SME+Ipcop : Précisions sur mon point de vue

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

SME+Ipcop : Précisions sur mon point de vue

Messagepar jibe » 19 Août 2005 22:51

Salut,

Avant de commencer, trois petites précisions capitales :
  • Loin de moi l'intention de faire un troll (je demande d'ailleurs aux modos de surveiller et verrouiller dès qu'ils le jugent nécessaire), je veux simplement préciser mon point de vue, souvent exprimé succintement parce qu'un peu hors sujet dans les topics concernés.
  • Il semble à mon grand regret que certains aient mal pris mes propos sur le sujet, probablement simplement parce que mal compris. J'en suis désolé et je leur présente mes excuses.
  • Je reconnais très mal connaitre Ipcop, et j'espère ne pas trop raconter de bêtises dessus. Qu'on me corrige si nécessaire : mon intention n'est nullement de dénigrer cette distrib. Et encore moins ceux qui la produisent ou qui l'utilisent.


J'ai donc dit plusieurs fois que je ne vois pas l'intérêt, dans la majorité des cas, d'associer Ipcop et SME. Parfois en plaisantant, dans le seul but de mieux faire comprendre mon point de vue. Or, il semble que certains aient mal interprété mes propos et l'aient pris pour une attaque personnelle, ou tout au moins se soient posé la question. Qu'ils se souviennent simplement que j'ai souvent avoué aimer me faire l'avocat du diable, prêcher le faux pour savoir le vrai, bref, manier un peu la plaisanterie voire l'ironie pour amener ceux qui me lisent à réfléchir, à dépasser leur tendance à prendre un cas précis pour une généralité ou leurs passions pour les seules vraies valeurs etc. Bref, même si je donne - plus ou moins volontairement - l'impression du contraire, je respecte tous les avis et toutes les idées.

Donc, en fait, pour une petite part je me montre un inconditionnel de la SME (seule :wink: ) pour faire contrepoids avec les inconditionnels d'Ipcop (ou d'Ipcop+SME. Re :wink: ).

Mais surtout, je pense qu'il faut remettre chaque chose à sa place : Ipcop a été pensé et fait dans un certain but, SME dans un autre, de même que chaque distrib Linux vise un certain créneau, est généralement très bien conçue pour ce créneau, et a des faiblesses voire de gros défauts pour d'autres.

Or, SME a été avant tout pensée pour réaliser à elle seule toutes les fonctions d'un petit serveur-passerelle complet, facile à installer et à administer, économique tant à l'installation qu'à l'usage, pour de petits réseaux dans de petites stuctures. Son gros avantage est que, dès l'installation, elle ne nécessite pas de connaissances particulières, simplement un peu de débrouillardise. Cela ne l'empêche pas d'être une distribution pensée à la fois "sécutité" et "services".

Et c'est là que ça choque certains puristes, qui ont parfaitement raison dans l'absolu, mais qui oublient un peu de considérer que, vu le cahier des charges très exigent au niveau simplicité et économie, la SME s'en sort très honorablement au point de vue sécurité. D'ailleurs, je ne connais pas (peut-être suis-je mal informé, mais cela prouve au moins que ce n'est pas si courant) de SME qui ait été piratée. Je parle bien sûr de SME non modifiée : on a vu des cas, effectivement, d'adaptations ou de personnalisations malheureuses, mais c'est là un autre problème. Normalement, la SME n'a besoin d'aucune modif, aucune adaptation, aucune intervention pour remplir parfaitement son office.

Cela est rendu possible par une conception un peu spéciale de la SME, qui permet une configuration simplifiée sans s'occuper des questions de sécurité, celle-ci étant gérée par le système. Ainsi, le firewall n'est pas paramétrable (sauf à installer des contribs spéciales), mais est adapté automatiquement finement lors de chaque modification de la configuration. Ce fait même est un élément de sécurité important : aucun risque qu'un bricoleur de génie ait ouvert un gouffre de sécurité pensant faire un paramétrage génial du firewall !

Einstein a dit : "la pratique, c'est quand ça marche et que personne ne sait pourquoi". Même si les ingénieurs réseaux et sécurité trouvent que la SME est totalement en opposition avec leurs théories, ce qu'attendent les utilisateurs, c'est le côté pratique. Et avec SME en frontal sur le web, je n'en connais point qui soient déçus.

Et c'est donc là que je demande : pourquoi mettre la SME derrière une Ipcop ? En moins d'une demi-heure, on a installé un serveur-passerelle complet et sécurisé, pourquoi aller s'em*** avec un sac de noeuds de câbles, des cartes éthernet colorées et un casse-tête d'adresses IP sans compter tous les autres aspects de configuration (oui, je sais, j'exagère :wink: ). Cela n'apporte rien de plus dans la majorité des cas, que la satisfaction de l'ingénieur attaché aux théories. Et de plus, un tel montage n'est plus à la portée de n'importe qui...

Maintenant, qu'il y ait des cas où un tel montage est justifié, je n'en doute pas. Mais je me demande alors si la SME est alors bien adaptée : les raisons de simplicité et d'économie qui ont justifié sa conception n'ont plus cours, et à ce moment là d'autres distribs sont mieux adaptées. Qu'on s'entende : on m'a dit que l'une comme l'autre se contentaient de PC au rebut pour remplir parfaitement leurs fonctions, leurs exigences matérielles étant très réduites. Certes. Ce que je dis, c'est que c'est un montage beaucoup plus complexe (si, si ! Pas compliqué à brancher le tout quand on connait, mais on passe de 2 à 5 cartes ethernet pour l'ensemble serveur-passerelle !) et qui demande un tout autre niveau de compétances tant pour l'installation que pour l'administration (même si les interfaces web sont bien conçues, il y en a alors deux à connaitre et maitriser). Quant au risque de panne matérielle, on le multiplie... Tout ça peut être justifié, mais à ce moment là il faut quelqu'un de compétent pour gérer l'ensemble, et la simplicité de la SME devrait être abandonnée au profit d'une distrib mieux adaptée.

Si j'ai parlé à plusieurs reprises d'ingénieurs et de théoriciens, ce n'est pas que j'ai une dent contre eux. C'est simplement que la SME a été conçue pour ne pas nécessiter leurs services, afin simplement d'offrir un serveur à ceux qui n'ont pas les moyens de se payer un service informatique ou les interventions d'une SSII.

Donc, ma position est parfaitement claire, raisonnée et je pense raisonnable : soit on a un cas où la SME est une bonne solution, et elle apporte toute la solution, tant serveur que passerelle, soit on a un autre cas, et là, il y a de fortes chances que la SME ne soit pas la distrib la mieux adaptée.

Au fait, une question qui peut amener à réfléchir ; existe-t-il des montages Ipcop + serveur Debian ? Pourquoi ?

Mais tout cela n'est qu'un avis personnel, n'engage que moi, et n'est aucunement une attaque envers qui ou quoi que ce soit.
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar sibsib » 19 Août 2005 23:24

Hello,

Bien que moins virulent que JiBé (Ben oui :-D ), je suis également un adepte de la solution SME tout en un.

Ceci dit, chacun voit midi à sa porte, et il n'existe pas dans l'absolu de 'bonne' ou de 'mauvaise' solution.

Je me permet simplement de rappeler ce que j'ai déjà eu l'occasion d'écrire :
Si on met un IPCop (ou n'importe quel autre firewall) + SME (ou n'importe quel autre serveur de mail + web) pour augmenter la sécurité, on devient de fait seul responsable de la sécurité de l'ensemble : Comme il faudra forcément percer le firewall (un peu) pour atteindre le serveur qui est derrière, la configuration sera 'unique' et donc, son admin sera seul face à un problème de sécu.

J'avoue humblement que je ne fais pas aussi confiance que çà. Je préfère que le concept de sécurité de mon système soit un concept utilisé et éprouvé par de nombreuses personnes.

Encore une fois, c'est un point de vue, ni l'évangile ni un troll (tiens, on peut les mettre dans une même phrase, ces deux là ?).

A+,
Pascal
Sibsib, admin heureux d'un petit SME !!!
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
Avatar de l’utilisateur
sibsib
Amiral
Amiral
 
Messages: 2368
Inscrit le: 11 Mai 2002 00:00
Localisation: France - région parisienne

Messagepar micjack » 20 Août 2005 00:01

Salut,

J'ai le souvenir d'un topic sur la question, et l'avis sur les raisons et/ou du choix...
--> http://forums.fr.ixus.net/viewtopic.php ... highlight=

PS: La vache, tu fais toujour aussi long Jibe :shock: j'ai franchement pas encore tout tout lu, mais comme ton topic fait reference à un autre, il faut en plus eplucher et faire la relation ...
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar jibe » 20 Août 2005 00:05

Salut,

Bon, ben si même sibsib me trouve virulent :(
Je dois être comme M. Jourdain qui faisait de la prose sans le savoir :lol:
Désolé... Je l'ai dit, ce n'était pas mon intention... Je ne pensais pas qu'avoir un point de vue bien arrêté soit un manque de respect à ceux qui ont d'autres idées...

@micjack :
J'ai volontairement pas fait de lien sur "l'autre topic" dont tu parles, parce que ce n'est pas le seul et que j'ai pensé que ça indisposerait moins l'intéressé. J'espère ne pas m'être aussi trompé sur ce coup.

Quant au topic que tu cites, je n'en avais qu'un vague souvenir et n'ai pas pris le temps de le rechercher. Merci de l'avoir retrouvé et signalé :wink:

Je vois qu'à l'époque, j'étais un peu moins inconditionnel. Dois être comme les bourgeois : m'arrange pas en vieillissant :lol:
Faut dire qu'entre-temps, j'ai vu plusieurs cas qui m'ont fait un peu revoir ma position, non pas à cause de la qualité des distrib, mais bien à cause de la complexité de mise en oeuvre d'une config mixte. Comme dit sibsib, il est facile de créer des trous de sécurité à l'insu de son plein gré, et personne n'est là pour tirer la sonette d'alarme....
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar fraedhrim » 20 Août 2005 11:45

:)

Pour mettre les choses aux points puisque je pense faire partie du public que tu vises ( :oops: ) je dirais que je ne suis un inconditionnel ni de SME ni de IPCOP en priorité. Comme tu le dis en substance "aux bons travaux, les bons outils". Seulement justement je tenais à faire un petit rappel (du haut de ma très petite expérience de IPCOP niveau débutant à moins manchot) sur l'intérêt d'IPCOP. Et c'est vrai que ta réponse un peu sèche m'a surpris.... Mais bon on s'est mal compris.

Après aujourd'hui ce qu'il faut savoir (si tant est quand ne s'en fiche pas un peu :lol: ) c'est que j'ai une SME et que si je n'avais pas eu à faire du WiFi la beauté serait surement en gateway sans que j'en fasse une jaunisse.
Au boulot je suis d'ailleurs en train d'en déployer une pour faire gateway/server. "La Cause" progresse. A mort les appliances obscures et hors de prix !

En conclusion cet échange a été très intéressant en fait. Du coup on se connait un peu mieux je pense et ça m'évitera de prendre de travers certaines réponses un peu abruptes (bien normales en fait vu le nbre de posts que tu dois suivre).

Sur ce à bientôt sur d'autres topics tout aussi intéressants.

A+
Avatar de l’utilisateur
fraedhrim
Amiral
Amiral
 
Messages: 1264
Inscrit le: 27 Jan 2004 01:00
Localisation: Nantes

Messagepar sibsib » 20 Août 2005 13:12

jibe a écrit:Bon, ben si même sibsib me trouve virulent :(


Salut JiBé,

Désolé, je plaisantais !!!

De fait, je ne crois pas t'avoir lu un jour virulent, mais souvent passionné :-)

Mais je te lis toujours avec intérêt. De fait, je lis toujours les threads passionnels (informatiquement parlant, j'entends, Voici et Gala un peu moins) car toute opinion exprimée honnetement me semble toujours source d'intérêt. Il y a toujours quelque chose à en tirer, l'informatique a ceci de 'bien' que les certitudes ne restent jamais en place bien longtemps ! (Qui sait JiBé, nous installerons peut-être bientôt des IPCop chez nous ;-) )

Donc, je suis pour les débats, même si çà 'fritte' parfois un peu.

A+, tous et bons débats :-) ;-) ;-) ;-)
Pascal
Sibsib, admin heureux d'un petit SME !!!
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
Avatar de l’utilisateur
sibsib
Amiral
Amiral
 
Messages: 2368
Inscrit le: 11 Mai 2002 00:00
Localisation: France - région parisienne

Messagepar Nemric » 20 Août 2005 16:34

Salut,
Je comprends bien ton point de vue. il est tout legitime.

maintenant chacun sa facon de faire. j'ai les 2, ipcop depuis plusieurs mois, et sme depuis 3 jours
du coup, jusqu'a maintenant, je frequentait plutôt le forum ipcop voisin (grace auquel j'ai trouvé SME, certains du forum le recommandent ;) ).
Dans ce forum on voit des posts demandant ou sont les add-on samba, ftp, http et même emule :lol: pour ipcop.
la reponse ne se fait pas attendre : ipcop est un firewall++ routeur++, et tout ajout de fonctionnalités serveur reduit d'autant la securité ! hors sujet mais bien vrai !

effectivement, je ne peu m'empeché d'être d'accord avec cette opinion, puisque la securité au niveau IP "c'est facile" , mais au niveau application c'est autre chose et c'est pour ca que dieu crea la dmz.

alors ok : pas de sme piraté a ta connaissance, pas d'ipcop non plus j'imagine, alors on dit : egalité ! ex aequo ! <baisse la tetes et serre les dents> on a des serveurs linux et on sait pourquoi ... </baisse la tetes et serre les dents>

mais dans l'absolu, il est potentiellement plus facile de hacké samba sur un serveur ou il y a samba, et plus facile de piraté la zone sure (verte de ipcop) a partir du firewall que de la zone dmz (orange chez ipcop). la je ne parle que de theorie, je ne suis pas tellement pro :? mais ca semble logique.

je n'est pas d'autres arguments, a part que j'avais 2 vieux 200 mhz et qu'avant mardi j'avais pas besoin de serveur smtp/imap, mysql

Nemric
Avatar de l’utilisateur
Nemric
Aspirant
Aspirant
 
Messages: 129
Inscrit le: 01 Fév 2005 20:16
Localisation: Lyon

Messagepar jibe » 20 Août 2005 21:04

Salut,

Merci à ceux qui me soutiennent et me rassurent :D

sibsib a écrit:De fait, je ne crois pas t'avoir lu un jour virulent, mais souvent passionné :-)

Ben... Comme parfois certains interprètent mal mes propos, je me demandais si ma passion ne me rendait pas inconsciemment virulent... Et comme j'avais pondu ce post pour tenter de rassurer fraedhrim qui, justement, me trouvait un peu agressif, je me suis inquiété :lol:

sibsib a écrit:Désolé, je plaisantais !!!

J'aurais pourtant bien dû m'en douter : c'est effectivement une vieille habitude entre nous. :wink:
Mais d'ordinaire, tu ponctues tes plaisanteries d'une série de smilies... Donc, pour éviter toute incompréhension à l'avenir, nous ponctuerons nos plaisanteries d'une série d'au moins 10 smilies :shock: :roll: :wink: :wink: :wink: :lol: :lol: :lol: :mrgreen: :mrgreen: :P :P :P =P~

fraedhrim a écrit:Mais bon on s'est mal compris.
[...]
En conclusion cet échange a été très intéressant en fait.

Merci pour ton post rassurant :D
En fait, je n'ai pas eu conscience de répondre sèchement... Comme quoi, de la passion à la virulence... :lol: :wink:

Pour revenir dans le topic et répondre plus particulièrement à Nemric, je reconnais tout à fait que plus on met de services, plus on augmente les risques de failles de sécurité. Mais lorsqu'on a besoin de ces services, je ne suis pas du tout certain que séparer les fonctions passerelle et serveur apporte plus de sécurité, à moins d'être vraiment un spécialiste de la question, ce qui n'est pas le cas de beaucoup d'ingés réseau (même s'ils en ont de bonnes connaissances) et donc encore moins du gars un peu débrouillard qui installe le réseau de sa PME. Une solution "tout en un" bien conçue, à laquelle a participé une équipe de spécialistes de la sécurité me parait préférable. Comme le dit si bien sibsib : un montage mixte sera toujours une solution "maison" dont la sécurité dépend totalement des compétences de celui qui l'installe...

Donc : pour passerelle seule, Ipcop et SME (dont on peut désactiver les services) sont à peu près aussi sûres l'une que l'autre, mais Ipcop l'emporte parce que plus spécialisée pour cela.
Pour serveur + passerelle, SME seule ou alors d'autres solutions plus onéreuses et nécessitant de solides compétances, solutions dans lesquelles je pense que d'autres distribs sont mieux placées que SME.
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar dsbsystem » 23 Août 2005 00:40

jibe a écrit:Salut,

Donc : pour passerelle seule, Ipcop et SME (dont on peut désactiver les services) sont à peu près aussi sûres l'une que l'autre, mais Ipcop l'emporte parce que plus spécialisée pour cela.
Pour serveur + passerelle, SME seule ou alors d'autres solutions plus onéreuses et nécessitant de solides compétances, solutions dans lesquelles je pense que d'autres distribs sont mieux placées que SME.



Bon, je ne peux m'empêcher d'y mettre mon petit grain de sel : A mon humble avis, IPCOP et SME sont complémentaires plus que "concurrents" : en désactivant la fonction firewall de SME et en laissant le soin à IPCOP de faire ce pourquoi il a été développé, on obtient, dans sa catégorie, un ensemble Firewall Proxy Passerelle Web Mail Web tout à fait performant en PME PMI

Il existe certes mieux mais .... à quel coût ?? !!

Bien à vous tous,
Plusieurs IPCOP V. 1.4X +( trop ?) nombreux addons ...
Avatar de l’utilisateur
dsbsystem
Contre-Amiral
Contre-Amiral
 
Messages: 404
Inscrit le: 18 Juin 2004 15:59
Localisation: Lorraine

Messagepar soprom » 23 Août 2005 06:10

Comme n'ai pas de connaissance en linux, j'adopte généralement une attitude "paranoïaque" en mettant la patte externe de la SME dans la zone DMZ/Orange du Ipcop. La patte interne du SME rejoint le réseau local. De cette façon je peux aussi répartir les ports entre plusieurs machines. Je suppose que la configuration gateway de la SME s'applique surtout lorsqu'elle est seule.

Peut-être s'agit-il d'un faut sentiment de sécurité. Les mises à jour de l'Ipcop ont l'avantage d'être simple tandis que les mises à jour de la SME nécessitent un suivi plus complexe. Toutefois, avec l'arrivée de la dernière version, cette difficulté d'identifier les mises à jour et de les appliquer sera sans doute éliminée (comme dans le temps des mises à jour de la version 5). À ce moment, le Ipcop risque de devenir moins pertinent.

Je lis votre discussion avec un vif intérêt!
Sophie de Montréal
IPCOP 1.4, SME7
Xoops, EGroupware, Joomla
-----------------------------------------------------
Le Québec aux québécois !
Avatar de l’utilisateur
soprom
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 157
Inscrit le: 02 Sep 2003 00:00
Localisation: Montréal, Québec

Messagepar fraedhrim » 23 Août 2005 09:29

:shock:

Mais si ta machine SME est compromise tu donnes directement accès à ton LAN !

Le but de la DMZ c'est justement que les machines à l'intérieur n'aient aucun accès au LAN pour le cas où elles sont compromises. Dans ces conditions ta DMZ ne te sert à rien à mon sens. Autant mettre la SME dans ton LAN ou même par soucis d'économie de temps et de moyens ( :D ) mettre une SME seule. Tu n'ajoutes pas de sécurité en faisant comme ça.

A débattre.
Avatar de l’utilisateur
fraedhrim
Amiral
Amiral
 
Messages: 1264
Inscrit le: 27 Jan 2004 01:00
Localisation: Nantes

Messagepar jibe » 23 Août 2005 22:11

Salut,

dsbsystem a écrit:en désactivant la fonction firewall de SME et en laissant le soin à IPCOP de faire ce pourquoi il a été développé, on obtient, dans sa catégorie, un ensemble Firewall Proxy Passerelle Web Mail Web tout à fait performant en PME PMI

:lol: Tous les avis sont dans la nature !
Perso, je pense :
En supprimant Ipcop et en laissant le soin à SME de faire ce pourquoi il a été développé, on obtient, dans sa catégorie, un ensemble Firewall Proxy Passerelle Web Mail Web tout à fait performant en PME PMI.

Mais pourquoi diable remplacer l'excellent firewall de SME par celui, non moins excellent certes, mais plus difficile à configurer d'Ipcop ?

Si vous avez un camion, parce que du volume ou du poids à transporter, le faites-vous tirer par une voiture sous prétexte que la voiture est meilleure routière ?

En mettant une Ipcop devant une SME, non seulement vous vous mettez dans la situation décrite par sibsib, mais en plus vous donnez la possibilité de modifier le firewall et donc, à moins que ce ne soit un spécialiste (payé selon ses compétences, donc très cher) qui le fasse, la possibilité d'ouvrir de grosses failles de sécurité. Le firewall de la SME a été mis au point par de grands spécialistes mondialement reconnus, et n'est pas modifiable, mais auto-configurable.

Certes, ceci dit, une Ipcop configurée par un grand spécialiste pourra probablement faire mieux que le firewall auto-configuré de la SME. Mais à quel prix ?

Quand on m'aura prouvé qu'un ensemble Ipcop + SME installé et configuré par un cadre d'une PME a des avantages par rapport à une SME seule (installée et configurée dans les mêmes conditions, bien sûr), je reverrai ma position. Mais pour le moment, j'ai beaucoup d'affirmations, voire d'accusations de sectarisme, mais peu d'explications autres que "l'Ipcop est un excellent firewall". Sorry, la SME aussi, même s'il est moins visible ! Bon, j'arrête avant de devenir virulent :wink: :lol: :wink: :lol:

soprom a écrit:Comme n'ai pas de connaissance en linux, j'adopte généralement une attitude "paranoïaque" [...]. Je suppose que la configuration gateway de la SME s'applique surtout lorsqu'elle est seule.

Peut-être s'agit-il d'un faut sentiment de sécurité.

Voilà pourquoi je me bats et me battrai contre cette fausse bonne idée d'associer Ipcop et SME et que je le fais avec passion, voire virulence (fraedhrim a bien compris que je me bats contre les idées, non contre leurs auteurs :wink: ). On voit de plus en plus de gens, comme soprom, qui associent les deux distrib simplement parce que le bruit court que c'est meilleur au niveau sécurité. Tout le monde n'est pas expert en sécurité. D'ailleurs, ceux qui le sont admettent que l'association est délicate et susceptible d'être pire que mieux...

Que dans certains cas l'association puisse être aussi bonne ou meilleure qu'une SME seule, c'est possible je pense. Mais que ceux qui le prétendent n'oublient pas de préciser que la solution est bonne pour leur cas précis et qu'elle doit être mise en place par un spécialiste de sécurité, les risques d'introduire une faille dans la configuration de l'ensemble étant loin d'être négligeables.

Et pour les amateurs (dans le sens non péjoratif), dirigeants de PME et autres installateurs non professionnels de serveurs et passerelles, mettez-vous bien dans la tête que plus vous multipliez les machines, plus vous augmentez la complexité de la configuration et donc les risques de créer des trous de sécurité. L'idée qu'il vaut mieux séparer les fonctions ne doit arriver qu'après celle que la sécurité est une affaire de spécialistes, et qu'un ensemble à fonctions séparées ne peut être configuré valablement (et donc devenir meilleure qu'une solution "tout en un") que par un spécialiste. Pour les cas où c'est un non-spécialiste qui fait l'installation, une solution "tout en un" est une garantie de cohérence et donc - dans ce cas précis : installation par un non spécialiste - la meilleure garantie de sécurité.

Un camp militaire est certes plus sécurisé qu'un immeuble avec digicode. Mais on ne fait pas un camp militaire en reliant entre eux divers baraquements, aussi blindés soient-ils : chaque passage de l'un à l'autre est un point faible... Si on veut plusieurs logements sûrs et communiquants sans adopter la technique militaire, l'immeuble avec digicode sera préférable.

fraedhrim a écrit::shock:

Mais si ta machine SME est compromise tu donnes directement accès à ton LAN !

Le but de la DMZ c'est justement que les machines à l'intérieur n'aient aucun accès au LAN pour le cas où elles sont compromises. Dans ces conditions ta DMZ ne te sert à rien à mon sens. Autant mettre la SME dans ton LAN ou même par soucis d'économie de temps et de moyens ( :D ) mettre une SME seule. Tu n'ajoutes pas de sécurité en faisant comme ça.

A débattre.


Tout à fait d'accord ! Et pourtant, ce type d'architecture est courant parmi les défenseurs de la solution Ipcop + SME ! Preuve que certaines idées totalement infondées circulent sur le sujet.

J'ajoute que dans une PME (public visé par SME), le serveur (la SME) sert pour le courrier, l'intranet, le partage de fichiers et bien d'autres fonctions qui nécessitent un raccordement au LAN. Donc, si on ajoute une Ipcop, on se trouve exactement dans ce cas. A moins bien sûr de configurer l'Ipcop pour qu'elle filtre tout et que les accès du LAN vers la SME soient sous son contrôle, mais je ne sais pas si c'est possible. En tous cas, c'est rarement ce qui est fait : on met la SME dans la DMZ d'un côté, et sur le switch de l'autre...

soprom a écrit:Les mises à jour de l'Ipcop ont l'avantage d'être simple tandis que les mises à jour de la SME nécessitent un suivi plus complexe.

Là, je concède très volontiers le point à Ipcop ! Le problème est bien réel, lié à l'histoire de la SME... Comme dit soprom, la version 7 devrait y remédier.
Mais même en attendant, la facilité de mise à jour est-elle une garantie de sécurité ? Si une grosse faille a été ouverte dans le firewall, les mises à jour n'y pourront rien... Cela dit, c'est vrai que c'est un élément qui va dans le bon sens.

Pour conclure, je réaffirme ce que j'ai dit et répété : Ipcop et SME sont concurrents (enfin, même pas : ils ont des spécialités différentes...) et n'ont jamais été conçus pour être complémentaires. SME a été conçu pour assurer seul les fonctions de serveur et gateway. La fonction gateway est désactivable (comme beaucoup d'autres services) parce que pas toujours utile, pas pour être remplacée.
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar antolien » 23 Août 2005 22:34

Tout ça c'est trop long à lire pour les modérateurs :lol:
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar jibe » 23 Août 2005 23:07

Désolé... :wink: :lol:
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar wantoo » 28 Août 2005 11:36

Ouch ! C'est vrai que c'est long Jibe... Mais très interressant :D

Ceci dit, les entreprises actuelles, y compris les petites à forte croissance, évoluent dans un environnement informatique extrêmement changeant. Des besoins de stockage de plus en plus importants, des commerciaux "nomades" en Wifi, des segmentations du LAN pour des raisons de confidentialité...etc.

Alors, d'accord avec toi qu'il faille à un moment ou un autre un "spécialiste" pour régler le bazar, mais nous sommes dans le monde de l'Open Source pour tailler des croupières aux abominables hommes du marketing qui font passer des vessies pour des lanternes à nos pauvres PME dans le domaine de la sécurité... Allez voir les prix d'une SourceFire, un appliance IDS basé sur Snort !!! C'est hallucinant.

Donc, pour revenir au sujet, je suis personnellement pour cette association IpCop + SME car cela offre une pérennité technique à une PME qui grossit et dont les besoins évoluent.

Au départ, la Cop protège le LAN (vert) et héberge la SME dans sa DMZ (orange)
* On règle la Cop pour ne pas gêner la SME dans ses fonctions traditionnelles
* On blinde le pinhole (vert->orange) pour laisser un accès admin depuis le LAN

L'entreprise explose en besoins de stockage, là la SME (samba) est à la peine :?
* On installe un "filer" du style Openfiler sur un serveur dédié SATA-RAID-HotSwap que l'on place dans le LAN si personne ne doit accéder de l'extérieur (FTP) ou dans la DMZ si le contraire
* On règle SME et Cop pour cette config et le filer pour que la SME ait l'autorité d'autentification
Pour le client, ça ne change rien. Il voit un (gros) espace disque de plus sur son brin.

L'entreprise se paie des commerciaux tout partout en France et ceux-ci reviennent au bercail régulièrement. Ils ont un "bureau des nomades" arrosé par du WiFi... :evil:
* On inaugure un port réseau inutilisé jusque-là : l'interface bleue de la Cop
* On place un nouveau serveur dédié à la sécurisation du WiFi, genre ZoneCD (besoins simples) ou Chillispot (plus sécurisé, Radius) sur un autre adressage IP
* On règle les accès des nomades pour cette config

Et là, je dis d'accord, c'est compliqué pour l'entreprise ! Mais, reprenons :

* Au départ, l'entreprise est petite et personne n'y comprend rien... Il leur faut le soutien d'un support technique externe qui fait les réglages et surveille le bazar. On signe un support annuel et on envisage les premières formations internes.
* A partir d'un certain niveau de besoins, l'entreprise va devoir embaucher une personne spécifiquement dédiée à cette tâche... Un admin que l'on forme aux outils et aux concepts.
* Bientôt, on passe le bébé ! On est en Open Source et la communauté est bien réelle :wink: . L'entreprise est presque autonome.
* L'entreprise n'a besoin d'un support externe que pour les "coups" techniques un peu durs, genre 1 ou 2 fois l'an... Et zou on a éduqué un client cro$oft

Voilà pourquoi, à mon humble avis et ma petite expérience, il est préférable de commencer par un duo IpCop/SME en terme de pérennité.

PS: Désolé, finalement, j'ai fait long moi aussi...
wantoo
Matelot
Matelot
 
Messages: 6
Inscrit le: 28 Août 2005 10:32

Suivant

Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron