modifier les regles pour schema reseau atypique

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

modifier les regles pour schema reseau atypique

Messagepar ronan56 » 04 Déc 2006 11:26

bonjour a tous !

Je viens de me rendre compte, sur ma configuration réseau, qu'il existe un ENORME probleme... et je pese mes mots.

explications : Sur un schéma réseau existant et classique, c'est a dire un modem+routeur en DHCP et les ordi derrières au nombre de 14. Dix d'entre eux devant etre securise, j'ai installe un IPCop avec différent addon dont URL-filter.

un Schéma valant mieux qu'un long discours :

Image

Le gros problème est que sur l'interface Bleu, tous les portables ont acces aux dossiers partages des ordi de la direction !... Je souhaiterais que tous les machines connectees sur 192.168.3.X passe par la carte 192.168.3.1 qui elle même ne passe que sur 192.168.1.1 UNIQUEMENT.

les autres pc en 192.168.2.X ont des restrictions en utilisateurs limite qui ne leur permettent pas de se connecter aux réseaux, le filtrage se faisant donc directement depuis Windows.

Pourriez vous me dire comment modifier les règles du routeur pour entrer ces modificiations ? est ce possible de le faire ??


un grand merci d'avance pour vos reponses.
Avatar de l’utilisateur
ronan56
Second Maître
Second Maître
 
Messages: 42
Inscrit le: 15 Nov 2006 15:24

Re: modifier les regles pour schema reseau atypique

Messagepar m2nis » 04 Déc 2006 12:26

ronan56 a écrit:Pourriez vous me dire comment modifier les règles du routeur pour entrer ces modificiations ? est ce possible de le faire ??

Je vais répondre un tout petit peu à côté de la question, mais votre schéma me pose un peu question. Pourquoi ne pas avoir mis Ipcop juste après votre routeur? Ipcop aurait ainsi pu protéger entièrement votre réseau. Vis à vis de l'extérieure, même si votre routeur semble avoir une fontion pare-feu, les machines (visiblement) les plus importantes sont les moins bien protégées.

A votre place (à moins qu'il n'y ait d'autres contraintes), j'aurais donc mis les PC direction et bureau et green, la borne wi-fi en blue (inchangé) et les 10 autres postes (ainsi que le serveur d'impression qui doit surement être accessible par tous) sur orange. Une petite installation de BOT (pas indispensable mais tellement plus pratique pour gérer les règles), et tout doit pouvoir fonctionner en sécurité avec les critères recherchés.
m2nis
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 335
Inscrit le: 25 Mai 2004 17:17
Localisation: France

Messagepar ronan56 » 04 Déc 2006 12:46

IPCop a pour fonction première de filtrer (url-filter) les 10 ordinateurs du contenu internet, il n'avait pas pour fonction de sécuriser a proprement parler. Le routeur Zyxel possède deja un firewall.

les autres fonction d'ipcop étant bien entendu les bienvenus comme la gestion du réseau Wifi, la fonction d'update-accelerator....

mon choix c'est aussi porté sur le fait que le serveur IPCop est un peu bruyant et la prise téléphone dans le bureau de la direction, a moins d'investir dans un pc ITX passif avec 3/4 cartes 10/100 c'est rare donc tres cher. Je n'avais alors que cette solution, celui de placer le serveur dans la salle réseaux.

BOT, une extension/addon pour ipcop ? je vais faire quelques recherches.

merci pour votre réponse.
Avatar de l’utilisateur
ronan56
Second Maître
Second Maître
 
Messages: 42
Inscrit le: 15 Nov 2006 15:24

Messagepar ronan56 » 04 Déc 2006 16:23

je viens de l'installer sur vmware, BOT est prometteur et vraiment complet. Problème, c'est qu'il ne semble pas fonctionner... :cry:

Si j'ai bien compris, une fois BOT activer, il bloque absolument tout, a nous ensuite de déterminer les règles.

si j'accepte Interface : Bleu / network : bleu --->>> vers IP manuel 192.168.1.1 (adresse du second routeur) rien ne se passe, il refuse.

même chose avec Green.

Image

du reste, s'il bloque tout par défaut, je ne vois pas pourquoi l'option "refuser" est présent dans les options. Sinon, je pense n'avoir pas tout a fait compris la logique du concepteur de cet addon, mais ce va venir..j'espere.

en attendant, si un peu d'aide arrive, c'est pas de refus :)

merci
Avatar de l’utilisateur
ronan56
Second Maître
Second Maître
 
Messages: 42
Inscrit le: 15 Nov 2006 15:24

Messagepar m2nis » 04 Déc 2006 17:46

ronan56 a écrit:Problème, c'est qu'il ne semble pas fonctionner... :cry:

Chez moi, il fonctionne parfaitement. Et je ne crois pas être une exception. ;-)

ronan56 a écrit:Si j'ai bien compris, une fois BOT activer, il bloque absolument tout, a nous ensuite de déterminer les règles.

Exactement. C'est à mon avis le fonctionnement idéal par défaut d'un pare-feu, mais il a l'inconvénient de pouvoir décourager quelqu'un qui découvre (ça ne marche pas! :-)). Je pense que c'est pour cette raison que les concepteurs d'Ipcop ont autorisé par défaut green->red (ils confirmeront peut-être?).

ronan56 a écrit:si j'accepte Interface : Bleu / network : bleu --->>> vers IP manuel 192.168.1.1 (adresse du second routeur) rien ne se passe, il refuse.

Red étant habituellement l'interface vers internet, je ne sais pas comment Ipcop s'en sort pour gérer les adresses privées à destination de cette interface. Néanmoins, vous n'avez visiblement pas précisé l'interface red dans votre destination de règle.

ronan56 a écrit:s'il bloque tout par défaut, je ne vois pas pourquoi l'option "refuser" est présent dans les options.

Parce que vous pouvez très bien vouloir faire des règles comme ceci:
-autorise 192.168.1.0 ->192.168.2.0 (tout red vers tout green...)
-refuse 192.168.1.3 -> 192.168.2.0 (... sauf serveur d'impression)

Sinon, pensez à regarder dans le journal du pare-feu lorsque vous ne comprenez pas ce qui se passe. C'est souvent d'une très grande utilité.
m2nis
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 335
Inscrit le: 25 Mai 2004 17:17
Localisation: France

Messagepar ronan56 » 04 Déc 2006 19:37

hum...je crois que mon probleme va etre insoluble.

j'ai bien regardé dans le firewall, fait de nombreuses manipulations, dans tous les sens avec groupement de reglage, creation de services ect...

dans les groupement de reglages, je me suis dit qu'en acceptant seulement le HTTP/HTPS/FTP/SMTP/POP3 cela me permettrait de ne pas donner accés aux dossiers partagés sans trop de restriction pour l'utilisateur, mais je n'arrive meme pas à avoir le net.


bref, je suis mal barré avec le schéma de mon reseau, pourtant il faut que je trouve une solution ou autre chose que BOT.

Le principal soucis est que tout se passe APRES l'interface RED. Il est en DHCP deja, alors fixer une regles sur une interface qui change d'adresse c'est pas facile surtout que le modem se trouve sur le meme reseau.

je me demande meme sur URL_filter ne pourrait m'aider indirectement en mettant toutes les adresses hors IP de la carte red et celle du modem, en Black liste. C'est sur que c'est une methode bourrin et pas vraiment dans les regles de l'art, mais je sens que je ne vais pas avoir le choix...sauf si un pro des regles de routages me donne la marche à suivre. :)
Avatar de l’utilisateur
ronan56
Second Maître
Second Maître
 
Messages: 42
Inscrit le: 15 Nov 2006 15:24

Messagepar m2nis » 04 Déc 2006 20:23

ronan56 a écrit:bref, je suis mal barré avec le schéma de mon reseau

C'était un peu l'objet de mon premier post. Sachant que la liaison entre le routeur et Ipcop est normalement en ethernet, vous devriez peut-être pouvoir déplacer la machine dans une autre pièce si c'est cela qui vous gène, ou déplacer la prise téléphone...

Cela vous permettrait:
-d'avoir un seul serveur dhcp
-une architecture un peu plus "standard" et cohérente
-un bon pare-feu (et un seul) pour l'ensemble de votre réseau
-...

Bref, à mon avis, pas mal de simplifications au final et une meilleur vue de l'ensemble (en terme de sécurité notamment). Maintenant, ce n'est que mon humble avis et... c'est vous qui voyez... :D
m2nis
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 335
Inscrit le: 25 Mai 2004 17:17
Localisation: France

Messagepar ronan56 » 04 Déc 2006 20:31

c'est certains, et je suis d'accord avec vous mais je ne peux pas, car j'ai oublié de dire que le point d'accés wifi est aussi dans la salle reseaux hors, la prise telephone est dans un autre batiment et qu'il n'y a qu'un cable reseaux entre les deux batiments, il va donc en manquer un. (green + bleu )

il va vraiment falloir que je trouve une solution :roll:

sinon, la methode URL filter pour les dossiers reseaux ne fonctionne pas, normal.

il reste l'option de cacher les dossiers partagés en ajoutant un "$" devant le nom de partage et celui-ci ne s'affiche plus automatiquement...ca reste du bricolage, c'est pas tres bon.


merci pour votre aide, et la discution/solution reste ouverte :D
Avatar de l’utilisateur
ronan56
Second Maître
Second Maître
 
Messages: 42
Inscrit le: 15 Nov 2006 15:24

Messagepar m2nis » 05 Déc 2006 08:13

ronan56 a écrit:c'est certains, et je suis d'accord avec vous mais je ne peux pas, car j'ai oublié de dire que le point d'accés wifi est aussi dans la salle reseaux hors, la prise telephone est dans un autre batiment et qu'il n'y a qu'un cable reseaux entre les deux batiments, il va donc en manquer un. (green + bleu )

Il existe des déboubleurs qui permettent de faire deux câbles dans un seul (seulement deux paires sont utiles dans les quatre d'un cable). Voici un exemple. Il m'arrive de devoir en utiliser, et je n'ai jamais eu aucun soucis.
m2nis
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 335
Inscrit le: 25 Mai 2004 17:17
Localisation: France

Messagepar ronan56 » 05 Déc 2006 19:35

c'est bon, j'ai trouvé la solution !!

en faisant une recherche sur le forum, j'ai vu que pour obtenir un fonctionnement normal du navigateur sur internet il fallait creer une regles DNS port 53.

c'est le seul qui me manquait...et je l'avais completement zappé.

bref, j'a fait un regroupement avec :

bleu ---> ipcop : ports personnalisés


avec dans "port personnalisés" :

- HTTP 80 accés aux pages classiques
- HTTPS 443 http securisé
- DNS 53 resolution de noms
- FTP 21 ca peut servir
- PROXY ipcop 800 accés aux caches et URL_filter (mode transparent)
- SMTP 25 reception de mail
- POP 110 envois de mail (sous reserve d'avoir le meme FAI)

sachant que windows utilise les ports 123, 124, 125 pour le partage des dossiers, impossible d'atteindre les dossiers partagés du reseau 192.168.1.0/24.

un grand merci pour m'avoir aiguillé sur BOT :D
Avatar de l’utilisateur
ronan56
Second Maître
Second Maître
 
Messages: 42
Inscrit le: 15 Nov 2006 15:24

Messagepar ronan56 » 08 Déc 2006 03:23

me revoila, pour corriger mes bêtises du post precedent que je ne plus éditer.

voila les règles de bot :

Image


je n'ai pas vraiment compris la difference entre "any" et "ipcop", mais j'ai fini par trouver les bonnes correspondances pour que ca fonctionne. Le ftp, https, et le port 80 ici transformé en 800 puisque passant par le proxy. Le filtrage URL-filter est ok.

a ce titre, j'ai du passer a la version 1.4.10 d'ipcop car url-filter ne filtrait plus rien et impossible de le refaire fonctionner. Apres avoir recherché sur le forum, la version 1.4.10 d'ipcop paraissait plus stable ou moins pointilleuse.


par contre, il me reste un problème, le fait de faire fonctionner BOT et d'activer sur l'interface bleu les ports 800 et 53, le filtrage MAC n'est plus actif du tout !

sur l'interface bleu, le partage de fichier (port 139) n'est plus actif, donc les fichiers partagés ne sont plus accessible, excellent \:D/

mais comment faire pour la gestion de l'adresse mac puisse se faire de nouveau avec BOT ?

merci.
Avatar de l’utilisateur
ronan56
Second Maître
Second Maître
 
Messages: 42
Inscrit le: 15 Nov 2006 15:24

Messagepar m2nis » 08 Déc 2006 09:00

ronan56 a écrit:je n'ai pas vraiment compris la difference entre "any" et "ipcop"

Vous avez deux grandes catégories de trafic: celui qui passe par Ipcop et celui qui est à destination d'Ipcop. Lorsque l'on parle d'une règle concernant l'accès de vert à internet, il s'agit de la catégorie "autre réseau". Si l'on parle de l'administration d'Ipcop, il s'agit bien d'un "accès à Ipcop". Là où ça peut se compliquer un peu, c'est si par exemple Ipcop est utilisé comme serveur DNS. Si vert veut naviguer sur internet, il doit d'abord faire un "accès à Ipcop" (53) avant de se rendre sur un "autre réseau" (80). Mais si le proxy est activé, alors la machine n'utilise que l'"accès à Ipcop" pour naviguer (sauf https), ce qui est votre cas ici. Pas trop opaque comme explication?

ronan56 a écrit:a ce titre, j'ai du passer a la version 1.4.10 d'ipcop car url-filter ne filtrait plus rien et impossible de le refaire fonctionner. Apres avoir recherché sur le forum, la version 1.4.10 d'ipcop paraissait plus stable ou moins pointilleuse.

Aucun soucis de mon côté avec URL filter 1.8.1 et Ipcop 1.4.11.

ronan56 a écrit:par contre, il me reste un problème, le fait de faire fonctionner BOT et d'activer sur l'interface bleu les ports 800 et 53, le filtrage MAC n'est plus actif du tout !

Vous pouvez le remettre en place avec la configuration avancée de BOT (réglage d'adresses).
m2nis
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 335
Inscrit le: 25 Mai 2004 17:17
Localisation: France

Messagepar ronan56 » 08 Déc 2006 09:33

Vous avez deux grandes catégories de trafic: celui qui passe par Ipcop et celui qui est à destination d'Ipcop. Lorsque l'on parle d'une règle concernant l'accès de vert à internet, il s'agit de la catégorie "autre réseau". Si l'on parle de l'administration d'Ipcop, il s'agit bien d'un "accès à Ipcop". Là où ça peut se compliquer un peu, c'est si par exemple Ipcop est utilisé comme serveur DNS. Si vert veut naviguer sur internet, il doit d'abord faire un "accès à Ipcop" (53) avant de se rendre sur un "autre réseau" (80). Mais si le proxy est activé, alors la machine n'utilise que l'"accès à Ipcop" pour naviguer (sauf https), ce qui est votre cas ici. Pas trop opaque comme explication?


non, c'est tres bien expliqué, merci :D


Vous pouvez le remettre en place avec la configuration avancée de BOT (réglage d'adresses).


bien, je vais essayer de se coté là, meme si pour le moment, je ne sais pas trop comment m'y prendre.


un grand merci m2nis pour ton aide :D
Avatar de l’utilisateur
ronan56
Second Maître
Second Maître
 
Messages: 42
Inscrit le: 15 Nov 2006 15:24

Messagepar ronan56 » 08 Déc 2006 11:02

re bonjour,

j'ai un petit doute quand vous dites "Vous pouvez le remettre en place avec la configuration avancée de BOT (réglage d'adresses)."

voulez vous dire que cette interface se substitue a celle de blue ? si oui, je preferais, si possible, que l'interface bleu fonctionne comme avant tout ayant BOT d'activer.

si cela n'est pas possible, j'activerais la clef wep 128 sur le Point d'acces.
Avatar de l’utilisateur
ronan56
Second Maître
Second Maître
 
Messages: 42
Inscrit le: 15 Nov 2006 15:24

Messagepar m2nis » 08 Déc 2006 18:00

ronan56 a écrit:voulez vous dire que cette interface se substitue a celle de blue ?

Oui. Mais ce n'est pas compliqué. Vous déclarez les adresses mac dans la configuration de BOT et vous pouvez ensuite créer un groupe de plusieurs de ces adresses pour lesquelles les règles de BOT s'appliqueront. Par exemple:

réglage d'adresses:
mon_pc: 00:bb:11:aa:22:01
ton_pc: 00:bb:11:aa:22:02

paramètres txt du regroupement d'adresses
nos_pc: mon_pc + ton_pc

règles de BOT:
bleu/nos_pc -> vert:139 = autorisé

ronan56 a écrit:si oui, je preferais, si possible, que l'interface bleu fonctionne comme avant tout ayant BOT d'activer.

Je ne sais pas si c'est possible???

ronan56 a écrit:si cela n'est pas possible, j'activerais la clef wep 128 sur le Point d'acces.

Attention, la clef wep sert à crypter le flux, mais pas à gérer les ports autorisés. Et attention, la protection par adresses mac semble pour le moins... faible, tout comme le wep d'ailleurs. :-(
m2nis
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 335
Inscrit le: 25 Mai 2004 17:17
Localisation: France

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron