Rendre le proxy obligatoire même aux machines hors domaine

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Rendre le proxy obligatoire même aux machines hors domaine

Messagepar HARBONNIER » 17 Avr 2009 14:32

Bonjour,

j'ai un ipcop en production avec les plugins ADVPROXY et URLFILTER. J'ai activé le proxy sur l'interface GREEN (pas de mode transparent vu qu'il est incompatible avec l'authentification)
ADVPROXY est configuré pour lire l'annuaire LDAP (authentification LDAP) afin de laisser surfer les user présents dans le groupe INTERNET qui est un groupe global situé à la racine de mon active directory (serveur 2003). Le 2003 est aussi DHCP (IP, MSR, Passerelle, DNS) et la config du proxy est délivrée par gpo.

J'aimerais empècher les machines qui n'appartiennent pas au domaine de surfer sur internet en toute impunité vu qu'ils shuntent le proxy.
N'importe qui actuellement connecte un portable sur une prise RJ45 et ... enjoy
Comment faire en sorte d'avoir à la fois l'authentification LDAP et une sorte de mode transparent ??

Le principer de l'interface bleue est assez séduisant où il est possible d'autoriser les machines en cliquant sur le crayon dans l'interface privée.

Une idée ?

Merci

Arnaud
HARBONNIER
Premier-Maître
Premier-Maître
 
Messages: 58
Inscrit le: 22 Juil 2008 08:19
Localisation: Valenciennes

Messagepar ccnet » 17 Avr 2009 15:17

Pour des raisons de sécurité évidentes, les machines appartenant au domaine et celles n'y appartenant pas ne devraient pas se trouver sur le même réseau (au sens où elles devrait appartenir à des domaines de broadcast Ethernet différents). Il me semble sain de penser qu'un utilisateur hors du domaine ne doivent pas pouvoir écouter le trafic de machines qui en font partie ...
Il serait nécessaire d'employer des Vlans et une authentification par port à la connexion de la machine. Selon le résultat le switch ouvre ou non le port, place la machine dans le vlan approprié. Avec Ipcop et en utilisant le proxy sur ipcop vous touchez aux limites de ce type de configuration. La présence d'un proxy sur un firewall n'est pas saine. Gérer dans Squid à la fois l'authentification pour certaines machines et le mode transparent pour d'autres est possible. Mais dans un contexte ipcop cela devient très difficile. Ce type de paramètres de configuration n'étant pas accessible par l'interface d'administration.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

forcer utilisation du proxy sur ipcop

Messagepar HARBONNIER » 17 Avr 2009 15:46

Merci de votre réponse. Oui en effet les VLANs seraient l'iéal (gros dossier de commutation) ...
mais comment faire sans ... là était ma question ...
iptable ? BOT ou autre plugins ???
avis aux amateurs ...

merci

Arnaud
HARBONNIER
Premier-Maître
Premier-Maître
 
Messages: 58
Inscrit le: 22 Juil 2008 08:19
Localisation: Valenciennes

Messagepar jdh » 19 Avr 2009 09:00

Rendre le proxy obligatoire ?

A partir du moment où il y a un proxy, il est ABSOLUMENT clair qu'aucune autre machine ne doit pouvoir accéder à Internet sur le port http (tcp/80).

BOT, qui est un addons tellement de base pour IPCOP, doit faire cela : au lieu de la règle stupide "tout est autorisé de Green vers Red", il suffit, avec BOT, de définir précisément ce qui est autorisé, et donc d'interdire le flux sortant utilisant tcp/80.

En fait, il faut d'abord définir la policy par défaut à "tout interdit" et ... il ne faut pas créer de règles autorisant tcp/80 pour Green !

(NB : penser à autoriser le port proxy vers IPCOP !)

(Quand on dit et répète que BOT est obligatoire ...)
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Forcer utilisation duproxy

Messagepar HARBONNIER » 19 Avr 2009 09:27

Bjr,
merci de la réponse. En effet je connais bien le BOT ... pour l'avoir déjà utilisé.
En effet c'est vrai que c'est une bonne solution ... je vais la mettre en place. Il y a de très bon tutos sur le sujet.
Cependant je voulais savoir si qqun connaissais uneautre méthode : iptables ou le moyen de faire comme acvec l'interface bleu ... de pouvoir accepter les machines au cas par cas ....
merci beaucoup de votre réponse

Arnaud
HARBONNIER
Premier-Maître
Premier-Maître
 
Messages: 58
Inscrit le: 22 Juil 2008 08:19
Localisation: Valenciennes

Messagepar jdh » 19 Avr 2009 09:49

Je suis adepte du point de vue de ccnet : le meilleur lieu d'un proxy n'est pas le firewall.

Il est donc évident que je créé des règles où j'autorise la SEULE machine proxy à accéder à tcp/80, ...


Mais je trouve lourd de configurer chaque PC avec le proxy. (D'autant plus que chaque logiciel a son propre réglage : il faut régler IE, FF, et d'autres ...). (NB: Les gpo ne solutionnent qu'IE à moins que je me trompe ...).

Donc j'ai mis en oeuvre WPAD (qui ne fonctionne que pour http mais qui fonctionne bien). Cela permet aux nomades de naviguer sans avoir à activer un proxy selon qu'ils sont au bureau ou à l'extérieur ...
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

forcer utilisation du proxy

Messagepar HARBONNIER » 19 Avr 2009 10:33

bonjour,

Ui je v tester en premier iptables

en second les solution .pac (dhcp)

en 3 : wpad (via dns je crois)

puis en 4 : si ça marche pas je reviendrai à BOT

si vous avez des tutos sur les 3 premiers je suis preneur ... sinon je passerai le net au peigne fin

merci à tous

arno
HARBONNIER
Premier-Maître
Premier-Maître
 
Messages: 58
Inscrit le: 22 Juil 2008 08:19
Localisation: Valenciennes

Messagepar jdh » 19 Avr 2009 10:51

NON ! En 1, il FAUT travailler avec BOT !

Il n'y a AUCUNE raison qu'un PC ait accès à tcp/80 (hors le proxy) !

C'EST TOUT !



NB: WPAD c'est dhcp et/ou dns, et c'est .pac et/ou .pad. Tout cela est la même méthode qui s'applique ... après BOT !

NB2 : BOT c'est "iptables facile" c'est à dire gérable et maintenable via l'interface web et non une bidouille rajoutée à la main dans un fichier rc.firewall (?) (et qui ne survit pas à la mise à jour de l'IPCOP !).
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

forcer utilisation du proxy

Messagepar HARBONNIER » 19 Avr 2009 20:16

Ok merci beacoup.

j'essaye tout ça dans la semaine ... du gros dossier !!! (pour moi)

Je crois que j'ai compris cette fois :

grâce à BOT on vérouille tous les ports web hormis le port 800
avec wpad (dns) ou .pac (dhcp) on configure les navigateurs des machines qui ne sont pas dans un domaine et qui ne récupèrent donc pas la config de proxy par gpo ...

si c ça c'est nikel ... je teste tout ça dans la semaine pour maîtriser le dossier et ensuite je claque en prod !!!

merci beaucoup

@ +

Arnaud
HARBONNIER
Premier-Maître
Premier-Maître
 
Messages: 58
Inscrit le: 22 Juil 2008 08:19
Localisation: Valenciennes


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron