IPCop v2 et les add-ons

[tsymiroro]

B!

La question sur urlfilter m'a fait vérifier la possibilité de mettre des add-ons sur IPCop.

Ce qui me manque :
- squidguard
- un filtre L7 pour certains applis (skype, et autres IM)

J'ai peut-être loupé quelque chose , mais, dans l'interface d'administration je ne voit rien qui concerne la gestion des add-ons :
- mise à jour de la liste
- installation/désinstallation

Peut-être une mauvaise habitude de chez PFSense qui offre cette facilité.
Peut-être dans une prochaine mise à jour, le temps de mûrir avant d'offrir cette possibilité.

Dans le menu credits, je vois que l'équipe de traduction francophone est assez étoffée (après celle de l'espagnol).
Un merci à cette équipe au passage de ma part.

@+

[jdh]

Quelques réflexions concernant les addons :

- Les addons peuvent être désynchronisés de la sortie d'une nouvelle version (regarder les add-ons de Firefox p.e.).
- L'équipe de dev aurait pu encourager la mise à jour des addons sur une version RC avant qu'elle devienne release.
- Les addons sont censés avoir de l'intérêt,
- Parfois des solutions dédiées sont bien plus adaptées et plus performantes qu'un addons,
- Ce n'est pas parce qu'un addons existe ... qu'il faut l'utiliser !

Par exemple, le proxy DEVRAIT être séparé du firewall à partir d'une certaine taille de réseau, d'un certain volume de trafic, d'un certain niveau de surveillance souhaité. (Au passage cela n'empêche plus la mise à jour du firewall.)

Autre exemple, un addons qui prétend filtrer (antivirus/antispam) tous les flux traversant un firewall est bien souvent un faiblesse puisqu'empêchant le mise à jour !

[tsymiroro]

Modularité et extensibilité.
Souplesse et évolutivité.

Il ne s'agit pas de fioritures genre compiz, ou autres possibilités multimédia, mais vraiment le coeur du réseau en terme de gestion et d'administration.

Il appartient ensuite à l'admin réseau de faire son choix parmi les possibilités.
Là, j'ai l'impression d'être bridé.

Squid/SquidGuard est un couple qui fonctionne bien, pourquoi l'un sans l'autre?
Pourquoi pas des stats de squid par site fréquenté, ou par IP utilisateur?
Oui, ça consomme plus de cpu, plus de ram. Mais, c 'est à l'admin de juger de la capacité de ses ressources.
Oui, ça peut introduire des vulnérabilités.Mais, c 'est à l'admin de juger de la criticité des services qu'il veut mettre en oeuvre.
Ces add-ons auraient un intérêt.

La possibilité de filtrer les applis serait aussi inintéressant.

Sur IPCop v2, dans le menu "services" "serveur mandataire", il y a possibilité de filtrer les navigateurs.
C'est trop basique.
En cochant son activation, je coupe mon poste de travail de ses sources de mise à jour. Utilisant Funtoo (un dérivé de Gentoo), emerge (l'outil de gestion des packages) ainsi que svn (pour certains dépots (en fait des overlay)) et git (pour d'autres dépots) sont bloqués.
Un filtre L7 aurait sa place ici.

Pouvoir autoriser les IM (Skype et consorts ) seulement l'après-midi, serait apprécié (par moi, entre autres).

Quand à la désynchronisation des add-ons. Ben ... comme firefox, ça n'empêche pas la navigation (le rôle principal), et on ne perd pas ces marque-pages.
Le firewall fera toujours son office, charge à l'admin de désactiver les add-ons devenus bloquants en attendant la mise à jour (de l'add-on). Ou de retarder sa mise à jour, pour avoir le tout synchrone.

Si un add-ons m'offre ce dont j'ai besoin, je vais l'utiliser. Bien sur, en jugeant l'apport usage/risque induit.

Bon. En résumé, c'est pas possible.
Ce n'est pas dans l'optique des dev d'IPCop, puisque occasion de test non offert durant les Beta/RC. Dommage.

Ah, en fait, juste par curiosité, il y a une distribution spécialisée proxy (squid/SquidGuard + stats + L7?
Ça pourrait être intéressant à étudier même si pour l'instant je n'ai pas de PC pour le dédier.
(À mettre dans une VM dans la DMZ pour tester).

@+

[Titofe]

[...] c 'est à l'admin de juger de la criticité des services qu'il veut mettre en oeuvre.

Oui, mais sur un forum comme Ixus, on peut que vous encouragez à faire les choses au mieux.
Exemple simple : utiliser un tournevis au lieu d'un marteau pour enfoncer un clou cela n'est pas impossible, mais pour autant ce n'est pas la bonne méthode.

Ah, en fait, juste par curiosité, il y a une distribution spécialisée proxy (squid/SquidGuard + stats + L7?

Là on ne parle plus de routeur et dans ce domaine il y a des distributions comme Zentyal, ClearOS, Artica, etc.

[ccnet]

Proxy, layer7 etc ... je ne suis pas du tout partisan de leur présence sur le firewall. J'ai déjà dit pourquoi en long, en large et en travers.

Oui, ça consomme plus de cpu, plus de ram. Mais, c 'est à l'admin de juger de la capacité de ses ressources.
Oui, ça peut introduire des vulnérabilités.Mais, c 'est à l'admin de juger de la criticité des services qu'il veut mettre en oeuvre.

Certes ... mais pourquoi se mettre de facto en situation de risque ? La responsabilité de la personne en charge de la sécurité est de réduire : les risques, la probabilité d’occurrence de ces risques, l'intensité de l'impact si le risque se réalise et enfin les conséquences de l'impact.