Salut,
dsbsystem a écrit:en désactivant la fonction firewall de SME et en laissant le soin à IPCOP de faire ce pourquoi il a été développé, on obtient, dans sa catégorie, un ensemble Firewall Proxy Passerelle Web Mail Web tout à fait performant en PME PMI
Tous les avis sont dans la nature !
Perso, je pense :
En supprimant Ipcop et en laissant le soin à SME de faire ce pourquoi il a été développé, on obtient, dans sa catégorie, un ensemble Firewall Proxy Passerelle Web Mail Web tout à fait performant en PME PMI.
Mais pourquoi diable remplacer l'excellent firewall de SME par celui, non moins excellent certes, mais plus difficile à configurer d'Ipcop ?
Si vous avez un camion, parce que du volume ou du poids à transporter, le faites-vous tirer par une voiture sous prétexte que la voiture est meilleure routière ?
En mettant une Ipcop devant une SME, non seulement vous vous mettez dans l
a situation décrite par sibsib, mais en plus vous donnez la possibilité de modifier le firewall et donc, à moins que ce ne soit un spécialiste (payé selon ses compétences, donc très cher) qui le fasse, la possibilité d'ouvrir de grosses failles de sécurité. Le firewall de la SME a été mis au point par de grands spécialistes mondialement reconnus, et
n'est pas modifiable, mais auto-configurable.
Certes, ceci dit, une Ipcop configurée par un grand spécialiste pourra probablement faire mieux que le firewall auto-configuré de la SME. Mais à quel prix ?
Quand on m'aura prouvé qu'un ensemble Ipcop + SME installé et configuré par un cadre d'une PME a des avantages par rapport à une SME seule (installée et configurée dans les mêmes conditions, bien sûr), je reverrai ma position. Mais pour le moment, j'ai beaucoup d'affirmations, voire d'accusations de sectarisme, mais peu d'explications autres que "l'Ipcop est un excellent firewall". Sorry, la SME aussi, même s'il est moins visible ! Bon, j'arrête avant de devenir virulent
soprom a écrit:Comme n'ai pas de connaissance en linux, j'adopte généralement une attitude "paranoïaque" [...]. Je suppose que la configuration gateway de la SME s'applique surtout lorsqu'elle est seule.
Peut-être s'agit-il d'un faut sentiment de sécurité.
Voilà pourquoi je me bats et me battrai contre cette fausse bonne idée d'associer Ipcop et SME et que je le fais avec passion, voire virulence (fraedhrim a bien compris que je me bats contre les idées, non contre leurs auteurs
). On voit de plus en plus de gens, comme soprom, qui associent les deux distrib simplement parce que le bruit court que c'est meilleur au niveau sécurité. Tout le monde n'est pas expert en sécurité. D'ailleurs, ceux qui le sont admettent que l'association est délicate et susceptible d'être pire que mieux...
Que dans certains cas l'association puisse être aussi bonne ou meilleure qu'une SME seule, c'est possible je pense. Mais que ceux qui le prétendent n'oublient pas de préciser que la solution est bonne
pour leur cas précis et qu'elle doit être mise en place par un
spécialiste de sécurité, les risques d'introduire une faille dans la configuration de l'ensemble étant loin d'être négligeables.
Et pour les amateurs (dans le sens non péjoratif), dirigeants de PME et autres installateurs non professionnels de serveurs et passerelles, mettez-vous bien dans la tête que plus vous multipliez les machines, plus vous augmentez la complexité de la configuration et donc les risques de créer des trous de sécurité. L'idée qu'il vaut mieux séparer les fonctions ne doit arriver qu'après celle que la sécurité est une affaire de spécialistes, et qu'un ensemble à fonctions séparées ne peut être configuré valablement (et donc devenir meilleure qu'une solution "tout en un") que par un spécialiste. Pour les cas où c'est un non-spécialiste qui fait l'installation, une solution "tout en un" est une garantie de cohérence et donc - dans ce cas précis : installation par un non spécialiste - la meilleure garantie de sécurité.
Un camp militaire est certes plus sécurisé qu'un immeuble avec digicode. Mais on ne fait pas un camp militaire en reliant entre eux divers baraquements, aussi blindés soient-ils : chaque passage de l'un à l'autre est un point faible... Si on veut plusieurs logements sûrs et communiquants sans adopter la technique militaire, l'immeuble avec digicode sera préférable.
fraedhrim a écrit::shock:
Mais si ta machine SME est compromise tu donnes directement accès à ton LAN !
Le but de la DMZ c'est justement que les machines à l'intérieur n'aient aucun accès au LAN pour le cas où elles sont compromises. Dans ces conditions ta DMZ ne te sert à rien à mon sens. Autant mettre la SME dans ton LAN ou même par soucis d'économie de temps et de moyens (
) mettre une SME seule. Tu n'ajoutes pas de sécurité en faisant comme ça.
A débattre.
Tout à fait d'accord ! Et pourtant, ce type d'architecture est courant parmi les défenseurs de la solution Ipcop + SME ! Preuve que certaines idées totalement infondées circulent sur le sujet.
J'ajoute que dans une PME (public visé par SME), le serveur (la SME) sert pour le courrier, l'intranet, le partage de fichiers et bien d'autres fonctions qui nécessitent un raccordement au LAN. Donc, si on ajoute une Ipcop, on se trouve exactement dans ce cas. A moins bien sûr de configurer l'Ipcop pour qu'elle filtre tout et que les accès du LAN vers la SME soient sous son contrôle, mais je ne sais pas si c'est possible. En tous cas, c'est rarement ce qui est fait : on met la SME dans la DMZ d'un côté, et sur le switch de l'autre...
soprom a écrit:Les mises à jour de l'Ipcop ont l'avantage d'être simple tandis que les mises à jour de la SME nécessitent un suivi plus complexe.
Là, je concède très volontiers le point à Ipcop ! Le problème est bien réel, lié à l'histoire de la SME... Comme dit soprom, la version 7 devrait y remédier.
Mais même en attendant, la facilité de mise à jour est-elle une garantie de sécurité ? Si une grosse faille a été ouverte dans le firewall, les mises à jour n'y pourront rien... Cela dit, c'est vrai que c'est un élément qui va dans le bon sens.
Pour conclure, je réaffirme ce que j'ai dit et répété : Ipcop et SME sont concurrents (enfin, même pas : ils ont des spécialités différentes...) et n'ont jamais été conçus pour être complémentaires.
SME a été conçu pour assurer seul les fonctions de serveur et gateway. La fonction gateway est désactivable (comme beaucoup d'autres services) parce que pas toujours utile,
pas pour être remplacée.
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)
Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)