SME+Ipcop : Précisions sur mon point de vue

[gnujpl]

Franck98,

Je vous laisse votre à dérision et vos certitudes... j'aurais préféré une argumentation.

Laissez-moi juste faire remarquer que IPCOP+SME cela ne crée pas une DMZ entre SME et IPCOP. C'est bien là un des problèmes. Juste un angle mort dans une usine à gaz. Les services qui tourne sur SME n'y sont pas situés... quant à la coordination et la fiabilité des règles qui régiraient une DMZ, je me suis exprimé sur leur absence dans mon post.

[Franck78]

Argumenter oui, sur du solide, pas sur de la logomachie.

Je suis d'accord avec ta conclusion: un incapable à un poste ne produira qu'un résultat médiocre.


Et oui j'affirme qu'un zone encadrée par deux systèmes de protection (communément, un firewall) se nomme une DMZ dans le language 'sécurité'. Et qu'a l'intérieur de cette zone, oui, on peut placer toute sorte de détecteurs et serveurs proxy. Et que jamais ce post n'a eu pour objet ceci. Pour la simple raison que le SME est considérée comme serveur d'application dans la pseudo-DMZ de l'IPCop.

Alors pour être clair: IPCop+SME ne forme pas une DMZ. Et une vraie DMZ est un montage courant ne nécessitant pas un surperman pour l'exploiter.

ps: je ne vouvoie personne ici. Alors le 'vous' est à prendre pour ce qu'il est: les lecteurs. Qu'ils lancent define:dmz sur google, rien de plus.

[gnujpl]

Argumenter oui, sur du solide, pas sur de la logomachie.

Pour la simple raison que le SME est considérée comme serveur d'application dans la pseudo-DMZ de l'IPCop.

Est-ce que tu ne te contredirais pas un peu

Je reprends juste ton expression à laquelle j'avais répondu :

Plus il y a de protections entre l'attaquant et la chose à protéger, mieux c'est. Et que ce soit un FW ou un SME à protégéer ne change rien.

rien à voir sans doute avec un assemblage de mots creux...

[agecanonix]

Salut,

Alors là, pour un troll, c'est un beau troll !

Pas moyen d'aller sur SMERP voir pourquoi jibé affirme avoir eu tort de lancer ce post

Quoi qu'il en soit, je suis persuadé qu'il a raison (ce qui est d'ailleurs redit par gnujpl) et je veux dire à certains que je trouve leur attitude indigne des spécialistes qu'ils prétendent être. Si jibé n'est pas toujours très clair, ce n'est pas une raison pour s'acharner ainsi à lui prouver qu'il a tort en refusant de tenir compte du contexte de ses affirmations.

Vos belles théories, Messieurs, semblent seulement prouver que la SME est un système dangereux parce que pas sécurisé. C'est du moins ce que comprendront les non-spécialistes qui espéraient enfin avoir trouvé une bonne (ce qui ne veut effectivement pas dire parfaite) distrib pour assurer les services de serveur et de passerelle internet dont ils ont besoin. Bravo les conseils qu'on trouve sur Ixus grâce à vous! Je préfère nettement le côté pratique exposé par jibé...

De plus, tout en avouant que je ne suis pas du tout spécialiste de la question, voilà comment je comprends ce que tente d'expliquer jibé : on a une caverne d'Ali-baba fermée par un sésame. Cette caverne contient un bélier que les voleurs pourraient utiliser pour enfoncer la porte. Jibé affirme que la caverne est suffisemment protégée par le sésame.

Vous affirmez, ce qui en soit n'est pas faux, qu'un voleur malin pourrait passer par une fenêtre et s'emparer du bélier. Votre parade consiste à installer la porte quelque part sur la route menant à la caverne, afin que le voleur ne puisse pas l'enfoncer avec le bélier après avoir pillé la caverne.

Je comprenais la sécurité comme étant l'art d'empêcher les voleurs d'entrer, pas vraiment comme l'art de maintenir les portes fermées lorsqu'ils sont déjà passés par la fenêtre

Personnellement, plutôt que de dormir rassuré par mes portes blindées multiples et séparées, je préfère m'assurer de n'avoir pas trop de fenêtres et de bonnes sauvegardes

[agecanonix]

Le temps que je compose ma prose, le serveur SMERP est à nouveau dispo...

Et là, je dis : bravo ! Non seulement vous démolissez la SME, mais aussi ceux qui tentent de se mettre au service de cette merveilleuse distrib et de tous.

[Franck78]

Salut,

Vos belles théories, Messieurs, semblent seulement prouver que la SME est un système dangereux parce que pas sécurisé. C'est du moins ce que comprendront les non-spécialistes qui espéraient enfin avoir trouvé une bonne (ce qui ne veut effectivement pas dire parfaite) distrib pour assurer les services de serveur et de passerelle internet dont ils ont besoin. Bravo les conseils qu'on trouve sur Ixus grâce à vous! Je préfère nettement le côté pratique exposé par jibé...

Une théorie devient un cas particuler lorsque tu remplaces les variables par des valeurs. Restes donc dans la théorie! Le post a quelque peu dévié de sujet.

-si ton système possède une fenètre ouverte, les malins passeront par là. Toujours. Ton système possède obligatoirement des fenètres plus ou moins bien réalisées.

-libre à toi d'installer mirradors, clotures, détecteurs de n'importe quoi, etc etc etc aux abords du système ou de l'installer sur les champs-élysées. Tu es seul juge de l'attraction qu'excercera ton système sur le public et de la valeur de son contenu.

Il faut bien comprendre que l'on n'ouvre pas de fenètre supplémentaire dans le système du fait de son envirronnement immédiat. Il reste tel qu'il doit être pour fournir le service attendu.

Il faut bien comprendre aussi que ton système est branché sur un autre système. Cet autre système peut être ton firewall, ton routeur, le backbone de ton FAI,etc. Quelque soit le cas, tu dois régler ton système. Et si tu ne sais pas le faire correctement, tu as perdu la partie.

La sécurité c'est : mon truc est inviolable mais son contenu sans valeur et je me fous totalement qu'il soit volé.
C'est aussi mon truc est inviolable, mais je veux enregistrer et retenir les moindres faits et gestes autour de lui.

Maintenant tu appliques à un cas particulier:
TNF avec serveur ftp et quelques photo coquines.
TNF avec serveur ftp et toutes les données privées de ta famille.

Même système, même contrôle d'accès. Et pourtant tu as logiquement tendance à vouloir augmenter le niveau de sécurité du deuxième système non ?
La seule conclusion est que tu adaptes ton système de sécurité en fonction des données que tu as et pas seulement en fonction du système qui les contient.


Franck

[Gandalf]

Jibe a initié ce post et l'a conclu quelques posts auparavant, je vérouille !

[tomtom]

Rah, je profite honteusement de mon role de modérateur qui me permet de répondre à un sujet vérouillé.

Jibe, puisque le troll a dépassé son contexte originel, je vais m'adresser uniquement à toi. Sans troller je l'espère.
J'espère que tu lis toujours ce topic.

Tu as ouvert un sujet intitulé "SME+Ipcop : Précisions sur mon point de vue"

Nous sommes sur un forum dédié à la "Sécurité des réseaux informatiques et distributions linux spécialisées".
En tant que professionnel dans ce domaine, je me suis cru autorisé à donner mon avis sur le sujet que tu as posté, en l'argumentant il me semble et en me basant sur ce qui se fait dans l'industrie sur ce genre de choses.
L'ensemble des professionels de la sécurité admet que la séparation des services est une des bases de la sécurité. Et cela est du au fait que l'on admet que tout applicatif puisse être vulnérable, principalement quand on ne le maitrise pas.

Il me semble à plusieurs reprises avoir dit que ton point de vue pouvait se justifier dans un certain contexte, et j'ai essayé de donner des clés pour comprendre les risques de sécurité liés à l'utilisation d'une SME seule.
En aucun cas je n'ai mis en doute tes connaissances de ton marché ni de ton boulot, encore moins nié le besoin de ce genre de distributions (le seul fait qu'elles existent prouve qu'il y a un besoin).


Bref, si nous sommes sur un forum, c'est pour echanger des idées. Nous sommes d'horizons divers, nous travaillons sur des probématiques fort variées, et le forum permet d'avoir justement plusieurs avis sur un même sujet. Le but n'est pas de convaincre les autres, ni de les faire passer pour des incompétents, mais de leur donner des éléments pour alimenter leur reflexion. Si toi-même tu as posté ce sujet, c'est pour exposer ton avis, et forcement pour obtenir l'avis d'autres...

C'est d'ailleurs parceque je trouve que ton message est interressant, et que j'estime que tu sauras écouter certains arguments que tu n'avais peut-etre pas envisagés, que j'ai pris la peine d'y répondre (et tu auras sans doute noté que je ne reponds pas à beaucoup de sujets ces derniers temps !!).

Bref, il n'est pas nécessaire de prendre la mouche ni de se braquer car nous ne sommes pas d'accord sur des points techniques. Je trouve que ta réaction sur le forum SMERP est exagérée, j'espère ne pas être la cause de ta décision. J'imagine que tu n'es pas du genre à abandonner un projet juste à cause des quelques contradicteurs, et que c'est surtout une fatigue générale et un enervement passager qui t'ont mené à poster ce message...

Tu dois savoir que je t'estime, en tant que contributeur, pour ta passion, l'aspect construit de tes reflexions et aussi tes engagements et combats personnels que j'ai un peu suivi de loin grace à Internet.

Alors, s'il te plait, ne fais pas de ce troll démesuré plus que ce qu'il n'est, il ne montre en aucun cas une quelconque incompétence de ta part, juste des points de vue différents et je t'assure que j'ai bien compris le tien....

Je te souhaite de surmonter toutes les difficultés que tu rencontres, personnelles et professionnelles, et aussi associatives

Thomas