PfSense et boitier pf-Box de Think-ITX

[ben350ci]

Bonjour,
C'est encore moi et mes questions de bleu.
Je souhaiterai savoir s’il est possible de faire tourner les plugins squid + squidguard avec PfSense sur ce genre de matériel pour un maximum de 40 sessions simultanées.
Le matériel en question: http://www.thinkitx.com/pf-box_pro_wifi_edition-685-1-c.html
Ce dispositif serait utilisé pour contrôler l’accès à Internet dans des internats.
Je souhaiterai n’autoriser que certains ports et interdire l'accès par une blacklist.
J'ai souvent lu que vous ne conseillez pas de faire tourner un firewall et un proxy sur la même machine, pouvez-vous me préciser les raisons?
Est ce dû à une utilisation trop importantes des ressources matérielles ou bien à une incompatibilité?

[jdh]

C'est encore moi aussi !

La question "pas de proxy sur un firewall" est battue et débattue de NOMBREUSES fois sur ce forum (et sur le forum de pfSense).
Alors COMMENCEZ par lire !!!!

Cela s'applique encore plus sur le type de matériel indiqué pour des raisons EVIDENTES.
Merci de réfléchir avant de répondre pourquoi !

[ben350ci]

J'ai cherché justement auparavant mais apparemment j'avais les yeux fermés.
Donc maintenant que j'ai ma réponse:
Qu'est ce que je peux en faire de ce type de box? Ce qui m'intéressais c'était le faible encombrement. Je ne l'ai pas encore acheté mais je fondais beaucoup d'espoir sur cette solution.

[jdh]

Un firewall (avec zone wifi directe) (et sans proxy) ?


Et maintenant que les yeux sont ouverts, que peut vouloir dire WPAD ?

[ben350ci]

Salut jdh.
Désolé de ne pas avoir répondu auparavant.
Je te demande juste un peu d'humilité, mais pas autant qu'il m'en a fallu pour venir poser des questions de noob.
Effectivement dans ce secteur de l'info je débute. Mais j'ai de très bonne connaissances dans d'autres domaines.
Jusqu'à maintenant je ne m'occupais pas de la sécurité c'était une autre équipe qui s'en chargeais dans mon ancien boulot.
Aujourd'hui il faut que je mette la main à la pâte. Donc il faut que je commence par les questions débiles.
Si je ne les poses jamais peut être qu'un doute subsisterai et je préfère éviter. Même si je dois passer pour un blaireau.
Donc, comme toi je sais lire. Je peux très bien passer trois plombes à gober des pages et des pages de cours mais le temps me manque de par mes responsabilités.
Je dois donc "cours"-circuiter certaines choses pour au moins avancer petit à petit.
Les forums spécialisés servent à ça, du moins je le pense.
Donc des questions bidons j'en ai encore à la pelle. Je pourrais te demander de ne pas participer à mes sujets mais je me priverai de fait de ton savoir.
Ce n'est pas de la lèche c'est un constat comme pour d'autres membres dont j'ai pu lire les interventions.
On laisse ces histoires d'égo de côté et on continue?
Merci.

[ccnet]

Si je ne les poses jamais peut être qu'un doute subsisterai et je préfère éviter.

Plutôt une bonne idée.

Même si je dois passer pour un blaireau. Donc, comme toi je sais lire. Je peux très bien passer trois plombes à gober des pages et des pages de cours mais le temps me manque de par mes responsabilités.

Il n'a jamais été question de passer pour un blaireau mais d'être efficace et lisant directement la réponse qui se trouve dans les pages de ce forum (et d'autres). C'est aussi une façon de ne pas perdre son temps me semble t il.

Je dois donc "cours"-circuiter certaines choses pour au moins avancer petit à petit.
Les forums spécialisés servent à ça, du moins je le pense.

Je ne le pense pas. Dans un domaine comme la sécurité on a vite fait de prendre une bonne secousse avec un court-circuit. Je pense que ne pas prendre les chose à la base est une mauvaise idée.

Ce que je remarque de votre message initial, c'est qu'il n'y a pas d'indication sur les besoins. Pourquoi la taille de l'équipement est importante ? l'est elle vraiment ? Mystère. On commence par discuter de solution matérielle avant d'avoir parlé du besoin fonctionnel. Selon moi c'est un temps gagné qui va en faire perdre beaucoup ensuite. Bref du temps perdu. Votre responsabilité est peut être de vous en remettre à un tiers qui dispose des compétences nécessaire au traitement de votre problème plutôt que de faire vous même avec les risques que cela comporte puisque vous indiquez honnêtement ne pas maitriser le domaine ? C'est juste une autre façon de voir les choses.

[ben350ci]

Qu'est ce qu'il a de plus ce boitier? Dlink DIR-300
Il a un firewall et un module de filtrage d'url avec base de donnée externe. Pourtant le CPU ne doit pas être extraordinaire sur ce matos.

[ben350ci]

Je ne veux pas remettre à un tiers tout simplement parce que je ne veux pas être dépendant de ce tiers ou d'un autre. J'en ai les capacités, j'ai juste besoin de temps.
Pour ce qui est de chercher dans le forum je l'ai fait mais je n'ai pas trouvé l'explication détaillée. Il y a à chaque fois la mention "pas de firewall et de proxy dans le même boitier" mais je ne me contente pas de ce genre d'info.
Je veux aller au fond du problème pour comprendre le pourquoi du comment.
Quand à ne pas prendre les choses à la base, j'ai l'habitude de chercher sur Google systématiquement les informations sur un sujet que je ne comprend pas très bien et j'apprends vite.

Pour ce qui est de mes besoins:
Il s'agit de sécuriser les accès Internet de trois internats contenant chacun environs une quarantaine d'élèves. Il y a dans chaque internats deux lignes Adsl, le réseau est donc sectionné en deux pour les mêmes services.
Je souhaite limiter les coûts (bien que je n'ai pas vraiment de limite) et l'encombrement (car il n'y a pas de baies réseau dans les internats). Le matériel sera stocké dans des petits coffrets. Évidemment si je n'ai pas le choix je devrais faire autrement.
Comprenez vous mon point de vue sur la chose?
Merci.

[ben350ci]

Tiendez, j'ai trouvé une réponse qui me satisfait:

Enfin, un tel système peut potentiellement comporter une vulnérabilité dans la mesure où il interprète les requêtes qui transitent par son biais. Ainsi, il est recommandé de dissocier le pare-feu (dynamique ou non) du proxy, afin de limiter les risques de compromission.

Source: http://www.commentcamarche.net/contents/protect/firewall.php3

[jdh]

Dans un forum, il est permis de poser toutes sortes de questions SAUF une question similaire à une déjà posée.
Il est permis d'être newbie, mais il est souhaitable de réfléchir !
Il est désagréable de passer du temps à écrire une réponse sensée et de voir une réponse "comme si on avait rien écrit".


Dans le cas,
- ce boitier NE PEUT servir QU'à un firewall (avec 3 interfaces ethernet et une interface wifi),
- ce boitier NE DOIT PAS être un proxy (pour des raisons techniques aisées à comprendre).

Il est indispensable alors de mettre en place dans ce contexte (cf tous les fils posés) :
- un firewall (pourquoi pas avec ce boitier, même s'il parait léger),
- un proxy dédié.
Ensuite il faut réfléchir à "forcer" le passage par le proxy. (Et j'ai donné une piste qui fonctionne ...)

Il est possible de considérer qu'il y a une autre manière mais celle que j'indique fonctionne.
Il est permis de perdre son temps, mais il souhaitable de ne pas rabrouer ceux qui donne une voie rapide alors que l'on a pas voulu la prendre ...

[ccnet]

Cette réponse est parfaitement judicieuse. De surcroit l'on sait que le nombre de failles (bugs et autres) d'un système lié aux erreurs de codage (le problème n'est pas de savoir si il en existe, mais combien il en existe et quelles en sont les conséquences) est directement proportionnel au nombre de lignes de code.
Par ailleurs la complexité induite pas l'interaction de deux systèmes assez fortement différents complique l'administration, la perception que nous en avons. Le risque d'erreurs de configuration est augmenté d'autant. Enfin il serait dommage de se trouver confronté à un dénis de service simplement parce qu'une requête ou une réponse provoque une grosse activité CPU ou disque peu compatible avec le fonctionnement sûr et stable d'un firewall.

Il s'agit de sécuriser les accès Internet de trois internats contenant chacun environs une quarantaine d'élèves. Il y a dans chaque internats deux lignes Adsl, le réseau est donc sectionné en deux pour les mêmes services.

Je comprend bien la première partie et la volonté de maitriser les couts. Je ne comprend pas "sectionné en deux pour les mêmes services."

Une topologie en étoile avec un vpn intersite et un proxy central n'est pas envisageable ? Pure hypothèse de ma part que rien ne justifie ni n'invalide.

[ben350ci]

En fait, nos internats étant généralement éloignés des centraux téléphoniques, nous avons des liaisons ADSL assez faibles (2Mbits/s).
De ce fait, pour équilibrer au mieux l'utilisation de ces ressources j'ai installé une ligne dans chaque bâtiment avec les box qui vont avec et un SSID différent.
J'ai vu qu'avec PfSense on pouvait faire de l'équilibrage de charge sur deux WAN donc éventuellement si j'arrive à maitriser le sujet je me pencherai vers cette solution pour réduire les coûts.

Pour en revenir aux mini-itx, les configurations minimales pour faire tourner PfSense (voir Hardware Sizing Guidance) m'ont l'air acceptable et pourraient correspondre à ce genre de machine, avec, j'en convient, un meilleur processeur que celui annoncé dans la première config que je vous ai montré et avec minimum 1Go de RAM.

N'en avez vous jamais utilisé? Auriez-vous du matériel de ce type à me conseiller? Sinon, quoi d'autre en faible encombrement?

[ben350ci]

Une topologie en étoile avec un vpn intersite et un proxy central n'est pas envisageable ? Pure hypothèse de ma part que rien ne justifie ni n'invalide.

Vous pensez que cette solution serait viable si je centralise le proxy à l'école avec des liaisons vpn vers les différents internats? Le trafic généré par les requêtes envoyées vers le proxy ne vont-elles pas encore plus encombrer les lignes déjà bien saturées?

[ben350ci]

Vous allez dire que je suis borné, mais regardez ce que propose osnet:

Regardez notre dernière intégration avec un boitier Alix équipé d'un disque dur IDE Samsung de 160 Go, une solution idéale pour faire du filtrage de contenu avec SquidGuard en plus des fonctionnalités de firewalling de PFSense.

Le prix de ce boitier filtrant défie toute concurrence. Nous sommes les seuls en Europe à proposer ce système.

Aïe, Pas taper!
Serieusement, qu'est ce que je dois en penser? http://www.osnet.eu/fr/content/firewall-alix-2d2-hdd

[ccnet]

Serieusement, qu'est ce que je dois en penser?

Vous trouverez sans difficulté des gens pour vous expliquer que c'est parfait. Même chez Cisco ou Checkpoint. Nous vous avons dit ce que nous en pensons.
Je n'utilise jamais ce type de produit, le plus souvent parce que je n'ai aucune difficulté à trouver un espace 1U dans un rack.

Dans tous les cas l'architecture qui met le proxy sur le firewall ne me convient pas. J'estime qu'elle n'est pas assez fiable, trop risquée.

Si la bande passante disponible est faible la topologie en étoile avec proxy centralisé n'est sans doute pas pertinente. Tout cela demanderait un travail de conception plus fouillé. Désolé je fais court car j'ai peu de temps pour le moment.