Reverse proxy avec IPCop

[thonik]

Salut tout le monde,

Stagiaire dans une entreprise, on m'as demandé de configurer un reverse-proxy avec IPCop.
Bien que IpCop ne soit pas "prévu", je n'ai pas le choix, c'est une contrainte que j'ai. Et je ne peux pas disposer d'une autre machine.

En faisant mes recherches, j'ai vu que IpCop contenait squid. Par conséquent, il y a donc surement moyen d'aller modifier squid dans les fichiers de config ? (jusque là, je suis bon?)

En faisant aussi mes recherches, j'ai vu que squid avait besoin d'une serveur web (apache) pour stocker en cache les pages (http://linuxgazette.net/132/pfeiffer.html). MAIS, ne disposant pas de machine en +, je dois aussi utiliser apache sur Ipcop ! D'après mes recherches, apache est déja installé avec ipcop sinon, on aurai pas d'interface web pour le configurer. (Correct aussi?)

Là aussi je rencontre un problème, dans le tuto que je suis (http://kevin.vanzonneveld.net/techblog/article/install_squid_apache_on_1_server/), il faut configurer apache pour changer le port utilisé dans /etc/apache2/ports.conf et là, je bloque dans dans ipcop, je n'ai pas de dossier apache2 dans le /etc/.

Alors voici mes questions:

1) Y a t'il un moyen pour faire tourner un reverse-proxy avec ipcop?
2) Si non, quelle distribution me proposez vous en sachant que la distribution doit être orientée "serveur", qu'elle doit gérer le reverse-proxy, l'antivirus (mail, http, ftp), antispam et que tout doit pouvoir se configurer via une interface web.

Merci d'avance,

[ccnet]

Bruce Schneier à écrit :

La complexité est le pire ennemi de la sécurité.

Manifestement il n'est pas assez lu.

PS: Sur votre futur "système de sécurité" prévoyez aussi une machine à café programmable à distance par une interface Web.

[thonik]

Désolé. Je pensais être tombé sur un forum d'entraide.
Apparemment, je suis tombé sur un forum de "moquerie".
a+

[ccnet]

La première partie de mon message est bien un message d'aide. Mais vous ne semblez pas le concevoir ainsi. Il faut absolument ne rien faire de ce que vous envisagez. Je suis sérieux et Bruce Schneier l'est encore plus que moi sans doute.

Je conviens que la seconde partie est moqueuse mais ce qui est envisagé est tellement énorme.

[jdh]

Je vais écrire un peu plus de choses que ccnet (avec lequel je suis parfaitement en ligne sur ce sujet).


IPCOP est un firewall. Il faut le laisser faire le mieux possible ce boulot. Il est néfaste d'essayer de lui faire faire autre chose !

Il faut comprendre que le firewall est le point de sortie de votre réseau ... mais aussi son point d'entrée. A ce dernier titre, il est comme un "grand phare au milieu des flots" !

Plus de taches (plus ou moins bien configurées) et plus le système est faillible ...

Par exemple, si Squid (qui est bien installé/installable sur IPCOP, je confirme) devait être configuré en reverse proxy, il faudrait autoriser Internet (0.0.0.0/0.0.0.0) à utiliser Squid ! Ce qui est une hérésie.


Souvent, nous déconseillons la virtualisation pour un firewall. Dans le cas, la virtualisation du serveur cible avec, à côté de la VM serveur web, une VM en reverse proxy, pourrait être une solution (bonne c'est à voir).


On entend souvent "je veux faire ...", il faudrait penser en "pourquoi je veux faire ..." et en "est un schéma sûr ?".

[ccnet]

Ils ont commis l'erreur que vous vous apprêtez à commettre :
http://www.journaldunet.com/solutions/s ... aire.shtml
Ils ont choisi une solution payante (qui ne fait qu'intégrer des solutions open source avec un beau noeud rose) mais peu importe.

[thonik]

Je n'ai jamais dit que IpCop serait le SEUL Firewall. Peut être avec cette image arriverez vous a mieux comprendre.

IPCop serait plus utilisé comme Reverse-proxy, Antispam, Antivirus que firewall.

Si vous avez une autre solution d'une distribution qui fait que ça, je suis toujours ouvert !

[ccnet]

Une question complémentaire avant de vous répondre en détail. Si vous avez besoin d'un reverse proxy c'est que vous avez un ou plusieurs serveurs web qui sont accédés depuis l'extérieur en http ou https ?

[jdh]

Cela est une erreur de conception grave : NE JAMAIS utiliser 2 firewalls successifs.

Il y a plusieurs raisons simples :
- il est assez difficile d'être aussi compétent dans 2 systèmes.
- cela n'apporte aucune sécurité supplémentaire
- cela donne un "faux" sentiment de sécurité.

En plus le schéma met la fonction reverse-proxy au mauvais endroit : il doit être derrière les firewall !


Il est EVIDENT qu'IPCOP n'est pas fait pour être reverse-proxy : le plus simple est de monter un petit serveur Debian (Lenny puisque cela vient de sortir) et de suivre les docs de Squid ...


EVIDENT

[thonik]

Les employés qui accèdent en VPN à l'entreprise devraient passer par le reverse-proxy.

Le reverse-proxy serait utilisé pour accélérer le chargement des pages web.

MAIS mon maître de stage m'as dit que il n'y avais pas de serveur web et que je devais en créer un si le reverse-proxy en avait besoin.

[ccnet]

Là je ne comprend plus rien. Enfin si je crois comprendre qu'il y a une grosse confusion dans votre esprit sur ce à quoi sert un reverse proxy. Je repose ma question : l'entreprise héberge t elle chez elle un ou plusieurs serveurs Web ?
Il va falloir remettre à plat et l'architecture et votre perception des besoins.
Je souscris à 100% au comentaire de Jdh. L'architecure est impropre et n'a que des inconvénients et les chois des solutions mal ciblé. Mais si vous le voulez bien, avant de penser "distributions", voyons les besoins, puis l'architecture puis et seulement enfin les logiciels à employer.

[thonik]

Cela est une erreur de conception grave : NE JAMAIS utiliser 2 firewalls successifs.

IpCop serait plus utilisé comme "filtre" HTTP/HTTPS/Mails pour l'antispam/antivirus (avec Copfilter) que firewall... Il laisserai quasi tout passer vu que il y a les firewall derrière.

Il est EVIDENT qu'IPCOP n'est pas fait pour être reverse-proxy : le plus simple est de monter un petit serveur Debian (Lenny puisque cela vient de sortir) et de suivre les docs de Squid

J'y ai déjà pensé. Mais mon maître de stage a "peur" car :

1°) Point de vue des mises à jour. Si Debian se met à jour, il y a un risque que squid + antivirus+antispam deviennent instable. Mais je n'ai jamais eu de problème lol
2°) Point de vue distribution : Debian n'est pas spécialisée pour faire du reverse-proxy. (En même temps IpCop non plus)
3°) Une des conditions est de savoir configurer et faire de la maintenance à distance. Je ne pense pas que je saurai le faire avec Debian.

[thonik]

Je repose ma question : l'entreprise héberge t elle chez elle un ou plusieurs serveurs Web ?

L'entreprise ne possède pas de serveur web vu qu'elle n'a même pas (encore) de site !

Le but d'utiliser le reverse-proxy serait que le proxy stocke en cache toutes les pages web visitées pour par après, quand un utilisateur veuille acceder à une page déjà visitée, que ça passe par le cache du reverse proxy au lieu de sortir sur internet.

[ccnet]

C'est clair. Vous n'avez pas besoin d'un reverse proxy mais d'un proxy. Vous avez donc besoin, si je comprend bien, que les utilisateur internes, comme ceux connectés en vpn utilise le proxy en bénéficient des pages en cache. Voilà pour le premier besoin.

Vous avez ensuite besoin de protéger votre serveur de messagerie du spam et des virus. C'est bien le second besoin ? Somme nous en phase sur les besoins ?

Vous avez deux connexions internet pour des raisons de redondance ?

[thonik]

Vous avez ensuite besoin de protéger votre serveur de messagerie du spam et des virus. C'est bien le second besoin ? Somme nous en phase sur les besoins ?

Oui, c'est bien ça. Il faut aussi du filtrage du trafic HTTP pour bloquer exploits, appatage et virus et du filtrage HTTP contre les publicités non sollicitées (ads, bannières, fenêtre pop-up,..)

Vous avez deux connexions internet pour des raisons de redondance ?

Il y a 2 connexions internet mais la connexion "internet2" est principalement utilisée pour 1 partie du batiment. Elle sera utilisée par certains services en plus si la connexion "internet1" tombe. Mais tu peux considérer ça comme de la redondance