De retour

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

De retour

Messagepar iptrust » 17 Oct 2011 09:18

Bjr

De retour après quelques années ici je me pose plein de questions:

Quelles différence entre les 1.4x et 2.x de IPcop ?

Sinon j'ai tenté une install 1.4.21 avec mods addons adéquate (en virtual avec une interface loopback histoire de proteger le host)
Impossible d'installer ensuite des addons (advproxy ou autres) a chaque fois j'ai un message qui m'indique que l'addon est "out of date" ... Une idée ?

Merci
iptrust
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 18 Avr 2005 17:26

Re: De retour

Messagepar iptrust » 17 Oct 2011 10:53

Question supplementaire: je suis sur IPcop 2 maintenant, tjr en VM, cela protege parfaitement mon host (enfin un firewall portable en vm) ... mais je ne vois pas de possibilitée de faire du filtrage de contenu ?

Une idée ?
iptrust
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 18 Avr 2005 17:26

Re: De retour

Messagepar bethebeast » 17 Oct 2011 11:17

Bonjour,

Je ne suis pas sûr de comprendre, IpCop est virtualisé, c'est ça ?

Si c'est le cas, faut bien être conscient que cela n'est pas recommandable, mais alors là, pas du tout !

Dans le cas contraire, il serait appréciable de mieux détailler :wink:

@+
---
There is no place like 127.0.0.1
bethebeast
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 283
Inscrit le: 27 Avr 2008 20:18

Re: De retour

Messagepar iptrust » 17 Oct 2011 11:26

Oui IPcop est virtualisé.

L'idée est d'offrir aux utilisateurs nomades une VM qui vient sécuriser leur host .

Pourquoi faut il eviter cela?
iptrust
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 18 Avr 2005 17:26

Re: De retour

Messagepar bethebeast » 17 Oct 2011 11:47

iptrust a écrit:Oui IPcop est virtualisé.

L'idée est d'offrir aux utilisateurs nomades une VM qui vient sécuriser leur host .



Là, je comprends encore moins :?

Je ne vois pas comment on pourrait résumer nos besoins en une seule et courte phrase !

iptrust a écrit:Pourquoi faut il eviter cela?


Pour plein de raisons, mais c'est essentiellement au niveau sécurité. D'ailleurs une petite recherche sur ce même forum t'aurait apporté quelques éléments, le premier que j'ai trouvé :

viewtopic.php?t=43028

@+
---
There is no place like 127.0.0.1
bethebeast
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 283
Inscrit le: 27 Avr 2008 20:18

Re: De retour

Messagepar iptrust » 17 Oct 2011 11:58

Mouais j'adore les arguments plutôt conceptuels de "il ne faut pas" ....

Voici l'idée:

http://www.instructables.com/id/How-To- ... t-y/#step1

Je ne vois pas en quoi cela vient enfreindre les regles de secu.

Ma question etait: sur ipcop 2 est il possible d'ajouter un addon de filtrage d'url (genre listes de je ne sais plus quelle université)
iptrust
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 18 Avr 2005 17:26

Re: De retour

Messagepar jdh » 17 Oct 2011 12:11

Etant intervenant dans le fil cité, je complète :

Ipcop est un firewall, essentiellement centré sur des flux réseaux (22/tcp, 53/udp, ...).
Il n'est pas un firewall qui analyse l'intérieur d'un flux, excepté quand il comporte le proxy Squid (et pour les seuls flux gérés par Squid).

La virtualisation de machines multi-pattes réseaux est à fortement déconseiller, et donc c'est le cas d'un firewall.

La question initiale étant la différence entre v1.4(.21) et v2.0, je suppose que vous avez commencé par lire la release note.
(On la trouve sur le site d'Ipcop ou sur le fil "Sortie d'Ipcop 2.0").
la différence majeure est la version de noyau Linux (2.6 contre un vieux 2.4) : cela va permettre de supporter pas mal d'hardware récents.
Mais il est à noter que les addons usuels ne sont pas forcément encore à jour ...
Parmi ces addons, il y a celui de Franck78 pour la gestion des blacklists de Squid : j'ignore s'il fonctionne en v2.0 !


Personnellement, je préconise pour les utilisateurs nomades d'entreprises, c'est à dire avec portable, d'utiliser non un antivirus mais une suite complète antivirus-antispam-firewall-contrôle navig-contrôle applications (et piloté en central).
Ils disposent donc de leur propre protection périphérique (simplifiée) que ce soit dans l'entreprise, que ce soit à l'extérieur.

Il est à bien comprendre qu'un firewall n'est pas l'alpha et l'omega de la sécurité ...


Ce que vous cherchez c'est un proxy avec blacklist : nous recommandons de disposer d'un tel proxy par site et d'assurer que les utilisateurs passent par le-dit proxy (et que le proxy est le seul autorisé à traverser le firewall pour les protocoles).
La facilité d'avoir un proxy à l'intérieur d'ipcop est acceptable pour un nombre limité de clients. Il n'est pas très compliqué d'en créer un soit à partir d'une bête Debian soit à partir de distrib spécialisées même si cela exige quelques jours selon l'expertise de départ.
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Re: De retour

Messagepar iptrust » 17 Oct 2011 13:05

Le soucis de la solution antivirus+firewall+antispam sur les machines nomadesest que, pour le coup, il n'y a aucun cloisonnement du firewall. Je n'ai personnellement jamais compris l’intérêt d'un firewall fonctionnant directement sur le poste client.
iptrust
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 18 Avr 2005 17:26

Re: De retour

Messagepar jdh » 17 Oct 2011 13:42

Le lien indiqué décrit un "cas d'école".

La virtualisation est intéressante et assez sûre (sur un serveur dédié) mais il faut respecter quelques règles élémentaires de sécurité. De plus, il est nécessaire d'avoir une certaine expertise et une certaine hauteur de vue sur les concepts en cause.

Bien sur qu'il est possible de faire de la virtualisation sur un PC mais c'est une virtualisation très peu performante et complexe (donc risque de stabilité). Mais il faut réserver cela à du test ou de la démo. Il faut aussi voir la mémoire nécessaire et l'inévitable baisse de performance.

Par ailleurs, le lien indiqué n'évoque pas même l'install de l'addons de base qu'est BOT (intégré à juste titre dans la v2.0) : la sécurité proposée ne vaut guère mieux qu'un routeur NAT avec toute les difficultés prévisibles : pas de voisinage réseau Windows par exemple !

Jamais je ne préconiserais un firewall virtualisé sous VirtualBox (par exemple) en parallèle d'un windows seven ou XP : comment assurer que le windows n'utilise pas sa vraie interface mais celle qui lui serait présenté par le firewall virtualisé ?


Des suites antivirus avec firewall-contrôle d'applications-... il en existe pas mal !
Cela est supérieur au firewall fourni par Windows : sauf pour W2008(R2)/Seven, le firewall Windows n'est qu'un filtre en entrée, rien n'est prévu pour filtrer en sortie.
Avec ce type de suite, il serait possible d'aller jusqu'au programme autorisé en entrée et/ou en sortie.
Il m'arrive de regarder ainsi les programmes ayant accédé à Internet, PC par PC depuis la console de la suite de sécurité.
Les PC que je gère perdent généralement la possibilité de faire du partage windows hors des sites de l'entreprise (sauf pour le réseau immédiat).

Cette approche n'est absolument pas contradictoire avec un firewall central mais peut protéger du PC nomade branché sur la prise de la salle de réunion à l'insu de tout le monde et qui tenterait un scan complet de toutes les machines du réseau (la fonction firewall bloque en cas de scan manifeste avec alerte centrale).
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Re: De retour

Messagepar iptrust » 23 Oct 2011 11:17

quelle suite logiciel preconisez vous ?

Pour ma part je suis assez fan de gdata
iptrust
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 18 Avr 2005 17:26

Re: De retour

Messagepar jdh » 23 Oct 2011 15:32

Il existe pour la plupart des grand produits un suite telle que je la décris.


NB : Pour choisir une suite de sécurité, il est utile de se baser sur les critères suivant :
- qualité de l'antivirus (cf avcomparatives) : vitesse, base, ...,
- taille de l'empreinte mémoire,
- autres fonctions : scan web, firewall, ctrl applications, scan mail, ...,
- caractéristique de la console : type de réglages possibles, mode de déploiement, alertes, ...,
- prix licence,
- ...
(La pondération est affaire de choix : la console est prioritaire pour moi)
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Google [Bot] et 1 invité