SME+Ipcop : Précisions sur mon point de vue

[Nemric]

Salut,

Quand on m'aura prouvé qu'un ensemble Ipcop + SME installé et configuré par un cadre d'une PME a des avantages par rapport à une SME seule (installée et configurée dans les mêmes conditions, bien sûr), je reverrai ma position

je te le prouve en te citant

je reconnais tout à fait que plus on met de services, plus on augmente les risques de failles de sécurité.

Quand t'as dit çà, t'as tout dit jibe !

surtout que les attaques se font au niveau application et pas au niveau IP ! Bloquer un port ou une adresse ip tout les firewall le font, un petit lynksys pas cher le fait tres bien, c'est "facile".

DNS SPOOF query response with TTL of 1 min. and no authority

SCAN UPnP service discover attempt

WEB-MISC robots.txt access

MS-SQL version overflow attempt

Ce sont des logs de snort, le detecteur d'intrusions que je trouve pas dans sme (c'est un add-on ?!? chapeau pour un firewall) qui montre bien tout ce qu'on se prend comme "attaques" (tout ce que snort log n'est pas necessairement une attaque) sur des ports ouverts !

Ta virulence sert a faire passer les affirmations sans arguments, ou avec des arguments contradictoires :

mais peu d'explications autres que "l'Ipcop est un excellent firewall". Sorry, la SME aussi, même s'il est moins visible !

je comprend bien ? sme est un aussi bon firewall mais moin visible que celui d''ipcop ? alors ipcop est mieu non ?
et puis, çà c'est de l'argment !

Sorry, la SME aussi

et sans deconné, les serveurs (http ; ftp ; samba ; mail ; nfs ; ssh ; sql ; cups ...) en dmz mais sur le même disque dur que le firewall / routeur ou seule la ligne de commande permet de voir les ports ouverts ! c'est limite ! surtout a mon niveau de debutant linux non expert en secu ! je prefere le tableau clair net et précis d'ipcop. De plus pas besoin d'être un pro pour ouvrir 4 ports en dmz !

ok avec dsbsystem

IPCOP et SME sont complémentaires plus que "concurrents"

le firewall est a SME ce que samba est a ipcop : un accessoire !

Nemric

[jibe]

Salut,

@wantoo :
Là, tu es en train de me prouver que la SME peut faire beaucoup plus que ce pourquoi elle est prévue. Je pense que c'est FreeEOS qui, par sa devise, résume le mieux la philosophie SME : vite, simple et bien. C'est dans ce cadre uniquement, je l'ai souligné, que je place mes élucubrations.

Qu'on puisse faire beaucoup plus avec une SME, et qu'elle puisse encore rendre d'excellents services dans le cadre que tu indiques, je n'en doute pas, c'est même probablement la solution que j'adopterai simplement parce qu'on préfère toujours travailler avec ce dont on a l'habitude. Ce n'est cependant pas ce que je conseillerais de faire : on sort un peu de ce pourquoi la SME a été prévue, et je pense que d'autres distribs sont mieux adaptées dans ce cas... Et quelque soit le rôle qu'il(s) joue(nt) et le prix demandé, tu le dis toi-même, l'intervention de spécialistes est indispensable. Moi, je me bats plutôt contre l'idée qui circule de plus en plus qu'associer Ipcop+SME est un moyen facile d'augmenter la sécurité défaillante de la SME. Or :

• Tu montres bien que ce n'est pas si simple et qu'en tous cas ce doit être mûrement réfléchi et parfaitement organisé,
• La SME n'a pas une sécurité défaillante, elle a un système de sécurité moins sophistiqué qu'Ipcop, adapté à ce pourquoi elle a été faite. La simplicité n'a jamais été synonyme de défaillance, ni la sophistication synonyme de qualité.

@Nemric :
Excuse-moi, mais je trouve que tu tournes un peu le débat en troll...

le firewall est a SME ce que samba est a ipcop : un accessoire !

1. Je n'ai jamais émis d'opinion défavorable sur Ipcop, je ne critique que l'idée d'augmenter la sécurité de SME par une association trop peu réfléchie
2. A ma connaissance, Ipcop n'a pas été conçue pour permettre du partage de fichiers. SME a été dès le départ conçue pour être serveur et gateway. Ta conclusion est donc qu'un firewall est accessoire sur une passerelle

Quant à apporter des "preuves" en retirant mes dires de leur contexte, je laisse les lecteurs juger... J'ai effectivement dit que la multiplication des fonctions augmente les risques en matière de sécurité. Mais j'ai aussi dit que la multiplication des machines - surtout lorsqu'elles ne sont pas conçues pour fonctionner ensemble et associées par des non experts - est encore plus risqué.

J'en reste simplement sur ce point : à ma connaissance, aucune SME à jour de versions et non "bricolée" n'a été pénétrée. Quel besoin d'une Ipcop ? C'est faire des trous dans un coffre-fort pour y fixer un verrou supplémentaire !

Ah, mais c'est vrai, j'oubliais : comment prouver l'efficacité d'un coffre-fort sans une vidéo surveillance permettant de conserver la photo de tous ceux qui ont essayé de le forcer ?

[wantoo]

Jibe, loin de moi l'idée de dénigrer la SME, c'est même le pivot central de mes installations.
Elle est rapide à installer, facile à manier et répond à la grande majorité des besoins standards d'une petite entreprise.
Vite installée, vite réglée, c'est moins d'heures à payer pour le client !

Pour les société gloutones (en fric) il vaut mieux vendre du windaube en serveur, on passe sa vie sous le capot . C'est pas ma philosophie.

Bien sur, on peut aussi écouter les puristes qui s'éclatent les mains dans le cambouis de leur Debian, Slackware ou autre BSD ultra-sécurisées, tunées aux petits oignons, avec patching automatique tous les 27 centièmes de seconde et des chroot dans tous les coins... Bien sur ! Mais faut tout se coller à la main, et c'est long, donc cher.

La SME est stable, sécurisée et sans (gros) soucis. J'ai nombre de bécanes installées en SME qui tournent comme des horloges et , à part les mises à jour et l'analyse des remontées de logs importants, je viens juste faire la poussière des ventilos !

Maintenant, le réseau et les serveurs c'est quand même un métier. Un pur débutant sous SME (et en réseau) est capable de bousiller sa config tout seul comme un grand en bidouillant dans le manager, et d'ouvrir des portes vers son LAN. N'oublies pas que dans le LAN on a toujours (à 95 %) des machines cro$oft, c'est te dire !

Pour moi, installer tout de suite le couple IpCop/SME et former le client à leur utilisation, c'est pérenniser son investissement. Une SME seule suffit très largement à certaines entreprises, c'est selon. Mais si tu sens que cette entreprise doit grossir (notamment en terme de besoins réseau), les 2 distribs c'est mieux (pour les raisons citées plus haut).

Personnellement, après avoir fait le tour des distributions spécialisées, et testé de tous les côtés, les unes sont obscures ou mal concues, les autres sont trop chères ou trop bloquantes... Sans parler des solutions propriétaires !! Là, ça me fâche .
C'est une question de respect du client ! On a tous des budgets qui rétrécissent et les âneries marketing des boites de sécurité informatique sont édifiantes.

[Nemric]

désolé jibe, je voulais pas troller ... c'est un point de vue résumer en 4 mots peut être mals choisis ...

- surtout lorsqu'elles ne sont pas conçues pour fonctionner ensemble et associées par des non experts -

SME doit être le pivot du reseau sinon on l'utilise mal ? pourquoi le mode d'install "server only" alors ?
depuis quand un serveur est pas fait pour être utiliser avec un firewall/routeur ? Le routage c'est tout internet !

une SME non bricolée n'a jamais ete penetrée, ipcop non plus que je sache. mon problème est que SME est "bricolable" et que tout le monde le "bricole" et y va de sa contrib, sur ipcop, on peut bricoler mais il y a qd même marqué pour chaque add-on qu'il n'est pas valider par le core team, et donc pas exempt de failles. pour mes besoins j'ai eté obligé d'ajouter des contribs a SME (j'ai confiance mais trop de bricolages tuent le bricolage, vrai ?) et pas sur ipcop, qui finalement est "vide", il n'y a qu'iptables (en gros + accessoires comme NTP, dhcp et https/ssh pour l'administration).
Il est juste plus probable d'avoir une faille sur SME (probabilité = nb faille potentielles * nb services accessibles depuis le net) et dans cette probabilité, je prefere savoir mon LAN encore protégé par un ipcop imprenable ... pour moi c'est le firewall/routeur le pivot du reseau, c'est cet element uniquement qui doit gerer les routes, la securité et les zones du reseau. Le firewall protege le reseau mais si le firewall est le reseau il y a un probleme de logique ...

je me repete mais je suis pas un pro en secu et administration reseau, je devrait être facilement "demontable" et tes arguments n'arrivent pas a me convaincre (wantoo m'a convaincu sur son avant dernier post sur la souplesse). j'essaye d'avoir une approche pragmatique en fonction de mes connaissances mais rien ne me mène vers le "tout en un". J'aime pas trop le côté "multifonction" (comme les imprimantes) et en entreprise par exemple, si t'as un probleme de sme (qui oblige a une intervention + ou - longues hors connexion) tu prives les utilisateurs d'internet, comme l'imprimante, quand le scanner est en panne c'est toute l'imprimante qui part en sav ! ainsi avec un couple, je peux "bricoler" sme un temps pour faire des tests sans paralyser le reseau sinon il faut venir le week end . ok c'est un argument perfectible mais c'en est un ...

pour reparler de la citation au debut, je suis non expert, je dois être vraiment ignorant pour trouver facile de router 4 ports vers le serveur adequat ( 25, 445 vers SME et 80 et 5900 (vnc) vers un autre ) qu'est ce que je dois faire en plus ?

SME et ipcop sont compatibles et complementaires, l'architecture choisie pour un reseau restant tres subjective et depend du besoin, des competences et des moyens ...

Nemric

[Franck78]

Oh zut alors nous n'aurons pas droit à une belle discussion agonistique Vous avez tous irréfragablement raison!

[Nemric]

et hui franck78, c'est pour ca qu'on echange nos points de vue sereinement
j'apprend beacoup de ce sujet, et je contredis pour avoir d'autres avis enrichissants, je peux retourner ma veste d'un post a l'autre . chaque argument que je donne est une nouvelle question passionnée.

je manque en fait d'arguments pour être de l'avis de jibe, pour le moment j'ai le mien ...

amicalement nemric

[jibe]

Salut,

Effectivement, Franck78 est dans le vrai

tes arguments n'arrivent pas a me convaincre (wantoo m'a convaincu sur son avant dernier post sur la souplesse).

Je pense que si mes arguments ne vous convainquent pas, wantoo et toi, c'est parce que vous semblez refuser d'admettre certains points sur lesquels je crois pourtant avoir lourdement insisté :

1. Je n'ai jamais mis en doute l'efficacité de l'Ipcop, ce que je mets en doute c'est l'utilité de l'association Ipcop+SME et, selon comment elle est réalisée, l'efficacité d'une telle solution.
2. J'ai toujours admis que dans certains cas, un tel choix peut être justifié et bon, mais que la principale raison d'être de la SME n'est plus respectée.
3. J'ai dit et répété qu'une telle association nécessitait un spécialiste et que le but premier de la SME est de s'en passer.
4. Vous (surtout toi, Nemric ) vous obstinez à comparer des choses pas comparables

Puisque décidément, je ne sais pas faire court et que le sujet semble refuser de s'y prêter, détaillons

En fait, les points que je répète s'expliquent mutuellement : 1 parce que 2, 2 parce que 3, quant au 4, il explique le pourquoi de vos incompréhensions :

SME est "bricolable" et que tout le monde le "bricole" [...] et pas sur ipcop, qui finalement est "vide", il n'y a qu'iptables.

(Excuse-moi de faire ce que je t'ai reproché : sortir des phrases de leur contexte... Mais je ne crois pas trop trahir ta pensée). Et cela met en évidence quelque chose à quoi tu n'as pas pensé, et qui est la principale raison pour laquelle je suis très très méfiant quant à une association Ipcop+SME.
Il est certain que l'installation d'une contrib pas assez contrôlée peut faire des catastrophes. On l'a bien vu récemment avec certaines contribs qui obligeaient à changer la version du PHP installé d'origine, et la version de remplacement a été la cause du piratage de plusieurs SME.
Mais comparons ce qui est comparable, et ne dévions pas du débat. Le débat n'est pas "peut-on impunément installer un tas de services sur une passerelle ?'", mais bien "une association Ipcop+SME est-elle plus sécurisée qu'une SME seule ?". Donc, nous avons à comparer la fonction firewall de chaque cas. Or, la fonction firewall de l'Ipcop est bricolable. Je veux dire : on peut l'arranger à sa sauce, et c'est là où ça me gêne. Dans un contexte - celui pour lequel la SME a été conçue, je me répète mais ai l'impression de ne pas avoir été entendu - de non intervention de spécialistes, je me demande qui va établir les règles de circulation entre les cartes vertes, orange, bleue, blanc, rouge de l'Ipcop.

De même que n'importe qui peut ouvrir certaines choses dans le server-manager de la SME, n'importe qui peut utiliser l'interface web de l'Ipcop pour ouvrir n'importe quoi. N'importe qui ayant le mot de passe, soit dit en passant. Sauf que dans le premier cas, les possibilités de faire de grosses catastrophes sont beaucoup plus limitées, la plupart des rêgles régissant le routage des trames concernant les applications montées sur la SME étant préparamétrées et templatisées.

Et dans la série des choses non comparables, vos arguments sont basés sur des installations réalisées par vous-mêmes ou d'autres pros - ou amateurs avertis - quand moi je parle de la SME dans la fonction pour laquelle elle a été conçue : vite, simple et bien comme dit FreeEOS, avec un minimum d'interventions et de spécialistes. Que vos installations soient plus ou autant sécurisées qu'un réseau dépendant d'une SME seule, je veux bien l'admettre. Mais à quel prix ? Si vous n'y passez que peu de temps, il est certain, quelles que soient vos compétences, que ce sera moins sécurisé. Pour faire aussi bien, il faut des compétences et beaucoup de temps pour étudier puis réaliser une architecture correcte. Et là, je me répète encore, la SME peut être une excellente solution, mais ce n'est plus ce pourquoi elle a été conçue, et ce n'est donc pas le sujet du débat.

Parce que, là encore je l'ai dit, à faire croire que Ipcop+SME est mieux que SME seul, un paquet de gens - y compris pour un réseau familial - sont persuadés qu'ils feront mieux en associant les deux parce que la SME n'est pas suffisemment sécurisée, mais en fait font pire. Le cas de soprom (qu'on ne peut pourtant sûrement pas taxer de "bricoleuse" et qui a des compétences certaines) est un magnifique exemple...

Allez, je termine en répondant aux questions de Nemric :

SME doit être le pivot du reseau sinon on l'utilise mal ?

Oui ! C'est exactement ce pourquoi elle a été conçue. Sinon, tu la détournes de son objectif premier. Cela ne veut pas dire qu'il ne faut pas le faire, cela veut dire qu'il faut le faire en toute connaissance de cause, c'est à dire en étant capable de comprendre le fonctionnement de chaque solution firewall.

C'est bien beau de dire que les applications installées sur la SME sont un risque supplémentaire. Encore faut-il savoir comment la SME se protège contre de possibles intrusions par là et comment l'Ipcop apportera une meilleure solution. Ce qui parait logique ou en accord avec de belles théories reste à démontrer. Or, qu'y a-t-il à démontrer ? Qu'Ipcop peut apporter plus de sécurité à une SME qui n'a jamais été piratée

pourquoi le mode d'install "server only" alors ?

Parce que tout le monde n'a pas besoin d'une passerelle...
Parce qu'on peut aussi associer plusieurs SME afin de répartir les services entre plusieurs bécanes de récup peu puissantes, ou pour en délocaliser certains afin de mieux répondre aux besoins...
Parce que je pourrais aussi retourner la quesion : pourquoi le mode d'install "server and gateway", alors ?
Parce que certains n'ont jamais compris comment désactiver la fonction routeur de leur FreeBox
Bref, pour une foule de raisons dont toutes n'ont peut-être pas encore été imaginées. Comme qui peut le plus peut le moins alors pourquoi ne pas proposer de pouvoir utiliser le moins ? C'est d'ailleurs la philosophie générale de la SME : on peut désactiver ce qui ne sert pas.

depuis quand un serveur est pas fait pour être utiliser avec un firewall/routeur ?

Depuis que des gens se sont dit qu'on pouvait faire du tout en un, se sont penchés sur les problèmes de sécurité et les ont résolus.

pour reparler de la citation au debut, je suis non expert, je dois être vraiment ignorant pour trouver facile de router 4 ports vers le serveur adequat ( 25, 445 vers SME et 80 et 5900 (vnc) vers un autre ) qu'est ce que je dois faire en plus ?

petit rappel, la citation était :

- surtout lorsqu'elles ne sont pas conçues pour fonctionner ensemble et associées par des non experts -

Là, je ne suis pas sûr de bien comprendre ta question... En utilisant la SME seule, c'est le genre de questions que tu n'as pas à te poser. Maintenant, si tu as un besoin particulier que la SME n'est pas capable de résoudre seule, tu n'as plus qu'à faire appel à un spécialiste, lequel te proposera la solution qui lui paraitra convenir, ce sera sa responsabilité.

SME et ipcop sont compatibles et complementaires, l'architecture choisie pour un reseau restant tres subjective et depend du besoin, des competences et des moyens ...

J'aurais été 100% d'accord avec toi si tu avais dit : "L'architecture choisie pour un reseau restant tres subjective et dependente du besoin, des competences et des moyens, il est des cas où un spécialiste pourra rendre SME et ipcop compatibles et complementaires."

Allez, Nemric, ne crois pas que je t'en veux : ce sont seulement tes idées qui me dressent les cheveux sur la tête

[micjack]

Du coup, je trouve que c'est franchement un grand debat pour pas grand chose....

Ce topic en 9 posts ( que j'ai déja mis au debut) m'a suffit de comprendre le choix de chacun..
--> http://forums.fr.ixus.net/viewtopic.php ... highlight=

Mon avis perso et ma deduction, un IPCop ou une SME sont des distrib ayants des fonctions de bases Firewall que l'on retrouvent sur tout Linux (Iptables) et comme deja dit dans une autre topic, si on desactive tout les services serveur sur une SME, elle devient à son tour un IPCop....

Mais suivant la cas ou du budget, c'est SME + IPCop (plus de securité et de controles) ou SME seul si on est sûr de maitriser la bete en frontal.

[jibe]

Salut,

Mais suivant la cas ou du budget, c'est SME + IPCop (plus de securité et de controles) ou SME seul si on est sûr de maitriser la bete en frontal.

Ben... C'est là que nos avis divergent : c'est exactement le contraire que je dis. Aucun problème avec SME en frontal (firewall auto-configuré, aucune connaissance nécessaire), mais SME+Ipcop, faut être sûr de maitriser...


Sûr que si tout le monde s'acharne à comprendre le contraire de ce que j'affirme, c'est un bien grand et long débat pour pas grand chose

[mathieutlse]

Aucun problème avec SME en frontal (firewall auto-configuré, aucune connaissance nécessaire), mais SME+Ipcop, faut être sûr de maitriser...

je viens me joindre au débat

En fait jibe tu as un peu raison et un peu pas raison à mon avis.

En fait je suis d'accord avec toi que c'est plus simple d'avoir sme seul et qu'a priori cela fait office de firewall auto-configuré donc pas de souçis...

Mais la fonction d'un firewall est d'être un premier rempart en cas d'attaque, et je pense qu'aucune distribution ne peut être qualifié de sure (même les plus cher), donc un jour ou l'autre il y aura une faille sur ton firewall, si ton firewall est le même que ton serveur (sme), le pirate casse le mur et arrive dans la maison
alors qu'avec un vrai firewall (ipcop) si le pirate le crack cela met en péril beaucoup moins de choses, c'est juste un premier rempart qui tombe.

c'est comme avec les combo tv+magnétoscope+machineacafé , ça marche très bien... sauf le jour ou il ya un truc qui casse, tu perd tout

Mais par contre il est certain que pour les personnes novice en matière de transfére de port et de notions de réseaux et protocole, je leur conseillerais de choisir une sme seul (server + gateway).

cordialement

[jibe]

Salut,

Mais la fonction d'un firewall est d'être un premier rempart en cas d'attaque, et je pense qu'aucune distribution ne peut être qualifié de sure (même les plus cher), donc un jour ou l'autre il y aura une faille sur ton firewall, si ton firewall est le même que ton serveur (sme), le pirate casse le mur et arrive dans la maison
alors qu'avec un vrai firewall (ipcop) si le pirate le crack cela met en péril beaucoup moins de choses, c'est juste un premier rempart qui tombe.

Tout à fait. C'est la théorie des firewalls, théorie (comme toutes les autres !) qu'il faut bien connaitre puis s'empresser de confronter à la pratique. Or, qu'est la pratique ? Qu'un bon paquet de gens, s'appuyant sur cette magnifique théorie, associent Ipcop et SME en ouvrant le firewall de l'Ipcop pour que la SME puisse voir et être vue sur Internet. Et là, il y a ceux qui savent faire dans le mur des meurtrières bien étudiées, permettant de ne laisser passer que ce qui est utile vers les seuls endroits utiles sans pour autant affaiblir la structure du mur, et il y a ceux qui ouvrent des brêches n'importe comment.

La pratique, c'est aussi que quand on a réussi à franchir le firewall, le fait que les services soient dispersés sur plusieurs bécanes n'est plus vraiment un obstacle.

Donc, la belle théorie du firewall séparé donne finalement en pratique un risque plus grand de se retrouver avec des failles de sécurité, et peu de difficultés supplémentaires pour faire tomber les services visés.

Une chose est parfaitement vraie dans ce que tu dis : le tout-en-un a l'inconvénient de faire tout perdre lorsqu'il tombe en rade. Mais :

• C'est vrai pour une panne matérielle
• Il reste à prouver qu'une intrusion fera plus de dégats sur un tout-en-un

En effet, si on prend pour exemple les cas d'intrusion récents via PHP, les SME concernées n'ont pas été mises en défaut. Il a été possible de modifier les pages servies sur le net, je n'ai pas ouï dire que ça ait été plus loin. Cela aurait-il été possible ? Je ne sais pas. Mais l'important est : une Ipcop aurait-elle limité les dégats ? La SME est bien cloisonnée, et avoir l'accès à une partie du disque n'implique pas automatiquement qu'on a accès partout. Je ne suis pas expert en la matière (c'est pour ça que j'évite les montages hasardeux de technologies hybrides telles qu'Ipcop et SME ), mais je pense que tant qu'un rootkit n'a pas pu être installé, il n'est possible de mettre en rade que certains services, lesquels d'ailleurs ne seraient probablement pas mieux protégés par une Ipcop...

Quant à la panne matérielle, l'association SME+Ipcop permettra effectivement de conserver certains services. Comme aurait pu le permettre n'importe quelle autre association. L'avantage est donc réel, reste à savoir si la répartition des services est bonne entre Ipcop et SME... Chaque cas est différent, et associer 2 SME permet de répartir les services exactement comme on veut pour s'adapter aux besoins de chacun. De plus, associer 2 SME ne nécessite ausi que très peu de connaissances, le firewall est toujours auto-configuré. En plus, on peut laisser tout ce qui doit être connecté sur internet sur le gateway, et avoir un serveur LAN totalement isolé ce qui me parait, du point de vue sécurité, meilleur qu'un firewall ouvert pour laisser accès au site internet et serveur de mails montés sur la bécane qui sert en même temps de serveur de fichiers et autres services internes au LAN...

Donc, je persiste et signe : A moins de grandes et larges connaissances, on ne peut faire que moins bien en associant Ipcop+SME. Une telle association est donc à réserver aux cas particuliers et doit être étudiée et réalisée par des spécialistes.

Spécialistes que vous êtes tous plus ou moins, c'est ce qui fausse un peu votre vision des choses à propos d'une distrib pensée et conçue pour se passer autant que possible de vos services

[Nemric]

Salut,

jibe tu est contre l'association "sme et ipcop" ou "sme et n'importe quel routeur/firewall" ?

en tant que non expert, je trouve plus formateur (comprehension des mecanismes et architectures reseau) de rediriger moi même mes ports que de le laisser faire de facon transparentes.

Je ne suis pas pro mais je trouve un routeur assez simple a configurer la ou tu dit qu'il faut être specialiste.
pour illustrer, la config la plus balaise que j'ai fait sur ipcop :
autoriser 1 seule ip (un pote) pour une plage de port, vers mon pc LAN pour un jeu en reseau sur la même plage de port, et tout en udp ! ... 2 minutes ! (temps d'acces a l'interface web compris)

alors je vois 2 cas de figure :

- soit tu ignore tout de l'utilisation d'un routeur firewall, et tu laisse le soin a SME de tout faire a ta place.

- soit tu est un expert dans ce domaine ce qui te permet de t'affranchir de ce parametrage en le confiant a SME.

je ne doute que tu es dans le 2 eme cas, mais pas moi et je prefere juste le faire à la main ... pour pas me dire que je suis dans le premier cas même si maintenant je m'y connais pas trop mal.

et puisque le debat a commencé sur "ta virulence et ses raisons", notre debat tend prouver, dans toutes les reponses postées, que chaque architecture reseau est valable, et ne merite pas que l'on s'attarde sur la forme mais sur le fond du sujet. j'espere qu'on est d'accord

A bientôt

Nemric

[tomtom]

HUuuuuum, le beau troll ....


Bon, je n'ai pas tout lu, et rapidement il y a beaucoup de vrai dans tout ce qui a été dit. Mais...

Utiliser SME en "machine à tout faire" (firewall + serveur) présente indéniablement les avantages suivants :
- Cout (une seule machine, puissance electrique, materiel pour une machine)
- risque de panne limité a une seule machine (mais panne tout aussi critique !)
- Centralisation --> facilité d'administration globale --> une seule personne a priori
- Excellente configuration "par défaut" evitant les erreurs d'amateurs experts en sécurité

Mais on trouve inexorablement l'inconvénient suivant :
- Pas de DMZ et donc violer la règle de base de sécurité de cloisonnement des réseaux et de séparation des services


Je ne cite volontairement que ce point car, à mon gout, il est blocant pour une sécurité digne de ce nom. J'explicite :

J'en ai vu certains dire : "pour percer le réseau il faut d'abord percer le firewall, donc on est dans le même cas".
C'est complètement faux (et dangereux de penser ça).
Le point faible du réseau est son maillon le plus faible. typiquement, sur une installation PME/PMI, le point faible, ce n'est pas le firewall, c'est l'applicatif web.
En clair, sur ta SME (ou taout autre serveur web), on heberge un "super-site-de-la-mort-en-php-cgi-qui-va-bien (c) "
Il y a 999 chances sur 1000 pour que le défaut de la cuirasse soit une failel de conception dans le site, un cas typique d'injection sql, de xss, un buffer overflow dans le serveur web, une faille dans l'appli.

Partant de là, comparons les deux cas :

- SME only : L'attaquant a la main sur le serveur qu'il peut manipuler à sa guise, mais aussi un accès direct à la fois à Internet, et au réseau "Interne". Il peut s'il est intelligent ne pas toucher au service de base (laisser le site web intact), mais s'uvrir une porte discrète dans le firewall pour utiliser le réseau à sa guise (attaques en DDOS), sniffer à partir du firewall, sur un système DIRECTEMENT connecté au réseau interne, et donc potentiellement se procurer l'integralité des echanges réseaux de la boite....

- IPCop + SME : la SME est compromise, la machine est maintenant controlée par l'attaquant qui a copié l'exploit de bugtraq dans son navigateur. Il peut casser le site, heberger de faux services, etc. Mais il ne peut en aucun cas reconfigurer la passerelle pour s'autoriser des accès à Internet, et encore moins au réseau interne.


On ne va pas épiloguer, je ne critique nullement SME ou toute autre distribution "all in one", je n'utilise d'ailleurs pas IPCop. Le problème est architectural.
Soit on se donne les moyens de cloisonner ses réseaux, soit on donne avantage à l'aspect financier. Il est des cas ou le cout d'une architecture cloisonnée ne vaut pas le risque de perte de données.
Mais vu le prox du materiel pour se faire une architecture très correcte à une dmz, je pense qu'en entreprise il n'y a pas photo si l'on tient à ses données....


t.

[edit] Exemple typique : http://forums.fr.ixus.net/viewtopic.php ... faille+php [/edit]

[fraedhrim]

Exactement !

En fait on est tous d'accord non ?
Il faut juste cantonner ces beaux outils à leur utilisation initialement prévue avec les compromis qui se doivent en fonction de la criticité des données, de l'architecture et en fonction du budget disponible.

[micjack]

En fait on est tous d'accord non ?

En fait, chacun à son point de vu, celui qui a envie de comprendre comment cela fonctionne ca va..
C'est bien pour cela que j'ai bien aimé le topic simple en 9 posts du lien plus haut..

Si on va plus loins, moi perso je ne veux pas utiliser IPCop comme Firewall (ou tout autres produits du meme genre), mais prefere me cassé la tete à savoir et comprendre à en construire un soit meme... Mais bon, c'est mon coté parano de ne pas vouloir utiliser un Firewall clé en main.

SME, n'étant pas un Firewall à proprement parlé, mais visiblement un super produit serveur clé en main, si un jour je devais en avoir l'utilité, je le laisserait tel quel , mais toujours pareil, derriere un Firewall en DMZ ou simplement en serveur de fichier et autres services dédié sur un Lan ..

Mais bon, cela va ralloger le Troll