QoS ou L7 ?

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

QoS ou L7 ?

Messagepar selector » 23 Juin 2010 12:32

Bonjour

Je suis newbie, depuis un mois je lis un peu le forum de ixus, mhaddons, et hfr.

J'ai installé mon IPCOP(green+red) entre la freebox et le switch qui dessert les 4 PC de mon assoc.
Pour l'instant dessus j'ai installé advproxy+urlfilter.

Pour le blocage des sites porno etc, je vais confier cette tache à urlfilter et les blacklist de Toulouse.

Mais pour interdire tous les sites de streaming video ainsi que le P2P, si j'ai bien compris j'ai au moins 2 solutions distinctes :
- une solution à base de QoS
- une solution à base de L7

vous confirmez ?

merci

anthony
Dernière édition par selector le 23 Juin 2010 13:53, édité 1 fois au total.
selector
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 08 Juin 2010 11:39

Messagepar ccnet » 23 Juin 2010 13:07

L'objet premier de la QoS n'est pas le filtrage de contenu en terme de contrôle d'accès mais l'affectation de la bande passante en fonction d'un type de trafic ou d'un service.

Dans votre cas ce sera Layer7. Pas évident avec Ipcop si j'ai bonne mémoire.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar selector » 23 Juin 2010 13:51

ccnet a écrit:L'objet premier de la QoS n'est pas le filtrage de contenu en terme de contrôle d'accès mais l'affectation de la bande passante en fonction d'un type de trafic ou d'un service.

Dans votre cas ce sera Layer7. Pas évident avec Ipcop si j'ai bonne mémoire.

merci pour la réponse

la remarque à propos de la QoS est exacte, en fait je sous entendais de dédier une bande passante ridicule au streaming et au P2P, afin de dissuader complètement leur utilisation.

et maintenant, je me pose d'autant plus la question du choix entre les 2 approches, puisque vous m'indiquez que le L7 avec IPCOP c'est pas évident (surtout pour un noob donc)

donc si la QoS est plus aisée que le L7 dans IPCOP, alors ce sera mon choix probablement ...

anthony
selector
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 08 Juin 2010 11:39

Messagepar ccnet » 23 Juin 2010 15:29

A vrai dire l'un comme l'autre ne sont pas vraiment à leur place sur le firewall, surtout ipcop dont le noyau 2.4 est maintenant un peu ancien. Je comprend bien qu'avec 4 PC vous ne vouliez pas une infrastructure qui comporterai une machine réalisant le filtrage, tout comme l'idée de dissuader sans interdire. Ne voulez vous pas tenter de tout traiter au niveau de votre proxy ? La situation ne serait elle pas plus claire et techniquement plus saine ?
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar selector » 24 Juin 2010 11:44

ccnet a écrit:A vrai dire l'un comme l'autre ne sont pas vraiment à leur place sur le firewall, surtout ipcop dont le noyau 2.4 est maintenant un peu ancien. Je comprend bien qu'avec 4 PC vous ne vouliez pas une infrastructure qui comporterai une machine réalisant le filtrage, tout comme l'idée de dissuader sans interdire.

mon utilisation d'IPCOP est partie au départ d'une question posée sur hfr sur "comment empecher le streaming", et la réponse unanime fut IPCOP

depuis, j'ai fréquenté un tout petit peu IXUS, et j'ai bien compris qu'ici l'unanimité c'est plutot de dire qu'IPCOP est un FW, ca doit pas servir à filtrer

je pense que sur hfr les intervenants ne sont pas forcement aussi pointus qu'ici en ce qui concerne IPCOP, donc j'ai plutôt tendance a écouter ce que vous dites ici ..

en même temps, ces extensions existent pour IPCOP, et vu la taille de mon installation, c'est quand même tentant de les utiliser !

pour mon info, quel est le type de distrib que j'aurais du utiliser, dans une approche purement filtrage, et pas FW ?

ccnet a écrit:Ne voulez vous pas tenter de tout traiter au niveau de votre proxy ? La situation ne serait elle pas plus claire et techniquement plus saine ?


je suis pas sur de comprendre la question : vous êtes en train de me demander si en fait je serais OK pour remplacer ma distrib FW par une distrib PROXY, c'est bien ca ?

si c'est bien ca, ca rejoint donc ma premiere question : quelle distrib me conseillez vous ?

merci

anthony
selector
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 08 Juin 2010 11:39

Messagepar jdh » 24 Juin 2010 13:39

Pour 4 PC, je ne serais pas "intégriste".

Le firewall effectue un rôle de routage, de filtrage IP et, éventuellement, de VPN. Il faut à l'occasion servir de DNS et de DHCP.

Sur IPCOP ou pfSense, on peut y ajouter le proxy Squid et son complément SquidGuard. (Avec IPCOP, il y a des addons tel advproxy, urlfilter qui utilise Squid+SquidGuard).

Mais les ressources mémoire et disque exigées par Squid+toute la suite peuvent devenir incompatible avec le rôle premier du firewall.

C'est facile à comprendre.

Mais une bonne machine, pour 4 pc, doit convenir à faire tout.
(Même s'il faut s'interroger sur le besoin de filtrer du porno ou du streaming pour 4 PC, et je sais bien que 23 types plus une bardée de sélectionneur, président de fédération, et autre préparateur en tout genre peuvent avoir de grande difficultés à communiquer !)


NB : La mise en oeuvre de pfSense me parait plus simple qu'Ipcop. Et c'est assez simple d'ajouter Squid+SquidGuard sans compter que l'équivalent de BOT est natif dans pfSense.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar selector » 24 Juin 2010 15:51

merci pour ces infos

a propos du filtrage pour 4 PC, effectivement c'est peut etre un peu oversized, mais le truc c'est que ce sont des PC en libre service, et parfois ce sont des gosses qui vont dessus.
Donc le président de l'assoc sera rassuré par le filtrage

a propos de ce que tu dis sur le role de routage de mon IPCOP, effectivement, c'est une des autres raisons de sa mise en place : il fallait que les machines en libre service ne soient pas sur le meme réseau que les machines du secrétariat, qui elles sont branchées en direct sur la freebox en mode routeur.

j'ai encore une question maintenant :

si sur le urlfilter je mets en place un filtrage des extensions typique du streaming, et que par ailleurs j'installe p2pblocker sur mon IPCOP, j'ai du mal a comprendre la "necessité" du BOT en +.
donc étant donné mon objectif de filter le porno+streaming+P2P, qu'est-ce que BOT m'apportera que urlfilter+p2pblocker ne m'apporteront pas ?

merci de ton aide

anthony
selector
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 08 Juin 2010 11:39

Messagepar jdh » 24 Juin 2010 16:20

Il suffit de parcourir juste un peu le forum (ce que doit être fait systématiquement au préalable) pour lire que BOT est OBLIGATOIRE ! C'est le seul moyen de faire du filtrage en sortie !

Maintenant c'est 4 micros d'un côté et N de l'autre ... Quand comprendrez vous que décrire petit à petit votre contexte n'est pas très sérieux ?


Au vu de ces nouvelles informations, je préconiserais un pfSense avec 2 interfaces type LAN (et non un Ipcop). Une interface LAN pour chaque réseau, bien évidemment.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar selector » 24 Juin 2010 17:35

Désolé de vous avoir énervé en ne parlant pas des le debut des n=2 pc's du secrétariat !
Mais à vrai dire j'en ai parlé juste pour rebondir sur ce que vous disiez a propos du fait que IPCOP effectue un rôle de routage.

Vous allez peut être bondir mais je ne souhaite pas "isoler" ces 2 pc via un firewall logiciel, car si le PC qui hoste mon IPCOP tombe en rade, il ne faut pas que eux perdent l'accès internet.

Donc ils sont branchés directement sur la freebox.
L'année prochaine, j'achèterais un WRT54 (avec DD-WRT par ex), pour mieux protéger ces 2 PC ...

Donc, selon moi, ils n'entrent pas pour l'instant dans les caractéristiques à prendre en compte pour mon installation ...

Et pour finir, je reviens sur la question du BOT : effectivement j'ai bien compris en lisant le forum que BOT est un must-have, mais ce que je ne comprends pas, c'est pourquoi :
Etant donné mon objectif de filter le porno+streaming+P2P, qu'est-ce que BOT m'apportera que urlfilter+p2pblocker ne m'apporteront pas ?

merci pour votre patience !
anthony
selector
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 08 Juin 2010 11:39

Messagepar ccnet » 24 Juin 2010 19:03

A propos de BOT.
En dehors de votre besoin BOT est indispensable parce qu'il permet d'éviter qu'ipcop laisse sortir n'importe quel trafic vers n'importe quelle destination. Or c'est le cas par défaut. Le trafic sortant a un potentiel de dangerosité au moins aussi grand que le trafic entrant.
A ce stade c'est donc une précaution d'ordre général pour un minimum de sécurité basique.

Ensuite les deux PC.
Là aussi c'est une simple question de cohérence. Aujourd'hui on peut considérer que votre niveau de sécurité est proche de zéro. Je ne comprend pas le cohérence fonctionnelle entre le fait de vouloir se débarrasser du trafic de streaming video et le P2P (ce qui se comprend) et laisser 2 machines du réseau sans protection, c'est à dire en fait le réseau entier. Et au surplus de laisser les portes grandes ouvertes vers l'extérieur.

La sécurité c'est quelque chose qui se conçoit globalement. Il y a une hiérarchie des risques exogènes d'une part et d'autre part des risques internes. Ces derniers sont en gros la somme des produits probabilité d'occurrence multiplié par le coût de la réalisation du risque. A partir de cette réflexion, plus ou moins structurée, selon la complexité de l'organisation, on détermine les contre mesures qui vont produire les plus grands résultats, c'est à dire le plus fort abaissement du risque.

Sans connaître l'activité de votre structure il est évident que le risque induit pas la connectivité des 2 PC en direct dépasse tout. C'est à dire qu'un choix technique produit ici l'inverse de ce qui est souhaitable. Ici il augmente les facteurs de risques.
D'autre part vous nous dites que la perte de l'accès à internet n'est pas acceptable. Soit ! Vous n'êtes pas le premier à voir les choses ainsi et c'est peut être vrai. Néanmoins l'absence de réflexion cohérente me laisse dubitatif. Si l'on admet que c'est le cas, est il acceptable que ce soit à n'importe quel prix ? je ne le pense pas. Le risque que vous courrez c'est la perte des deux machines, de leur contenu, et éventuellement de votre connectivité si vos PC devenaient des PC zombis. Adieu la bande passante !

La bonne démarche c'est une machine (un vrai serveur même de seconde main) pour le firewall, Pfsense par exemple, et si la connectivité internet est aussi critique que vous le dites un cluster pour le firewall. Mais là le problème de la cohérence revient en force. Une liaison Free pour une connectivité critique ? il y a un problème. Le principale maillon faible c'est l'alimentation de votre freebox, puis Free lui même qui n'a aucune GTR dans le contrat. Non vraiment cela ne tient pas.

Il faut réfléchir, remettre à plat et enfin paramétrer un proxy avec les bonnes blacklists.

En conclusion je crois que votre hiérarchie des problèmes et de leur importance n'est pas adaptée. Vous ne dépensez pas votre énergie dans la bonne direction, en tout cas pas au bon moment.

Mettez l'organisation de la sécurité à plat, puis prenez les bonnes mesures.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar selector » 24 Juin 2010 20:37

merci bcp pour cette réponse tres riche
comme je suis d'un esprit curieux j'ai bcp de questions en tete a propos des differents points soulevés

mais je ne vais pas tout demander en meme temps
deja j'espere que je ne suis pas trop long ..!

la première chose a dire c'est que je suis d'accord avec tout ce qui est dit
je veux dire que c'est un raisonnement tres cohérent, je connais des clients qui paient pour que qqu'un leur explique ce genre de choses ;-)

pourtant dans mon assoc, ce n'est pas si incohérent que ca de vouloir d'abord filtrer le porno&co, puis ensuite assurer la sécurité des pc du secretariat : tres prochainement il va y avoir bcp de monde qui va tourner autour des pc en libre services, des gosses notamment, pendant toute l'AM parfois.
cela pdt 2 semaines

puis ca va retomber, et alors j'aurai le temps de me consacrer au WRT54 entre la freebox et les pc secretariat. ce sont mes plans actuels ...
je me dis que l'on n'a jamais eu a subir de probleme liés a la topologie actuelle en direct sur la freebox, donc ca peut bien attendre encore un peu (au pire j'ai des ghost au chaud)

un autre facteur pour comprendre la logique, c'est que je n'y suis que qques heures par semaine, ajoutez a ça que c'est la premiere fois que je touche a autre chose qu'un os microsoft, et comme je suis lent, total j'ai pas le temps de faire gd chose donc je priorise

pour terminer, effectivement, le net, on peut bien s'en passer pdt plusieurs heures !
mais la on aborde le dernier aspect, la politique :
je ne suis pas tout seul dans mon assoc, et mon probleme c'est que je ne saurais pas expliquer concretement aux autres personnes, de quelle maniere on pourrait perdre nos machines en direct sur la freebox.
je n'ai jamais connu cette situation.
donc pour les changements j'y vais pas a pas
là, pour le IPCOP j'ai facilement réussi a le faire accepter, en mettant en avant les exigences legales de logs, les risques hadopi, etc ..

voila j'arrete la
en tout samedi je vais installer p2pblocker et BOT, et je note le conseil pour plus tard du pfSense avec des deux interfaces LAN mieux qu'IPCOP

2 petites questions pour finir :
=> est-ce que l'interface web de pfSense est aussi facile que IPCOP (je lis l'anglais) ?
=> objectivement, est-ce qu'un WRT54 serait "suffisamment secure" pour protéger mon réseau PRIVE ?

merci
anthony
selector
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 08 Juin 2010 11:39

Messagepar Franck78 » 24 Juin 2010 23:25

hello,
L'année prochaine, j'achèterais un WRT54 (avec DD-WRT par ex), pour mieux protéger ces 2 PC ...

branche les plutôt sur la carte BLEUE de IPCop. Ils profiteront de immédiatement de BOT, squid, filtrage url et si comme tu dis IPCop tombe en panne c'est toujours simple de déplacer un cable réseau pour les remettre sur la boxe.
D'ailleurs un WRT n'apportera pas grand chose de plus que la freebox. En tout cas rien de comparable à un IPCop.

ps:ilest top le secrétariat; X; p2p ;-)
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar ccnet » 25 Juin 2010 00:28

2 petites questions pour finir :
=> est-ce que l'interface web de pfSense est aussi facile que IPCOP (je lis l'anglais) ?

Oui.
=> objectivement, est-ce qu'un WRT54 serait "suffisamment secure" pour protéger mon réseau PRIVE ?

Confiance limitée. Plusieurs failles ont été découvertes, et de mémoire milw0rm a publié au moins un exploit. Et sur le plan fonctionnel rien de comparable.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar selector » 25 Juin 2010 08:33

Franck78 a écrit:hello,
L'année prochaine, j'achèterais un WRT54 (avec DD-WRT par ex), pour mieux protéger ces 2 PC ...

branche les plutôt sur la carte BLEUE de IPCop. Ils profiteront de immédiatement de BOT, squid, filtrage url et si comme tu dis IPCop tombe en panne c'est toujours simple de déplacer un cable réseau pour les remettre sur la boxe.

une question : est-ce qu'il est possible que les PC aient la meme adresse IP qu'ils soient branchés sur la freebox, ou sur l'interface bleue ?
autrement dit : actuellement sur la freebox, les IP sont en 192.168.0, est-ce que je pourrai configurer l'interface bleue pour qu'elle délivre elle aussi des IP en 192.168.0 ?

anthony
selector
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 08 Juin 2010 11:39

Messagepar Mister-Magoo » 25 Juin 2010 10:21

Si tu est en DHCP, le problème des adresses IP ne se pose pas ....
Dis-moi de quoi tu as besoin, va visiter le support technique de Mister Magoo et tu apprendras comment t'en passer
Avatar de l’utilisateur
Mister-Magoo
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 217
Inscrit le: 21 Avr 2005 11:31
Localisation: Leyrieu

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron