Matériel necessaire - Ipcop/squid ou Ipcop + squid

[burno]

Bonsoir,

J'ai hérité de l'administration d'un réseau complètement ouf, et je suis entrain de remanier et de mettre a jour les solutions pour offrir une protection et un contrôle correct.

C'est un organisme de formation, hébergé dans l'enceinte d'un collège, il bénéficiait auparavant de l'infrastructure du collège et notement des solutions de filtrages mises en place par la région ( Webwasher + squid en local ), il a depuis 2006 son propre réseau avec sa connexion internet dédiée et son DC

Le réseau est composés de clients XP et est gerré par un DC 2003 server qui jusqu'à hier était en Service pack 0 ... derniers mises à jour en 2006 ! Les postes ( 3 générations ) sont répartis dans 3 salles et a chaque salle correspond un utilisateur "salle1" " salle2" etc qui a un profil obligatoire.

La dessus s'ajoutent les comptes des PC administratifs, des profils itinérants ( 12 Go le profil d'une secrétaire !! c'est intelligent de synchro "mes docs" hein ^^)

Voilà l'historique et l'environnement.

Les 50 postes clients servent pour de la navigation web, de la bureautique, de la formation en langues, et l'utilisation de Ciel et autres joyeusetés.

Il n'y a aucun filtrage, le seul pare-feu activé est celui de la livebox, autant dire que c'est un carnage total


Je projette de mettre en place une solution de pare-feu/routage/proxy pour réfréner un peu les ardeurs des stagiaires.

La grosse question est en rapport avec le matériel que je vais pouvoir utiliser, en effet j'ai lu ( a plusieurs reprises ) que IPcop ne doit pas gérer un proxy si il y a plus de 10 postes clients.

Es ce qu'en boostant le matériel sur lequel est installé IPcop on peux espérer avec une solution correcte IPcop/squid/suidguard ?

Si oui, que faudrait-il comme matos ? ( matos type serveur , ou matos standard ? CPU simple ou double coeur ? RAM 1 , 2 go ? Hdd ? )

Si Non, quel matos prévoir pour l'installation d'une débian avec squid/squidguard sachant que je vais avoir en gros 30 postes maxi connecté en même temps?

Es ce qu'il me faudra quand même un Ipcop dédié + débian/squid ? es ce que je peux espérer trouver un GUI tel que fourni sur IPcop , a installer sur une débian/passerelle/proxy ?


Merci d'avance pour vos conseils, je cherche une solution a faible cout mais qui fournira des performances de naviguation correcte pour les clients, ainsi qu'une sécurité et un degré de management acceptable pour moi.

[ccnet]

Quelques remarques rapides.

Es ce qu'en boostant le matériel sur lequel est installé IPcop on peux espérer avec une solution correcte IPcop/squid/suidguard ?

Ce n'est pas tant un problème de puissance de traitement, enfin pas seulement, mais essentiellement un problème d'architecture.

Si Non, quel matos prévoir pour l'installation d'une débian avec squid/squidguard sachant que je vais avoir en gros 30 postes maxi connecté en même temps?

Avez vous des exigences en débit réseau ? La question vaut aussi pour Ipcop.

Es ce qu'il me faudra quand même un Ipcop dédié + débian/squid ?

Non, mais BOT sur ipcop est INDISPENSABLE.

es ce que je peux espérer trouver un GUI tel que fourni sur IPcop , a installer sur une débian/passerelle/proxy ?

Je n'ai pas de recul sur cette solution mais vous pouvez jeter un œil sur
http://www.artica.fr/index.php/squid
Cette distribution toute packagée pourrait vous permettre d'installer facilement, à partir d'un cd, l'os et le proxy.

[burno]

Vraiment merci pour tout ces éclaircissements !

Avez vous des exigences en débit réseau ? La question vaut aussi pour Ipcop.

Les débits réseau sont assez faibles, pas de gros transferts et peu d'échanges en local a part les application hébergées sur le serveur et les demandes de profils. Le switching est entièrement en 100baseT. Le connexion internet est une connexion type " Pro" de chez orange , autant dire qu'elle n'a de pro que le nom marketing, on doit être a 3 Mb/s en déscendant pour 1 Mb/s en montant.

Es ce qu'il me faudra quand même un Ipcop dédié + débian/squid ?

Non, mais BOT sur ipcop est INDISPENSABLE.

Je ne comprend pas très bien la réponse, j'ai lu qu'il ne vaut mieux pas utiliser le proxy sur Ipcop, donc je pensais a une solution proxy sur une machine dédiée ( debian ou artica , maintenant que j'ai vu que ça existait )

Néanmoins, la question est : si j'ai un proxy sur une machine dédiée , es ce qu'une machine avec Ipcop sera nécéssaire en plus de ma machine proxy ?

Es ce que je devrait faire un IPcop Green + Red + Orange , avec la machine proxy en DMZ

ou

Es ce que je devrait faire un IPcop Green + Red , avec la machine proxy ( 2 ineterfaces réseau ) une sur Ipcop Green , une autre sur mon réseau a filtrer

ou

Ma machine proxy en passerelle avec 2 interfaces réseau , et elle gérrera la partie firewall.

es ce que je peux espérer trouver un GUI tel que fourni sur IPcop , a installer sur une débian/passerelle/proxy ?

Je n'ai pas de recul sur cette solution mais vous pouvez jeter un œil sur
http://www.artica.fr/index.php/squid
Cette distribution toute packagée pourrait vous permettre d'installer facilement, à partir d'un cd, l'os et le proxy.

Merci pour ce lien , je vais aller voir de ce pas, il est vrai que l'installation et la configuration fastidieuse de squid me rebute un peu, mais j'aurai été près a la subir :p

[jdh]

Pour répondre à la question ipcop+squid intégré versus ipcop+squid sur debian dédié, il faut d'abord comprendre plusieurs points :

- nécessité d'avoir un firewall
Une box ou un routeur filtre le trafic entrant, puisque sauf définition explicite de renvoi, vers quelle machine envoyer un flux entrant ?
Mais il est essentiel de filtrer les flux sortants. Sinon il est possible de faire n'importe quoi. Et puis c'est logique d'agir ainsi : s'il y a en interne un serveur de mail, il n'y a aucune raison de permettre à chaque machine d'envoyer des mails : seul le serveur doit pouvoir envoyer.
D'où la quasi obligation d'avoir BOT sur le firewall Ipcop ! BOT est l'outil de base du filtrage de flux d'ipcop puisque les politiques par défaut d'ipcop sont laxistes (et inacceptables AMHA).

- Squid (proxy) embarqué ou non
Squid représente une charge de travail importante : puissance cpu, disque sollicité (cache+logs), mémoire sollicitée (table index des objets en mémoire).
Alors que le firewall doit en même temps faire l'analyse fine et détaillé des paquets ip le traversant, sans compter le suivi de connexion et la gestion éventuelle de la connexion internet (pppoe).
Là où le firewall a à fournir un travail précis (timing) de contrôle de flux, on espère y adjoindre une consommation de puissance forte et variable que demande le proxy.
Donc, si le réseau n'est constitué que de 10 pc, pourquoi pas faire firewall+proxy embarqué. Mais au delà, nous préconisions de séparer les machines avec un firewall peu puissant et un proxy bien équipé en mémoire principalement.

- Squid sur Debian vs Squid dans solution tout en un.
C'est vous qui voyez ! Cela dépend de votre expertise et de votre gout personnel !

[burno]

Merci pour ces précisions

J'ai jetté un oeuil au projet atrica, c'est vraiment bien foutu !
Cela ressemble au serveur fournis par le rectorat que l'on a installé dans le lycée ou je travail, "horus-ng".
Une solution "tout-en-un" facile a utiliser et fournissant les principaux services indispensables a la création et l'utilisation d'un domaine, mais il s'agit d'un DC et non pas d'un proxy.

Je crois que je vais mettre en place une solution ipcop dédié + squid dédié , avec dans un premier temps le package Artica installé sur une débian, ce qui me permettra je pense de switcher sur une solution "moins packagée" si je constate des limitations.

J'ai récupéré 2 PC :
- Un vieux P4 2.0Ghz - socket 478 - je lui ai collé 512 Mo DDR400 - hdd ( très vieux ) 40 Go IDE
- Un (relativement récent ) P4 2.8Ghz - socket 775 - 1.5Go DDR2 533 - hdd 80Go SATA - réseau Gb

Je ne me pose plus qu'une seule question ( pour mon étude préliminaire ^^)

Quelle doit-être l'architecture correspondant a cette configuration ?

- Es ce que je dois faire :

# Box <---> [IPCop - RED // GREEN] |----> [PROXY eth0 // PROXY eth1] |----> [DC + RESEAU LOCAL]

Donc triple NAT ( a moins que je mettre un modem ethernet ), mais proxy en passerelle donc plus simple ( j'imagine ) a configurer.

ou

# Box <---> [IPCop - RED // GREEN] |----> [PROXY eth0] [DC + RESEAU LOCAL]

Cela implique je pense une interdiction de tout le trafic sortant sur IPcop, avec seulement le PROXY autorisé a sortir. La configuration des postes clients du domaine en [IP - MASQUE - PASSERELLE ( IPCOP ) - DNS ( DC )] + configuaration proxy dans le naviguateur obliguatoire pour accéder au net.


Merci d'avance pour vos avis.

[burno]

bonjour,

je vais me lancer dans ce projet, d'ailleurs j'ai déjà commencé a configurer les 2 machines sur un réseau de test, cependant je me pose toujours la question de la topologie communément utilisée pour la mise en place d'une solution "pare-feu + proxy"

Je précise juste que le réseau sur lequel se fera l'installation ne dispose que d'un contrôleur de domaine et d'une cinquantaine de postes clients, aucun serveur mail ni serveur web donc pas de nécessité d'avoir une DMZ.

merci d'avance.
(et désolé d'insister, je ne sais vraiment pas quoi choisir)

- Es ce que je dois faire :

# Box <---> [IPCop - RED // GREEN] |----> [PROXY eth0 // PROXY eth1] |----> [DC + RESEAU LOCAL]

ou

# Box <---> [IPCop - RED // GREEN] |----> [PROXY eth0] [DC + RESEAU LOCAL]

[jdh]

Comme déjà plusieurs fois indiqué, avec ce nombre de postes (50), la solution proxy dédié s'impose !

Il existe des "tout-en-un" comme Artica, mais on peut aussi faire soi-même.

Pour faire soi-même, on peut préconiser
- un serveur Debian (parce que c'est facile),
- de la mémoire (beaucoup de mémoire),
- le proxy Squid,
- le complément SquidGuard,
- éventuellement Havp + Clamav (pour faire une analyse anti-virale de base),
- éventuellement ce qu'il faut pour l'authentification via l'ActiveDir,
- quelques batchs qui automatisent la récupération de la blacklist de Toulouse,
- les services Apache+Php,
- un outil d'analyse de logs Squid comme LightSquid,
- éventuellement une interface vers une ligne ADSL dédiée avec un script firewall comme Shorewall,
- en option, quelques cafetières bien remplies ou quelques bouteilles de c.o.c.a !

Le positionnement naturel est de placer ce proxy en dmz d'un firewall (sauf avec authentification windows). Mais on ne place pas généralement en intermédiaire avec le firewall.

[burno]

Le positionnement naturel est de placer ce proxy en dmz d'un firewall (sauf avec authentification windows). Mais on ne place pas généralement en intermédiaire avec le firewall.

Merci pour ta réponse rapide et précise

J'ai déjà commencé la configuration des 2 machines ( une firewall et une proxy ), comme conseillé il y a quelques jours. N'étant pas (encore) familiarisé avec cette technologie j'avais des doutes sur l'installation en intermédiaire du proxy , entre le firewall et le réseau local, mais tu as levé toute ambiguïté.

J'imagine que la solution de la DMZ est la meilleure d'une point de vue sécurité mais je pense que je vais essayer l'authentification windows donc je vais partir sur l'installation dans le même noeud que le réseau local.

Merci bcp pour toutes ces orientations précises et efficaces, je pense que je repasserais si j'ai des problèmes spécifiques à IPcop.

[greg84]

Salut burno, je souhaite mettre en place la même configuration que vous avec un proxy et web content filtering (squid, dansquardian, havp, clamav) sur le réseau lan avec un Ipcop en GW.

Par contre comment rediriger le flux http vers le proxy? (des regles iptables à rajouter sur ipcop)

Votre retour d'expérience m'interresse.

Merci.

[burno]

Salut,

alors d'après mon environnement de test en VM ( je sais c'est mal mais je n'ai que ça avant de passer en production )

ma config vmware :

IPcop RED ( briged ) + Green ( host only )
Serveur 2003 [ AD + DNS + DHCP ] ( host only )
Proxy ( host only )

Réseau local [DHCP client] ( host only )

sur IPCop je n'ai installé que BOT ( Block Out Trafic + NTP )
les rêgles de BOT sont de bloquer tout par défaut, j'ai donc créé un jeu de règles pour ma machine proxy

je crois bien que j'ai autorisé ( liste non exhaustive et de tête donc surement incomplète )
[ http https ftp icmp ] -------------------- PROXY vers GREEN
[domain ] ---------------------------------- PROXY vers Serveur 2003
[domain ntp etc ... ] --------------------- Serveur 2003 vers GREEN
[pop pops smtp smtps imap imaps]--- Reseau local vers GREEN
[domain ntp] ------------------------------ Reseau local vers Serveur 2003
[ http https icmp ] ------------------------ Reseau local vers proxy
( je ne sais plus si ces 2 dernières sont nécessaires, mais dans le principe c'est ça )

En gros avec BOT sur IPCop, rien ne sort , tu n'autorise que ta machine proxy a sortir sur du http https ftp , et tu configures tes client avec un proxy explicite dans le navigateur.

Comme ça , si ça ne passe pas par le proxy , ça ne passe pas du tout

Dans l'autre sens l'e trafic http est redirigé vers le proxy sans règles spéciales, je n'ai rien paramétré pour que ça fonctionne ( en le disant comme ça .... ça semble pas super .... je vais vérifier ce soir )