Ipcop pour petite structure mais pour les grosses?

[kabouns]

Salut,

Je me demandais si ipcop était un produit destiné uniquement au PME ou alors aux grosses boites?
Si ca reste pour les petites structures pourquoi?

[SNORK]

Un DSI qui veux se faire mousser préfèrera avoir du Cisco plein la bouche plutot que : Tu prends un vieux PC, tu fait un CD en 10 mn et 15 mn plus tard, tu bidouilles en étant Matelot sur IXUS !

Comment mettre ça dans un shéma directeur !

[kabouns]

Ouai je suis d'accord mais au niveau des performances par exemple un firewall nokia (vi ca existe et c'est pas mal) c'est mieux qu'ipcop?

[jdh]

Les firewalls Nokia embarquent (embarquaient ?) une version adaptée de CheckPoint.

Il est vraisemblable que ce produit est très valable, tant en terme de sécurité qu'en performance.


Mais si la question est "est ce que c'est mieux ?", il est clair que cette question est forcément sans réponse. Cela n'a aucun sens de dire "c'est mieux" : la sécurité est remplie ou non, un point c'est tout. Et encore il faut considérer que la sécurité est le niveau de risques que l'on accepte. Et encore un IPCOP piloté par un spécialiste bien averti sera toujours moins risqué (à défaut de dire mieux) qu'un Nokia posé par un ingé système et réseau qui n'y connait rien.

Il est aussi vraisemblable que des systèmes commerciaux soit étudiés notamment pour des architectures évoluées : résistances aux pannes matériels, load balancing, ...

Par contre, il est clair que ce type de produit commercial dispose d'un support professionnel (et couteux). Pour IPCOP, il doit être possible de trouver des sociétés capable de fournir cette qualité de support (grace à des gens qui pourrait être, ou sont, de bons contributeurs d'Ixus). Mais généralement, c'est l'informaticien de la société qui apprend en installant le produit.

Il est tout aussi clair qu'un DSI choisira toujours un produit commercial s'il n'y connait rien, s'il n'a pas confiance dans son spécialiste réseau, s'il ne veut pas se le faire reprocher, ou les 3. "Je ne comprends pas, j'avais choisi Microsoft" ou encore "je ne comprends, j'avais choisi un polytechnicien" ou encore "je ne comprends pas, j'ai voté pour un énarque".

[Zimt]

C'est vrai que le coup du ieux PC n'est pas top mais tu peux toujours te rabbatre sur une workstation IBM toute carré et toute noir (j'adore ces séries ) pour mettre un IpCop bien configuré, et avec le curseur de console qui clignote à l'écran (14" si possible, ça fait super roots :p) tu sorte un joli : "oui monsieur, c'est le routeur en question".
Bien sure le chaland verra le logo IBM et tu passeras pour un grand master lol... enfin je rigole mais j'ai déjà fait ça chez un client (un industriel multi-national) et ça à super bien fonctionné.

Mais attention, comme dis SNORK, si tu veux adopter ce type de solution il faut savoir bien configurer IpCop et ne pas se contenter de l'installation de base (même si elle est déjà pas si mal).

A part ça c'est bien connu que IpCop est utilisé même dans certaines agences bancaires...

[J-J]

mais j'ai déjà fait ça chez un client (un industriel multi-national) et ça à super bien fonctionné.

Mais attention, comme dis SNORK, si tu veux adopter ce type de solution il faut savoir bien configurer IpCop et ne pas se contenter de l'installation de base (même si elle est déjà pas si mal).

A part ça c'est bien connu que IpCop est utilisé même dans certaines agences bancaires...

Tu peux nous en dire plus sur "ne pas se contenter de l'installation de base"

Que pourrais tu nous suggérer de plus ?

Merci.

[Gandalf]

Que pourrais tu nous suggérer de plus ?

D'installer un module qui bloque tout en sortie ( BOT je crois ) par exemple ! Car la politique d'IPCOP de tout laisser sortir est un peu dangereuse en entreprise quand même !

[dsbsystem]

Que pourrais tu nous suggérer de plus ?

D'installer un module qui bloque tout en sortie ( BOT je crois ) par exemple ! Car la politique d'IPCOP de tout laisser sortir est un peu dangereuse en entreprise quand même !

Entièrement d'accord et d'installer peut être aussi P2Pblock ainsi que Urlfilter ou Squidguard ...

Big brother is watching you !!

[Gandalf]

Entièrement d'accord et d'installer peut être aussi P2Pblock ainsi que Urlfilter ou Squidguard ...

Pourquoi pas ( P2P block en entreprise ? ), mais je pense qu'il faut séparer le plus possible les services dans ces cas là, donc installer un proxy en aval d'ICPOP et laisser IPCOP uniquement en firewall !

[Zimt]

Il y à aussi Guardian

[dsbsystem]

Entièrement d'accord et d'installer peut être aussi P2Pblock ainsi que Urlfilter ou Squidguard ...

Pourquoi pas ( P2P block en entreprise ? ), mais je pense qu'il faut séparer le plus possible les services dans ces cas là, donc installer un proxy en aval d'ICPOP et laisser IPCOP uniquement en firewall !

Bonjour,

Pour P2Pblock en entreprise : je suis surpris de constater que dans nombre de TPME -PME PMI les utilisateurs de PC ont des droits Admin local c'est à dire à peu près n'importe quoi installé sur les PC, car peu ou pas de contrôle soit par manque de temps, de connaisances, de moyens ou ... de motivation !

Pour le reste, à nouveau d'accord : IPCOP utilisé en tant que Firewall et uniquement Firewall puis un second niveau de filtrage dédié de type proxy webfiltering antivirus de flux ( c'est déjà beaucoup !)

C'est un peu pourquoi j'ai cherché en vain à désactver la fonction firewall routeur d'un hypothétique 2ème Ipcop placé après le premier afin de scinder les tâches et d'utiliser ce 2 ème Ipcop comme webfiltering -antivirus de flux antispam (P2PBlock-Timelimit- Copfilter+ Urlfilter + Advproxy ou Squidguard)

Hormis des produits tiers installés après Ipcop,( (serveurs passerelle ou appliance ) quelqu'un a t-il déjà tenté et réussi à interfacer de la sorte 2 Ipcop et si oui, comment et quelles règles firewall à faire sauter afin déviter du Nat sur Nat ?

Bon Week End

[leso]

en pratique tu veux passer du nat a un pont filtrant , tu remets toute l'architecture d'ipcop en défaut...
mieux vaut se prendre une petite débian avec webmin et les logiciels que l'on veut , a mon avis tu iras plus vite

[Gesp]

Pour répondre directement à la question ,je pense que les besoins des petites ou d'une grande entreprise ne sont pas les mêmes.

Une grande entreprise a besoin d'outils qui puisse se manager à distance, en groupe, ce qui n'est pas disponible dans IPCop mais peut se faire par un script visitant la liste des sites en ssh.

Et puis dans une grande entreprise, la sécurité est à couche multiples. Si squid n'est pas tout à fait à jour, on peut espérer que d'autres points du réseau protègent contre les vulnérabilités de squid.
Alors que dans une entreprise ou un seul outil gère la sécurité, il vaut mieux qu'il soit à jour!

Dans ma boite qui est dans les premiers budgets informatiques de France (ce qui n'est pas nécessairement un critère pour juger de l'efficacité), si j'en crois la bannière, squid est encore en version 2.5.stable7 ou stable4 suivant le proxy utilisé, alors qu'IPCop en est à 2.5.stable10.
Et même si c'est sous un BSD pour être plus sécurisé, vu le retard de mise à jour, je doute que le résultat global puisse être meilleur.

[VXgas]

Salut,

Tu as également MNF comme produit qui est pas mal mais l'interface est assez moche et lente.

Tu as Endian Firewall basé sur l'Ipcop. Mais mieux vaut un bon IPcop customisé (dans une certaine limite sinon la securité risque d'en patir si des failles apparaissent du fait de l'ajout d'addons).

Mais comme le disait quelqu'un juste avant, la sécurité est une question de point de vu et de sous.
Si l'entreprise a du fric à des données sensibles et ne veut pas se poser de question elle achète un truc hitech (arkoon par exemple) éprouvé avec toute les options et le fait gérer par un prestataire extérieur dont c'est le boulot : l'administrateur ne prend aucun risque et si ya un pépin c'est la faute du prestataire. Mais même ça ça reste un peu simplet car une vrai sécurité comporte des sous réseaux et plusieurs pare-feu.

Si l'administrateur a de très bonne connaissance de réseau et sécurité, il s'installe ça propre solution en veillant à ce quelle soit toujours à jour. Il peut développer des points d'écoute pour snort ou Prelude bien configurer. Les problèmes (fuites d'informations/données)viennent souvent de l'intérieur du réseau et non de l'extérieur.

Enfin bref... Faut trouver le bon rapport "niveau de données sensible"/cout d'investissement/solution à envisager.

-= VX =-

[Zimt]

C'est vrai que le plus frustrant dans un choix technique de ce genre, c'est que l'on se bat contre une sorte "d'ennemi" invisible, principalement éxterne.
Ou encore pire, des manipulations faite de l'intérieur par divers moyens (comptes, stockage, keylog, etc..), où la plus grosse erreur est peut être que beaucoup d'administrateurs sous-estimes les employés de la boite dont ils s'occupent.

Bref, tout ça pour dire (comme c'est entrevue plus haut) que la sécurité informatique d'une société ne démarre et ne s'arrete pas à la liaison interne/externe de son système de routage aussi bon soit-il (là j'invente rien), même si IpCop reste actuellement une référence en la matière

Cordialement.