IPCOP ! partager et sécuriser votre connexion

[Limp]

Salut à tous, après avoir lu le topic je me dis que c'est peut être la solution pour chez moi.

Dans ma chambre j'ai un pc AThlon XP (avec XP pro sp2), dans le salon un Athlon t-bird (avec XP Pro sp2), et dans la chambre à ma soeur un pentium III 500 avec DD 40 Go (xp pro SP2).

Tout les pcs ont des cartes D-link en 802.1G, et le l'acces point D-link est branché sur mon routeur ADSL.

Maintenant, vu que ma soeur va partir d'ici peu, je pensais transformer son ordi en serveur imprimante, et de fichiers.

Le partage de la connection ADSL marche sans autre, mais je n'arrive pas à partager des fichiers, et les imprimantes entre tous les pcs.

Donc je pensais mettre les deux imprimantes (une photo et une noir Laser) sur le pentium, que j'allumerai quand j'en ai besoin...

Quelqu'un peut me conseiller une solution, pour qu'enfin je puisse partager des fichiers et des imprimantes. Est-ce que Ipcop permettrait cela???

merci de m'éclairer

[tomg]

Quelqu'un peut me conseiller une solution, pour qu'enfin je puisse partager des fichiers et des imprimantes. Est-ce que Ipcop permettrait cela???

merci de m'éclairer

et non , desolé mais IPCOP ne te permettra pas ce que tu souhaite !

ipcop e fait que le partage de connexion(et ce qui va avec bien sûr).

Si tu veux faire un poste dédié au partage de connexion mais qui fait aussi serveur de fichier et serveur d'impression il faudra te tourner vers d'autre distribution plus generaliste (si tu veux rester sous linux , ce que je te conseil...)

[theocrite]

Dans ce cas, je t'invite à te documenter sur la question avec

Si tu as des questions, le forum linux se fera un plaisir de t'aider.

Saches que pour ce que tu souhaites, debian semble la meilleure solution, mais ce n'est pas une distribution de débutant.

Si tu ne connais rien en linux, alors tu peut plutôt te documenter sur mandrake, fedora (ou peut être Suse).

[MatthieuF]

est ce que les mini itx Via Epia C3 800 mhz sont pleinement compatible ipcop ? (carte réseau, etc...)

merci

[tomg]

est ce que les mini itx Via Epia C3 800 mhz sont pleinement compatible ipcop ? (carte réseau, etc...)

tres bonne question que celle ci !

je n'en ai aucune idée !

il faudrait voir si cette carte est "compatible" linux ... je crois que c'est toujours le noyau 2.4 dans ipcop...

apres investir dans un tel equipement pour installer ipcop c'est quand meme un peu du luxe ! lol mais ca doit dechirer !

[FiLoUs_64]

Au pire tu met un serveur ftp sur le IPcop et ca devrait telecharger asser vite quand meme pour le transfere de fichier

[sc_net]

· Processeur 386

· 125 MO d'espace disque + 2 * taille de la RAM (minimum)

· Au moins 16-20 MO de RAM

· Carte graphique compatible VGA

· Carte réseau Ethernet

· Connexion Internet (Modem, Cable, ISDN, ADSL,...)

· Pas de support SCSI

Cela ne concerne donc pas les récentes versions 1.4 RC

Au pire tu met un serveur ftp sur le IPcop et ca devrait telecharger asser vite quand meme pour le transfere de fichier

... Non ! une passerelle c'est une passerelle ... pas un fourre-tout ...

Et puis il va s'amuser à compiler un serveur FTP sur une autre machine ... puis l'intégrer sur ipcop ...

[-rem-]

  ... Non ! une passerelle c'est une passerelle ... pas un fourre-tout ...

Allez, a mon tour maintenant... sc

Une passerelle oui, mais un serveur web qui partage son accès peut justement servir a héberger un site web ou plusieurs pour commencer, ainsi qu'une base de données pour y stocker des informations de maniere organisée, mais aussi un service ftp anonyme uniquement disponible pour le lan, afin de faciliter l'échange de données sur les différentes machines. Cela permet de mettre un serveur NFS dessus, afin que tu puisses te logguer toujours avec tes fichiers personnels, que tu sois sur ton portable, sur la machine de jeu, de surf etc... On peut aussi faire des tas d'autres choses, qui te paraissent pas si inutiles que ca certainement, comme le dhcp, le firewall etc.. etc..

C'est pour ca, j'aurais tendance a dire, si tu dispose d'une ancienne machine complete et suffisament puissante, il faut installer une debian stable ou Open BSD pour avoir un truc au top. si tu as une machine pas assez puissante, eh bien ipcop, qui reste malgré tout limité. Enfin, il faut savoir que ce fait ipcop, on peut le trouver facilement aujourd'hui regroupé en un matériel, et c'est pas si cher, et plus économique. Les risques de plantages sont bien inférieurs, la consommation electrique quasi-nulle et l'administration est simplifiée.

[sc_net]

lol ...

Le probleme n'est pas de savoir ce que peut faire tel ou tel distib ...

Allez va pour une passerelle firewall + NDS + NFS + server web + server FTP + server samba si tu veux ...

Bien que ce soit un produit grand publique, Ipcop est un très bon firewall qui rivalise avec des checkpoints ou autres pix ... qui dit firewall, dit sécurité et en sécurité on ne mélange pas les torchons avec les serviettes ...

La règle est : 1 serveur, 1 fonction ... plus il y a de service sur un serveur, plus celui-ci est vulnérable.

C'est pour cela qu'il faut restreindre Ipcop à sa fonction première : le firewall.

NB : sinon effectivement il y a un serveur web sur Ipcop et c'est justement ce que l'on peut lui repprocher ...

[-rem-]

ouahou... merci pour la lecon...mais m'en veux pas si je ne la note pas quelque part....je fais confiance à mon expérience et aux maitres qui m'on enseigné l'art de la sécurité... ( contributeur Squid entre autres... )

[tomg]

pas la peine de tergiverser la dessus pendant des heures !

vous avez tout les 2 deux un peu raison !

apres tout depend des connaissances de chacun:

-tu es un pro en linux ==> y'a pas photos ! tu monte tout ce que tu veux comme tu le sens

-tu es un nul en linux mais tu te soigne ==> un petit ipcop et tu es protégé comme un grand !

Enfin, il faut savoir que ce fait ipcop, on peut le trouver facilement aujourd'hui regroupé en un matériel, et c'est pas si cher, et plus économique. Les risques de plantages sont bien inférieurs, la consommation electrique quasi-nulle et l'administration est simplifiée.

perso les modem/routeur c'est pas la joie !

mon netgear dg814 me sert de switch ! c'est pour dire !

ipcop est quand meme plus évolué et fonctionnel qu'un modem routeur !

et tres economique si tu as deja du vieux matos ! et ca ne consomme pas tant que ça ....

[-rem-]

Bah.... Je vais pas pas flingué Ipcop sur ce topic Tomg, mais les routeurs/firewall hardware qu'on fait aujourd'hui sont plutot pas mal et simple. Ca marche bien et c'est suffisant pour 95% des utillisateurs. Ce que j'apprecie par contre avec ipcop c'est que c'est une maniere d'amener un peu les gens sous linux, ca c'est cool. Et c'est toujours mieux d'avoir un firewall ipcop a base de linux plutot qu'un machine M$ directement reliée au net...

  pas la peine de tergiverser la dessus pendant des heures !

vous avez tout les 2 deux un peu raison !

Ben tu sais, la sécurité réseau je veux bien en parler des heures, je suis ingénieur dans le domaine, j'en fait tous les jours dans un réseau énorme...Je connais donc tres bien certaines subtilités réseau, mais meme si sc_net a a moitié raison dans le sens ou plus tu as de services qui tournent plus tu as de faille potentiellement, je dirais que ca reste tres discutable. Car tes services sont visibles sur ton Lan ou ton VPN, mais pas de l'exterieur, donc ce ne sont pas failles exploitables a distance. M'enfin, passons, je vous laisse sur vos idées.

[bernardo]

Salut!

Question con du newbi parano: Une fois ip cop installé en passerelle, je peux me passer de zone alarm sur les clients windoz ?

Bernardo.

[-rem-]

Ca va dépendre de la granulartité d'ipcop ( précision avec laquelle tu peux le régler ) mais aussi de tes applis windaube. Par exemple, media player qui veut aller voir si y a des nouvelles versions disponibles, eh bien je pense que ipcop le laisse sortir. Donc, dans ce cas, zone alarm est necessaire sur les postes clients afin de les controler un peu plus...pour les rendre moins bavard.

Par contre, niveau hack de la machine, il est protégé, car il a une @ip non visible sur internet, et il faudrait d'abord hacker ipcop, pour pouvoir ensuite hacker ta machine xp, ce qui sera un jeu d'enfant apres s'etre fait ipcop.

[sc_net]

Car tes services sont visibles sur ton Lan ou ton VPN, mais pas de l'exterieur, donc ce ne sont pas failles exploitables a distance.

Oui mais un firewall ne garantie absolument pas une sécurité à 100%.

Il empeche les pseudo hackers de rentrer (heureusement qu'ils sont majoritaires :-) , mais face à un expert ce n'est qu'une question de temps... pour une entreprise il faut s'attendre à la pire des menaces.

Question con du newbi parano: Une fois ip cop installé en passerelle, je peux me passer de zone alarm icon_redface.gif sur les clients windoz ?

Je serais plus catégorique ... La réponse est non.

Ipcop travaille sur les couches réseaux, un zone alarm fait office de protection au niveau applicatif (même si il y a une gestion réseau) ...

Protéger l'entrée de son réseau, mais protéger aussi les postes clients ...

Parce que avoir un firewall à l'entrée du réseau c'est bien, mais cela n'empeche pas de se chopper des troyens (en surfant sur les sites warez ou autres xxx par exemple, surtout quant on a les droits admins : même pas besoin s'attaquer à quoi que ce soit, le gars va se chercher tout seul les merdes) ...

[-rem-]

ouais, sc_net, ceci etant dit, son ipcop s'il est bien configuré il empechera les spyware d'emettre n'importe ou sur n'importe quel port... donc, ca ne vaut pas un firewall applicatif, je te l'accorde, mais c'est tout de meme mieux que rien. En fait, sur mon lan, mon serveur web qui partage sa connexion n'autorise pas les clients windaube a aller sur internet; il ne forwarde pas du tout, il drop les paquets.

Oui mais un firewall ne garantie absolument pas une sécurité à 100%.

Il empeche les pseudo hackers de rentrer (heureusement qu'ils sont majoritaires :-) , mais face à un expert ce n'est qu'une question de temps... pour une entreprise il faut s'attendre à la pire des menaces.

comme je te l'ai deja dit, je suis tres bien placé dans le domaine, je bosse sur les serveurs centraux d'ung rand groupe bancaire. La sécurité, on est au tip top, mais simplement, le cout on n'y regarde pas. Chez moi, mon firewall iptables/ipconntrack est une script assez carabiné, mais mon serveur sert aussi a d'autres choses, je vais pas mettre en place 5 serveurs chez moi pour un qui fait firewall, un qui fait site web, un NFS ...etc... Tout est relatif. Le mec qui installe un serveur perso chez lui n'a pas les memes pretentions ni les memes besoins ! Et conernant la sécurité ipcop qui ne ferait que firewall par rapport a ma debian stable configurée avec soin, je pense que la sécurité se vaut. D'ailleurs, ce n'est pas tres comparable, car j'héberge apache + ssh ², mais sinon, expliques moi comment tu fait pour rentrer sur ma machine, sur laquelle j'utilise iptables + ipconntrack ( script ) + stratégie du black hole ? Ma machine est absolument ivnvisible sur le net, elle "aspire" les requetes sans meme y répondre, les meilleurs nmap se cassant les dents dessus ? C'est quasiment comme si elle était éteinte dans ces conditions la !

[bernardo]

expliques moi comment tu fait pour rentrer sur ma machine, sur laquelle j'utilise iptables + ipconntrack ( script ) + stratégie du black hole

C'est un défi?

Merci à vous deux, je pensais le contraire en fait, mais j'avais un doute pour les apps "bavardes".

Mais ipcop, il a iptable, alors ou est le problème entre vous deux?

C'est quoi ipconntrack et black hole?

Merci encore.

Bernardo.

[-rem-]

C'est un défi qui ne peut etre releve tout simplement parce que la machine n'est pas visisble du tout sur internet, meme avec les nmap les plus scabreux. Par contre, tu ne peux avoir de services web accessibles sur internet du coup.

[sc_net]

Histoire de me mettre Rem définitivement à dos ... :-)

C'est un défi qui ne peut etre releve tout simplement parce que la machine n'est pas visisble du tout sur internet, meme avec les nmap les plus scabreux.

Je te propose d'envoyer un message sur les newsgroups du genre : "Rem's security challenge" ...

On verra combien de temps ta forteresse tiendra ... pour peu qu'il y ai quelqu'un qui s'y intéresse ...

Je ne prétends pas être expert en la matière (très très loin de là à vrai dire), mais j'ai appris une chose en sécurité, c'est la modestie ...

Parce que à ce jeu, il y a toujours quelqu'un de plus fort que soi ... et même plus qu'on ne le croit ... et si c'est un de ces gars là qui nous a dans le colimateur, c'est alors une question de temps. (même le pen-tagone s'est déjà fait pénétrer ...)

C'est quoi ipconntrack et black hole?

L'ipconntrack c'est un module de Netfilter/Iptables, par défaut il est TOUJOURS actif avec iptables, c'est ce qui permet d'avoir ce qu'on appelle un firewall Statefull par opposition des firewall Stateless (ceux de l'ancienne génération comme IPChain) ... c'est lui qui permet de gérer les connexions ( IP Connection Tracking) : à savoir, il examine les flags de chaque trame et détermine si tes paquets sont New, Related, Established ou Invalid ... cela permet de mettre en place des règles pour chaque cas.

Désactiver la gestion des connexions, reviendrait à faire du simple filtrage de port ... impensable pour un firewall de nos jour.

Quand au Blackhole, c'est simplement de fait de ne pas répondre à chaque demande (suppression pur et simple) et ainsi se faire passer pour inexistant.

Exemple : lorsque tu fais un ping, tu as 3 types de réponse

1 - ca répond ... donc le poste est présent et répond

2 - réponse du genre "host unreachable", cela sous-entends que le poste est éteint ou qu'il y a une règle qui bloque l'accès.

3 - réponse du genre "Request Time out", cela sous-entends que le poste n'existe pas ... mais cela ne veut pas dire q'uil n'existe réellement pas.

Le blackhole peut tromper quelqu'un qui ne fait pas attention, mais c'est dérisoire de croire que c'est imparable ... (c'est comme dans les jeux de stratégie avec les unités invisibles quand on n'a pas d'observateur, on sait quand même qu'ils sont là et donc on s'y prépare).

Je me répète mais, plus les règles sont restrictives et affinées, meilleur est la sécurité, moins il y aura de personnes qui pourront les outre-passer, MAIS cela ne veut pas dire que personne ne peut le faire ...

[-rem-]

Je te propose d'envoyer un message sur les newsgroups du genre : "Rem's security challenge" ...

On verra combien de temps ta forteresse tiendra ... pour peu qu'il y ai quelqu'un qui s'y intéresse ...

Ca je suis entierement d'accord ssc... Nulle machine est impénétrable. Et je ne prétends pas ce genre e chose.

Je ne prétends pas être expert en la matière (très très loin de là à vrai dire), mais j'ai appris une chose en sécurité, c'est la modestie ...

Parce que à ce jeu, il y a toujours quelqu'un de plus fort que soi ... et même plus qu'on ne le croit ... et si c'est un de ces gars là qui nous a dans le colimateur, c'est alors une question de temps. (même le pen-tagone s'est déjà fait pénétrer ...)

Encore d'accord... Ca c'est entierement vrai. toutefois, avec la technique du black hole c'est trs limité. Le problème, c'est qu'avec le blackhole tu ne peux héberger aucun service web... C'est pour cela que mon black hole n'est pas actif sur les ports Apache et sshd.

L'ipconntrack c'est un module de Netfilter/Iptables, par défaut il est TOUJOURS actif avec iptables,

Non, car tu peux ne pas insérer le modules dans le noyau. Il y a bien disctinct le module ip_tables et ip_conntrack. Et modprobe ou insmod ip_tables n'inclut pas ip_conntrack. De plus, si dans tes regles de firewall tu n'inclus pas explicitement les options liées au suivie de connection, ( -m --state ... ) et bien ton module ipconntrack peut tres bien etre chargés mais mal utilisé.

Je conviens avec toi qu'il n'y a pas de machine inviolable, mais conviens avec moi que pour un particulier tu peux héberger autre sur le serveur qu'un partage de connexion internet avec un firewall... C'est pas du domaine professionnel.

[tomg]

IPCOP vient de passer en version stable !

voici le post sur ixus

bonne installation !

[MatthieuF]

et voici le post sur PC INpact

[Ben.Totoro]

Salut tlm !

J'ai un routeur Linksys BEFSR41 (eud'base) qui freeze dès que je stresse un peu (ce qui est normal vu que c'est un routeur de base)

Bref, j'ai envie de changer et la soluce PC + IPCop me semble interessante.

Ma question de noob est la suivante : pensez vous que l'on puisse installer facilement IPCop sur un vieux portable ? Les drivers ne vont-ils pas poser de problème ?

Merci de votre aide

Cordialement

Totoro

[tomg]

Tout d'abord merci hoderaz pour ton post ! ça a bien boosté le topic !

Ma question de noob est la suivante : pensez vous que l'on puisse installer facilement IPCop sur un vieux portable ? Les drivers ne vont-ils pas poser de problème ?

a priori il n'y a pas de probleme a mettre ipcop sur un portable ... c'est peut etre un peu moins pratique ...

decrit le matos de ton portable stp.

si tu as des cartes reseau en pcmcia, cela devrait passer tout debout !

[fredragon]

doit on mettre un switch entre la machine ipcop et les autres machines, ou bien est il aussi simple de mettre une carte reseau par pc a connecter, dans la machine ipcop? (en supposant que j ai effectivement le nombre requis de cartes reseaux...)

si on peux mettre plusieurs cartes reseau, est ce plus compliqué a configurer (en admettant qu elle soit toutes reconnues par ipcop), et cela permet il d apporter des fonctions (comme le fait de placer des pc a d autres niveau de sécurité par rapport a d autre, mais peut ere que le système par switch le permet aussi?)?

comment ca marche un switch? au niveau de son role et de sa configuration?

@+