IPCOP ou Firewall Routeur

[nikko77]

Bonjour,

Je voudrais avoir vos avis sur un sujet. Nous avons actuellement un routeur de marque netgear qui nous sert de point d'accès pour le net (normale) et de firewall. On voudrais intégrer dans notre réseau un serveur IPCOP qui ferait office de proxy et de firewall.

A votre avis, Est ce que ipcop est plus puissant qu'un firewall intégrer dans un routeur notement sur un routeur fvx538 de chez netgear?

J'aimerais avoir aussi une autre réponse mais qui n'a rien avoir avec la première question. Quel type de machine faut il pour installé IPCOP (processeur, mémoire, disque dur, etc...) pour que IPCOP ne soit pas dans le choux?

Nous avons actuellement un parc d'environ 50 machines (qui risque de passer a 70 en 2009) et 6 serveurs.

Merci pour vos réponse.

Nikko

[ccnet]

Avant de vous répondre plus précisément quelques questions à propos des 6 serveurs. Que font il, sont accédés de l'extérieur, comment ?

D'une façon générale les caractéristiques, sur le papier, du Netgear sont relativement séduisantes. Je dis sur le papier car je ne connais pas le produit. Il y a des avantages par rapport à Ipcop comme le multiwan, des possibilités de nat plus élaborées (encore que ce ne soit pas très précis), un filtrage semble t il plus sophistiqué.
Il y a aussi des choses que je n'aime pas, comme le mélange des genres entre switch et firewall. Je m'interroge sur la réelle fiabilité (pas physique évidement) du switch. Si elle n'est pas totale cela serait potentiellement dramatique. Pas de Vlan. Pas très clair sur les questions de dmz et affectation des interfaces.

Pour le moment, ne connaissant pas votre cahier des charges détaillé, il est difficile de répondre. Je ne sais pas quel sont vos besoins en matière de sécurité sur ce plan. J'entends par là quelles sont les menaces pour vous, quels sont les risques ? La réponse à une incidence sur l'architecture à retenir.

Je ne suis pas certain que le choix doive se limiter entre ces deux solutions.

[nikko77]

Ce sont des serveurs applicatifs, serveur de développement web, serveurs de fichiers, comptabilité et serveur web qui héberge une application webet serveur de mail. Seul les serveurs applicatifs, web et mail doivent être accessible de l'extérieur.

C'est vrai que nous voulons sécurisé notre réseau pour causse de donnés confidentiel surtout sur notre serveur web.
Donc je voudrais savoir si IPCOP serait bien pour protégé nos serveur?

Nikko

[Franck78]

Donc je voudrais savoir si IPCOP serait bien pour protégé nos serveur?

Nikko

Pas du tout. Pour ca, il faudrait mettre un IPCop en fronta**l de chaque serveur. Et malheuresement, en fonctionnement local*, IPCop ne sait simplement pas faire.


*:c'est à dire du routage tout bète.
**:ou grouper les serveurs sur un segment réseau à part.

[ccnet]

Si je résume : 3 serveurs supportant des accès externes et 3 autres sans accès externe. Je ne sais pas jusqu'à quel point vous voulez sécuriser votre réseau, mais vous indiquez détenir des données confidentielles.
Les risques vennant au moins autant de l'intérieur que de l'extérieur, vous devriez de 2 dmz. Une interne pour les serveurs compta, fichiers, développement. Une dmz externe pour les machines accessibles de l'extérieur.

Le trafic sortant doit être étroitement contrôlé et strictement limité y compris entre les différentes zones du réseau.

La messagerie devrait être en dmz interne et un relais smtp devrait se trouver en dmz externe.

Les serveurs en dmz externes n'ayant a priori pas besoin de communiquer entre eux, chacun devrait être isolé dans un vlan secondaire si vos équipements de commutation savent le faire. Sinon un Vlan par serveur. Le but est d"éviter que la compromission même partielle d'un serveur ne soit utilisée pour en atteindre un autre situé dans le même sous réseau et surtout sur le même segment physique.

Cest, à grand trait, ce qui me semble nécessaire pour protéger vos serveurs et vos données. Ni le Netgear ni ipcop ne conviennent pour ce travail. Pfsense conviendrait. Des switchs (de préférence des Cisco ou 3Com administrables) gérants les Vlans sont indispensables dans ce schéma. Les switch faisant partie intégrante du dispositif de sécurité.

Une dmz unique sans Vlan est toujours possible, mais offrira une sécurité moindre. Je ne sais si c'est bien ou pas. Je ne connais pas les menaces qui vont concernent ni les risques que vous encourrez si une de ces menaces se réalisait. C'est à vous de placer le curseur. La dmz unique est en tout cas un strict minimum comme le contrôle du trafic et des équipements de commutation corrects.

Il importe dans votre réflexion de faire la différence entre menaces et risques.

Pensez à toutes les autres protections nécessaires, notamment physiques pour les serveurs, ou administratives comme la gestion des collaborateurs quittant l'entreprise, la liste étant loin d'être exhaustive.

[nikko77]

Merci ccnet et Franck78 pour vos réponse. Effectivement, je penser faire cette configuration. Mettre les serveurs dans une dmz, une dmz en internet et l'autre externe. En cherchant sur le net, j'ai vu que s'étais la configuration la mieux adapté quand on met en place un ipcop au niveau des serveurs.

A votre avis, quel type de machine me faut pour installé ipcop pour ce genre de configuration?

Nikko

[ccnet]

Attention vous ne pourrez pas gérer 2 dmz avec ipcop. Regardez Pfsense pour cela.

Pour le dimensionnement, avez prévu de faire du vpn sur le firewall ?

[nikko77]

C'est bien dommage de ne pas faire 2 DMZ.

Concernant le vpn avec ipcop, nous allons juste en faire au niveau de nos serveurs web qui sont chez un hébergeur pour pouvoir faire du monitoring dessus.

Juste pour savoir, si on créé une DMZ sur ipcop, la protection (firewall)sera t'elle efficace? Je demande car nous avons un routeur netgear ou il est possible de faire du DMZ et chez netgear, ils disent que la DMZ n'est pas très bien protégé au niveau du firewall intégrer dans le routeur netgear.

Nikko

[Stirner]

Salut,

Par définition une DMZ est un espace "ouvert" il est clair qu'il n'est (AMHA) pas bon d'herger des données sensible en DMZ.

Si les accés externes que vous devez mettre en place concerne des "utilisateurs "connus -technicien, commerciaux, dev de votre entreprise- je me pencherais plutôt sur une solution à base de vpn.

Posé vous les bonnes questions, listez vos besoins, objectifs et priorité de façon hiérarchique. IL est préférable ed partir d'un cahier des charges clair et le plus complet possible afin de choiisr un outils et non pas l'inverse. IPCOP est un bon produit mais qui ne serait répondre à toutes les attentes.

Une réflexion supplémentaire : votre entreprise semble de taille raisonnable vous êtes aujourd'hui confronté à un choix pour faire évoluer votre architecture informatique. Ne limité pas la réflexion à la mise en œuvre et au choix d'une solution mais également à sa maintenance et à votre capacité à faire face aux incidents. Cela peu semblé stupide d'écrire cela mais j'ai connu ombre d'admin réseau qui ce sont fait "censuré" suite à des incidents (même mineur) survenu sur des architectures qu'ils avaient mis en œuvre sans maitriser plainement les outils ou sans avoir pris soin de ce couvrir en cas d'incident, maintenance externe, contrat d'assistance...

Bonne chance pour votre projet.

[nikko77]

Merci Stirner pour votre réponse.

Nous allons avoir un serveur web qui va devoir être accessible de l'extérieur pour nos commerciaux. Pour ce serveur, la DMZ ne serait pas la bonne solution car le but et de protégé le maximum de données.

Ensuite on aura un serveur mail accessible de l'extérieur pour que les gens qui sont a l'extérieur puisse récupérer leurs mail.

De toute façon nous sommes dans la période de réflexion et nous testons plusieurs solutions pour trouvé celle qui sera le mieux adapté pour notre configuration.

nikko

[ccnet]

Dans les deux cas, puisque les personnes devant se connecter vont le faire, je suppose, avec du matériel fourni et configuré par l'entreprise et comme vous souhaitez un maximum de sécurité, alors le vpn s'impose. Ce qui n'empêche pas (au contraire) de mettre ces serveurs dans une dmz interne. Ne perdez pas de vue que des utilisateurs situés à l'extérieur sont plus "dangereux" que connecter depuis le réseau interne de l'entreprise (Vous êtes plus sûr de la machine connectée que de l'identité de l'utilisateur devant cette machine finalement ... ).

Prenez en compte les réflexions de Stirner, elles sont, à mon avis, pertinentes dans la démarche sécurité que vous allez adopter. Ce sont les premières questions à se poser plutôt que quel firewall ?

Enfin notez bien les doubles quotes qui encadrent le mot ouvert dans l'expression espace ouvert.

La question qui reste est ouvert sur quoi ? Une dmz peut être ouverte sur l'extérieur. Par exemple un serveur web reçoit des connexions des internautes sur les ports 80 et 443, un relai de messagerie reçoit les connexions des serveurs smtp de vos correspondants. Il est bien évident que des serveurs comportant des données de l'entreprise n'est pas ici à sa place. Mais une dmz peut aussi être ouverte vers l'intérieur. Par exemple un serveur de fichiers, d'application pourra n'autoriser que certains sous réseaux à se connecter et uniquement pour l'application. Il n'est pas nécessaire que les utilisateurs cherche à accéder, par exemple, au partage caché d'un serveur Windows qui faire tourner votre sgbd.

[nikko77]

Merci ccnet pour votre réponse et désolé pour le retard de ma réponse.

J'aurais aimer posé une autre question. Vu que nous allons avoir plusieurs site Web sur notre réseaux interne, j'aurais voulu savoir si il étais possible de joindre les sites Web de l'extérieur juste par l'url. Je m'explique. On voudrais que les utilisateurs de l'extérieur puise accéder à nos sites Web qui sont herbergé en interne. Par exemple, si un utilisateur tape sur son navigateur www.siteinterne.com, qui soit rediriger vers notre site Web en interne www.siteinterne.com. Ce que nous cherchons a faire, c'est en quelque sorte de la redirection de port par nom de domaine. Toute les sites web qui seront hébergé en interne seront accessible par le port 80 de l'extérieur vers notre serveur web.

Est ce possible sur ipcop ou pas?
Y a t'il d'autre distributions linux capable de géré la redirection du port 80 par le nom de domaine?

Merci

Nikko

[Franck78]

C'est apache qui fait ca (enfin ce que j'en comprend). <Reverse Proxy>
IPCop se contente de transférer le port 80 à UN serveur.

[nikko77]

donc si je comprend bien il faut que je mette en place un serveur avec apache dessus qui va faire le reverse proxy et je redirige le port 80 sur ce serveur pour qu'il puisse trouver le site web par rapport au nom de domaine

[ccnet]

Oui. Ipcop est un firewall qui traite essentiellement des couches 3 et 4. C'est à dire qu'il ne "comprend pas" les données qui sont transportées dans les paquets TCP (ou UDP). Or un serveur web utilise http qui est un protocole applicatif. C'est à dire que son traitement nécessite de comprendre les données contenues dans les paquets TCP selon les règles du protocole http. Bref il faut comprendre et parler http (pour le logiciel). D'où la necessité d'un reverse proxy, ce que peut faire Apache ou me semble t il Squid.

Un dernier point, au risque de vous facher, mais qui me semble être une mise en garde de nécessaire. Il faudrait revenir sur vos connaissances, les mettre à niveau, pour traiter le problème qui se pose à vous. En l'état vous ne disposez pas des compétences nécessaires pour faire face au problème. Cela ne signifie pas que vous n'y parviendrez pas. Mais cela signifie que les risques sont grands. Les connaissances peuvent être acquises, il n'y a pas de problème sur ce point.