Garantir l'identité et gerer les horaires

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Garantir l'identité et gerer les horaires

Messagepar kevinsenechal » 23 Juin 2011 14:06

Bonjour à tous!

Après divers tests d'IPCop et recherche sur internet je n'ai pas trouvé de réponses/solutions à mes questions.

Je me tourne donc vers vous ;-)

Contexte : utilisation du proxy d'IPCop pour contrôler l'accès à internet du réseau interne (horaires, logs, bande passante...)

1- J'aimerais garantir l'identité des utilisateurs dans les logs, car même en attribuant une adresse IP fixe via l'adresse mac, l'utilisateur peut définir lui même une adresse IP du réseau et ainsi usurper l'identité de quelqu'un d'autre. Est-il possible de faire apparaitre l'adresse mac dans les logs? Sinon, existe t-il un autre moyen de garantir cette identité?

2- Les horaires d'accès peuvent être gérer via BOT, Squidguard ou encore advProxy. Mais mes besoins font que l'utilisation de l'un ou l'autre ne convient pas. La fusion de Squidguard (pour les jour féries) et de BOT (pour les plages d'accès) serait l'ideal. En effet Squidguard permet de définir uniquement 2 plages d'accès par jour (travaillé ou non), à contrario BOT permet de définir plusieurs règles et convient donc mais ne permet pas la prise en compte des jours féries. L'utilisation des 2 ensemble ne fonctionne pas.

Voici mes plages horaires :
Lundi au vendredi : AUTORISER 12h-14h / 17h-7h30 (le lendemain)
Samedi : AUTORISER 12h-7h30 (le lendemain)
Dimanche : AUTORISER

3- IPCop fonctionne correctement, bien installé etc... mais lors d'un reboot, ça se bloque sur :

Booting "IpCop"
root (hd0,0)
Filesystem type is ext2fs, partition type 0x83
kernel /vmlinuz root=/dev/hdb4 panic=10 acpi=off ro

Un peu embetant...j'avais réessayer en effacant manuellement le disque + reinstallation complete...
D'où cela peut-il venir?

Merci d'avance pour l'aide que vous pourrez m'apporter!

Kévin
kevinsenechal
Matelot
Matelot
 
Messages: 1
Inscrit le: 23 Juin 2011 13:49

Re: Garantir l'identité et gerer les horaires

Messagepar jdh » 23 Juin 2011 14:51

0/ Ipcop n'est pas un proxy !
Ipcop est d'abord un firewall !
Squid y est installé (de base ?) avec une page web de configuration (merci Franck78) pour notamment SquidGuard (addons naturel de Squid).

1/ Si Squid gère une authentification, dans les logs va apparaitre l'identifiant.

2/ Les horaires (pourquoi gérer des horaires : on aurait droit d'aller sur des sites de boules à certaines heures ?)
SquidGuard permet de définir les plages horaires de son choix.
Il est sans doute plus facile de gérer des besoins non couverts en standard par une machine dédiée ...

3/ Blocages
Informations insuffisantes : cet affichage est standard, c'est la suite qui aurait de l'intérêt ...
Il serait utile de vérifier la "santé" du file système par un outil tel SystemRescue CD (fsck.ext3 /dev/sd??)


Un site intéressant pour créer une machine (dédiée) pour Squid avec SquidGuard + Havp + authentification (sur Debian) :
http://www.opendoc.net/comment-realiser ... avp-clamav
(attention, cela demande quelques manip supplémentaires assez naturelles ...)
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Re: Garantir l'identité et gerer les horaires

Messagepar ccnet » 23 Juin 2011 15:09

En gros les mêmes remarques.

Ipcop n'est pas un proxy mais un firewall.

Garantir l'identité d'un utilisateur ne peut se faire qu'avec un identifiant rattaché à l'utilisateur. Une adresse ip est rattachée à une machine (avec certaine réserves). Même si cette machine est le plus souvent utilisée par une même personne, il n'en reste pas moins que l'adresse ip ne sert pas à identifier une machine même si c'est possible à un instant t. Il y a une confusion sur les notions. L'utilisation de l'adresse mac est tout aussi douteuse pour de nombreuses raisons. Changer son adresse mac est trivial, l'usurper aussi.
Pour identifier un utilisateur il faut donc un élément (un secret) connu de lui seul qui prouve son identité puisqu'il connait ce secret. Il y a bien des façons de réaliser cela, la plus simple (mais pas la plus sûre) reste le couple identifiant mot de passe. C'est donc cela qu'il faut mettre en place.

Pour les horaires je n'ai pas d'avis si ce n'est que c'est bien un proxy (un vrai) qui règlera le problème puisque les fonctionnalité sont disponibles dans Squid. On en revient à la première remarque.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Re: Garantir l'identité et gerer les horaires

Messagepar mab » 24 Juin 2011 09:44

Salut,
kevinsenechal a écrit:3- IPCop fonctionne correctement, bien installé etc... mais lors d'un reboot, ça se bloque sur :

Booting "IpCop"
root (hd0,0)
Filesystem type is ext2fs, partition type 0x83
kernel /vmlinuz root=/dev/hdb4 panic=10 acpi=off ro

Un peu embetant...j'avais réessayer en effacant manuellement le disque + reinstallation complete...
D'où cela peut-il venir?


Pas facile de répondre à ça, on n'a aucune information sur le matériel utilisé, et la divination dans ce cas, bof :wink: . (au pif : usage du sata ? )

jdh a écrit:on aurait droit d'aller sur des sites de boules à certaines heures ?)
:lol:

jdh a écrit:1/ Si Squid gère une authentification, dans les logs va apparaitre l'identifiant.
et
ccnet a écrit:Garantir l'identité d'un utilisateur ne peut se faire qu'avec un identifiant rattaché à l'utilisateur.

Même réponse : dans ce cas, proxy en mode non transparent obligatoire avec peut-être la gestion intégrée des utilisateurs (la source d'authentification des utilisateurs du proxy est très aboutie, d'autres choix sont possibles).
kevinsenechal a écrit:car même en attribuant une adresse IP fixe via l'adresse mac, l'utilisateur peut définir lui même une adresse IP du réseau et ainsi usurper l'identité de quelqu'un d'autre.
L'utilisateur, s'il peut définir sa propre adresse ip signifie que ce n'est pas du windows en mode domaine. :? Néanmoins :
il ne peut pas prendre une adresse ip déjà utilisée (plantage du réseau), et dans squid (proxy avancé), tu peux restreindre les sous réseaux acceptés, ça te fera un peu de manip, mais ça peut t'éviter en attendant que tu mettes en place ta solution qu'un utilisateur se mette en dehors de la plage d'adresses utilisées.
Dernière édition par mab le 24 Juin 2011 13:54, édité 1 fois au total.
Avatar de l’utilisateur
mab
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 293
Inscrit le: 03 Sep 2004 22:42
Localisation: centre

Re: Garantir l'identité et gerer les horaires

Messagepar Stirner » 24 Juin 2011 13:42

l'utilisateur peut définir lui même une adresse IP du réseau et ainsi usurper l'identité de quelqu'un d'autre.


Premier problème qui semble révéler un petit problème d'administration des postes clients, Domaine ? Workgroup? Sans plus d'information difficile de répondre.

Pour faire simple (et reprendre ce qui a été dit) :

1- Proxy transparent dédier avec contrôle accès via utilisateur+MDP (AD, Samba, LDAP ou autre)
2- Empêcher les utilisateurs de modifier quoique ce soit sur leur poste : Ip, config du navigateur...
3- NOTICE INFORMATIVE DE L'UTILISATION DU NET AU SEIN DE LA STRUCTURE.

Ensuite si les utilisateurs sont variables (espace ouvert, hotspot...) regarder du coté portail captif pour la navigation.

@+
Avatar de l’utilisateur
Stirner
Vice-Amiral
Vice-Amiral
 
Messages: 777
Inscrit le: 06 Jan 2006 07:45
Localisation: Calva...Dos...

Re: Garantir l'identité et gerer les horaires

Messagepar jdh » 24 Juin 2011 14:51

@stirner : juste une correction !

1/ Proxy NON transparent avec authentification (base locale ou LDAP ou ActiveDir).

(un proxy transparent n'est pas compatible avec une authentification !)
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Re: Garantir l'identité et gerer les horaires

Messagepar Stirner » 24 Juin 2011 16:38

M'enfin... [-o<
Avatar de l’utilisateur
Stirner
Vice-Amiral
Vice-Amiral
 
Messages: 777
Inscrit le: 06 Jan 2006 07:45
Localisation: Calva...Dos...

Re: Garantir l'identité et gerer les horaires

Messagepar mab » 24 Juin 2011 18:22

euh, les gars... :roll: il est trop long mon message ? :D
mab a écrit:Même réponse : dans ce cas, proxy en mode non transparent obligatoire avec peut-être la gestion intégrée des utilisateurs (la source d'authentification des utilisateurs du proxy est très aboutie, d'autres choix sont possibles).


Ah, vivement la fin de semaine :mrgreen: :lol:
Avatar de l’utilisateur
mab
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 293
Inscrit le: 03 Sep 2004 22:42
Localisation: centre


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron