Rendre le proxy obligatoire même aux machines hors domaine

[HARBONNIER]

Bonjour,

j'ai un ipcop en production avec les plugins ADVPROXY et URLFILTER. J'ai activé le proxy sur l'interface GREEN (pas de mode transparent vu qu'il est incompatible avec l'authentification)
ADVPROXY est configuré pour lire l'annuaire LDAP (authentification LDAP) afin de laisser surfer les user présents dans le groupe INTERNET qui est un groupe global situé à la racine de mon active directory (serveur 2003). Le 2003 est aussi DHCP (IP, MSR, Passerelle, DNS) et la config du proxy est délivrée par gpo.

J'aimerais empècher les machines qui n'appartiennent pas au domaine de surfer sur internet en toute impunité vu qu'ils shuntent le proxy.
N'importe qui actuellement connecte un portable sur une prise RJ45 et ... enjoy
Comment faire en sorte d'avoir à la fois l'authentification LDAP et une sorte de mode transparent ??

Le principer de l'interface bleue est assez séduisant où il est possible d'autoriser les machines en cliquant sur le crayon dans l'interface privée.

Une idée ?

Merci

Arnaud

[ccnet]

Pour des raisons de sécurité évidentes, les machines appartenant au domaine et celles n'y appartenant pas ne devraient pas se trouver sur le même réseau (au sens où elles devrait appartenir à des domaines de broadcast Ethernet différents). Il me semble sain de penser qu'un utilisateur hors du domaine ne doivent pas pouvoir écouter le trafic de machines qui en font partie ...
Il serait nécessaire d'employer des Vlans et une authentification par port à la connexion de la machine. Selon le résultat le switch ouvre ou non le port, place la machine dans le vlan approprié. Avec Ipcop et en utilisant le proxy sur ipcop vous touchez aux limites de ce type de configuration. La présence d'un proxy sur un firewall n'est pas saine. Gérer dans Squid à la fois l'authentification pour certaines machines et le mode transparent pour d'autres est possible. Mais dans un contexte ipcop cela devient très difficile. Ce type de paramètres de configuration n'étant pas accessible par l'interface d'administration.

[HARBONNIER]

Merci de votre réponse. Oui en effet les VLANs seraient l'iéal (gros dossier de commutation) ...
mais comment faire sans ... là était ma question ...
iptable ? BOT ou autre plugins ???
avis aux amateurs ...

merci

Arnaud

[jdh]

Rendre le proxy obligatoire ?

A partir du moment où il y a un proxy, il est ABSOLUMENT clair qu'aucune autre machine ne doit pouvoir accéder à Internet sur le port http (tcp/80).

BOT, qui est un addons tellement de base pour IPCOP, doit faire cela : au lieu de la règle stupide "tout est autorisé de Green vers Red", il suffit, avec BOT, de définir précisément ce qui est autorisé, et donc d'interdire le flux sortant utilisant tcp/80.

En fait, il faut d'abord définir la policy par défaut à "tout interdit" et ... il ne faut pas créer de règles autorisant tcp/80 pour Green !

(NB : penser à autoriser le port proxy vers IPCOP !)

(Quand on dit et répète que BOT est obligatoire ...)

[HARBONNIER]

Bjr,
merci de la réponse. En effet je connais bien le BOT ... pour l'avoir déjà utilisé.
En effet c'est vrai que c'est une bonne solution ... je vais la mettre en place. Il y a de très bon tutos sur le sujet.
Cependant je voulais savoir si qqun connaissais uneautre méthode : iptables ou le moyen de faire comme acvec l'interface bleu ... de pouvoir accepter les machines au cas par cas ....
merci beaucoup de votre réponse

Arnaud

[jdh]

Je suis adepte du point de vue de ccnet : le meilleur lieu d'un proxy n'est pas le firewall.

Il est donc évident que je créé des règles où j'autorise la SEULE machine proxy à accéder à tcp/80, ...


Mais je trouve lourd de configurer chaque PC avec le proxy. (D'autant plus que chaque logiciel a son propre réglage : il faut régler IE, FF, et d'autres ...). (NB: Les gpo ne solutionnent qu'IE à moins que je me trompe ...).

Donc j'ai mis en oeuvre WPAD (qui ne fonctionne que pour http mais qui fonctionne bien). Cela permet aux nomades de naviguer sans avoir à activer un proxy selon qu'ils sont au bureau ou à l'extérieur ...

[HARBONNIER]

bonjour,

Ui je v tester en premier iptables

en second les solution .pac (dhcp)

en 3 : wpad (via dns je crois)

puis en 4 : si ça marche pas je reviendrai à BOT

si vous avez des tutos sur les 3 premiers je suis preneur ... sinon je passerai le net au peigne fin

merci à tous

arno

[jdh]

NON ! En 1, il FAUT travailler avec BOT !

Il n'y a AUCUNE raison qu'un PC ait accès à tcp/80 (hors le proxy) !

C'EST TOUT !



NB: WPAD c'est dhcp et/ou dns, et c'est .pac et/ou .pad. Tout cela est la même méthode qui s'applique ... après BOT !

NB2 : BOT c'est "iptables facile" c'est à dire gérable et maintenable via l'interface web et non une bidouille rajoutée à la main dans un fichier rc.firewall (?) (et qui ne survit pas à la mise à jour de l'IPCOP !).

[HARBONNIER]

Ok merci beacoup.

j'essaye tout ça dans la semaine ... du gros dossier !!! (pour moi)

Je crois que j'ai compris cette fois :

grâce à BOT on vérouille tous les ports web hormis le port 800
avec wpad (dns) ou .pac (dhcp) on configure les navigateurs des machines qui ne sont pas dans un domaine et qui ne récupèrent donc pas la config de proxy par gpo ...

si c ça c'est nikel ... je teste tout ça dans la semaine pour maîtriser le dossier et ensuite je claque en prod !!!

merci beaucoup

@ +

Arnaud