Re: [openbsd-france-misc] conseil urgent...

[olivier <olhe AT tiscali POINT fr>]

t'es dans quel pays?

et puis pour etre franc: pour une pme, si personne ne controle ce que tu 
fais ou n'a à savoir faire ce que tu fais, la solution simple si la 
continuité de service est moins importante que le prix:

tu segmente ton réseau en fonction de la sensibilité et de la fonction 
de tes postes et serveurs

1 serveur (2 avec carp, pfsync et autres systèmes de syncro si t'as les 
machines) extranet OBSD (apache chrooté, postfix+amavis+clamav comme 
relai antivirus/antispam, squid +clamav en proxy cache et bien sur pf) 
dans une DMZ avec comme passerelle internet un routeur/firewall/modem 
adsl de type grand public (conseil marque: lynksys ou les excellent mais 
plus chère Draytek) ou juste un routeur firewall tout court: pour 120 
euros ils ont des fonctions de SPI, détection d'attaque et scans, envois 
de mails d'alertes et tout plein de trucs évolués maintenant...

un firewall central qui fait que ça (2 avec carp et pfsync si t'as les 
machines) openbsd avec 4 interfaces réseau (dont une pour la dmz extranet)

sur la deuxieme interface: une zone démilitarisée serveurs intranets 
avec ton exchange, serveur de fichiers etc...  et personne à 
l'intérieur  (pour éviter les problèmes de trojans, compromission par 
navigateur virus etc...) à part un pc dedié à l'administration sous 
gentoo (ya plus d'outils..) sur lequel tu envoi les mises à jour 
(récoltées sur le net avec ton poste de travail à toi qui est du coté 
plèbe et qui est le seul autorisé à lui envoyer des fichiers) que tu 
applique en suite sur tes serveurs grace à ce poste dédié mai spas de 
vnc: tu te deplace dans la pièce ou tu l'a enfemé.
A la limite tu interdit tout echange entre dmz extranet et dmz intranet 
à part l'arrivée et départ smtp vers le serveur extranet uniquement.

sur la 3e interface: une zone postes de travail (la plèbe) qui 
consultent internet via le proxy de la zone serveur extranet et 
utilisent ipsec pour éviter le sniffing et autres nuisances.
tu block tout en entrée et sortie sur chaque interface et tu n'autorise 
que le strict minimum (exemple rien ne sors directement vers internet 
tout ce qui peut passer par un proxy passe par un proxy et que le 
minimum aussi vers la dmz intranet)

sur la 4einterface = un poste sniff&snort  :) qui recoit une copie de 
tout ce qui transite sur les 3 autres zones grace au pf du serveur 
centrale...

@+

mickael mortier wrote:

> > Bonjour,
> > Oui on peut faire tout celà sur une base d'OpenBSD et de logiciels 
> > libres.
> > Celà dit l'installation, la configuration et l'administration de ces 
> > systèmes libres demandent beaucoup plus de temps et de connaissances 
> > que la simple utilisation de produits commerciaux.
> >
> > Je suis actuellement au chomage et je pourrais eventuellement vous 
> > fournir une solution "clé en main" basée sur du gratuit avec 
> > transmission des connaissances nécessaires à la maintenance et 
> > l'administration de ces solutions (+procédures, documentation 
> > etc...). Un simple travail d'equipe est aussi envisageable.
> > Tout celà rémunéré en "Titres emplois" (commes les chèques emplois 
> > services mais pour les petites entreprises) ou en portage salarial 
> > (entreprise tierce facture et me verse un salaire) ou encore en interim.
> > Je peu aussi intervenir via la société IGRM Sécurité & Conseil qui 
> > fournit des services très larges liés à la sécurité (sécurité 
> > physique, technologique, contre-espionnage etc...)
>
>
> Déjà tu peux me tutoyer sans pb et je te remercie de cette offre.
> J'aurais vraiement voulu te rendre service de ce coté-là et je vais y 
> réfléchir...
> Ca me ferait plaisir de travailller avec qqn qui s'y connait et qui a 
> des methodes!
> Mais 2 pbs se posent: le financement d'un part et le pays etranger 
> dans lequel je travaille!
>
> > Contactez-moi en privé si vous êtes intéressés pour recevoir mon CV 
> > ou pour plus d'informations .
>
>
> Bref, on peut en discuter mais je ne peux rien te promettre...
> Je t'enverai un e-mail privé!!
>
> > Cordialement,
> > Olivier H.
>
>
>
> En tout cas, merci à tous pour vos témoignages!
>
> > mickael mortier wrote:
> >
> > > Oups pardon pour le doublé... ;')
> > >
> > >
> > > > From: "mickael mortier" <mickaelmortier AT hotmail POINT com>
> > > > Reply-To: openbsd-france-misc AT openbsd-france POINT org
> > > > To: openbsd-france-misc AT openbsd-france POINT org
> > > > Subject: [openbsd-france-misc] conseil urgent...
> > > > Date: Mon, 10 May 2004 15:39:25 +0200
> > > >
> > > > Bonjour à tous,
> > > >
> > > > Voilà, j'ai prospecté pour équiper la boite pour laquelle je bosse 
> > > > d'une solution de sécurité complète... Le problème c'est que 
> > > > j'arrive à des prix exorbitants avec des licenses Chekpoint ou 
> > > > autre... C'est vrai que lorsque l'on voit ce qui est proposé (comme 
> > > > services: protection et filtrage au niveau applicatif, Prévention 
> > > > et detection d'intrusion, mail relay et anti-virus SMTP, proxy et 
> > > > analys de contenu), on se dit que ca pourrait vraiment utile. Mais 
> > > > bon quand on a un budget limité, c pas vraiment evident...
> > > > La question est: puis-je avec openBSD arriver à un niveau de 
> > > > sécuité plus qu'acceptable pour une PME avec des services 
> > > > similaires sans trop de pertes d'informations (typiquement si je 
> > > > mets du SNORT ou du PRELUDE)!
> > > > Pour mon réseaux , voilà ce que j'ai:
> > > > 4 serveurs Win2003 et un exchange 2003 et plus de 60 machines à la 
> > > > clé... Je dois maintenant implémenter une infrastructure secu 
> > > > (Firewall, proxy, SMTP relay, etc...). Y a-t-ill des docs pour 
> > > > faire cohabiter un SMTP relay avec Exchange, faire du filtrage au 
> > > > niveau appli, ANTI-SPAM, etc...
> > > >
> > > > Je sais que c'est le genre de question vaste mais je préfère la 
> > > > poser et etre sur..avant de dépenser de l'argent inutilement...
> > > >
> > > > A+ et merci d'avance
> > > >
> > > > Mike
> > > >
> > > > _________________________________________________________________
> > > > Trouvez l'âme soeur sur MSN Rencontres http://g.msn.fr/FR1000/9551
> > > >
> > > >
> > > > ---------------------------------------------------------------------
> > > > To unsubscribe, e-mail: 
> > > > openbsd-france-misc-unsubscribe AT openbsd-france POINT org
> > > > For additional commands, e-mail: 
> > > > openbsd-france-misc-help AT openbsd-france POINT org
> > >
> > > _________________________________________________________________
> > > Recevez par e-mail des émoticônes pour MSN Messenger 
> > > http://g.msn.fr/FR1001/2275?url=http://www.msn.fr/ilovemessenger/premium/Default.asp?Ath=f 
> > >
> > >
> > >
> > >
> > > ---------------------------------------------------------------------
> > > To unsubscribe, e-mail: 
> > > openbsd-france-misc-unsubscribe AT openbsd-france POINT org
> > > For additional commands, e-mail: 
> > > openbsd-france-misc-help AT openbsd-france POINT org
> >
> >
> > ---------------------------------------------------------------------
> > To unsubscribe, e-mail: 
> > openbsd-france-misc-unsubscribe AT openbsd-france POINT org
> > For additional commands, e-mail: 
> > openbsd-france-misc-help AT openbsd-france POINT org
>
> _________________________________________________________________
> Hotmail : un compte GRATUIT qui vous suit partout et tout le temps ! 
> http://g.msn.fr/FR1000/9493
>
>
> ---------------------------------------------------------------------
> To unsubscribe, e-mail: 
> openbsd-france-misc-unsubscribe AT openbsd-france POINT org
> For additional commands, e-mail: 
> openbsd-france-misc-help AT openbsd-france POINT org