Salut,
Effectivement, Franck78 est dans le vrai
Nemric a écrit:tes arguments n'arrivent pas a me convaincre (wantoo m'a convaincu sur son avant dernier post sur la souplesse).
Je pense que si mes arguments ne vous convainquent pas, wantoo et toi, c'est parce que vous semblez refuser d'admettre certains points sur lesquels je crois pourtant avoir lourdement insisté :
- Je n'ai jamais mis en doute l'efficacité de l'Ipcop, ce que je mets en doute c'est l'utilité de l'association Ipcop+SME et, selon comment elle est réalisée, l'efficacité d'une telle solution.
- J'ai toujours admis que dans certains cas, un tel choix peut être justifié et bon, mais que la principale raison d'être de la SME n'est plus respectée.
- J'ai dit et répété qu'une telle association nécessitait un spécialiste et que le but premier de la SME est de s'en passer.
- Vous (surtout toi, Nemric ) vous obstinez à comparer des choses pas comparables
Puisque décidément, je ne sais pas faire court et que le sujet semble refuser de s'y prêter, détaillons
En fait, les points que je répète s'expliquent mutuellement : 1 parce que 2, 2 parce que 3, quant au 4, il explique le pourquoi de vos incompréhensions :
Nemric a écrit:SME est "bricolable" et que tout le monde le "bricole" [...] et pas sur ipcop, qui finalement est "vide", il n'y a qu'iptables.
(Excuse-moi de faire ce que je t'ai reproché : sortir des phrases de leur contexte... Mais je ne crois pas trop trahir ta pensée). Et cela met en évidence quelque chose à quoi tu n'as pas pensé, et qui est la principale raison pour laquelle je suis très très méfiant quant à une association Ipcop+SME.
Il est certain que l'installation d'une contrib pas assez contrôlée peut faire des catastrophes. On l'a bien vu récemment avec certaines contribs qui obligeaient à changer la version du PHP installé d'origine, et la version de remplacement a été la cause du piratage de plusieurs SME.
Mais comparons ce qui est comparable, et ne dévions pas du débat. Le débat n'est pas "peut-on impunément installer un tas de services sur une passerelle ?'", mais bien "une association Ipcop+SME est-elle plus sécurisée qu'une SME seule ?". Donc, nous avons à comparer la fonction firewall de chaque cas. Or, la fonction firewall de l'Ipcop
est bricolable. Je veux dire : on peut l'arranger à sa sauce, et c'est là où ça me gêne. Dans un contexte -
celui pour lequel la SME a été conçue, je me répète mais ai l'impression de ne pas avoir été entendu - de non intervention de spécialistes, je me demande qui va établir les règles de circulation entre les cartes vertes, orange, bleue, blanc, rouge de l'Ipcop.
De même que n'importe qui peut ouvrir certaines choses dans le server-manager de la SME, n'importe qui peut utiliser l'interface web de l'Ipcop pour ouvrir n'importe quoi. N'importe qui ayant le mot de passe, soit dit en passant. Sauf que dans le premier cas, les possibilités de faire de grosses catastrophes sont beaucoup plus limitées, la plupart des rêgles régissant le routage des trames concernant les applications montées sur la SME étant préparamétrées et templatisées.
Et dans la série des choses non comparables, vos arguments sont basés sur des installations réalisées par vous-mêmes ou d'autres pros - ou amateurs avertis - quand moi je parle de la SME dans la fonction pour laquelle elle a été conçue : vite, simple et bien comme dit FreeEOS, avec un minimum d'interventions et de spécialistes. Que vos installations soient plus ou autant sécurisées qu'un réseau dépendant d'une SME seule, je veux bien l'admettre. Mais à quel prix ? Si vous n'y passez que peu de temps, il est certain, quelles que soient vos compétences, que ce sera moins sécurisé. Pour faire aussi bien, il faut des compétences et beaucoup de temps pour étudier puis réaliser une architecture correcte. Et là, je me répète encore, la SME peut être une excellente solution, mais ce n'est plus ce pourquoi elle a été conçue, et ce n'est donc pas le sujet du débat.
Parce que, là encore je l'ai dit, à faire croire que Ipcop+SME est mieux que SME seul, un paquet de gens - y compris pour un réseau familial
- sont persuadés qu'ils feront mieux en associant les deux parce que la SME n'est pas suffisemment sécurisée, mais en fait font pire.
Le cas de soprom (qu'on ne peut pourtant sûrement pas taxer de "bricoleuse" et qui a des compétences certaines) est un magnifique exemple...
Allez, je termine en répondant aux questions de Nemric :
Nemric a écrit:SME doit être le pivot du reseau sinon on l'utilise mal ?
Oui ! C'est exactement ce pourquoi elle a été conçue. Sinon, tu la détournes de son objectif premier. Cela ne veut pas dire qu'il ne faut pas le faire, cela veut dire qu'il faut le faire en toute connaissance de cause, c'est à dire en étant capable de comprendre le fonctionnement de chaque solution firewall.
C'est bien beau de dire que les applications installées sur la SME sont un risque supplémentaire. Encore faut-il savoir comment la SME se protège contre de possibles intrusions par là et comment l'Ipcop apportera une meilleure solution. Ce qui parait logique ou en accord avec de belles théories reste à démontrer. Or, qu'y a-t-il à démontrer ? Qu'Ipcop peut apporter plus de sécurité à une SME qui n'a jamais été piratée
Nemric a écrit:pourquoi le mode d'install "server only" alors ?
Parce que tout le monde n'a pas besoin d'une passerelle...
Parce qu'on peut aussi associer plusieurs SME afin de répartir les services entre plusieurs bécanes de récup peu puissantes, ou pour en délocaliser certains afin de mieux répondre aux besoins...
Parce que je pourrais aussi retourner la quesion : pourquoi le mode d'install "server and gateway", alors ?
Parce que certains n'ont jamais compris comment désactiver la fonction routeur de leur FreeBox
Bref, pour une foule de raisons dont toutes n'ont peut-être pas encore été imaginées. Comme qui peut le plus peut le moins alors pourquoi ne pas proposer de pouvoir utiliser le moins ? C'est d'ailleurs la philosophie générale de la SME : on peut désactiver ce qui ne sert pas.
Nemric a écrit:depuis quand un serveur est pas fait pour être utiliser avec un firewall/routeur ?
Depuis que des gens se sont dit qu'on pouvait faire du tout en un, se sont penchés sur les problèmes de sécurité et les ont résolus.
Nemric a écrit:pour reparler de la citation au debut, je suis non expert, je dois être vraiment ignorant pour trouver facile de router 4 ports vers le serveur adequat ( 25, 445 vers SME et 80 et 5900 (vnc) vers un autre ) qu'est ce que je dois faire en plus ?
petit rappel, la citation était :
- surtout lorsqu'elles ne sont pas conçues pour fonctionner ensemble et associées par des non experts -
Là, je ne suis pas sûr de bien comprendre ta question... En utilisant la SME seule, c'est le genre de questions que tu n'as pas à te poser. Maintenant, si tu as un besoin particulier que la SME n'est pas capable de résoudre seule, tu n'as plus qu'à faire appel à un spécialiste, lequel te proposera la solution qui lui paraitra convenir, ce sera sa responsabilité.
Nemric a écrit:SME et ipcop sont compatibles et complementaires, l'architecture choisie pour un reseau restant tres subjective et depend du besoin, des competences et des moyens ...
J'aurais été 100% d'accord avec toi si tu avais dit : "L'architecture choisie pour un reseau restant tres subjective et dependente du besoin, des competences et des moyens, il est des cas où un spécialiste pourra rendre SME et ipcop compatibles et complementaires."
Allez, Nemric, ne crois pas que je t'en veux : ce sont seulement tes idées qui me dressent les cheveux sur la tête
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)
Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)