probleme de débit de connexion avec ipcop

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

probleme de débit de connexion avec ipcop

Messagepar metal_feul » 21 Avr 2010 19:21

salut

mon prb est que pour sécuriser un LAN j'ai proposer l'architecture suivante :


internet------------>ipcop1---------->ipcop2------->LAN


ipcop1 a 3 interfaces rouge vert et orange (pour les serveur )
ipcop2 a 2 interfaces rouge et vert

avec cette architecture la connexion devient faible

et si j'ai utiliser un seul ipcop la connexion devient fort

Est ce que c'est cette architecture est fausse ou quoi ? Ou est ce que ipcop est la cause de ca ?

le service proxy est désactive dans les deux ipcop
metal_feul
Matelot
Matelot
 
Messages: 7
Inscrit le: 22 Déc 2009 19:14

Messagepar Mister-Magoo » 21 Avr 2010 20:34

Intérêt de 2 IPCop à la queue leuleu ??
Dis-moi de quoi tu as besoin, va visiter le support technique de Mister Magoo et tu apprendras comment t'en passer
Avatar de l’utilisateur
Mister-Magoo
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 217
Inscrit le: 21 Avr 2005 11:31
Localisation: Leyrieu

Messagepar ccnet » 21 Avr 2010 20:37

Je suppose que vous voulez parler du débit disponible selon l'architecture utilisée.

L'utilisation de deux ipcop successifs est une aberration autant sur le plan pratique que sur le plan de la sécurité. Indépendamment de vos problèmes de performances cette solution est à proscrire.
Elle n'apporte rien en terme de sécurité si ce n'est des risques supplémentaires puisqu'il faut maintenir cohérentes de deux configurations de façon totalement manuelle, sans outils pour cela. Les sources d'erreurs sont augmentées. La sécurité est donc diminuée.
Cette configuration introduit deux translations successives, ce qui n'a que des inconvénients.

Votre proposition est à revoir. J'espère que vous n'avez pas proposé cela à un client, à une entreprise.

Vous parlez de serveurs, sans plus de précisions. On comprend bien qu'il faut une dmz. Mais une seule suffit-elle ? Quels type de serveurs ? Des problèmes potentiels de translation en vue. Impossible de confirmer ou d'infirmer avec le peu d'informations données.

Merci de prêter un peu d'attention à la langue pour ceux qui vous lisent.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar metal_feul » 22 Avr 2010 09:51

je m'excuse pour ma langue pcq je suis anglophone et pas francophone

alors d'apres ce que vous disez je doit utiliser un seul ipcop avec 3 carte reseaux


internet ---------------->ipcop------------------>LAN


mais suposons qu' un intrus mettre le controle sur mon ipcop alors il va facilement mettre le controle sur mon LAN pour cela j'ai proposer l'architecture precedente

les serveur que je veut utiliser sont DNS, MAIL, WEB

merci de votre reponses
metal_feul
Matelot
Matelot
 
Messages: 7
Inscrit le: 22 Déc 2009 19:14

Messagepar ccnet » 22 Avr 2010 11:40

Vous devriez n'utiliser qu'un seul ipcop (plus généralement un seul firewall).

mais suposons qu' un intrus mettre le controle sur mon ipcop alors il va facilement mettre le controle sur mon LAN pour cela j'ai proposer l'architecture precedente

Ceci appelle deux réflexions.

1. Si un attaquant parvenait à prendre le contrôle du premier ipcop, je ne vois aucune raison pour qu'il n'y parvienne pas de la même façon avec le second. Les mêmes causes provoquant les mêmes effets.

2. Ce raisonnement est révélateur d'une méconnaissance des intrusions. Sauf raison spécifique on ne s'attaque pas au firewall lui même mais aux serveurs, surtout applicatifs, qui sont derrière celui ci et qui sont accessibles depuis internet compte tenu des services qu'ils mettent à disposition. Un serveur Web est une cible privilégiée. Et il y a bien plus de choses intéressantes sur un serveur web ou un serveur SQL que sur un firewall. Les ports 80 et 443 sont ouverts et passer le firewall n'est plus le problème. Dès lors on va tenter d'exploiter soit une faille connue du serveur http (et non corrigée), soit une mauvaise configuration, ou encore des maladresses dans le code (php, asp, ...) du site lui même. Une injection sql ou une injection de code ou encore un débordement de tampon vont nous permettre de prendre un contrôle plus ou moins grand de cette machine. De là nous tenterons de rebondir vers des machines voisines en exploitant les règles du firewall qui le permettent.

Pour limiter les possibilités de rebonds et l'étendue de l'intrusion il est nécessaire de cloisonner le réseau. Par conséquent mettre dans la même dmz une machine qui autorise flux sortant et entrant (mail) avec une qui ne devrait faire que du flux sortant (web) est une erreur grave.
Et donc ipcop n'est surement pas la bonne solution pour gérer cette situation qui réclame des dmz multiples, et ou, des vlans.

Enfin exposer directement le serveur web et serveur de mail est aussi une erreur grave. Il devrait y avoir un relais smtp et un reverse proxy réalisant un filtrage applicatif. Je passe les détails. J'en ai déjà parlé ici à de nombreuses reprises.

Le dns pourquoi faire ? Le serveur web utilise une base de données ? Existe t il un proxy pour la navigation ? Tout cela est à prendre en compte.

Voilà pourquoi j'estime que la proposition d'architecture faite à votre client n'est pas sérieuse. Celui ci est dans l'illusion de la sécurité parce qu'il a 2 firewall ! la belle affaire !!
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar metal_feul » 22 Avr 2010 18:32

premièrement ce sujet est mon projet de fin d'étude mon encadreur me proposer le sujet il ma dit qu'il ya

des spams dans le serveur mail je réfléchir a copfilter

voici leur ancienne architecture

internet ---->switch------->ipcop---------->LAN
------->DNS
------->MAIL
------->WEB

comme vous voyer les 3 serveurs sont connecté directement a l'internet avec le switch

alors j'ai réfléchir a les sécuriser avec ipcop et copfilter (spams)

et je comprend pas ce que ve dire " cloisonner le réseau "

quand j'ai arrivé dans l'université j'ai trouver le DNS deja installer et le serveur web (site web) n'utilise

pas une base de données et il n'y a pas d'un proxy pour la navigation sur internet

pour qoui est une erreur de mettre en DMZ le serveur WEB et MAIL ? voici cette image

Image

alors comment je peut sécuriser mes serveurs dans ce cas la ?
metal_feul
Matelot
Matelot
 
Messages: 7
Inscrit le: 22 Déc 2009 19:14

Messagepar jdh » 22 Avr 2010 19:13

Le schéma tel que présenté sur l'image est correct.
(Mais il est bien éloigné du schéma initial !)

La sécurisation, sur cette base consiste à
- 1, limiter les flux de zones à zones au minimum : BOT est l'outil qu'il faut;
- 2, sécuriser chacun des serveurs en DMZ "par eux-même".

Par exemple,
- le serveur web devra être à jour de version,
- le serveur mail devra être à jour de version,
- le serveur mail doit disposer de son propre AV/AS ...


Comme quoi un schéma aide à comprendre le contexte voir les besoins ...
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar metal_feul » 22 Avr 2010 19:38

mais je doit mettre les serveur connecter a l'interface orange de ipcop voila mon but pour les sécuriser

et c'est quoi BOT
metal_feul
Matelot
Matelot
 
Messages: 7
Inscrit le: 22 Déc 2009 19:14


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron