Traverser IPCOP pour imprimer

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Traverser IPCOP pour imprimer

Messagepar transver » 27 Nov 2008 14:33

Bonjour,
j'ai un ipcop1.4.16 derrière une Livebox, et je voudrais qu'un PC connecté en WIFI sur la livebox puisse accéder à une imprimante de la zone verte
voici ma config:

PC acces wi-fi(192.168.1.11) <-> Livebox (192.168.1.1)<->Rouge(192.168.1.2)<->Vert(192.168.0.1)<->Imprimante(192.168.0.55)

merci de m'aider

Thierry
Avatar de l’utilisateur
transver
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 11 Déc 2005 19:29

Messagepar ccnet » 27 Nov 2008 14:54

La solution proposée ne va peut être pas vous plaire. Vu la configuration que vous utilisez, vous pouvez, je pense, vous passer d 'ipcop. Un réseau Wifi connecté sur RED, pour devoir ouvrir des ports permettant l'impression, pourquoi pas des partages de fichiers Microsoft tant que l'on y est, ce n'est plus de la sécurité, c'est de la poésie ! Avec ou sans ipcop cela ne fera pas beaucoup de différence en terme de sécurité. Mais vous pourrez imprimer. La sécurité de la Livebox devrait suffire à protéger quelques mp3, photos de vacances et autres documents bureautiques.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

ben non ça ne me plait pas...

Messagepar transver » 27 Nov 2008 15:33

bonjour,
merci de votre réponse rapide.
Mais en effet ça ne me plait pas.
Je travaille dans une association d'aide à la recherche d'emploi.
Derrière IPCOP il y a une quinzaine de postes, des infos personnelles de nombreux utilisateurs......
Il est donc hors de question de débrancher IPCOP.

Je pensais qu'il était possible pour UNE adresse mac, d'ouvrir une route qui puisse passer par la livebox puis par IPCOP pour ensuite parler à l'imprimante...

Mais je ne suis que matelot.....

merci encore
Avatar de l’utilisateur
transver
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 11 Déc 2005 19:29

Messagepar ccnet » 27 Nov 2008 15:58

Pourquoi hors de question ? vous êtes dans l'illusion de la sécurité cela ne changerait pas fondamentalement les choses. Si vous voulez une vraie sécurité alors ajoutez une interface Bleue à IPCOP, mettez un point d'accès tout simple connecté à Bleue, connectez les utilisateurs wifi sur ce point d'accès, au besoin au travers d'un portail captif, désactivez le wifi de la livebox. Là vous pourrez envisager l'accès à l'imprimante de façon beaucoup plus sûre.
Puisque vous êtes dans une situation professionnelle faites les choses de façon sérieuse.
Les utilisateurs Wifi, qui sont ils ? Puisque vous devez protéger les informations les 15 pc connectés à Green, il me parait souhaitable de ne pas mélanger ces deux flux de données.
Avez vous installé BOT sur IPCOP ?
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar Stirner » 27 Nov 2008 16:18

Salut,


Une autre solution, serait dec onnecter votre portable à votre lan via un VPN. RE gardé du coté d'openvpn qui devrait répondre à votre attente.

@+
Avatar de l’utilisateur
Stirner
Vice-Amiral
Vice-Amiral
 
Messages: 777
Inscrit le: 06 Jan 2006 07:45
Localisation: Calva...Dos...

Messagepar ccnet » 27 Nov 2008 16:26

Oui absolument, c'est pour cela que je demande qui sont les clients en Wifi.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar jdh » 27 Nov 2008 16:32

Le problème est ultra classique !

- une livebox (ou n'importe quelle box) dispose d'une interface ethernet et une interface wifi,
- un ipcop est branché à la box (donc le côté Red = internet = enfer !),
- l'ipcop protège un réseau local ethernet (côté Green),
- un pc connecté en wifi à la box veut accéder au réseau Green protégé par l'ipcop !

C'est facile à comprendre : le pc en wifi est du côté Red => il ne peut pas accéder simplement au ressource Green.

LA bonne solution : oublier le wifi de la box ! Et insérer un petit routeur wifi sur Blue (ou Green) !

(ccnet toujours plus rapide !)
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar transver » 27 Nov 2008 16:54

Encore merci de ces réponses.

Hors de question car je ne vous apprendrais certainement pas qu'IPCOP offre plus de possibilités et de souplesse pour l'admoinistration d'un reseau que ne le fait la Livebox.

Non je ne suis pas dans l'illusion de la sécurité...je suis conscient de l'insécurité permanente. Je ne focalise pas sur la sécurité mais m'en préocupe.

J'ai essayé d'utiliser BOT et je me suis retouvé sans accés au net....
Je viens de le reinstallé mais il est désactivé

Le poste qui doit se connecter en wifi est un poste sur.

encore merci
Avatar de l’utilisateur
transver
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 11 Déc 2005 19:29

Messagepar transver » 27 Nov 2008 17:45

oula, le temps de rédiger et d'envoyer mon message en tirant la langue et j'avais déjà 3 reponses de plus.

merci, vous êtes trop rapides pour moi
je prend note de vos remarques et je reprécise le poste qui veut accéder à l'imprimante est un poste sûr.
Je ne voulais pas autoriser tout le quartier à imprimer mais seulement une adresse mac..
Pour l'interface bleue je comprend que ce serait mieux à tout point de vue mais je n'ai pas le materiel disponible.

De plus en plus de chômeurs, de moins en moins de moyens.
Avatar de l’utilisateur
transver
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 11 Déc 2005 19:29

Messagepar ccnet » 27 Nov 2008 18:07

transver a écrit:Pour l'interface bleue je comprend que ce serait mieux à tout point de vue mais je n'ai pas le materiel disponible.
De plus en plus de chômeurs, de moins en moins de moyens.


N'exagérons pas quand même vu ce que cela coûte ! Bref vous connaissez les solutions. Vous dites être conscient des risques alors vous savez ce qu'il faut faire.
BOT : lire la doc. Je l'ai installé je ne sais combien de fois. Il fonctionne parfaitement.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar transver » 27 Nov 2008 18:43

Vu ce que cela coute....


Tout est relatif.

Ici on travaille sur des P4 de réforme...

Bien que je ne sois que quartier maitre
Il me semble qu'une solution logicielle sécurisée existe.



Alors grace à vos informations,

je vais essayer d'installer ZERINA:
http://www.vpnforum.de/zerina/files/sta ... ler.tar.gz

Pour mon client windows je vais essayer :
http://www.openvpn.net/release/openvpn- ... nstall.exe
avec l'interface:
http://www.openvpn.se/files/binary/open ... -1.0.3.exe

En suivant les infos :
http://www.theodys.org/index.php/post/2 ... ts-windows

j'espere etre sur la bonne voie

merci
Avatar de l’utilisateur
transver
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 11 Déc 2005 19:29

Re: Traverser IPCOP pour imprimer

Messagepar JarodOnTheNet » 01 Déc 2008 14:47

transver a écrit:Bonjour,
j'ai un ipcop1.4.16 derrière une Livebox, et je voudrais qu'un PC connecté en WIFI sur la livebox puisse accéder à une imprimante de la zone verte
voici ma config:

PC acces wi-fi(192.168.1.11) <-> Livebox (192.168.1.1)<->Rouge(192.168.1.2)<->Vert(192.168.0.1)<->Imprimante(192.168.0.55)

merci de m'aider

Thierry


:?

Bonjour,

Votre idée, comme l'on signalé d'autres habitués d'Ipcop est tout à fait inimaginable. Passer directement des flux d'une machine Wi-Fi située dans la zone rouge dans la zone verte que vous voulez préserver !

Je vous conseille de couper les antennes Wi-Fi de votre LiveBox et de rajouter une carte réseau dans votre Ipcop pour créer une zone Bleue. Sur cette zone, vous installez un access-point, de cette manière, vos utilisateurs de la zone rouges pourront être déportés sur une zone bleue spécialement prévue à cet effet. Ensuite, je vous conseille effectivement d'encrypter votre point d'access avec un algorithme de cryptabe fort (wpa2 avec AES par exemple) et un pass-phrase fort mélangeant chiffres, lettres et caractères spéciaux avec au moins 12 charactères.

Vous installez BOT et vous lisez le manuel car effectivement, tous le trafic sortant de n'importe quelle interface vers rouge sera bloqué, c'est le but de BOT, de faire le block OUT. Ceci vous permet justement de réguler et de prévoir des règles précises pour vos flux sortants.

Pour les flux entrant, utilisez également BOT pour permettre l'impression de la zone bleue vers la zone verte. Pour cela, j'imagine que vous imprimez sur une imprimante réseau IP. Généralement, les ports 9100 ou le port 515 est suffisant. On ne pourra au pire qu'attaquer une imprimante si vous préciser bien sûr l'adresse MAC source (votre PC qui veut imprimer) à destination uniquement de l'adresse IP de votre imprimante, mais ceci vous permettra d'imprimer.

Attention, n'oubliez-pas que vous devrez définir un port TCP/IP via l'assistant d'imprimante en passant par imprimante locale parallèle et ensuite choisir de définir un port IP.

Il faut bien évidemment installer les bon drivers généralement de type GDI et de faire la règle BOT qui va bien pour permettre l'impression que vous souhaitez de la zone bleue vers la verte.

J'utilise ce genre de chose tous les jours et il faut à mon avis pour un non initié 30 minutes pour y arriver.

Donc, jamais de flux RED --> Vert. Seulement des flux RED --> DMZ lorsque c'est nécessaire pour mettre à disposition des internautes un serveur WEB par exemple.
JarodOnTheNet
Quartier Maître
Quartier Maître
 
Messages: 16
Inscrit le: 30 Déc 2007 20:35
Localisation: Belgique - Hainaut


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité