IPCOP sur un nouveau serveur

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

IPCOP sur un nouveau serveur

Messagepar jdhog » 02 Fév 2011 16:56

Bonjour,

Je suis utilisateur d'IPCOP depuis plusieurs années sur un serveur qui tournait très bien jusqu'il y a peu. Malheureusement, il est en fin de vie et il est temps de le remplacer.

Le nouveau serveur est très récent avec contrôleur SATA seulement supporté par les dernière distros Linux et cartes Ethernet en PCI express.
Comme je l'avais pressenti, IPCOP 1.4.20 ne s'installe pas du tout dessus (carte contrôleur Sata non reconnue). En revanche, la version 1.9.16 s'installe sans aucun problème.

D'où mes questions :

Est il raisonnable d'utiliser la version 1.9.16 sur un système en production dont la sécurité est primordiale ? Je peux m'accommoder de bugs sur certaines fonctions mais pas de failles de sécurité.

A t'on la moindre idée de la sortie de la prochaine version stable (1.9.x ou 2.0) ?

Merci d'avance
Julien

PS : En attendant, je vais tester PfSense
jdhog
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 02 Fév 2011 16:46

Re: IPCOP sur un nouveau serveur

Messagepar ccnet » 02 Fév 2011 17:19

Est il raisonnable d'utiliser la version 1.9.16 sur un système en production dont la sécurité est primordiale ?

Si je me réfère à votre analyse la réponse est non.

Toutefois très souvent la demande initiale en terme de sécurité est "la sécurité maximum". Cette demande m'est souvent faite (cette semaine encore) sans qu'aucune analyse ou compréhension même un peu globale des risques n'existe vraiment. La "sécurité maximum" reste un concept très vague à mon sens si les risques et conséquences de ceux en cas de survenance ci ne sont pas identifiés.

Utiliser Pfsense v 1.2.3 me semble une bonne solution.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Re: IPCOP sur un nouveau serveur

Messagepar jdhog » 02 Fév 2011 18:02

La solution pfsense me parait aussi la plus adaptée, pfsense v1.2.3 s'installe bien sur le serveur, je vais l'évaluer...

Le choix d'IPCop était plus naturel vu que je l'utilise déjà depuis plusieurs années. Si la version stable doit sortir rapidement, il pourrait être intéressant de patienter un peu avec la 1.9 béta.
jdhog
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 02 Fév 2011 16:46

Re: IPCOP sur un nouveau serveur

Messagepar recycled » 03 Fév 2011 01:01

bonsoir,

Code: Tout sélectionner
Le choix d'IPCop était plus naturel vu que je l'utilise déjà depuis plusieurs années. Si la version stable doit sortir rapidement, il pourrait être intéressant de patienter un peu avec la 1.9 béta.


les mots beta et production ne font pas bon menage et je ne suis pas sur qu'un update d'ipcop soit prévu a court terme si j'ai bien tout suivi.
donc je conseillerai aussi pfsense : on y retrouve les mêmes "plugins" : proxy, filtrage qu'un ipcop sauf les trop exotiques de ce dernier mais si vous restez dans une configuration simple, c'est ce qu'il vous faut. par contre si il faut de l'utra sécurisé , évitez le proxy sur le firewall ... (je dois faire un blocage :mrgreen: )
bon choix a vous
recycled
Second Maître
Second Maître
 
Messages: 31
Inscrit le: 06 Déc 2003 01:00
Localisation: FRANCE

Re: IPCOP sur un nouveau serveur

Messagepar jdhog » 03 Fév 2011 10:16

recycled a écrit:bonsoir,
les mots beta et production ne font pas bon menage et je ne suis pas sur qu'un update d'ipcop soit prévu a court terme si j'ai bien tout suivi.

Je suis bien d'accord avec ça et c'est pourquoi j'ai recherché des infos sur la date de release de la prochaine version stable d'IPCop.

J'ai installé et paramétré pfsense et je commence à le tester. Pas évident vu que les gens bossent et que je peux difficilement leur couper les accès à Internet dans la journée.
L'interface de pfsense est un peu plus technique que celle d'IPCop mais je commence à y retrouver mes petits. Ma configuration est relativement simple, blocages de tous les ports de Wan vers Lan, plus une DMZ avec blocage total vers Lan et ouverture de quelques ports de Wan vers DMZ. D'ici quelques temps, j'aurai surement a mettre en place un VPN.

Rien d'exotique dans tout ça et la version d'origine de pfsense doit faire l'affaire, je pense m'arrêter sur ce choix si tout fonctionne bien.

Merci pour vos conseils.
jdhog
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 02 Fév 2011 16:46

Re: IPCOP sur un nouveau serveur

Messagepar jdh » 03 Fév 2011 11:11

(Goût personnel : l'interface de pfSense est simple et intuitive, à mon goût.)

Avec pfSense, il y a quelques choses à comprendre :
- "BOT" est inclus : on écrit une règle par protocole autorisé,
- les "rules" sont classées par onglets LAN, WAN, ... : c'est l'interface sur laquelle le paquet arrive au firewall,
- dans les "rules", les règles sont traitées successivement et dans l'ordre descendant,
- les règles NAT génèrent la "rule" correspondante à la création mais pas à la modification (en v1.2.3, pas en 2.0),
- les "alias" sont là pour simplifier l'écriture, et je conseille FORTEMENT de les utiliser au maximum.


Pour des besoins usuels, la 1.2.3 convient tout à fait, même s'il y a quelques limitations (p.e. filtrage dans le vpn manquant).
Pour la 2.0, on est en BETA, et la RC-1 s'annonce. On est encore loin d'être en production : à utiliser avec prudence !
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Re: IPCOP sur un nouveau serveur

Messagepar jdhog » 03 Fév 2011 11:23

Merci beaucoup pour ces précisions. Je vais étudier tout ça.
jdhog
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 02 Fév 2011 16:46


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron