IPCop et Serveur Web/FTP/Fichiers

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

IPCop et Serveur Web/FTP/Fichiers

Messagepar jOJo73450 » 07 Août 2008 19:48

Salut à tous !

Voilà c'est partit, je me lance dans l'aventure IPCop !
Après avoir compulsé par mal de trucs sur le net, je me suis déjà quasiment fixé ma configuration logicielle et matérielle. Malheureusement j'ai encore un petit doute. J'ai chez moi actuellement un serveur Web/FTP et de fichiers sur une machine doté de windows 2003 server.
Je me pose la question suivante : comment configurer matériel et logiciel pour ce serveur ?
-> Soit je le met sur le réseau Green, mais problème de sécurité : pour le Web/FTP, l'extérieur aura accès au réseau Green...
-> Soit je le met en DMZ sur le réseau Orange donc, mais alors le serveur de fichiers est sur le réseau Orange.... Donc mes fichiers sont mal protégés....
-> Je monte 2 serveurs, un sur le réseau Green pour faire serveur de fichiers, l'autre sur Orange pour le Web/FTP.... bof, encore rajouter une machine....

Donc je me suis posé la question suivante : ne serait-il pas possible, avec un serveur sous Windows 2003 Server (ou une distro Linux si nécessaire), de le connecter sur les deux réseaux simultanément Green et Orange ?! Avec 2 cartes réseau bien sur. Je pense que le câblages est possible, mais cela sera t-il fonctionnel et sécurisé ?

Voilà, j'attends toutes vos idées/suggestions/expéreiences ! Merci beaucoup !

jOJo
En Savoie, on a pas de pétrole, mais on a des Diots !
jOJo73450
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 07 Août 2008 18:28

Re: IPCop et Serveur Web/FTP/Fichiers

Messagepar rubikz » 07 Août 2008 20:10

jOJo73450 a écrit:Salut à tous !

-> Soit je le met en DMZ sur le réseau Orange donc, mais alors le serveur de fichiers est sur le réseau Orange.... Donc mes fichiers sont mal protégés....

jOJo


S'agissant d'un serveur, je le mettrai en DMZ (Orange --> Vert fermé sauf si Pinholes utilisés)

Le problème de la protection des fichiers dépasse le cadre de tel ou tel emplacement. A mon avis, l'emplacement est un faux problème.
rubikz
Quartier Maître
Quartier Maître
 
Messages: 18
Inscrit le: 05 Août 2008 16:19

Messagepar jOJo73450 » 07 Août 2008 20:49

Salut !

Merci de ta réponse rapide !
Le serveur sous windows 2003 server execute actuellement des sauvegardes de mes fichiers sur les autres PC du réseau grace au logiciel Ultrabackup (en gros une copie automatique des fichiers des autres PC du réseau de manière journalière dans un dossier du serveur). Si je bloque Orange->Green (par défaut si j'ai tout compris), cela va bloquer ce systeme de sauvegarde non ? On peut bien sur débloque le truc, mais cela ne contitue t-il pas une faille ?
Le problème aussi c'est que de l'extérieur on peut avoir accès a ces fichiers de sauvegarde sur le serveur non ?

Merci pour tout ! :D

jOJo
En Savoie, on a pas de pétrole, mais on a des Diots !
jOJo73450
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 07 Août 2008 18:28

Messagepar rubikz » 07 Août 2008 21:05

Je lis ici qu'un seul port est utilisé

http://astase.com/support/ultrabackup#main_toc_2.8


Ultrabackup repose sur une architecture client-serveur. Si c'est le client qui se connecte au serveur, Ipcop route de vert vers orange. Les machines pourront se connecter au serveur sur le port 1985 et effectuer leur sauvegarde.

"Le problème aussi c'est que de l'extérieur on peut avoir accès a ces fichiers de sauvegarde sur le serveur non ?"

Si ton fw est bien configuré. Pourquoi le risque d'avoir accès aux données serait plus important sur l'interface orange que sur l'interface verte ? il faudra bien entendu compléter l'install avec Guardian et mettre à jour régulièrement les règles snort.

BlockOutTraffic viendrait compléter le dispositif pour réguler le traffic sur vert et notament le fameux port 1985

As-tu la possibilité de poser des Vlans ?
rubikz
Quartier Maître
Quartier Maître
 
Messages: 18
Inscrit le: 05 Août 2008 16:19

Messagepar jOJo73450 » 07 Août 2008 22:23

Salut !

Je pensais pas qu'Ultrabackup utilisait un unique port, mais tant mieux après tout :D

Si ton fw est bien configuré. Pourquoi le risque d'avoir accès aux données serait plus important sur l'interface orange que sur l'interface verte ?
-> Pas faux, je ne l'avais pas vu de cette façon, mais c'est tout à fait logique !

Donc si je resume, serveur sur le réseau Orange (DMZ), et depuis Internet on peut avoir accès aux serveurs Web/FTP et depuis le réseau Green je peux alors accéder aux fichiers du serveur. Modulo une petite config du FireWall pour Ultrabackup (ce sera le serveur qui a ccedera au client pour pas tout chambouler), tout ira bien.

Pour les VLans, j'ai jamais utiisé ça encore, mais cela ne semble pas inintéressant, quels pourrait etre les avantages (si ce n'est que c'est plus sécurisé d'après ce que j'ai pu lire) ? Il faut alors configurer tout les postes du réseau et non plus seulement le serveur non ?

Merci beaucoup pour ton aide !

jOJo
jOJo73450
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 07 Août 2008 18:28

Messagepar rubikz » 07 Août 2008 23:07

Ma réponse n'est pas complète mais les effets sont :

- sécurité plus importante. Cela isole les machines car les données sont encapsulées dans un niveau supplémentaire.
- cela isole le traffic sur le réseau.

Les Vlans ne se configurent pas au niveau des postes mais au niveau des commutateurs et plus exactement les ports sur lesquels sont connectés les machines clientes ou serveurs.
Il faut que les commutateurs puissent le gérer. Je ne sais pas dans quelle infrastructure réseau tu te situes.

Cela peut-être une piste pour faire évoluer ton réseau si l'environnement matériel le permet.
rubikz
Quartier Maître
Quartier Maître
 
Messages: 18
Inscrit le: 05 Août 2008 16:19

Messagepar Stirner » 08 Août 2008 06:44

Salut,

Pas de vlan sur Ipcop (enfin dans mes souvenirs).

Donc je me suis posé la question suivante : ne serait-il pas possible, avec un serveur sous Windows 2003 Server (ou une distro Linux si nécessaire), de le connecter sur les deux réseaux simultanément Green et Orange ?! Avec 2 cartes réseau bien sur. Je pense que le câblages est possible, mais cela sera t-il fonctionnel et sécurisé


Non tu vas créer une/des failles de sécurités.

Je pense que le problème est pris à l'envers. Plutôt que de choisir une solution (Ipcop+2003 avec green,rouge, orange) et de vouloir absolument que cela réponde à tes besoins, il te faut définir les besoins puis chercher la meilleure solution.

Tu souhaites :

1-sécuriser ton réseau
2-héberger des services tournés vers l'extérieur (web/ftp) et en local (sauvegardes)

Vus que ton 2003 ne semble pas une contrainte pourquoi ne pas choisir une distro type SME qui sur une seule machine te permettra à la fois d'avoir un service LAMP/ftp, de sécuriser ton réseau et de sauvegarder tes postes clients, soit en utilisant Ultrabackup (sauvegarde initiée par les postes clients) soit en utilisant BackupPc http://dedibox.firewall-services.com/contribs/spip.php?rubrique2. Le tout étant sécuriser et simple à mettre en oeuvre.

@+
Avatar de l’utilisateur
Stirner
Vice-Amiral
Vice-Amiral
 
Messages: 777
Inscrit le: 06 Jan 2006 07:45
Localisation: Calva...Dos...

Messagepar jOJo73450 » 08 Août 2008 07:52

Salut !

Merci pour vos réponses. Je pense pas que mon architecture réseau permettent le VLans de toute façon, vu le matériel dont je dispose (très basique...)

Concernant SME pourquoi pas, cela semble intéressant, cependant, j'ai plusieurs interrogations :
- Pour Ultrabackup, je désire conserver le système actuel c'est à dire que le serveur initie la sauvegarde, et non pas le client (car si le poste distant est allumé (Merci WakeOnLan :D ), la sauvegarde peut alors se faire, sans avoir besoin que quelqu'un soit loguer dessus...). Donc : avec SME, est-il possible que le serveur initie la sauvegarde ou est ce nécessairement le client ?
- Deuxième interrogation par rapport à l'architecture du réseau : j'ai vu qu'avec SME on pouvait faire en gros deux types de configuration, -> http://www.apo33.org/apotek/doku.php?id=serveurs:serveurs_start (les deux images en haut de page). Je serai plutôt dans un mode "Server and Gateway", mais j'ai une interrogation : est-il possible dans ce cas d'avoir 2 sous réseaux distincts ? Comme IPCop avec les interfaces Bleu et Verte, ou les IP sont différentes et surtout ou Bleu n'a pas accès à Vert...
Schématiquement :

Internet
|
|
SME----Switch (Vert)----Clients
|
|
Switch (Bleu)
|
|
Clients

:?:

Merci pour vos réponses

jOJo
En Savoie, on a pas de pétrole, mais on a des Diots !
jOJo73450
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 07 Août 2008 18:28

Messagepar rubikz » 08 Août 2008 08:19

Pas de vlan sur Ipcop (enfin dans mes souvenirs).


Stimer, je ne comprends pas le sens de cette remarque mais le Vlan n'a pas besoin d'être configuré sur l'Ipcop dans le cas présent.
Comme je l'ai dit plus haut, c'est au niveau des switchs que ce la se passe.
Si l'interface orange par exemple est connectée sur le port A. Il suffit de positionner le port A en untagged sur le Vlan concerné par le traffic orange. Ce sont les ports inter-switchs qui seront déterminants dans la commutation de paquets.

Si l'interface orange et verte étaient connectées sur le même port, il faudrait alors tagger les trames en sortie de l'Ipcop. On n'est pas dans ce cas de figure. Je ne sais plus par contre si l'Ipcop gère 802.1q de façon native. Il faudrait voir si le module 8021q est en dur dans le noyau ou s'il se charge manuellement.

Il me semble que c'est possible. Dans une install, j'avais ajouté une 5ième interface virtuelle "connectée" sur le même port (même cable réseau) que l'interface verte. Après il faut taper dans les règles d'Iptables pour cette nouvelle interface.
rubikz
Quartier Maître
Quartier Maître
 
Messages: 18
Inscrit le: 05 Août 2008 16:19

Messagepar ccnet » 08 Août 2008 10:53

rubikz a écrit:
Pas de vlan sur Ipcop (enfin dans mes souvenirs).


Stimer, je ne comprends pas le sens de cette remarque mais le Vlan n'a pas besoin d'être configuré sur l'Ipcop dans le cas présent.

Je comprend parfaitement. Il est extrèmement utile de disposer sur son firewall de la possibilité de gérer les vlans. Ipcop ne les gère pas.

Comme je l'ai dit plus haut, c'est au niveau des switchs que ce la se passe.
Si l'interface orange par exemple est connectée sur le port A. Il suffit de positionner le port A en untagged sur le Vlan concerné par le traffic orange. Ce sont les ports inter-switchs qui seront déterminants dans la commutation de paquets.

Je ne suis pas partisant de ce genre de mise en ouvre. Je pense qu'il est prudent de proscrire tout trafic hors vlan (non taggé) entre le firewall et le port trunk du switch. Les liens trunk entre les switchs ne sont pas à mon sens les seuls éléments à prendre en compte.

Si l'interface orange et verte étaient connectées sur le même port, il faudrait alors tagger les trames en sortie de l'Ipcop. On n'est pas dans ce cas de figure.

Cette possibilité est très commode. Pas dans cet exemple, qui me semble à proscrire, mais lors de l'utilisation de plusieurs réseaux internes on peut, moyennant des précautions, utiliser des vlans plutôt que de devoir multiplier les interfaces physiques. Voir à ce sujet Pfsense.

Il me semble que c'est possible. Dans une install, j'avais ajouté une 5ième interface virtuelle "connectée" sur le même port (même cable réseau) que l'interface verte. Après il faut taper dans les règles d'Iptables pour cette nouvelle interface.
[/quote]
Je ne doute pas que ce soir possible. Le problème est alors que l'on sort complètement des spécifications d'Ipcop et que tout cela devient difficilement administrable de façon efficace.
Dernière édition par ccnet le 08 Août 2008 11:58, édité 1 fois au total.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar jOJo73450 » 08 Août 2008 11:28

Pfsense c'est pas pour pouvoir connecter 2 modems au réseau ? (un peu genre ça : http://www.linuxthai.org/pic/loadbalance/1.jpg)

J'ai vu passer le nom de m0n0wall aussi... mais j'ai pas encore vu la différence avec IPCop... Vous en pensez quoi ?

Souhaitant mettre en place un système avec une connexion adsl (freebox) + un serveur web/ftp/fichiers + 2 sous réseaux, le numéro 2 ne devant pas voir le numéro 1 ni le serveur (dans l'autre sens peut importe) IPCop est-elle la solution la plus adaptée au problème ? Ou bien une autre distribution ?

Avec IPCop, je sais qu'il y a également la possibilité de mettre de 1 à 4 autres interfaces nommées GREY1-4, -> http://www.ban-solms.de/t/IPCop-xtiface.html. Cela peut-il être intéressant dans mon cas ?

Merci pour votre aide et vos conseils :D

jOJo

PS : une autre question qui me passe par la tête, est ce que le débit entre 2 interfaces d'IPCop peut atteindre les 100Mbits/s ou bien est ce que la machine va brider cette valeur ? (NB : tout les PC sont actuellement en 100Mbits/s, les switchs sont tous aussi des 100MBit/s) Autre manière de poser cette question (la c'est un peu farfelu), est ce qu'on ressent une différence de débits entre : PC---switch---PC et PC---IPCOP---PC ?
En Savoie, on a pas de pétrole, mais on a des Diots !
jOJo73450
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 07 Août 2008 18:28

Messagepar ccnet » 08 Août 2008 12:12

jOJo73450 a écrit:Pfsense c'est pas pour pouvoir connecter 2 modems au réseau ? (un peu genre ça : http://www.linuxthai.org/pic/loadbalance/1.jpg)

Pfsense est un firewall avant tout et parmis ses fonctionnalités il y a la gestion de liens wan multiples en fail over ou en load balancing, mais pas en agrégation.
J'ai vu passer le nom de m0n0wall aussi... mais j'ai pas encore vu la différence avec IPCop... Vous en pensez quoi ?

Pfsense est un fork de m0n0wall. Pfense est très abouti avec la version 1.2. La version 1.3 est en alpha, elle comporte de nombreuses fonctionnalités supplémentaires. Beaucoup plus puissant qu'ipcop, mais plus complexe.


Souhaitant mettre en place un système avec une connexion adsl (freebox) + un serveur web/ftp/fichiers + 2 sous réseaux, le numéro 2 ne devant pas voir le numéro 1 ni le serveur (dans l'autre sens peut importe) IPCop est-elle la solution la plus adaptée au problème ? Ou bien une autre distribution ?

Pfsense est à considérer. Sinon ipcop avec une configuration RED + GREEN + BLUE + ORANGE pourrait vous peut être vous convenir

Avec IPCop, je sais qu'il y a également la possibilité de mettre de 1 à 4 autres interfaces nommées GREY1-4, -> http://www.ban-solms.de/t/IPCop-xtiface.html. Cela peut-il être intéressant dans mon cas ?

C'est une possibilité, mais il faut mettre les mains sous le capot pour la configurer.


PS : une autre question qui me passe par la tête, est ce que le débit entre 2 interfaces d'IPCop peut atteindre les 100Mbits/s ou bien est ce que la machine va brider cette valeur ? (NB : tout les PC sont actuellement en 100Mbits/s, les switchs sont tous aussi des 100MBit/s) Autre manière de poser cette question (la c'est un peu farfelu), est ce qu'on ressent une différence de débits entre : PC---switch---PC et PC---IPCOP---PC ?

Tout dépend de la machine utilisée, des services qui tournent dessus et des cartes réseaux. Avec un PIII 800Mghz (serveur Compaq DL360), carte réseau 3com ou Intel je n'ai pas de sensation de ralentissement. Je parle de sensation, pas de mesure objective de débit. Sur ce sujet s'agissant de Pfsense : http://www.pfsense.org/index.php?option=com_content&task=view&id=52&Itemid=49
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar rubikz » 08 Août 2008 15:53

ccnet que veux-tu dire par cette phrase ?

Je pense qu'il est prudent de proscrire tout trafic hors vlan (non taggé) entre le firewall et le port trunk du switch.


Merci bien
rubikz
Quartier Maître
Quartier Maître
 
Messages: 18
Inscrit le: 05 Août 2008 16:19

Messagepar ccnet » 08 Août 2008 18:11

Prenons le cas des Cisco catalyst tournant sous Ios 12. Il existe toujours un vlan (Vlan0001) même si vous n'en avez pas défini et en ce cas il est utilisé. Il ne peut pas être supprimé.
Si vous ne changez rien à cette configuration de base c'est par le Vlan1 que vous pourrez administrer le switch à l'ip que vous aurez fixé. Or les trames sans étiquette (non taggée) seront considérées comme faisant partie du vlan natif qui est aussi par défaut le vlan1. La conclusion de Cisco est assez clair sur ce point : "Be paranoid : do not use Vlan 1 for anything". De même lorsque l'on défini un port trunk, on utilisera un Vlan qui n'est jamais employé sur un "access port".
D'où ma remarque et la pratique qui consiste à créer sur un firewall qui le permet des vlans sur une interface physique qui elle n'est pas utilisée directement pour acheminer du traffic. On connectera physiquement cette interface à un port trunk du switch. Voilà pourquoi je ne suis pas très favorable à l'utilisation sur un même lien de trafic non "valanisé" avec un vlan par ailleurs. Sans parler des switchs entrée de gamme dont les vlans craquent si l'on charge le switch le switch se comporte alors en hub.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar rubikz » 08 Août 2008 18:43

qui consiste à créer sur un firewall qui le permet des vlans sur une interface physique qui elle n'est pas utilisée directement pour acheminer du traffic. On connectera physiquement cette interface à un port trunk du switch.


Merci ccnet de prendre le temps de me répondre de façon complète mais il y a quelque chose que je ne comprends pas.

Le Vlan1 qui est le Vlan par défaut que ce soit sur du Cisco ou autres génèrera toujours du traffic. Le plus souvent, celui-ci est utilisé pour administrer les switchs. Est-ce une erreur que de l'utiliser ?

Le port trunk est bien le port qui transporte les informations de plusieurs Vlans. Si je suis ton raisonnement, je choisis un fw qui permet les Vlans et qui utilise une interface physique et je connecte cette interface sur le port trunk ? j'aurais donc plusieurs trames taggées qui passeront par ce port ? il y a quelque chose que je ne pige pas :cry:

Qu'est-ce qu'un traffic non vanalisé ?

Merci ccnet pour tes compléments d'infos.
rubikz
Quartier Maître
Quartier Maître
 
Messages: 18
Inscrit le: 05 Août 2008 16:19

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron