Garantir l'identité et gerer les horaires

[kevinsenechal]

Bonjour à tous!

Après divers tests d'IPCop et recherche sur internet je n'ai pas trouvé de réponses/solutions à mes questions.

Je me tourne donc vers vous

Contexte : utilisation du proxy d'IPCop pour contrôler l'accès à internet du réseau interne (horaires, logs, bande passante...)

1- J'aimerais garantir l'identité des utilisateurs dans les logs, car même en attribuant une adresse IP fixe via l'adresse mac, l'utilisateur peut définir lui même une adresse IP du réseau et ainsi usurper l'identité de quelqu'un d'autre. Est-il possible de faire apparaitre l'adresse mac dans les logs? Sinon, existe t-il un autre moyen de garantir cette identité?

2- Les horaires d'accès peuvent être gérer via BOT, Squidguard ou encore advProxy. Mais mes besoins font que l'utilisation de l'un ou l'autre ne convient pas. La fusion de Squidguard (pour les jour féries) et de BOT (pour les plages d'accès) serait l'ideal. En effet Squidguard permet de définir uniquement 2 plages d'accès par jour (travaillé ou non), à contrario BOT permet de définir plusieurs règles et convient donc mais ne permet pas la prise en compte des jours féries. L'utilisation des 2 ensemble ne fonctionne pas.

Voici mes plages horaires :
Lundi au vendredi : AUTORISER 12h-14h / 17h-7h30 (le lendemain)
Samedi : AUTORISER 12h-7h30 (le lendemain)
Dimanche : AUTORISER

3- IPCop fonctionne correctement, bien installé etc... mais lors d'un reboot, ça se bloque sur :

Booting "IpCop"
root (hd0,0)
Filesystem type is ext2fs, partition type 0x83
kernel /vmlinuz root=/dev/hdb4 panic=10 acpi=off ro

Un peu embetant...j'avais réessayer en effacant manuellement le disque + reinstallation complete...
D'où cela peut-il venir?

Merci d'avance pour l'aide que vous pourrez m'apporter!

Kévin

[jdh]

0/ Ipcop n'est pas un proxy !
Ipcop est d'abord un firewall !
Squid y est installé (de base ?) avec une page web de configuration (merci Franck78) pour notamment SquidGuard (addons naturel de Squid).

1/ Si Squid gère une authentification, dans les logs va apparaitre l'identifiant.

2/ Les horaires (pourquoi gérer des horaires : on aurait droit d'aller sur des sites de boules à certaines heures ?)
SquidGuard permet de définir les plages horaires de son choix.
Il est sans doute plus facile de gérer des besoins non couverts en standard par une machine dédiée ...

3/ Blocages
Informations insuffisantes : cet affichage est standard, c'est la suite qui aurait de l'intérêt ...
Il serait utile de vérifier la "santé" du file système par un outil tel SystemRescue CD (fsck.ext3 /dev/sd??)


Un site intéressant pour créer une machine (dédiée) pour Squid avec SquidGuard + Havp + authentification (sur Debian) :
http://www.opendoc.net/comment-realiser ... avp-clamav
(attention, cela demande quelques manip supplémentaires assez naturelles ...)

[ccnet]

En gros les mêmes remarques.

Ipcop n'est pas un proxy mais un firewall.

Garantir l'identité d'un utilisateur ne peut se faire qu'avec un identifiant rattaché à l'utilisateur. Une adresse ip est rattachée à une machine (avec certaine réserves). Même si cette machine est le plus souvent utilisée par une même personne, il n'en reste pas moins que l'adresse ip ne sert pas à identifier une machine même si c'est possible à un instant t. Il y a une confusion sur les notions. L'utilisation de l'adresse mac est tout aussi douteuse pour de nombreuses raisons. Changer son adresse mac est trivial, l'usurper aussi.
Pour identifier un utilisateur il faut donc un élément (un secret) connu de lui seul qui prouve son identité puisqu'il connait ce secret. Il y a bien des façons de réaliser cela, la plus simple (mais pas la plus sûre) reste le couple identifiant mot de passe. C'est donc cela qu'il faut mettre en place.

Pour les horaires je n'ai pas d'avis si ce n'est que c'est bien un proxy (un vrai) qui règlera le problème puisque les fonctionnalité sont disponibles dans Squid. On en revient à la première remarque.

[mab]

Salut,

3- IPCop fonctionne correctement, bien installé etc... mais lors d'un reboot, ça se bloque sur :

Booting "IpCop"
root (hd0,0)
Filesystem type is ext2fs, partition type 0x83
kernel /vmlinuz root=/dev/hdb4 panic=10 acpi=off ro

Un peu embetant...j'avais réessayer en effacant manuellement le disque + reinstallation complete...
D'où cela peut-il venir?

Pas facile de répondre à ça, on n'a aucune information sur le matériel utilisé, et la divination dans ce cas, bof . (au pif : usage du sata ? )

on aurait droit d'aller sur des sites de boules à certaines heures ?)

1/ Si Squid gère une authentification, dans les logs va apparaitre l'identifiant.

et

Garantir l'identité d'un utilisateur ne peut se faire qu'avec un identifiant rattaché à l'utilisateur.

Même réponse : dans ce cas, proxy en mode non transparent obligatoire avec peut-être la gestion intégrée des utilisateurs (la source d'authentification des utilisateurs du proxy est très aboutie, d'autres choix sont possibles).

car même en attribuant une adresse IP fixe via l'adresse mac, l'utilisateur peut définir lui même une adresse IP du réseau et ainsi usurper l'identité de quelqu'un d'autre.

L'utilisateur, s'il peut définir sa propre adresse ip signifie que ce n'est pas du windows en mode domaine. Néanmoins :
il ne peut pas prendre une adresse ip déjà utilisée (plantage du réseau), et dans squid (proxy avancé), tu peux restreindre les sous réseaux acceptés, ça te fera un peu de manip, mais ça peut t'éviter en attendant que tu mettes en place ta solution qu'un utilisateur se mette en dehors de la plage d'adresses utilisées.

[Stirner]

l'utilisateur peut définir lui même une adresse IP du réseau et ainsi usurper l'identité de quelqu'un d'autre.

Premier problème qui semble révéler un petit problème d'administration des postes clients, Domaine ? Workgroup? Sans plus d'information difficile de répondre.

Pour faire simple (et reprendre ce qui a été dit) :

1- Proxy transparent dédier avec contrôle accès via utilisateur+MDP (AD, Samba, LDAP ou autre)
2- Empêcher les utilisateurs de modifier quoique ce soit sur leur poste : Ip, config du navigateur...
3- NOTICE INFORMATIVE DE L'UTILISATION DU NET AU SEIN DE LA STRUCTURE.

Ensuite si les utilisateurs sont variables (espace ouvert, hotspot...) regarder du coté portail captif pour la navigation.

@+

[jdh]

@stirner : juste une correction !

1/ Proxy NON transparent avec authentification (base locale ou LDAP ou ActiveDir).

(un proxy transparent n'est pas compatible avec une authentification !)

[Stirner]

M'enfin...

[mab]

euh, les gars... il est trop long mon message ?

Même réponse : dans ce cas, proxy en mode non transparent obligatoire avec peut-être la gestion intégrée des utilisateurs (la source d'authentification des utilisateurs du proxy est très aboutie, d'autres choix sont possibles).

Ah, vivement la fin de semaine