Projet IPCOP BTS IG

[[Devil]]

Bonjour à tous,

Je me présente, je suis étudiant en 2eme année de BTS Informatique de Gestion et je suis actuellement en stage dans une entreprise qui fournit des solutions de gestion clés en main ainsi que de l'assistance à ses clients. Durant cette période de stage, nous devons travailler sur un projet que nous présenterons devant un jury pour le BTS. Mon projet : IPCOP.

Le gérant de l'entreprise m'a en effet chargé d'étudier IPCOP et de faire une procédure de mise en place en vue de le proposer à ses clients. Cependant, je dois trouver une solution générale applicable chez tous les clients. Le genre de réseau à protéger est un réseau comportant une DMZ. J'ai donc effectué pas mal de recherche sur IPCOP qui m'ont permis de mettre en place un IPCOP comportant 3 interfaces : Rouge, Orange et Vert. Pour le moment, tout est paramétré par défaut c'est à dire trafic entrant bloqué et trafic sortant autorisé.

Là où je commence à douter, c'est au niveau des différents plugins étant donné que je dois fournir une solution générale. Tout d'abord, je suis certain d'utiliser AdvancedProxy ainsi qu'URLFilter puisque les clients sont souvent confrontés au problème des employés qui surf sur des sites internet douteux. De même, le gérant souhaiterait pouvoir filtrer les mails. J'ai donc pensé à intégrer CopFilter mais apparemment, il fonctionne seulement lorsqu'on dispose d'un serveur de messagerie interne. Je vais devoir approfondir ce sujet puisque le gérant tient au filtrage de mail.

D'autres plugins semblent fortement intéressant mais difficilement applicable dans mon cas. Tout d'abord BlockOutTraffic qui apparait comme obligatoire mais qui représenterait une trop grande charge de travail pour le gérant et les futurs techniciens dans le sens où, il faudrait étudier et ouvrir des ports différents pour chaque entreprise. Il en va de même pour la détection d'intrusion qui nécessite beaucoup trop de temps et d'expertise pour être efficace. Pour pallier à ce manque, j'avais tout d'abord pensé à Guardian qui semble finalement être une fausse bonne idée à cause des faux positifs. Je ne pense pas que le gérant soit prêt à recevoir régulièrement des coups de fil concernant les blocages qu'aura effectué Guardian.

Je suis conscient qu'étant donné le caractère général de ma solution, la sécurité ne sera pas optimal. Néanmoins, je dois trouver un compromis pour assurer le maximum de sécurité possible tout en évitant au maximum les tâches régulières de maintenance.

Si vous avez des conseils à m'apporter, je suis ouvert à tout car comme vous pouvez le constater, je suis un véritable novice. Merci à tous car je suis parti de rien et que ce forum m'a fortement aider à comprendre le fonctionnement d'IPCOP

[jdh]

(Je ne vois pas de question ...)

BOT est une obligation ! C'est le premier addons à considérer ! Sans BOT, du fait de règles par défaut laxistes, IPCOP ne filtre rien en sortie comme ... une vulgaire box ! Donc il est in-envisageable de ne pas prévoir BOT !

Filtrer les mails ? Un firewall n'est pas le lieu idéal pour le filtrage de mails n'en déplaise aux marqueteux adeptes de l'UTM ! Tout comme le proxy http. De plus Copfilter est excessivement gourmand en ressources cpu et mémoire.

S'il s'agit de fournir un "firewall UTM", il est plus simple de vendre un matériel commercial (et d'invoquer ensuite les limites). Proposer un firewall clé en main à base d'IPCOP avec comme objectif "alternatif et pas cher" (parce qu'open source), pourquoi pas ? Mais une société cliente attend une solution réelle et opérationnelle, soutenue d'abord par une expertise. Cette expertise ne se résume pas à un modèle générique d'IPCOP désigné par un BTS 2ème année.

Un firewall n'est qu'UN élément de l'architecture pouvant éventuellement protéger des risques inhérents d'une entreprise connectée à Internet : virus, spam, chevaux de troie, .......... Ce n'est pas l'alpha et l'omega de la sécurité !

[[Devil]]

Merci pour ta réponse jdh même si je n'ai pas vraiment posé de question.

Concernant BOT, si je le met en place, il sera nécessaire d'analyser le réseau de chaque client, afin de déterminer quels ports sont utilisés, pour enfin les ouvrir c'est ça ? Dans ce cas, j'imagine que la charge de travail sera considérable non ?

En ce qui concerne le filtrage de mail, je me doute que le firewall n'est pas le meilleur endroit pour ça néanmoins, je pense que commercialement, cela constitue un sacré plus pour les clients d'avoir un filtrage antivirus et antispam sur leurs mails. Même si CopFilter est gourmand en ressources, j'imagine qu'il ne doit pas nécessiter une bête de course pour assurer son rôle, surtout que le volume des mails à traiter ne sera pas très important étant donné que les clients sont des petites PME de 10 postes maximum.

Au niveau du choix de la solution je ne peux pas trop me prononcer dans le sens où je débarque quelque peu dans le monde de l'entreprise. J'admet qu'une société cliente recherche de l'expertise mais l'entreprise dans laquelle je me trouve n'a pas la prétention d'être experte en sécurité. Il s'agit de proposer aux clients un service supplémentaire qui renforce la sécurité de leur réseau.

Moi même, en tant qu'étudiant de BTS 2eme année, ne suis pas du tout expert en sécurité informatique néanmoins, je dois mener à bien ce projet pour espérer obtenir mon diplôme et c'est pour cela que je demande conseil à vous les spécialistes d'IPCOP. Même si cette solution ne vous parait pas envisageable à première vue, il va bien falloir que je me débrouille pour parvenir à un résultat concret dans le mois qu'il me reste.

Merci pour votre aide

[jdh]

Filtrer en sortie n'est pas une "charge de travail" extrêmement lourde : on ne met pas en place un firewall sans poser de question ! On peut imaginer que le trafic sortant se résume à :
- dns (pour le serveur windows contrôleur de domaine),
- http, https, ftp,
- smtp, pop (vers le fai),

Copfilter est exigent : cela veut dire qu'avec un pc bien équipé en mémoire et pour des besoins limités (10 micros), cela fonctionnera. Ne pas espérer une efficacité exceptionnelle pour l'antivirus et l'antispam : clamav et spamassassin sont déjà les AV/AS utilisés par les hébergeurs type Amen, Ovh, 1&1 (sauf qu'ils maitrisés en principe par les équipes). Et puis la config des clients compte aussi (Thunderbird traite correctement les indésirables, peut-être mieux qu'Outlook).

Un pc neuf et bas de gamme avec 1G (ou 2G) doit convenir ...


Pour une PME, c'est d'abord la confiance. Une société de service informatique peut proposer une solution de firewall sous réserves qu'elle dispose d'expertise : un développeur ne devient pas expert sécurité des réseaux en claquant des doigts ... (ni l'inverse d'ailleurs !)

[[Devil]]

Très bien je vais donc me lancer dans la mise en place d'un IPCOP avec BOT, AdvancedProxy, URLFilter et CopFilter. Cela devrait suffire pour assurer un minimum de sécurité. Je met de coté mon idée de Snort + Guardian suite à la lecture des arguments démontrant que cela constitue une fausse bonne idée.

Merci

[[Devil]]

Alors j'ai bien avancé, j'ai donc mis en place un IPCOP avec Advanced Proxy, URL Filter et BOT. J'ai mis de coté CopFilter suite à la lecture des nombreux avis négatifs sur ce forum et ailleurs.

Tout fonctionne cependant, le gérant souhaiterait pouvoir bloquer Messenger. En parcourant ce forum j'ai découvert que lorsqu'on bloque son port par défaut, Messenger se rabat sur le port 80 et que quoi que l'on face, la dernière version parvient toujours à passer.

J'en ai parlé à un copain qui a également installé IPCOP durant son stage et lui, c'est l'inverse. Messenger est toujours bloqué quoi qu'il fasse tandis que tout l'accès Web, mails ect... fonctionne parfaitement. Nous avons découvert que cela était du au faite qu'il n'a pas coché la case "Lien autorisé, connexions établies".

En cherchant sur Internet l'utilité de cette case j'ai trouvé :

"Etat de la Connexion:
BOT permettra le traffic provenant une connection établie ou redirigée si vous cochez cette option. Quand vous utilisez la redirection de port (Port-Forwarding) vers un serveur web interne, par exemple, vous devriez activer cette option."

Ainsi que "Par défaut BOT bloque tout le trafic sortant. Il bloque donc aussi bien la connexion d'un navigateur situé dans le réseau interne vers un site web que le paquet réponse à un trafic venant de l'extérieur vers votre serveur Debian. Cocher cette case permettra sans ajouter de règles dans BOT de laisser sortir un paquet TCP dont le champ numéro d'acquittement correspond (mais non égal) au champ numéro de séquence d'un paquet reçu (donc en sens inverse)."

Nous aimerions donc savoir s'il y a un risque de perturber le bon fonctionnement du réseau, des logiciels, des services et autres en décochant cette case afin de bloquer Messenger. Si oui, existe t'il un autre moyen de bloquer Messenger ?

Merci

[fleib]

Salut,

Pour bloquer des applications, tu peux utiliser un filtre de niveau 7 (l7-filter).

Pour cela, il te faut modifier le noyau en telechargeant une version precompilee avec le filtrage l7.

Cela dit attention aux drivers utilisés par tes cartes reseaux. En effet, un pilote a ete compile pour un noyau donné et il est possible que personne n'ai jamais compile le pilote que tu utilises.

J'ai deja eu ce soucis avec le pilote tg3...

Esperant avoir ete clair.

[[Devil]]

Merci pour ta réponse mais apparament, d'après ce que je lis ici http://forums.ixus.fr/viewtopic.php?t=3 ... c&start=60 , l7-filter ne sait pas bloquer la derniere version de Messenger.

Par contre j'aimerais vraiment savoir pour le fait de ne pas cocher "Lien autorisé, connexions établies" bloque msn mais pas le reste. Je n'arrive pas, malgré la définition à comprendre l'intérêt de cette case.

[[Devil]]

J'ai trouvé ceci dans la FAQ :

10 - J'ai quelques redirections de ports (port-forwardings) de l'Internet vers des ordinateurs internes. Dois-je créer des règles permettant aux ordinateurs internes de répondre aux requêtes provenant des redirections?

Non, vous devez seulement activer les options "Allow related, established connections" dans le configuration de BOT. Cette règle permet aux PCs de communiquer avec l'extérieur s'ils répondent à une connection existante initiée sur l'Internet et provenant d'une redirection.
NOTE:
Vous devriez toujours vérifier les redirections de ports à partir de l'extérieur, jamais à partir de l'intérieur! IPCop sans BOT possède un règle pour vérifier les redirections à partir de l'intérieur, mais celle-ci ne fonctionne plus une fois BOT installé même si ça fonctionne à partir de l'extérieur.


Donc si je comprend bien, je peux supprimer toutes les règles de sortie que j'avais crée pour UltraVNC et PCANYWHERE étant donné que la sortie se fera suite à la demande provenant de l'extérieur redirigée sur le bon poste. Je me trompe ?

En revanche, ca ne me dit toujours pas pourquoi msn est bloqué lorsque la case est décochée

[ccnet]

J'ai trouvé ceci dans la FAQ :

Donc si je comprend bien, je peux supprimer toutes les règles de sortie que j'avais crée pour UltraVNC et PCANYWHERE étant donné que la sortie se fera suite à la demande provenant de l'extérieur redirigée sur le bon poste. Je me trompe ?

Non, c'est juste. Le flux sortant sera autorisé dès lors que le paquet comporte un numéro d'acquittement cohérent avec un numéro de séquence d'un paquet reçu.

[jdh]

Pour continuer ce qu'écrit ccnet, iptables est arrivé avec le suivi de session (conntrack) ce qui fait toute la différence avec le précédent ipchains.

Avec ipchains, il fallait écrire une ligne d'autorisation pour le flux entrant plus une ligne pour le retour, et ceci pour chaque protocole c'est à dire N fois.

Avec iptables, on écrit une ligne générale pour tous les retours "générique" (state related/established) et une ligne pour l'initiation de la session (state new). Ce qui est bien plus simple (surtout avec des conntrack spécifiques type ftp, ...).

Les interfaces qui pilotent iptables (interface web type BOT) permettent de décrire juste la session sans s'occuper du retour.

[[Devil]]

Très bien, merci pour ces précisions

Néanmoins, je vois toujours pas le rapport avec le blocage de Messenger. Enfin c'est pas bien grave, le blocage de Messenger est secondaire. De toute manière, si on veut le bloquer, il faudra le faire au niveau applicatif puisqu'on ne peut apparemment rien faire au niveau des ports pour le contrer.

[[Devil]]

Je reviens à la charge

Ipcop est désormais intégré au réseau interne de l'entreprise et fonctionne à merveille néanmoins, il me manque un petit quelque chose. En effet dans le journal du filtrage d'URL, je n'ai que des - en guise de nom d'utilisateur (lorsque je clic sur une adresse ip dans le journal du pare feu, la résolution de nom s'effectue correctement). De plus, j'ai voulu ajouter Enhanced Proxy Log Viewer pour avoir les noms d'utilisateur dans le journal proxy mais depuis que j'ai remplacé l'ancien fichier proxylog.dat, par celui d'Enhanced Proxy Log Viewer come indiqué ici http://www.advproxy.net/download.html , je n'ai carrément plus rien dans le journal du proxy...

Ai-je fait une mauvaise manipulation ?

[[Devil]]

Rectification, le journal du proxy fonctionne de nouveau (j'avais pas cliqué sur mise à jour ) Enhanced Proxy Log Viewer fonctionne donc bel et bien cependant j'ai toujours des - comme nom d'utilisateur

[fleib]

Quelle authentification utilises tu, comment est elle configurée (Dois je rajouter précisement...)?

Cela nous éclairera un peu plus sur les sources possibles de ton ysfonctionnement.