Séparer réseau admin+eleve+prof

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Séparer réseau admin+eleve+prof

Messagepar Piem76 » 14 Mars 2009 13:25

Bonjour à tous,
j'ai beau épluché les forums d'IPcop, je n'ai pas réussi à trouver la solution à mon problème.

Alors voilà :
je travaille dans un collège et je veux séparer mon réseau administratif de mon réseau prof de mon réseau élève.
Je veux que :
- admin communique avec les 2 autres
- prof puisse aller sur élève et admin
- eleve ne puisse pas aller admin et prof SAUF pour contacter mon serveur controleur de domaine, mon DNS et un serveur Intranet
- prof accède à internet à travers un proxy et un filtrage d'URL "léger"
- eleve accède à internet à travers un proxy et un filtrage d'URL "sévère"

J'ai cherché, épluché les forums et poser des questions ; on m'a conseillé ça :
- admin en RED
- prof sur BLUE
- eleve sur RED
avec les 3 interfaces branchées sur le switch primaire. Si je pouvais éviter les vlans, ça m'arrangerait...!

Au point de vue Addon, on m'a dit de mettre URLFilter, ADVProxy et BOT.

J'ai essayé mais pour l'instant ça ne remplit pas mes attentes.

Suis-je sur la bonne voie ? Me gourre-je ?

J'ai préparé un beau dessin mais je ne sais pas comment l'intégrer dans mon post (oui je sais je suis nul !)...Si quelqu'un sait comment faire, je me dépêcherai de le faire, ça sera beaucoup plus parlant !


Un énorme merci à ceux qui prendront le temps de lire mon post et de m'aider à résoudre mon problème.[/img]
Piem76
Matelot
Matelot
 
Messages: 6
Inscrit le: 06 Avr 2007 17:04

Messagepar ccnet » 14 Mars 2009 18:23

C'est une solution qui ne tient pas debout. Après cette brutalité introductive quelques explications.

avec les 3 interfaces branchées sur le switch primaire.

Autant faire un réseau unique. Mais Ipcop est conçu pour être utilisé avec un numéro de réseau différent sur chaque interface. Les connecter au même switch revient à pouvoir facilement shunter le firewall.

Si l'on résume vous avez 3 réseaux internes à gérer et à cloisonner. Au passage avez vous réfléchi à l'espace d'adressage pour chacun d'eux ?

Au point de vue Addon, on m'a dit de mettre URLFilter, ADVProxy et BOT

BOT sur ipcop indispensable.
URLFilter, ADVProxy et tout ce qui est proxy n'ont rien à faire sur le firewall. Je sais cela se fait beaucoup ce qui ne suffit pas à en faire une pratique sûre.

J'ai essayé mais pour l'instant ça ne remplit pas mes attentes.

Le contraire m'aurait étonné.

Suis-je sur la bonne voie ?

Non ipcop n'est pas conçu pour répondre à vos besoins. Vous avez besoin de 3 réseaux internes (Eleves, professeurs, administratifs). Et bien sur il faut connecter le tout à internet. Or ipcop est conçu pour 1 réseau interne, une dmz, un réseau sans fil avec des règles de routage prédéfinies entre les interfaces. De plus tout le trafic Blue, Green est naté avec l'ip de RED.

Solution possible : Pfsense
Si vous ne voulez pas utiliser de Vlan (mais si vous avez un seul cablage, cela ne tient pas la route) vous pouvez l'utiliser avec 4 ou 5 interfaces. Avec Vlan ce qui me semble hautement préférable 2 ou 3 interfaces. Dans tous les cas une interface Wan connectée à Internet mais en aucun cas avec un switch commun au reste du réseau. Une autre portera 3 vlans vers un switch au moyen d'un lien "trunk". Une interface pour isoler le proxy et ses outils de filtrage.
Voila à gros traits ce qu'il faut prévoir. Il reste de nombreux points à traiter ensuite. Avec la proposition initiale, si un problème survenait, on pourrait vous reprocher de ne pas avoir tout mis en oeuvre selon les bonnes pratiques pour l'éviter et on aurait raison.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar Piem76 » 15 Mars 2009 16:46

Merci CCNET pour cet avis et ces conseils... et merci aussi pour le découragement (passager) que votre réponse me donne ! :wink:

Si j'ai bien compris, je n'ai plus qu'à reprendre ma copie et surtout le plan d'adressage de mon réseau. C'est vrai que mon réseau est arrivé au point de rupture, toutes mes IP sont prises et j'ai du monde qui arrive. Une bonne remise à plat s'avère necessaire, mais j'aurais voulu toucher un minimum à l'existent, surtout en ce qui concerne les serveurs et les postes profs.
Quant à PFsense, j'ai commencé à regarder cette solution qui me parait alléchante.

Encore merci et à bientôt avec de nouvelle question.
Piem76
Matelot
Matelot
 
Messages: 6
Inscrit le: 06 Avr 2007 17:04

Messagepar ccnet » 15 Mars 2009 19:08

A première vue et de loin : il me semble possible de ne pas toucher au plan d'adressage pour le réseau professeurs et les serveurs. Il est clair que si toutes les adresses sont utilisées et que tu monde arrive, il faut remettre à plat. En ce cas je ne vois pas de miracle possible. Avec Pfsense, vous n'êtes pas obliger de translater ou de router entre deux réseaux, les interfaces peuvent être en bridge et les deux réseaux peuvent partager le même espace d'adressage. Je ne dis pas que c'est ce qu'il faut faire mais cela peut vous simplifier la vie, peut être, lors d'une période de transition.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar jdh » 15 Mars 2009 21:50

Je décomposerais ce problème en 2 parties :
- séparation : qu'est ce qui qui caractérise chaque zone,
- politique de flux entre zones.


Séparation des zones :
Il y a plein de questions :
- une zone logique correspond-elle à une zone physique (panneau de brassage / switch) ?
- quels sont les plans d'adressages de chaque zone ?
- y a-t-il des vlans ?
- ...

Politique de flux :
Il faut distinguer chaque flux nécessaire. Il me parait excessivement dangereux d'avoir un domaine (DC) commun à des zones aussi différentes qu'admin et elèves.


Il est clair que pfSense permet de faire beaucoup plus de choses qu'un IPCOP à l'étroit dans un schéma fixe de couleurs. Et admin <> Red !

Il est assez pénible d'avoir un proxy (http) distinct du firewall mais cette contrainte peut apporter beaucoup en terme de sécurité.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Piem76 » 21 Mars 2009 16:16

Bonjour,

je fais suite à mon post et à vos réponses.
Voilà où j'en suis :
J'ai créé un IPCOP avec en RED le réseau en 192.168.56.0/24 (plan d'adressage pré-existant) et en GREEN un réseau en 192.168.60.0/24 (réseau pédago) ; Ces 2 interfaces sont branchées directement sur le switch primaire. Au point de vue sécurité ce n'est pas top, mais j'expliquerais mon choix à la fin...

J'ai choisi de "détourner" IPCOP comme routeur+proxy et d'ignorer la fontcion pare-feu. En effet les profs (sur le réseau 56) veulent atteindre des répertoires partagés sur les machines élèves (en 60) ; de ce fait j'ai créé deux règles INTERDITES : tout traffic de Green vers Red et tout traffic de Red vers Green AUTORISE !!! Oui je sais, j'ai honte...!

Pourquoi ces choix :
- le réseau pré-existant est en 56.0/24 ; tout le monde était dessus, prof, élève, serveur, imprimante... Grâce aux GPO windows j'ai essayé de sécuriser les machines élève (pas d'accès aux clés USB, C: invisble...) et surtout par d'accès à internet.
- Mais il faut que les élèves aient accès au NET...
- Le but d'IPCOP est de séparer les deux réseaux, sans devoir tout arrêter pendant une semaine et se lancer dans des VLANS et autres réjouissances..., et de mettre un proxy pour le élèves (je fais encore confiance aux profs dans leurs surfs)
- Je suis déjà protégé par un pare-feu avec ma passerelle par défaut (Netasq F50)
- et surtout je suis tout seul donc je dois aller vite.

Au point de vue sécurité, c'est pas très propre ni très étanche. Mais ça fonctionne avec avec le minimum d'intervention et de perturbation pour tout le monde.
De plus je compte mettre la couche ESU4 (http://crdp.ac-rennes.fr/esugunt/public/ESU4/index.php) qui permet de personnaliser l'environnement windows en fonction des machines et des users qui se logguent.

Peut-être PFSense aurait été plus performant ? Si vous le pensez, faite le moi savoir... J'ai pris IPCOP car la communauté est plus importante et surtout je connaissais déjà un peu.

Merci à CCNET et JDH pour leurs explications et pour le temps qui ont bien voulu me consacrer.
Piem76
Matelot
Matelot
 
Messages: 6
Inscrit le: 06 Avr 2007 17:04

Messagepar kornfr » 22 Mars 2009 17:19

et pourquoi par un IPCOP (Proxy) pour le rezo Admin
et un ipcop (Proxy) pour le rezo Eleves + Profs
et un ip cop (Firewall) devant les 2 precedent ipcop ?

1 DC pour l'admin.
1 DC pour les Eleves + Profs


PS : pourquoi les profs doivent aller sur le rezo Admin ? (sinon tu peux faire un lien entre les 2 ipcop proxy pour que les profs accede au rezo admin.
Proliant ML110(PIV 3,2, 1Go, ATA 80Go)
-IPCOP 1.4.8
AdvProxy, UrlFilter,BlockOutTraffic, Calamaris, Enhanced Proxy Log Viewer, Copfilter (monit,P3Scan,SpamAssassin,ClamAV,Renattach,Rules Du Jour), OpenVPN
140 clients Win et 40 clients Mac OS X
Avatar de l’utilisateur
kornfr
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 230
Inscrit le: 02 Déc 2003 01:00
Localisation: Alsace

Messagepar ccnet » 23 Mars 2009 10:22

kornfr a écrit:et pourquoi par un IPCOP (Proxy) pour le rezo Admin
et un ipcop (Proxy) pour le rezo Eleves + Profs
et un ip cop (Firewall) devant les 2 precedent ipcop ?

1 DC pour l'admin.
1 DC pour les Eleves + Profs


PS : pourquoi les profs doivent aller sur le rezo Admin ? (sinon tu peux faire un lien entre les 2 ipcop proxy pour que les profs accede au rezo admin.


Non, franchement non.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar ccnet » 23 Mars 2009 10:41

Pourquoi ces choix :
- le réseau pré-existant est en 56.0/24 ; tout le monde était dessus, prof, élève, serveur, imprimante... Grâce aux GPO windows j'ai essayé de sécuriser les machines élève (pas d'accès aux clés USB, C: invisble...) et surtout par d'accès à internet.
- Mais il faut que les élèves aient accès au NET...
- Le but d'IPCOP est de séparer les deux réseaux, sans devoir tout arrêter pendant une semaine et se lancer dans des VLANS et autres réjouissances..., et de mettre un proxy pour le élèves (je fais encore confiance aux profs dans leurs surfs)
- Je suis déjà protégé par un pare-feu avec ma passerelle par défaut (Netasq F50)
- et surtout je suis tout seul donc je dois aller vite.


Ce ne sont que des mauvaises raisons.

Globalement d'après ce que je viens de lire votre système est probablement une véritable passoire. Et de la sécurité ou de la séparation des réseaux il n'y a que l'illusion.

Une migration se planifie et se prépare. C'est 60 à 80 % de préparation et le reste d'exécution. Il ne faut pas une semaine pour une telle opération.

Faire confiance lorsque l'on s'occupe de sécurité est une erreur.

Autre erreur : dans votre cas les plus grands risques sont à l'intérieur du réseau.

GPO ? vous supposez que le pirate est un bon pirate, c'est à dire qu'il va attaquer vos règles de front. Que se passe t il si un élève débarque avec un portable personnel et se connecte sur votre réseau ? Ou qu'un autre se serve du lecteur de cd pour booter sur autre chose que Windows ? Voire réinitialiser le mot de passe administrateur local ? Sans parler pas des solutions de surf anonyme permettant de contourner votre proxy puisque ipcop laisse tout sortir. Bref je ne rentre pas dans les détails mais ce réseau ne tient pas la route à cause de sa conception que n'est pas sûre.
Désolé mais je vous le dis comme je le pense.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron