Sécuriser un réseau microsoft avec Linux ?

[Pang]

Bonsoir,

 

J'en ai vaguement entendu parler lors d'une conversation :

http://ebox-platform.com/

 

Depuis un moment je 'réfléchis' à un serveur multifonction fiable pouvant gérer une dizaine de machines sous windows.

Je suis plutôt intéressé par cette 'plateforme', sur le papier c'est sympa, mais je ne sais pas trop ce que ça vaut.

 

Les fonctionnalités :

 

eBox 1.2 Overview ¶

   * Networking
         o Firewall and routing
               + Filtering
               + NAT and port redirections
               + VLAN 802.1Q
               + Multi-gateway support, load balancing and automatic failover
               + Traffic shaping (with application layer support)
               + Graphical traffic rate monitoring
               + Network intrusion detection system
               + Dynamic DNS client 
         o Network infraestructure
               + DHCP server
               + NTP server
               + DNS server 
         o VPN support
               + Dynamic routes autoconfiguration 
         o HTTP proxy
               + Internet cache
               + User authentication
               + Content filtering (with categorized lists)
               + Transparent antivirus 
         o Intrusion Detection System
         o Mail Server
               + Virtual domains
               + POP3 and IMAP with SSL/TLS
               + Spam and antivirus filtering
                     # Greylisting, blacklisting, whitelisting 
               + Transparent POP3 proxy filter 
         o Web server
               + Virtual hosts 
         o Certification authority 

   * Workgroup
         o Centralized users and groups management
               + Windows PDC support 
         o Network resource sharing
               + File server
                     # Antivirus 
               + Print server 
         o Groupware: calendar, address book, webmail, wiki, etc.
         o VoIP server
               + Voicemail
               + Conference rooms
               + Calls through an external provider 
         o Jabber/XMMP server
               + Conference rooms 
         o eBox User Corner for self users info updating 

   * Reporting and monitoring
         o Dashboard for centralized service information
         o Monitor CPU, load, disk space, thermal, memory
         o Disk usage and RAID status
         o Summarized and full system reports
         o Event notification via mail, RSS or Jabber 

   * Software updates
   * Backups (full and configuration only) 

 

 

EBOX semble pouvoir faire office, entre autres, de proxy HTTP, par là j'imagine qu'on peut filtrer des pages web indésirables ou certains code malicieux, mais si le 'client' télécharge une grosse beep, zippée 7 fois et autrement qu'en HTTP, le serveur a t-il un moyen quelconque de vérifier ce qui passe par lui ?

 

En bref, est-ce que ce genre de serveur/passerelle est capable de se substituer aux antivirus installés sur les PC windows ?

 

----

 

ClamAV Anti Virus est installé sur cette distrib; est-il possible de lui charger n'importe quelle base virale (provenant d'un autre éditeur) ?

 

----

 

Quelqu'un connait quelqu'un qui connait ce truc ?

 

---

 

Admettons que cette plateforme soit géniale et facile à administrer, est-il possible et sous quelles conditions de l'utiliser dans un environnement professionnel ?

 

Je vais arrêter là les questions, mais votre avis global et avisé m'intéresse.

 

^^

Modifié le 24 août 2009 par Pang

[Greywolf]

je connaissais pas ebox mais j'ai fait l'équivalent sous debian (sauf le VoIP, la partie serveur de mail, la partie groupware trop lourdingue pour les utilisateurs et la partie administration graphique). Donc oui, ça peut s'utiliser en environnement pro moyennant une culture info-sécu minimaliste => y'a surement des choses à configurer et ça ne doit pas être un clickodrome magique qui devine tous tes besoins en fonction de ton architecture réseau à ta place (d'ailleurs, ils ont l'air de dire que c'est un remplaçant à webmin leur ebox).

 

Concernant le proxy http, tu peux le faire fonctionner sur des white/black list ou le combiner à snort inline pour de l'analyse des trames HTTP et de la modification à chaud de règles par exemple.

 

Clamav est un antivirus essentilellement pour des serveurs de mail et se base sur des signatures et gère une foultitude de méthodes de compression et de packers d'exécutables => il est toujours possible de régler sa sensibilité pour éviter les grosses beep. La base est par contre celle fournie avec et mise à jour plusieurs fois par jour (cependant je ne connais pas la réactivité de l'intégration de nouvelles signatures). Encore une fois snort inline peut complémenter cette approche pour les autres types de flux.

 

L'intérêt de ceci, c'est que tous les softs sont normalement fonctionnels et installés avec une config par défaut qui fonctionne; ensuite, faut adapter à ton réseau . De plus, tu peux éventuellement avoir un support plus pointu (si version achetée).

Il ne me semble pas avoir vu que c'était une machine avec la distrib d'installée mais uniquement une ubuntu modifiée avec la surcouche d'administration => quid de la configuration matérielle requise ?

 

dans un autre genre, tu as NuFw/edenwall avec pare-feu authentifiant (système entre autres de l'éducation nationale): http://www.nufw.org/ http://www.edenwall.com/

 

AMHA rien ne vaut de mettre les mains dans le cambouis si tu as du temps à y consacrer: tu comprends ce que tu fait et tu adaptes à ton architecture

[Pang]

j'ai fait l'équivalent sous debian (sauf le VoIP, la partie serveur de mail, la partie groupware trop lourdingue pour les utilisateurs

Dans l'immédiat pas de VoIP (un peu compliqué), en revanche, j'aimerai bien que le serveur puisse gérer les droits des utilisateurs sur les postes windows, genre 'Active Directory', c'est ce que tu appelles la partie groupware lourdingue ? Possible avec ce serveur.

 

Donc oui, ça peut s'utiliser en environnement pro moyennant une culture info-sécu minimaliste

Certes, mais c'est l'aspect légal que je voulais aborder; doit-on rétribuer l'éditeur ?

 

----

 

Snort est intégré dans ce serveur, mais si j'en crois le wiki, ce n'est qu'un système de détection d'intrusion, pas de reconnaissance de signature virale; je me trompe ?

 

Actuellement je bosse dans une entreprise qui utilise un proxy filtrant; n'empêche que tous les postes de travail (windows) sont équipés d'un Antivirus. J'ai déjà testé en téléchargeant des trucs qui passaient le proxy mais sont immédiatement supprimés par l'antivirus...

J'aimerai qu'il n'y ai qu'un seul Antivirus (sur le serveur/passerelle) et pas sur les postes clients.

 

Il ne me semble pas avoir vu que c'était une machine avec la distrib d'installée mais uniquement une ubuntu modifiée avec la surcouche d'administration => quid de la configuration matérielle requise ?

J'ai pas encore trouvé cette info, mais ce matin je suis allé jeter un oeil dans ma poubelle préférée et j'ai trouvé un core 2 duo 6300 et 4 Go de RAM, ce devrait être suffisant.

 

 

AMHA rien ne vaut de mettre les mains dans le cambouis si tu as du temps à y consacrer: tu comprends ce que tu fait et tu adaptes à ton architecture

Je suis pas très copain avec linux et ne l'utilise que pour certaines choses bien précise (essentiellement réseau), mais je me dis que l'approche d'eBox dans sa globalité pourrait me familiariser un peu plus avec ce que l'on peut trouver dans l'informatique d'entreprise. Et puis j'ai besoin d'un serveur à la maison !

 

Bien que je ne sois pas obligé d'utiliser toutes ses fonctions, est-ce que eBox n'est pas un peu 'démesuré' pour une utilisation domestique ?

 

Essentiellement, j'ai besoin de :

 

- Serveur de fichiers (HTTP SMB FTP)

- Serveur d'impression

- Firewall

- Proxy HTTP

- IDS & antivirus

- Serveur WEB

- Contrôleur de domaine

 

J'aimerai bien aussi faire du NAT, mais j'imagine que la freebox en mode non routeur n'est plus capable d'assurer la VoIP. Tu confirmes ?

Modifié le 25 août 2009 par Pang

[Greywolf]

pour l'Active Directory, c'est plus la partie samba en PDC. c'est ce que j'ai fait associé à un annuaire LDAP. J'ai pas trop touché à AD, les fonctionnalités données par samba + openldap étant largement suffisant. Je mettrais quelques liens de config plus tard.

 

egroupware est une solution centralisée de flux d'info d'entreprise (agenda collectif et individuels, modules de gestion de ressources => travail collaboratif : http://www.egroupware.org/ )

 

- sur l'aspect légal, c'est du GPL donc libre à toi de rétribuer l'éditeur ou de participer aux remontées de bug/développement du système...

 

- snortinline avec les base de signature d'emerging threats fait bien plus de choses que les signatures virales (utilisation des bases clamav)

http://doc.emergingthreats.net/bin/view/Main/AllProjects

 

est-ce que eBox n'est pas un peu 'démesuré' pour une utilisation domestique

 

si sûrement mais qui peut le plus peut le moins; le seul risque que je voie c'est de se retrouver confronté à beaucoup de services dont on ne cerne pas forcément bien le mode de fonctionnement. A l'inverse, monter les choses petit à petit permet de maîtriser chacune des facettes et de les faire travailler ensemble.

 

Pour la freebox, la mienne est en bridge et mon client SIP fonctionne