Meilleure visu de ce qui passe à travers IPcop ?

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Meilleure visu de ce qui passe à travers IPcop ?

Messagepar paradox » 16 Juil 2011 10:21

Hello,

J'utilisais IPcop il y a ~10 ans et je suis content d'en avoir réinstallé un hier dans ma nouvelle boite ;) (an attendant de monter une machine sous pfSense).

J'ai ~60 machines derrière cet IPcop, et malheureusement, c'est un peu tout et n'importe quoi pour l'instant dans cette société. Tout le monde fait ce qu'il veut, D/L, radio en ligne, etc. + tout ce que je ne vois/sais pas.

Existe t'il un addon permettant de visualiser plus facilement les flux qui passent à travers le firewall ? Graphiquement par exemple ? Car la liste de connexion est difficilement lisible, surtout avec autant de client (je sais, il n'y en a que 60 (sur ce site) ce qui n'est pas grand chose en entreprise).

Ca me permettrait d'analyser plus facilement et rapidement les flux, de les lister pour préparer au mieux les règles de la future machine sous pfSense.

Comment faites-vous de votre côté ?
Avatar de l’utilisateur
paradox
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 279
Inscrit le: 07 Jan 2002 01:00

Re: Meilleure visu de ce qui passe à travers IPcop ?

Messagepar Franck78 » 16 Juil 2011 11:09

hello,

c'est pas vraiment le boulot d'IPCop. Un wireshark le fera mieux.
-soit sur branché sur le switch avec un port reprogrammé pour tout recevoir.
-soit un trace tcpdump enregsitrée sur IPCop

un "iftop" sur ipcop peut aussi dépanner.

Bye
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Re: Meilleure visu de ce qui passe à travers IPcop ?

Messagepar jdh » 16 Juil 2011 11:15

(Je ne serais pas passé par l'étape Ipcop parce qu'après il faudra essayer de faire pareil ...
En fait, après avoir installé pfSense, juste une fois, on se demande pas si on reviendra en arrière ...)

Sur pfSense, il existe le package ntop qui permet une analyse de flux (volume, par ip, par type de proto, ...).
L'usage est limité, comme l'indique, justement, Franck78.
Ce qui compte c'est de montrer, rapidement, la part de trafic "non pro" : s'attendre à 75% au minimum !

Avec 60 utilisateurs, il est important de ne pas faire l'erreur de mettre le proxy sur le firewall.
Il est absolument nécessaire de créer un proxy dédié qui aura les outils qu'il faut pour mesurer les volumes, les sites, ...
Perso, je créé des proxy sous Debian avec Squid + SquidGuard + blacklist + HAVP + Clamav + LightSquid.
J'ajouterais une authentification pour avoir les stats par utilisateur ...
Bien sur, il faudra passer sur les postes pour initialiser le proxy ou passer par une GPO ...
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Re: Meilleure visu de ce qui passe à travers IPcop ?

Messagepar paradox » 16 Juil 2011 17:21

Zut :(

Pour iftop, je testerai !

J'ai bien prévu de mettre en place un proxy en DMZ, et apparemment avec pfSense on peut faire du proxy transparent, donc pas besoin de passer sur les postes (ce que je ne pourrai faire de toute façon).



Dommage qu'IPcop ne propose pas ce genre de besoins :(

Merci les gars !
Avatar de l’utilisateur
paradox
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 279
Inscrit le: 07 Jan 2002 01:00

Re: Meilleure visu de ce qui passe à travers IPcop ?

Messagepar fleib » 16 Juil 2011 18:00

Salut

IPCop propose lui aussi un addon ntop, mais dont l'usage est limité comme dit précédemment.

IPCop fait aussi du proxy transparent, mais n'a pas sa place sur un parefeu comme dit précédemment la aussi...
Il n'est pas de vent favorable pour celui qui ne sait pas où il va
Avatar de l’utilisateur
fleib
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 205
Inscrit le: 28 Mai 2009 14:50
Localisation: St Paul / La Réunion

Re: Meilleure visu de ce qui passe à travers IPcop ?

Messagepar jdh » 16 Juil 2011 18:08

Le proxy transparent, c'est la fausse bonne idée ! (C'est possible pour les 2 firewall).

Parce que le job d'un firewall n'est pas le job d'un proxy ! (charges cpu, disques très différentes !)
Parce qu'à partir de 10 utilisateurs, il faut spécialiser les machines.
Parce que le proxy transparent est incompatible avec l'authentification = juste l'adresse ip pour suivre le trafic ! (ça va être moins facile !)
Parce que sur une machine dédiée, on choisit ce qu'on veut faire.
Parce qu'avec une GPO, c'est facile de mettre un proxy à tout les utilisateurs (du domaine).
(On gagne toujours à maitriser la config des micros de l'entreprise : ce ne sont les micros des utilisateurs !)
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Re: Meilleure visu de ce qui passe à travers IPcop ?

Messagepar fleib » 16 Juil 2011 18:17

jdh a écrit:(On gagne toujours à maitriser la config des micros de l'entreprise : ce ne sont les micros des utilisateurs !)


Je suis particulièrement d'accord avec cette dernière remarque, trop souvent oubliée... et passée à la trappe
Il n'est pas de vent favorable pour celui qui ne sait pas où il va
Avatar de l’utilisateur
fleib
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 205
Inscrit le: 28 Mai 2009 14:50
Localisation: St Paul / La Réunion

Re: Meilleure visu de ce qui passe à travers IPcop ?

Messagepar paradox » 16 Juil 2011 18:22

pfSense est capable de rediriger de façon transparente vers un proxy dédié en DMZ, ce que je compte faire.

Je n'ai pas que des machines MS, donc pas de GPO pour tout. Je veux être sûr que toutes l'infra passe de façon transparente par le proxy (stations, serveurs, machines nomades, PDA/Smartphones/ablettes, etc. tous les softs, même ceux non configurables (updates, softs de tous types, etc.)), par ce que nous sommes une boite orientée web et les utilisateurs (avancés) utilisent tous types de browsers, etc.
Dernière édition par paradox le 16 Juil 2011 19:40, édité 1 fois au total.
Avatar de l’utilisateur
paradox
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 279
Inscrit le: 07 Jan 2002 01:00

Re: Meilleure visu de ce qui passe à travers IPcop ?

Messagepar fleib » 16 Juil 2011 18:24

Attention au risque de phishing avec les ablettes...

OK, je sors... :D
Il n'est pas de vent favorable pour celui qui ne sait pas où il va
Avatar de l’utilisateur
fleib
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 205
Inscrit le: 28 Mai 2009 14:50
Localisation: St Paul / La Réunion

Re: Meilleure visu de ce qui passe à travers IPcop ?

Messagepar ccnet » 16 Juil 2011 21:38

Vous pouvez aussi jeter un œil sur NetFlow. Je pense aussi que ce genre d'outils, Netflow ou un autre, ne doivent pas se trouver sur le firewall.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Re: Meilleure visu de ce qui passe à travers IPcop ?

Messagepar fleib » 17 Juil 2011 13:01

ntop est un collecteur NetFlow.

ccnet a raison de rappeler qu'il n'a pas sa place sur un parefeu. Cela étant dit, on peut facilement installer une petite sonde NetFlow (PC + ubuntu + ntop) et mettre en place des switches qui supportent le protocole en question (la plupart des switches un peu évolués du marché). Et là, on répond au deux problématiques de visibilité du traffic et de sécurité du SI.
Il n'est pas de vent favorable pour celui qui ne sait pas où il va
Avatar de l’utilisateur
fleib
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 205
Inscrit le: 28 Mai 2009 14:50
Localisation: St Paul / La Réunion


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron