Valideriez vous ce shéma ?

[dsbsystem]

Bonsoir,

Une PME équipée de 20 PC m’a demandé de mettre en place, à moindre coût, une petite solution de Web filtering et de statistiques d’accès et de visualisation des flux pour les connexions Internet.

J’ai bien sur pensé à notre IPCOP avec advproxy et urlfilter ou Squidguard de Franck plus IPFMLA pour les graphes de trafic.

On m’impose 2 impératifs :

1) Conserver le petit firewall (Watchguard) en 10.0.1.254 qui est connecté au modem ADSL Ethernet ( les stations sont en 10.0.2.XXX) subnet 255.255.0.0 ( oui je sais, IPCOP peut faire la même chose )

2) Faire en sorte que la personne interne responsable du réseau ne puisse pas « voir » les sites et les accès consultés par la direction. (2 postes).


J’ai donc pensé à ceci : ( les PC sont en IP fixe, pas de DHCP)

Je place, en aval du Watchguard, l’IPCOP avec le rouge en 10.0.1.200 et le green en 10.0.2.100 par exemple

Je configure le rouge d’IPCOP (10.0.1.200) pour qu’il utilise comme passerelle l’IP du Netscreen (10.0.1.254 )

Les 18 PC et le SBS 2003 utiliseront en guise de passerelle le green de l’IPCOP et seront donc pris en compte pour le filtrage et les stats.

Les 2 PC de la direction shunteront la passerelle de l’IPCOP en utilisant celle du Watchguard et resteront donc hors stats et hors filtrage.

Est-ce que ceci tient la route ?

Voyez vous;compte tenu des contraintes imposées et dont je ne commenterai pas le bien fondé; une autre solution plus simple ou élégante sous IPCOP ?

Merci d’avance !

[leso]

oui c'est pas mal mais tes deux postes de directions ne pourront atteindre le green

[dsbsystem]

oui c'est pas mal mais tes deux postes de directions ne pourront atteindre le green

Quelle rapidité ! Merci ! mais concrètement, si ces 2 postes ne peuvent pas atteindre le green, qu'est-ce que celà fait ? ils ne pourront pas accéder au Net ?

Faut-il alors que je les mettent en 10.0.1.XXX en utilisant la passelle Watchguard ?

Merci à nouveau !

[coexist]

salut,

je pense à ceci comme solution:

vu que tu as un sbs, et si il est en domaine, tu dois pouvoir forcer ( GPO ) l'utilisation d'un proxy dans IE pour tout les postes devant subir le filtering.
Tu laisses les IE de la direction utiliser la passerelle ipcop sans passer par le proxy.
Tu configure ton proxy sur ipcop,mais pas en mode transparent, sur le port que tu veux.
pour la disposition des passerelles, normalement comme tu as dit c'est bon sauf que, si tu branche le firewall sur la red d'ipcop et la lan sur la green d'ipcop, tu ne peux pas avoir ton firewall et ton ipcop dans le même range ip :

web-----------firewall-------ipcop---------lan

normalement si je dit pas de bétise, vu qu'il commence à ce faire tard, ça devrait fonctionner comme tu veux.

[kinkey]

Je ne vais pas te répondre parce je n'ai pas la réponse

mais au contraire il y a quelque truc qui me choc dans ce qu'y t'es imposé :

Faire en sorte que la personne interne responsable du réseau ne puisse pas « voir » les sites et les accès consultés par la direction. (2 postes).

Je suis pas sur que ce sois très légal, si cette personne est responsable du réseau donc de toute l'infrastructure du système elle doit être capable de fournir des preuves si une société porte plainte pour attaque, scan... ou tout autre joyeuseté. Donc si il n'a pas de log complet il est pas dans la $%#&!.

Autre truc bizarre mais lié au réseau, est-ce que cette pme est relié avec un site distant ? si non pourquoi ce prendre la tête avec des adresses ip de classe A (10.0.0.0), alors qu'une simple classe C suffit l'argement (192.168.x.x/24) dans ton cas comme il y a des sous-réseaux je pense qu'un masque de 255.255.255.128 te permetrais de découper en deux sous-réseaux (192.168.0.0 jusqu'a 192.168.0.127 et 192.168.0.128 jusqu'à 192.168.0.255). Bon après c'est sur que toi tu y est pour rien .

[dsbsystem]

salut,

je pense à ceci comme solution:

vu que tu as un sbs, et si il est en domaine, tu dois pouvoir forcer ( GPO ) l'utilisation d'un proxy dans IE pour tout les postes devant subir le filtering.
Tu laisses les IE de la direction utiliser la passerelle ipcop sans passer par le proxy.
Tu configure ton proxy sur ipcop,mais pas en mode transparent, sur le port que tu veux.

Je vais tenter le coup car je suis curieux de voir le résultat avec le proxy .

pour la disposition des passerelles, normalement comme tu as dit c'est bon sauf que, si tu branche le firewall sur la red d'ipcop et la lan sur la green d'ipcop, tu ne peux pas avoir ton firewall et ton ipcop dans le même range ip :

web-----------firewall-------ipcop---------lan

normalement si je dit pas de bétise, vu qu'il commence à ce faire tard, ça devrait fonctionner comme tu veux.

et oui, je me suis planté dans ce sens ou le rouge et le vert sont tous deux en 10.2.X.X : je vais changer l'IP du Wtachguard et le faire passer en 10.1.X.X

[dsbsystem]

Je ne vais pas te répondre parce je n'ai pas la réponse

mais au contraire il y a quelque truc qui me choc dans ce qu'y t'es imposé :

Faire en sorte que la personne interne responsable du réseau ne puisse pas « voir » les sites et les accès consultés par la direction. (2 postes).

Je suis pas sur que ce sois très légal, si cette personne est responsable du réseau donc de toute l'infrastructure du système elle doit être capable de fournir des preuves si une société porte plainte pour attaque, scan... ou tout autre joyeuseté. Donc si il n'a pas de log complet il est pas dans la $%#&!.

Autre truc bizarre mais lié au réseau, est-ce que cette pme est relié avec un site distant ? si non pourquoi ce prendre la tête avec des adresses ip de classe A (10.0.0.0), alors qu'une simple classe C suffit l'argement (192.168.x.x/24) dans ton cas comme il y a des sous-réseaux je pense qu'un masque de 255.255.255.128 te permetrais de découper en deux sous-réseaux (192.168.0.0 jusqu'a 192.168.0.127 et 192.168.0.128 jusqu'à 192.168.0.255). Bon après c'est sur que toi tu y est pour rien .

1) Je n'ai pas à commenter la décision de la direction qui a par ailleurs fait préparer par un service externe une ébauche de charte de "bonne conduite" pour l'utilisation d'internet et des explications sur les données et stats qui seront collationnées.

2) Tu as parfaitement raison de souligner l'infirmité des logs qui seront fournis à l'I.T. ( en vérité, un employé administrattif un peu plus bricoleur que les autres) mais de toute manière, les logs du Watchguard Soho sont actuellement très limités et ne permettent aucunement de fournir une preuve quelconque car pas de syslog. Ipcop constituera donc un bon début de preuve au besoin.

2) Comme toi, j'ai été surpris de voir utiliser des adresses de classe A mais je n'ai pas été mandaté pour concevoir ce petit réseau au départ ni pour changer tout le plan d'adressage aujourd'hui ! A ma connaissance, pas de site distant ou VPN.

Bien à toi,

[kinkey]

1) Je n'ai pas à commenter la décision de la direction qui a par ailleurs fait préparer par un service externe une ébauche de charte de "bonne conduite" pour l'utilisation d'internet et des explications sur les données et stats qui seront collationnées.

C'est sur que tu ne vas pas faire ce qu'il ne t'a pas été demandé, mais peut-être ferais tu bien de prévenir le pseudo admin des risques et des contraites liés à son status de "responsable réseau", histoire qu'il se fasse pas grillé par une direction peu ouverte et peu respectueuse des lois. Après tout ce que je dis n'engage que moi, mais c'est une chose que je ferais, bien sur en ajoutant que je ne lui ai jamais parlé de tout ça (malheureusement faut bien bossé) et que c'est à lui de faire le reste de la démarche.

[leso]

oui c'est pas mal mais tes deux postes de directions ne pourront atteindre le green

Quelle rapidité ! Merci ! mais concrètement, si ces 2 postes ne peuvent pas atteindre le green, qu'est-ce que celà fait ? ils ne pourront pas accéder au Net ?

Faut-il alors que je les mettent en 10.0.1.XXX en utilisant la passelle Watchguard ?

Merci à nouveau !

en protocole style netbios ou tout autre protocole circulant sur la zone verte

[m2nis]

Je suis pas sur que ce sois très légal, si cette personne est responsable du réseau donc de toute l'infrastructure du système elle doit être capable de fournir des preuves si une société porte plainte pour attaque, scan... ou tout autre joyeuseté. Donc si il n'a pas de log complet il est pas dans la $%#&!.

Pas de problème. Si rien n'est trouvé dans les log, c'est forcément de la direction que cela provient... CQFD?

[kinkey]

Pas de problème. Si rien n'est trouvé dans les log, c'est forcément de la direction que cela provient... CQFD?

héhé forcement maintenant le plus dur va être de trouver qui dans la direction a fait ça, puisqu'ils sont deux.