SME+Ipcop : Précisions sur mon point de vue

[sibsib]

Hello,

Bien que moins virulent que JiBé (Ben oui ), je suis également un adepte de la solution SME tout en un.

Ceci dit, chacun voit midi à sa porte, et il n'existe pas dans l'absolu de 'bonne' ou de 'mauvaise' solution.

Je me permet simplement de rappeler ce que j'ai déjà eu l'occasion d'écrire :
Si on met un IPCop (ou n'importe quel autre firewall) + SME (ou n'importe quel autre serveur de mail + web) pour augmenter la sécurité, on devient de fait seul responsable de la sécurité de l'ensemble : Comme il faudra forcément percer le firewall (un peu) pour atteindre le serveur qui est derrière, la configuration sera 'unique' et donc, son admin sera seul face à un problème de sécu.

J'avoue humblement que je ne fais pas aussi confiance que çà. Je préfère que le concept de sécurité de mon système soit un concept utilisé et éprouvé par de nombreuses personnes.

Encore une fois, c'est un point de vue, ni l'évangile ni un troll (tiens, on peut les mettre dans une même phrase, ces deux là ?).

A+,
Pascal

[micjack]

Salut,

J'ai le souvenir d'un topic sur la question, et l'avis sur les raisons et/ou du choix...
--> http://forums.fr.ixus.net/viewtopic.php ... highlight=

PS: La vache, tu fais toujour aussi long Jibe j'ai franchement pas encore tout tout lu, mais comme ton topic fait reference à un autre, il faut en plus eplucher et faire la relation ...

[jibe]

Salut,

Bon, ben si même sibsib me trouve virulent
Je dois être comme M. Jourdain qui faisait de la prose sans le savoir
Désolé... Je l'ai dit, ce n'était pas mon intention... Je ne pensais pas qu'avoir un point de vue bien arrêté soit un manque de respect à ceux qui ont d'autres idées...

@micjack :
J'ai volontairement pas fait de lien sur "l'autre topic" dont tu parles, parce que ce n'est pas le seul et que j'ai pensé que ça indisposerait moins l'intéressé. J'espère ne pas m'être aussi trompé sur ce coup.

Quant au topic que tu cites, je n'en avais qu'un vague souvenir et n'ai pas pris le temps de le rechercher. Merci de l'avoir retrouvé et signalé

Je vois qu'à l'époque, j'étais un peu moins inconditionnel. Dois être comme les bourgeois : m'arrange pas en vieillissant
Faut dire qu'entre-temps, j'ai vu plusieurs cas qui m'ont fait un peu revoir ma position, non pas à cause de la qualité des distrib, mais bien à cause de la complexité de mise en oeuvre d'une config mixte. Comme dit sibsib, il est facile de créer des trous de sécurité à l'insu de son plein gré, et personne n'est là pour tirer la sonette d'alarme....

[fraedhrim]

Pour mettre les choses aux points puisque je pense faire partie du public que tu vises ( ) je dirais que je ne suis un inconditionnel ni de SME ni de IPCOP en priorité. Comme tu le dis en substance "aux bons travaux, les bons outils". Seulement justement je tenais à faire un petit rappel (du haut de ma très petite expérience de IPCOP niveau débutant à moins manchot) sur l'intérêt d'IPCOP. Et c'est vrai que ta réponse un peu sèche m'a surpris.... Mais bon on s'est mal compris.

Après aujourd'hui ce qu'il faut savoir (si tant est quand ne s'en fiche pas un peu ) c'est que j'ai une SME et que si je n'avais pas eu à faire du WiFi la beauté serait surement en gateway sans que j'en fasse une jaunisse.
Au boulot je suis d'ailleurs en train d'en déployer une pour faire gateway/server. "La Cause" progresse. A mort les appliances obscures et hors de prix !

En conclusion cet échange a été très intéressant en fait. Du coup on se connait un peu mieux je pense et ça m'évitera de prendre de travers certaines réponses un peu abruptes (bien normales en fait vu le nbre de posts que tu dois suivre).

Sur ce à bientôt sur d'autres topics tout aussi intéressants.

A+

[sibsib]

Bon, ben si même sibsib me trouve virulent

Salut JiBé,

Désolé, je plaisantais !!!

De fait, je ne crois pas t'avoir lu un jour virulent, mais souvent passionné

Mais je te lis toujours avec intérêt. De fait, je lis toujours les threads passionnels (informatiquement parlant, j'entends, Voici et Gala un peu moins) car toute opinion exprimée honnetement me semble toujours source d'intérêt. Il y a toujours quelque chose à en tirer, l'informatique a ceci de 'bien' que les certitudes ne restent jamais en place bien longtemps ! (Qui sait JiBé, nous installerons peut-être bientôt des IPCop chez nous )

Donc, je suis pour les débats, même si çà 'fritte' parfois un peu.

A+, tous et bons débats
Pascal

[Nemric]

Salut,
Je comprends bien ton point de vue. il est tout legitime.

maintenant chacun sa facon de faire. j'ai les 2, ipcop depuis plusieurs mois, et sme depuis 3 jours
du coup, jusqu'a maintenant, je frequentait plutôt le forum ipcop voisin (grace auquel j'ai trouvé SME, certains du forum le recommandent ).
Dans ce forum on voit des posts demandant ou sont les add-on samba, ftp, http et même emule pour ipcop.
la reponse ne se fait pas attendre : ipcop est un firewall++ routeur++, et tout ajout de fonctionnalités serveur reduit d'autant la securité ! hors sujet mais bien vrai !

effectivement, je ne peu m'empeché d'être d'accord avec cette opinion, puisque la securité au niveau IP "c'est facile" , mais au niveau application c'est autre chose et c'est pour ca que dieu crea la dmz.

alors ok : pas de sme piraté a ta connaissance, pas d'ipcop non plus j'imagine, alors on dit : egalité ! ex aequo ! <baisse la tetes et serre les dents> on a des serveurs linux et on sait pourquoi ... </baisse la tetes et serre les dents>

mais dans l'absolu, il est potentiellement plus facile de hacké samba sur un serveur ou il y a samba, et plus facile de piraté la zone sure (verte de ipcop) a partir du firewall que de la zone dmz (orange chez ipcop). la je ne parle que de theorie, je ne suis pas tellement pro mais ca semble logique.

je n'est pas d'autres arguments, a part que j'avais 2 vieux 200 mhz et qu'avant mardi j'avais pas besoin de serveur smtp/imap, mysql

Nemric

[jibe]

Salut,

Merci à ceux qui me soutiennent et me rassurent

De fait, je ne crois pas t'avoir lu un jour virulent, mais souvent passionné

Ben... Comme parfois certains interprètent mal mes propos, je me demandais si ma passion ne me rendait pas inconsciemment virulent... Et comme j'avais pondu ce post pour tenter de rassurer fraedhrim qui, justement, me trouvait un peu agressif, je me suis inquiété

Désolé, je plaisantais !!!

J'aurais pourtant bien dû m'en douter : c'est effectivement une vieille habitude entre nous.
Mais d'ordinaire, tu ponctues tes plaisanteries d'une série de smilies... Donc, pour éviter toute incompréhension à l'avenir, nous ponctuerons nos plaisanteries d'une série d'au moins 10 smilies

Mais bon on s'est mal compris.
[...]
En conclusion cet échange a été très intéressant en fait.

Merci pour ton post rassurant
En fait, je n'ai pas eu conscience de répondre sèchement... Comme quoi, de la passion à la virulence...

Pour revenir dans le topic et répondre plus particulièrement à Nemric, je reconnais tout à fait que plus on met de services, plus on augmente les risques de failles de sécurité. Mais lorsqu'on a besoin de ces services, je ne suis pas du tout certain que séparer les fonctions passerelle et serveur apporte plus de sécurité, à moins d'être vraiment un spécialiste de la question, ce qui n'est pas le cas de beaucoup d'ingés réseau (même s'ils en ont de bonnes connaissances) et donc encore moins du gars un peu débrouillard qui installe le réseau de sa PME. Une solution "tout en un" bien conçue, à laquelle a participé une équipe de spécialistes de la sécurité me parait préférable. Comme le dit si bien sibsib : un montage mixte sera toujours une solution "maison" dont la sécurité dépend totalement des compétences de celui qui l'installe...

Donc : pour passerelle seule, Ipcop et SME (dont on peut désactiver les services) sont à peu près aussi sûres l'une que l'autre, mais Ipcop l'emporte parce que plus spécialisée pour cela.
Pour serveur + passerelle, SME seule ou alors d'autres solutions plus onéreuses et nécessitant de solides compétances, solutions dans lesquelles je pense que d'autres distribs sont mieux placées que SME.

[dsbsystem]

Salut,

Donc : pour passerelle seule, Ipcop et SME (dont on peut désactiver les services) sont à peu près aussi sûres l'une que l'autre, mais Ipcop l'emporte parce que plus spécialisée pour cela.
Pour serveur + passerelle, SME seule ou alors d'autres solutions plus onéreuses et nécessitant de solides compétances, solutions dans lesquelles je pense que d'autres distribs sont mieux placées que SME.

Bon, je ne peux m'empêcher d'y mettre mon petit grain de sel : A mon humble avis, IPCOP et SME sont complémentaires plus que "concurrents" : en désactivant la fonction firewall de SME et en laissant le soin à IPCOP de faire ce pourquoi il a été développé, on obtient, dans sa catégorie, un ensemble Firewall Proxy Passerelle Web Mail Web tout à fait performant en PME PMI

Il existe certes mieux mais .... à quel coût ?? !!

Bien à vous tous,

[soprom]

Comme n'ai pas de connaissance en linux, j'adopte généralement une attitude "paranoïaque" en mettant la patte externe de la SME dans la zone DMZ/Orange du Ipcop. La patte interne du SME rejoint le réseau local. De cette façon je peux aussi répartir les ports entre plusieurs machines. Je suppose que la configuration gateway de la SME s'applique surtout lorsqu'elle est seule.

Peut-être s'agit-il d'un faut sentiment de sécurité. Les mises à jour de l'Ipcop ont l'avantage d'être simple tandis que les mises à jour de la SME nécessitent un suivi plus complexe. Toutefois, avec l'arrivée de la dernière version, cette difficulté d'identifier les mises à jour et de les appliquer sera sans doute éliminée (comme dans le temps des mises à jour de la version 5). À ce moment, le Ipcop risque de devenir moins pertinent.

Je lis votre discussion avec un vif intérêt!

[fraedhrim]

Mais si ta machine SME est compromise tu donnes directement accès à ton LAN !

Le but de la DMZ c'est justement que les machines à l'intérieur n'aient aucun accès au LAN pour le cas où elles sont compromises. Dans ces conditions ta DMZ ne te sert à rien à mon sens. Autant mettre la SME dans ton LAN ou même par soucis d'économie de temps et de moyens ( ) mettre une SME seule. Tu n'ajoutes pas de sécurité en faisant comme ça.

A débattre.

[jibe]

Salut,

en désactivant la fonction firewall de SME et en laissant le soin à IPCOP de faire ce pourquoi il a été développé, on obtient, dans sa catégorie, un ensemble Firewall Proxy Passerelle Web Mail Web tout à fait performant en PME PMI

Tous les avis sont dans la nature !
Perso, je pense :
En supprimant Ipcop et en laissant le soin à SME de faire ce pourquoi il a été développé, on obtient, dans sa catégorie, un ensemble Firewall Proxy Passerelle Web Mail Web tout à fait performant en PME PMI.

Mais pourquoi diable remplacer l'excellent firewall de SME par celui, non moins excellent certes, mais plus difficile à configurer d'Ipcop ?

Si vous avez un camion, parce que du volume ou du poids à transporter, le faites-vous tirer par une voiture sous prétexte que la voiture est meilleure routière ?

En mettant une Ipcop devant une SME, non seulement vous vous mettez dans la situation décrite par sibsib, mais en plus vous donnez la possibilité de modifier le firewall et donc, à moins que ce ne soit un spécialiste (payé selon ses compétences, donc très cher) qui le fasse, la possibilité d'ouvrir de grosses failles de sécurité. Le firewall de la SME a été mis au point par de grands spécialistes mondialement reconnus, et n'est pas modifiable, mais auto-configurable.

Certes, ceci dit, une Ipcop configurée par un grand spécialiste pourra probablement faire mieux que le firewall auto-configuré de la SME. Mais à quel prix ?

Quand on m'aura prouvé qu'un ensemble Ipcop + SME installé et configuré par un cadre d'une PME a des avantages par rapport à une SME seule (installée et configurée dans les mêmes conditions, bien sûr), je reverrai ma position. Mais pour le moment, j'ai beaucoup d'affirmations, voire d'accusations de sectarisme, mais peu d'explications autres que "l'Ipcop est un excellent firewall". Sorry, la SME aussi, même s'il est moins visible ! Bon, j'arrête avant de devenir virulent

Comme n'ai pas de connaissance en linux, j'adopte généralement une attitude "paranoïaque" [...]. Je suppose que la configuration gateway de la SME s'applique surtout lorsqu'elle est seule.

Peut-être s'agit-il d'un faut sentiment de sécurité.

Voilà pourquoi je me bats et me battrai contre cette fausse bonne idée d'associer Ipcop et SME et que je le fais avec passion, voire virulence (fraedhrim a bien compris que je me bats contre les idées, non contre leurs auteurs ). On voit de plus en plus de gens, comme soprom, qui associent les deux distrib simplement parce que le bruit court que c'est meilleur au niveau sécurité. Tout le monde n'est pas expert en sécurité. D'ailleurs, ceux qui le sont admettent que l'association est délicate et susceptible d'être pire que mieux...

Que dans certains cas l'association puisse être aussi bonne ou meilleure qu'une SME seule, c'est possible je pense. Mais que ceux qui le prétendent n'oublient pas de préciser que la solution est bonne pour leur cas précis et qu'elle doit être mise en place par un spécialiste de sécurité, les risques d'introduire une faille dans la configuration de l'ensemble étant loin d'être négligeables.

Et pour les amateurs (dans le sens non péjoratif), dirigeants de PME et autres installateurs non professionnels de serveurs et passerelles, mettez-vous bien dans la tête que plus vous multipliez les machines, plus vous augmentez la complexité de la configuration et donc les risques de créer des trous de sécurité. L'idée qu'il vaut mieux séparer les fonctions ne doit arriver qu'après celle que la sécurité est une affaire de spécialistes, et qu'un ensemble à fonctions séparées ne peut être configuré valablement (et donc devenir meilleure qu'une solution "tout en un") que par un spécialiste. Pour les cas où c'est un non-spécialiste qui fait l'installation, une solution "tout en un" est une garantie de cohérence et donc - dans ce cas précis : installation par un non spécialiste - la meilleure garantie de sécurité.

Un camp militaire est certes plus sécurisé qu'un immeuble avec digicode. Mais on ne fait pas un camp militaire en reliant entre eux divers baraquements, aussi blindés soient-ils : chaque passage de l'un à l'autre est un point faible... Si on veut plusieurs logements sûrs et communiquants sans adopter la technique militaire, l'immeuble avec digicode sera préférable.

:shock:

Mais si ta machine SME est compromise tu donnes directement accès à ton LAN !

Le but de la DMZ c'est justement que les machines à l'intérieur n'aient aucun accès au LAN pour le cas où elles sont compromises. Dans ces conditions ta DMZ ne te sert à rien à mon sens. Autant mettre la SME dans ton LAN ou même par soucis d'économie de temps et de moyens ( ) mettre une SME seule. Tu n'ajoutes pas de sécurité en faisant comme ça.

A débattre.

Tout à fait d'accord ! Et pourtant, ce type d'architecture est courant parmi les défenseurs de la solution Ipcop + SME ! Preuve que certaines idées totalement infondées circulent sur le sujet.

J'ajoute que dans une PME (public visé par SME), le serveur (la SME) sert pour le courrier, l'intranet, le partage de fichiers et bien d'autres fonctions qui nécessitent un raccordement au LAN. Donc, si on ajoute une Ipcop, on se trouve exactement dans ce cas. A moins bien sûr de configurer l'Ipcop pour qu'elle filtre tout et que les accès du LAN vers la SME soient sous son contrôle, mais je ne sais pas si c'est possible. En tous cas, c'est rarement ce qui est fait : on met la SME dans la DMZ d'un côté, et sur le switch de l'autre...

Les mises à jour de l'Ipcop ont l'avantage d'être simple tandis que les mises à jour de la SME nécessitent un suivi plus complexe.

Là, je concède très volontiers le point à Ipcop ! Le problème est bien réel, lié à l'histoire de la SME... Comme dit soprom, la version 7 devrait y remédier.
Mais même en attendant, la facilité de mise à jour est-elle une garantie de sécurité ? Si une grosse faille a été ouverte dans le firewall, les mises à jour n'y pourront rien... Cela dit, c'est vrai que c'est un élément qui va dans le bon sens.

Pour conclure, je réaffirme ce que j'ai dit et répété : Ipcop et SME sont concurrents (enfin, même pas : ils ont des spécialités différentes...) et n'ont jamais été conçus pour être complémentaires. SME a été conçu pour assurer seul les fonctions de serveur et gateway. La fonction gateway est désactivable (comme beaucoup d'autres services) parce que pas toujours utile, pas pour être remplacée.

[antolien]

Tout ça c'est trop long à lire pour les modérateurs

[jibe]

Désolé...

[wantoo]

Ouch ! C'est vrai que c'est long Jibe... Mais très interressant

Ceci dit, les entreprises actuelles, y compris les petites à forte croissance, évoluent dans un environnement informatique extrêmement changeant. Des besoins de stockage de plus en plus importants, des commerciaux "nomades" en Wifi, des segmentations du LAN pour des raisons de confidentialité...etc.

Alors, d'accord avec toi qu'il faille à un moment ou un autre un "spécialiste" pour régler le bazar, mais nous sommes dans le monde de l'Open Source pour tailler des croupières aux abominables hommes du marketing qui font passer des vessies pour des lanternes à nos pauvres PME dans le domaine de la sécurité... Allez voir les prix d'une SourceFire, un appliance IDS basé sur Snort !!! C'est hallucinant.

Donc, pour revenir au sujet, je suis personnellement pour cette association IpCop + SME car cela offre une pérennité technique à une PME qui grossit et dont les besoins évoluent.

Au départ, la Cop protège le LAN (vert) et héberge la SME dans sa DMZ (orange)
* On règle la Cop pour ne pas gêner la SME dans ses fonctions traditionnelles
* On blinde le pinhole (vert->orange) pour laisser un accès admin depuis le LAN

L'entreprise explose en besoins de stockage, là la SME (samba) est à la peine
* On installe un "filer" du style Openfiler sur un serveur dédié SATA-RAID-HotSwap que l'on place dans le LAN si personne ne doit accéder de l'extérieur (FTP) ou dans la DMZ si le contraire
* On règle SME et Cop pour cette config et le filer pour que la SME ait l'autorité d'autentification
Pour le client, ça ne change rien. Il voit un (gros) espace disque de plus sur son brin.

L'entreprise se paie des commerciaux tout partout en France et ceux-ci reviennent au bercail régulièrement. Ils ont un "bureau des nomades" arrosé par du WiFi...
* On inaugure un port réseau inutilisé jusque-là : l'interface bleue de la Cop
* On place un nouveau serveur dédié à la sécurisation du WiFi, genre ZoneCD (besoins simples) ou Chillispot (plus sécurisé, Radius) sur un autre adressage IP
* On règle les accès des nomades pour cette config

Et là, je dis d'accord, c'est compliqué pour l'entreprise ! Mais, reprenons :

* Au départ, l'entreprise est petite et personne n'y comprend rien... Il leur faut le soutien d'un support technique externe qui fait les réglages et surveille le bazar. On signe un support annuel et on envisage les premières formations internes.
* A partir d'un certain niveau de besoins, l'entreprise va devoir embaucher une personne spécifiquement dédiée à cette tâche... Un admin que l'on forme aux outils et aux concepts.
* Bientôt, on passe le bébé ! On est en Open Source et la communauté est bien réelle . L'entreprise est presque autonome.
* L'entreprise n'a besoin d'un support externe que pour les "coups" techniques un peu durs, genre 1 ou 2 fois l'an... Et zou on a éduqué un client cro$oft

Voilà pourquoi, à mon humble avis et ma petite expérience, il est préférable de commencer par un duo IpCop/SME en terme de pérennité.

PS: Désolé, finalement, j'ai fait long moi aussi...

[Nemric]

Salut,

Quand on m'aura prouvé qu'un ensemble Ipcop + SME installé et configuré par un cadre d'une PME a des avantages par rapport à une SME seule (installée et configurée dans les mêmes conditions, bien sûr), je reverrai ma position

je te le prouve en te citant

je reconnais tout à fait que plus on met de services, plus on augmente les risques de failles de sécurité.

Quand t'as dit çà, t'as tout dit jibe !

surtout que les attaques se font au niveau application et pas au niveau IP ! Bloquer un port ou une adresse ip tout les firewall le font, un petit lynksys pas cher le fait tres bien, c'est "facile".

DNS SPOOF query response with TTL of 1 min. and no authority

SCAN UPnP service discover attempt

WEB-MISC robots.txt access

MS-SQL version overflow attempt

Ce sont des logs de snort, le detecteur d'intrusions que je trouve pas dans sme (c'est un add-on ?!? chapeau pour un firewall) qui montre bien tout ce qu'on se prend comme "attaques" (tout ce que snort log n'est pas necessairement une attaque) sur des ports ouverts !

Ta virulence sert a faire passer les affirmations sans arguments, ou avec des arguments contradictoires :

mais peu d'explications autres que "l'Ipcop est un excellent firewall". Sorry, la SME aussi, même s'il est moins visible !

je comprend bien ? sme est un aussi bon firewall mais moin visible que celui d''ipcop ? alors ipcop est mieu non ?
et puis, çà c'est de l'argment !

Sorry, la SME aussi

et sans deconné, les serveurs (http ; ftp ; samba ; mail ; nfs ; ssh ; sql ; cups ...) en dmz mais sur le même disque dur que le firewall / routeur ou seule la ligne de commande permet de voir les ports ouverts ! c'est limite ! surtout a mon niveau de debutant linux non expert en secu ! je prefere le tableau clair net et précis d'ipcop. De plus pas besoin d'être un pro pour ouvrir 4 ports en dmz !

ok avec dsbsystem

IPCOP et SME sont complémentaires plus que "concurrents"

le firewall est a SME ce que samba est a ipcop : un accessoire !

Nemric