Je suis "responsable" dans une association d'un réseau de 12 postes sous
windows 2000. Je voulais installer Linux, mais certains softs ne
tournent que sous windows et en plus les gens préfèrent avoir windows,
OS qu'ils ont chez eux.
- En haut j'ai un accés adsl, et collé derrière un petit modem routeur
avec tous les ports bloqués en entrée.
- Ensuite, juste aprés un étron poussif avec IPCop qui lui aussi bloque
tous les ports en entrée et autorise qq ports en sortie (http, pop,
smtp, ftp, 5222 (jabber), etc...)
- Enfin les postes sous Windows 2000 : Patché à jour, pas de partage de
dossiers, et, pour le moment Kerio 2.15 (que j'utilise depuis des années).
Que pensez-vous de cela ?
Le point faible est Kério il me semble et je continue à chercher un
petit firewall (les postes sont un "peu" vieux). gratuit si possible.
Sinon, pour le reste, c'est correct ?
Pour moi oui (à lire les autres réponses...), je serai d'avis de mener un petit test d'intrusion sur ton reseau si tu as une ip fixe... tu peux trouver gratuitement quelques site qui proposent ce genre de service sur le net...
Pour moi oui (à lire les autres réponses...), je serai d'avis de
mener un petit test d'intrusion sur ton reseau si tu as une ip fixe...
tu peux trouver gratuitement quelques site qui proposent ce genre de
service sur le net...
Pour moi oui (à lire les autres réponses...), je serai d'avis de mener un petit test d'intrusion sur ton reseau si tu as une ip fixe... tu peux trouver gratuitement quelques site qui proposent ce genre de service sur le net...
(¯`·..Yttrium ...·´¯)
"Corsica" a écrit dans le message de news: 4291d1ee$0$6828$
Bonjour à Tous
Je suis "responsable" dans une association d'un réseau de 12 postes sous windows 2000. Je voulais installer Linux, mais certains softs ne tournent que sous windows et en plus les gens préfèrent avoir windows, OS qu'ils ont chez eux.
- En haut j'ai un accés adsl, et collé derrière un petit modem routeur avec tous les ports bloqués en entrée. - Ensuite, juste aprés un étron poussif avec IPCop qui lui aussi bloque tous les ports en entrée et autorise qq ports en sortie (http, pop, smtp, ftp, 5222 (jabber), etc...) - Enfin les postes sous Windows 2000 : Patché à jour, pas de partage de dossiers, et, pour le moment Kerio 2.15 (que j'utilise depuis des années).
Que pensez-vous de cela ? Le point faible est Kério il me semble et je continue à chercher un petit firewall (les postes sont un "peu" vieux). gratuit si possible. Sinon, pour le reste, c'est correct ?
A+ et Bien le Bonjour de Corse
Bonjour,
A vrai dire, je ne suis pas sur que 3 firewall enchainés soient plus efficaces qu'un seul bien configuré.
Ma conclusion personnelle :
- Suppression du filtrage sur ton modem routeur. - Supression des Firewalls individuels installés sur chaque poste. - Optimisation et sécurisation complète de IpCop, qui , bin configuré doit largement suffir pour sécuriser un petit réseau de ce type.
Salutations.
Ps : Bien le bonjour à la Corse et aux Corses.
"Corsica" <spam.pubb2000@laposte.net> a écrit dans le message de news:
4291d1ee$0$6828$636a15ce@news.free.fr...
Bonjour à Tous
Je suis "responsable" dans une association d'un réseau de 12 postes sous
windows 2000. Je voulais installer Linux, mais certains softs ne
tournent que sous windows et en plus les gens préfèrent avoir windows,
OS qu'ils ont chez eux.
- En haut j'ai un accés adsl, et collé derrière un petit modem routeur
avec tous les ports bloqués en entrée.
- Ensuite, juste aprés un étron poussif avec IPCop qui lui aussi bloque
tous les ports en entrée et autorise qq ports en sortie (http, pop,
smtp, ftp, 5222 (jabber), etc...)
- Enfin les postes sous Windows 2000 : Patché à jour, pas de partage de
dossiers, et, pour le moment Kerio 2.15 (que j'utilise depuis des années).
Que pensez-vous de cela ?
Le point faible est Kério il me semble et je continue à chercher un
petit firewall (les postes sont un "peu" vieux). gratuit si possible.
Sinon, pour le reste, c'est correct ?
A+ et Bien le Bonjour de Corse
Bonjour,
A vrai dire, je ne suis pas sur que 3 firewall enchainés soient plus
efficaces qu'un seul bien configuré.
Ma conclusion personnelle :
- Suppression du filtrage sur ton modem routeur.
- Supression des Firewalls individuels installés sur chaque poste.
- Optimisation et sécurisation complète de IpCop, qui , bin configuré doit
largement suffir pour sécuriser un petit réseau de ce type.
"Corsica" a écrit dans le message de news: 4291d1ee$0$6828$
Bonjour à Tous
Je suis "responsable" dans une association d'un réseau de 12 postes sous windows 2000. Je voulais installer Linux, mais certains softs ne tournent que sous windows et en plus les gens préfèrent avoir windows, OS qu'ils ont chez eux.
- En haut j'ai un accés adsl, et collé derrière un petit modem routeur avec tous les ports bloqués en entrée. - Ensuite, juste aprés un étron poussif avec IPCop qui lui aussi bloque tous les ports en entrée et autorise qq ports en sortie (http, pop, smtp, ftp, 5222 (jabber), etc...) - Enfin les postes sous Windows 2000 : Patché à jour, pas de partage de dossiers, et, pour le moment Kerio 2.15 (que j'utilise depuis des années).
Que pensez-vous de cela ? Le point faible est Kério il me semble et je continue à chercher un petit firewall (les postes sont un "peu" vieux). gratuit si possible. Sinon, pour le reste, c'est correct ?
A+ et Bien le Bonjour de Corse
Bonjour,
A vrai dire, je ne suis pas sur que 3 firewall enchainés soient plus efficaces qu'un seul bien configuré.
Ma conclusion personnelle :
- Suppression du filtrage sur ton modem routeur. - Supression des Firewalls individuels installés sur chaque poste. - Optimisation et sécurisation complète de IpCop, qui , bin configuré doit largement suffir pour sécuriser un petit réseau de ce type.
Salutations.
Ps : Bien le bonjour à la Corse et aux Corses.
(¯`·..Yttrium ...·´¯)
a écrit dans le message de news:
Pour moi oui (à lire les autres réponses...), je serai d'avis de mener un petit test d'intrusion sur ton reseau si tu as une ip fixe... tu peux trouver gratuitement quelques site qui proposent ce genre de service sur le net...
Bonjour,
Attention, les sites en question ne proposent pas des test d'intrusion, juste des scans d eport, cela n'a rien à voir...!! Salutations.
<jdujar10@voila.fr> a écrit dans le message de news:
1116858356.608511.289810@f14g2000cwb.googlegroups.com...
Pour moi oui (à lire les autres réponses...), je serai d'avis de
mener un petit test d'intrusion sur ton reseau si tu as une ip fixe...
tu peux trouver gratuitement quelques site qui proposent ce genre de
service sur le net...
Bonjour,
Attention, les sites en question ne proposent pas des test d'intrusion,
juste des scans d eport, cela n'a rien à voir...!!
Salutations.
Pour moi oui (à lire les autres réponses...), je serai d'avis de mener un petit test d'intrusion sur ton reseau si tu as une ip fixe... tu peux trouver gratuitement quelques site qui proposent ce genre de service sur le net...
Bonjour,
Attention, les sites en question ne proposent pas des test d'intrusion, juste des scans d eport, cela n'a rien à voir...!! Salutations.
Fabien LE LEZ
On 23 May 2005 15:46:12 GMT, "(¯`·..Yttrium ...·´¯)" :
- Supression des Firewalls individuels installés sur chaque poste. - Optimisation et sécurisation complète de IpCop, qui , bin configuré doit largement suffir pour sécuriser un petit réseau de ce type.
Et comment IPcop fait pour empêcher d'éventuels troyens installés sur un PC de communiquer ?
On 23 May 2005 15:46:12 GMT, "(¯`·..Yttrium ...·´¯)"
<POUSSIERES.piegaspam@yahoo.fr>:
- Supression des Firewalls individuels installés sur chaque poste.
- Optimisation et sécurisation complète de IpCop, qui , bin configuré doit
largement suffir pour sécuriser un petit réseau de ce type.
Et comment IPcop fait pour empêcher d'éventuels troyens installés sur
un PC de communiquer ?
On 23 May 2005 15:46:12 GMT, "(¯`·..Yttrium ...·´¯)" :
- Supression des Firewalls individuels installés sur chaque poste. - Optimisation et sécurisation complète de IpCop, qui , bin configuré doit largement suffir pour sécuriser un petit réseau de ce type.
Et comment IPcop fait pour empêcher d'éventuels troyens installés sur un PC de communiquer ?
Rakotomandimby (R12y) Mihamina
( Mon, 23 May 2005 13:46:36 +0000 ) Corsica :
Que pensez-vous de cela ?
_Je_ pense que tu ne devrais pas te focaliser sur l'aspect "connexion". Tu as beaucoup mis l'accent sur le filtrage de paquets.
Tu devrais aussi par exemple plutot mettre en place un serveur de mail central pour tout le monde, et scanner par un antivirus (amavis? clamav?) tout courrier qui passe. Tu interdira donc les Webmails. Ainsi tu peux etre certain de voir passer une bonne partie des saloperies qui foutent en l'air les réseaux. Pour inciter les utilisateurs, tu peux leur proposer un espace de stockage des mails très important, et un rappatriement (avec fetchmail) de tous leurs mails dans la même boite. l'utilisation d'un client mail comme THunderbird et tout ça, tu leur raconte que ça évite de voir les publicités sur les sites yahoo et wanadoo...
Ton réseau, il n'interesse pas vraiment les gens qui font de l'intrusion dans les réseaux. Si tu administrait le réseau de la DST, oui ça pourrait les interesser, mais là, non... (ou presque). Par contre, tu as des utilisateurs qui peuvent stocker sur les disques des saletés venues par mail. ET il vaut mieux que ce soit toi qui les prenne en charge avant eux.
Maintenant, interdire le webmail d'une manière incontournable, je ne sais pas faire...
-- Mirroir de logiciels libres http://www.etud-orleans.fr Développement de logiciels libres http://aspo.rktmb.org/activites/developpement Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance (En louant les services de l'ASPO vous luttez contre la fracture numerique)
( Mon, 23 May 2005 13:46:36 +0000 ) Corsica :
Que pensez-vous de cela ?
_Je_ pense que tu ne devrais pas te focaliser sur l'aspect "connexion".
Tu as beaucoup mis l'accent sur le filtrage de paquets.
Tu devrais aussi par exemple plutot mettre en place un serveur de
mail central pour tout le monde, et scanner par un antivirus (amavis?
clamav?) tout courrier qui passe. Tu interdira donc les Webmails. Ainsi tu
peux etre certain de voir passer une bonne partie des saloperies qui
foutent en l'air les réseaux. Pour inciter les utilisateurs, tu peux leur
proposer un espace de stockage des mails très important, et un
rappatriement (avec fetchmail) de tous leurs mails dans la même boite.
l'utilisation d'un client mail comme THunderbird et tout ça, tu leur
raconte que ça évite de voir les publicités sur les sites yahoo et
wanadoo...
Ton réseau, il n'interesse pas vraiment les gens qui font de l'intrusion
dans les réseaux. Si tu administrait le réseau de la DST, oui ça
pourrait les interesser, mais là, non... (ou presque). Par contre, tu as
des utilisateurs qui peuvent stocker sur les disques des saletés venues
par mail. ET il vaut mieux que ce soit toi qui les prenne en charge avant
eux.
Maintenant, interdire le webmail d'une manière incontournable, je ne sais
pas faire...
--
Mirroir de logiciels libres http://www.etud-orleans.fr
Développement de logiciels libres http://aspo.rktmb.org/activites/developpement
Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance
(En louant les services de l'ASPO vous luttez contre la fracture numerique)
_Je_ pense que tu ne devrais pas te focaliser sur l'aspect "connexion". Tu as beaucoup mis l'accent sur le filtrage de paquets.
Tu devrais aussi par exemple plutot mettre en place un serveur de mail central pour tout le monde, et scanner par un antivirus (amavis? clamav?) tout courrier qui passe. Tu interdira donc les Webmails. Ainsi tu peux etre certain de voir passer une bonne partie des saloperies qui foutent en l'air les réseaux. Pour inciter les utilisateurs, tu peux leur proposer un espace de stockage des mails très important, et un rappatriement (avec fetchmail) de tous leurs mails dans la même boite. l'utilisation d'un client mail comme THunderbird et tout ça, tu leur raconte que ça évite de voir les publicités sur les sites yahoo et wanadoo...
Ton réseau, il n'interesse pas vraiment les gens qui font de l'intrusion dans les réseaux. Si tu administrait le réseau de la DST, oui ça pourrait les interesser, mais là, non... (ou presque). Par contre, tu as des utilisateurs qui peuvent stocker sur les disques des saletés venues par mail. ET il vaut mieux que ce soit toi qui les prenne en charge avant eux.
Maintenant, interdire le webmail d'une manière incontournable, je ne sais pas faire...
-- Mirroir de logiciels libres http://www.etud-orleans.fr Développement de logiciels libres http://aspo.rktmb.org/activites/developpement Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance (En louant les services de l'ASPO vous luttez contre la fracture numerique)
Kevin Denis
Le 23-05-2005, Rakotomandimby (R12y) Mihamina a écrit :
Maintenant, interdire le webmail d'une manière incontournable, je ne sais pas faire...
Le proxy filtrant. squid + squidguard avec ajout manuel des webmails
exotiques, ca le fait quand meme pas mal.
-- Kevin
Le 23-05-2005, Rakotomandimby (R12y) Mihamina a écrit :
Maintenant, interdire le webmail d'une manière incontournable, je ne sais
pas faire...
Le proxy filtrant. squid + squidguard avec ajout manuel des webmails
Ton réseau, il n'interesse pas vraiment les gens qui font de l'intrusion
Ne peut-il pas intéresser des personnes qui veulent une machine pour rebondir ?
BenLar
A vrai dire, je ne suis pas sur que 3 firewall enchainés soient plus efficaces qu'un seul bien configuré.
Ca dépends. Enchainer plusieurs FW, surtout de marques différentes, permet au moins 2 choses : - pallier au risque de faille sur un FW; - répartir la charge (le premier fait une chose, le second une autre... bien sur, il ne sert à rien qu'il fasse tous la même chose).
Mais bon, il ne s'agit pas non plus d'une banque mais d'un petit réseau ! ;o)
A vrai dire, je ne suis pas sur que 3 firewall enchainés soient plus
efficaces qu'un seul bien configuré.
Ca dépends. Enchainer plusieurs FW, surtout de marques différentes,
permet au moins 2 choses :
- pallier au risque de faille sur un FW;
- répartir la charge (le premier fait une chose, le second une
autre... bien sur, il ne sert à rien qu'il fasse tous la même chose).
Mais bon, il ne s'agit pas non plus d'une banque mais d'un petit
réseau ! ;o)
A vrai dire, je ne suis pas sur que 3 firewall enchainés soient plus efficaces qu'un seul bien configuré.
Ca dépends. Enchainer plusieurs FW, surtout de marques différentes, permet au moins 2 choses : - pallier au risque de faille sur un FW; - répartir la charge (le premier fait une chose, le second une autre... bien sur, il ne sert à rien qu'il fasse tous la même chose).
Mais bon, il ne s'agit pas non plus d'une banque mais d'un petit réseau ! ;o)
Cedric Blancher
Le Wed, 25 May 2005 10:56:52 +0000, BenLar a écrit :
- pallier au risque de faille sur un FW; - répartir la charge (le premier fait une chose, le second une autre... bien sur, il ne sert à rien qu'il fasse tous la même chose).
Pas vraiment. Le second ne pourra faire quelque chose qu'une fois que le premier l'aura faite. Si ton flux passer par 2 firewalls successifs, ils auront tous les deux à traiter l'intégralité du flux, exactement comme si chacun traitait le flux seul.
Ou alors tu parles de répartir la configuration de filtrage sur les deux firewalls, ce qui contredit ta première assertion, puisqu'un seul firewall traitant une autorisation particulière, s'il a une défaillance, l'autre ne la rattrapera pas.
-- BOFH excuse #85:
Windows 95 undocumented "feature"
Le Wed, 25 May 2005 10:56:52 +0000, BenLar a écrit :
- pallier au risque de faille sur un FW;
- répartir la charge (le premier fait une chose, le second une
autre... bien sur, il ne sert à rien qu'il fasse tous la même chose).
Pas vraiment.
Le second ne pourra faire quelque chose qu'une fois que le premier l'aura
faite. Si ton flux passer par 2 firewalls successifs, ils auront tous les
deux à traiter l'intégralité du flux, exactement comme si chacun
traitait le flux seul.
Ou alors tu parles de répartir la configuration de filtrage sur
les deux firewalls, ce qui contredit ta première assertion, puisqu'un
seul firewall traitant une autorisation particulière, s'il a une
défaillance, l'autre ne la rattrapera pas.
Le Wed, 25 May 2005 10:56:52 +0000, BenLar a écrit :
- pallier au risque de faille sur un FW; - répartir la charge (le premier fait une chose, le second une autre... bien sur, il ne sert à rien qu'il fasse tous la même chose).
Pas vraiment. Le second ne pourra faire quelque chose qu'une fois que le premier l'aura faite. Si ton flux passer par 2 firewalls successifs, ils auront tous les deux à traiter l'intégralité du flux, exactement comme si chacun traitait le flux seul.
Ou alors tu parles de répartir la configuration de filtrage sur les deux firewalls, ce qui contredit ta première assertion, puisqu'un seul firewall traitant une autorisation particulière, s'il a une défaillance, l'autre ne la rattrapera pas.
-- BOFH excuse #85:
Windows 95 undocumented "feature"
BenLar
Bien vu ! Il faut que les 2 fasses la même chose pour pallier aux risques de failles...
En fait, je dois mélanger un peu les choses. Je devais penser tolérance aux pannes... et aux failles.
Bref, 2 accès internet; sur chaque accès, un routeur fait un premier filtrage grossier (je sais, c'est pas son rôle, mais aujourd'hui ils le font souvent), puis derrière un vrai firewall qui fait un filtrage plus précis.
De cette manière, le flux traité par le fw est moins important puisque le routeur à déjà traiter une partie du flux.
Comme il y a redondance, on ne mettra pas les même fw et routeur pour éviter les failles...
Je devais penser un truc de ce genre...
Mais là, je m'éloigne de loin de notre petit réseau ! Donc, ça répond pas à la question.
Bien vu ! Il faut que les 2 fasses la même chose pour pallier aux
risques de failles...
En fait, je dois mélanger un peu les choses. Je devais penser
tolérance aux pannes... et aux failles.
Bref, 2 accès internet; sur chaque accès, un routeur fait un premier
filtrage grossier (je sais, c'est pas son rôle, mais aujourd'hui ils
le font souvent), puis derrière un vrai firewall qui fait un filtrage
plus précis.
De cette manière, le flux traité par le fw est moins important
puisque le routeur à déjà traiter une partie du flux.
Comme il y a redondance, on ne mettra pas les même fw et routeur pour
éviter les failles...
Je devais penser un truc de ce genre...
Mais là, je m'éloigne de loin de notre petit réseau ! Donc, ça
répond pas à la question.
Bien vu ! Il faut que les 2 fasses la même chose pour pallier aux risques de failles...
En fait, je dois mélanger un peu les choses. Je devais penser tolérance aux pannes... et aux failles.
Bref, 2 accès internet; sur chaque accès, un routeur fait un premier filtrage grossier (je sais, c'est pas son rôle, mais aujourd'hui ils le font souvent), puis derrière un vrai firewall qui fait un filtrage plus précis.
De cette manière, le flux traité par le fw est moins important puisque le routeur à déjà traiter une partie du flux.
Comme il y a redondance, on ne mettra pas les même fw et routeur pour éviter les failles...
Je devais penser un truc de ce genre...
Mais là, je m'éloigne de loin de notre petit réseau ! Donc, ça répond pas à la question.