Acces à distance pour 2003 derriere 2 Ipcop

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Acces à distance pour 2003 derriere 2 Ipcop

Messagepar fpires » 26 Nov 2008 20:11

Bonjour les amis,

Je suis en train de mettre en place une maquette sous virtual server.

J'ai 2 ipcop (dos à dos), un server 2003 et un client XP


Internet DMZ1(Orange) LAN2(Vert)
Client ------------- Ipcop1 ---------------------- Ipcop2 ----------------- Server2k3


Je souhaiterais que l'authentification se fasse par le server2k3.

Quelqu'un peut-il m'aider ou existe-t-il un addon?

merci
fpires
Matelot
Matelot
 
Messages: 4
Inscrit le: 11 Jan 2008 23:21

Messagepar jdh » 26 Nov 2008 22:04

Le schéma est incompréhensible !

Je ne sais pas ce qui t'as fait croire que mettre 2 ipcop successifs permettait d'augmenter la sécurité ... car il n'en est rien !

La position NATURELLE d'une machine auquel on accède est dans la DMZ.

Je ne comprends pas le sens d' "accès à distance" : cette expression est ambigue : il y a plusieurs sens.

Dernier point, la virtualisation complique forcément les mécanismes. Ce n'est donc pas forcément facile de comprendre ce qui se passe ...
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar ccnet » 26 Nov 2008 22:10

Comprend pas non plus le sens de tout cela.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar fpires » 27 Nov 2008 10:41

Mon 2eme Ipcop (ipcop2) se trouve dans la DMZ de mon premier Ipopc (ipcop1).

CLIENT ===Internet=== IPCOP1 ===dmz=== IPCOP2 ===LAN=== SERVER2k3

J'ai besoin de sécurisé au maximun mon architecture.

L'accès à mon LAN doit se faire après une authentification par mon serveur 2k3.
fpires
Matelot
Matelot
 
Messages: 4
Inscrit le: 11 Jan 2008 23:21

Messagepar ccnet » 27 Nov 2008 10:59

Totalement illusoire. Ipcop n'est pas conçu pour un fonctionnement de ce type. Penser que 2 firewall identiques à la suite augmentent la sécurité est purement une vue de l'esprit. Surtout lorsque l'on ne sait rien du reste.
Si vous avez un besoin de sécurité de haut niveau, vous êtres a priori une entreprise d'une taille suffisante pour mettre les moyens nécessaire en face. Or dans une entreprise de cette importance (sans parler de la taille) on n'utilise pas ipcop qui ne couvre pas les besoins probables.
Si ipcop comporte une faille connue et exploitable pour obtenir un accès, deux ipcop ne serviront à rien. Il suffira d'exploiter la même faille.

L'accès à mon LAN doit se faire après une authentification par mon serveur 2k3.

Totalement contradictoire avec le "besoin de sécuriser au maximun mon architecture". Avec une exigence de sécurité maximum, sous aucun prétexte on ne donne d'accès au lan même pour un client utilisant un vpn. Encore faudrait il savoir quelle authentification, quel VPN ?
Sécurité maximum, serveur dans le lan utilisateurs ? Là non plus cela ne colle pas.

Si vous exposez clairement la totalité de votre projet, peut être pouvons nous donner des pistes.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar jdh » 27 Nov 2008 11:12

J'ai du mal m'exprimer !

Je ne comprends pas du tout ce que signifie "accéder à mon lan".


* 2 firewalls successifs <> sécurité supplémentaire

Je voudrais faire comprendre que 2 IPCOP (ou n'importe quel firewall) n'augmente pas la sécurité !

- En effet, si le premier est compromis par quelque méthode que ce soit, le 2ème le sera par la même méthode !
- Cette façon de faire suppose que l'on fasse les (bons) réglages sur les 2 firewall en même temps. Or, on finit par ne pas respecter cette règle.
- L'hypothèse de mettre 2 firewall de type différent ne renforce pas plus la sécurité car il faut être aussi compétent sur 2 systèmes différents ... ce qui est tout aussi difficile que de maintenir des règles sur 2 systèmes.

Le seul schéma acceptable avec 2 firewall successifs est le suivant :


internet <-> (R) firewall (O) <-> dmz <-> (R) firewall (G) <-> lan (avec AUCUNE autre interface sur chacun des firewall : à noter que R+O n'est pas possible avec IPCOP !)


* schéma incomplet
Le problème de ce schéma (qui est AMHA incomplet !) est que je suppose que le LAN de l'IPCOP2 correspond au LAN de l'IPCOP1. Ceci est un court circuit ! Et c'est très dangereux !!


* une bonne sécurité :
Une bonne sécurité consiste à utiliser un VPN comme OpenVPN (ZERINA chez IPCOP).
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité