></B><!-- BBCode End --> <BR> <BR>Les regles dropant les ranges de ports 0-1024 en tcp et udp, me servent uniquement quand je cree un Defserver (=une dmz) vers une ip precise. <BR> <BR>Donc voilà, c'est un peu ce que vous faites avec votre iptable d'ipcop <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>Je vous ai pas mis les NAT, mais juste les regles de FW. <BR> <BR> <BR>Lorsque je le configure en bridge, j'oublie toutes ces regles, et c'est l'ipcop que se retrouve en front sur le wan. D'où ma question <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR> <BR> <BR>_________________ <BR>@++, <BR> <BR> Oli. <BR><BR><BR><font size=-2></font>

[seb57]

la ou je me pose des questions c'est quand tu parles de réseau séparé sur un autre switch !!! <BR>et de dmz !!! <BR>le tout avec une seule machine <BR>je comprend pas toute l'utilité de la chose <IMG SRC="images/smiles/icon_smile.gif">

[Oli_69]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> de plus, utiliser Vmware te fait peut-être économiser de l'énergie; mais mettre en frontal une émulation d'un firewall sur windows XP est assez limite point de vue sécurité. </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Tu ne dois pas connaitre assez ce magnifique soft <IMG SRC="images/smiles/icon_smile.gif"> <BR>Ca sert pour du test avant tout. Une fois que tu décides d'utiliser l'ipcop en passerelle, bien sur qu'il faut se mettre sur une machine à part. <BR>Mais tu oublies sur quel os tourne ce soft. Tout ce qui compte, c'est la manière de le connecter au net. Et mes vmware utilisent des cartes rezo autres que celle qu'utilise xp. physiquement, je parle. Par des cartes virtuelles <IMG SRC="images/smiles/icon_wink.gif"> Branchées sur des switch à part <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR> <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> D'autant que si tu fais tourner plusieurs machines sur une seule tu as intérêt à avoir un grosse configuration avec bcp de ram. </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Effectivement <IMG SRC="images/smiles/icon_biggrin.gif"> Le Go de ram est assez utile pour faire tourner plusieurs windows en meme temps. <BR>Le max que j'ai fait tourner, etait un 2k3 server pour l'AD, un 2k3 pour l'isa, une débian, une clarkconnect, une ipcop. Ca commence à faire. Mais les dur virtuels sont sur un raid0, donc pas de soucis, ca rame pas du tout <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR> <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> Vmware est en plus un logiciel payant. comme isa server, et le reste. <BR>alors rien que le prix des licenses va te payer quelques années de consomation d'un ipcop. </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Entièrement d'accord ! Dans le cadre d'une entreprise publique <IMG SRC="images/smiles/icon_smile.gif"> Pour un usage entièrement privé, ca reste à démontrer <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR> <BR>_________________ <BR>@++, <BR> <BR> Oli.<BR><BR><font size=-2></font>

[Oli_69]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-05-08 15:23, seb57 a écrit: <BR>la ou je me pose des questions c'est quand tu parles de réseau séparé sur un autre switch !!! <BR>et de dmz !!! <BR>le tout avec une seule machine <BR>je comprend pas toute l'utilité de la chose <IMG SRC="images/smiles/icon_smile.gif"> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR> <BR>A part faire des tests <IMG SRC="images/smiles/icon_smile.gif"> Moi non plus je vois pas <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>Ce qui est assez marrant, c'est de faire un schéma du rezo, puis de refaire ce meme schéma, en prennant en compte le fait qu'il n'y a qu'une machine <IMG SRC="images/smiles/icon_razz.gif"> Là, ca devient impossible à dessiner <IMG SRC="images/smiles/icon_biggrin.gif">

[seb57]

oui pour des tests ok mais bon si c'est juste pour s'amuser a faire des tests sans avoir de projet derriere c'est pas top et pour ce qui est de wmware et isa 2000 c'est pas des freewares que je sache et même pour une utilisation domestique il te faut les licenses a moin d'avoir des versions d'évaluation de 30 jours et de faire le test que pendant 30 jours!!! <BR>si tu n'est pas convaincu demande a microsoft pour isa 2000 tu verras bien se qu'il te répondront et y auront pas besoin de te le démmontrer !!! <BR>tandis qu'ipcop c'est gratos et légal en entrprise comme a la maison!!! <BR>c'est bien ce que je disait la facture edf tu es obligé de la payé mais pour le reste .... <IMG SRC="images/smiles/icon_smile.gif"> <IMG SRC="images/smiles/icon_biggrin.gif"> <IMG SRC="images/smiles/icon_biggrin.gif"> <IMG SRC="images/smiles/icon_biggrin.gif"> <IMG SRC="images/smiles/icon_biggrin.gif">

[erreipnaej]

dbomber nous dit un peu plus haut<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> De toute maniére, le firewall ne fait TOUTE la sécurité. En fait, il ne suffit de mettre en marche un firewall pour être en sécurité, il faut aussi éplucher les logs,</BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR>J'ai installé l'addon "Logcheck" et je reçois donc des mails avec come titre "active system attack" <IMG SRC="images/smiles/icon_eek.gif"> <BR>Compte tenu de mes connaissances Linux et réseau, je ne comprends pas tout.<IMG SRC="images/smiles/icon_confused.gif"> <BR>Quelqu'un connaitrait'il un Howto qui explique comment éplucher les logs du firewall et de la détection d'intrusion? <BR>Merci de votre aide. <IMG SRC="images/smiles/icon_bise.gif">