PfSense et boitier pf-Box de Think-ITX

[recycled]

Bonjour ben350ci, je vous rejoins avec mon HUMBLE avis.
Petite présentation : j installe des firewall dans des TPE /PME depuis quelques années et survole Ixus depuis a peu près autant. Des dizaines d'ipcop sur pc reconditionnes et quelques pfsense sur pc ou alix en production et aucun procès en cours ni de réseaux zombie (enfin j espere) malgré tout ces trous de sécurité .
Bref, pour votre demande de base si j'ai bien compris : routeur/firewall, proxy avec filtrage (transparent).
Un ipcop avec addon advanced proxy, URL proxy et pourquoi pas update acelerator (soyons fou) ou ipfire peuvent faire l'affaire. Un pfsense avec disque dur + squid + squidguard aussi .
Je ne veux pas rentrer dans débats sur le ton de certaine réponse mais après avoir quitte un autre forum sur pfsense ,je les retrouve ici.
Afin d'éviter les réponses de ce type il serait peut être bon d'eguiiler les bleus comme moi (comme ca on es 2)a l'arrivée sur le forum pfsense Avec des posts épingles type tuto ou pourquoi pas de proxy sur un firewal ... Enfin c juste un avis.
J' arrête pour ce soir mais si je vois que mon post fais avancer le schmilibli... Je suis prêt a donner de mon temps pour aider au forum ( si je me suis pas fait éjecter) car j' y ai trouve bcp de réponse a l' époque ou je commencer sur ipcop et maintenat que je pense que pfsense va le remplacer ( au moins sur mes installes) ce serait bien que d'autres y en trouvent aussi ici et moi aussi bien sur
Bonne continuation ben... Et peut être a bientôt
Désole pour la forme mais joujous Apple pas simple pour poster!

[ben350ci]

Ah ça fait plaisir de trouver quelqu'un avec un peu de bon sens et de diplomatie.
De toute façon je m'étais mis en tête de tester par moi même la solution tout en un. Pour que je puisse en tirer les conclusions moi même et comprendre si tel était le cas, qu'est ce qui pose réellement problème.
Je n'aime pas les réponses toutes faites sans aller en profondeur. Je ne suis pas plus bête qu'un autre.
L'erreur que j'ai fait à été de vouloir demander de l'aide et conseil alors que j'aurais pu y arriver en prenant mon temps.
De toute façon je viendrais informer ici de la réussite (ou non, pourquoi pas) de mon projet.

Bref, pour votre demande de base si j'ai bien compris : routeur/firewall, proxy avec filtrage (transparent).

Tu as très bien compris. J'essaierai plusieurs combinaisons.

Merci.

[jdh]

Totalement subjectivement :

- recycled :
inscription : 6/12/2003
nb de messages : 18
derniers messages : 26/1/2011, 12/2/2009, 19/1/2004
forum le plus actif : logiciels windows (16 messages)

- ccnet :
inscription : 27/6/2006
nb de messages : 2541
forum le plus actif : ipcop (1562 messages)

- jdh :
inscription : 29/12/2002
nb de messages : 4331
forum le plus actif : ipcop (1695 messages)
+ installation ipcop : 1 (durée de vie <1 journée)



Que vous ne compreniez pas les enjeux, cela est une réalité ... visible.
Que vous pensiez différemment, c'est votre droit.
Que vous contestiez notre expertise, c'est idiot.

Il est désormais essentiel que vous fassiez VOTRE expérience.
Je ne sais pas si, honnêtement, vous en rapporterez les résultats.
Attention : nous avons écrit "il est préférable d'utiliser un proxy dédié", nous n'avons jamais écrit que le proxy ne tourne pas sur le firewall !

[ben350ci]

Je tiens toujours ma parole.
Ce que je reproche c'est le manque d'explications. Rien n'est approfondi et les objections avancées ne sont pas étayées. C'est toujours la même réponse "cherchez dans le forum". Sauf que l'on y trouve rien de concret, toujours la même rengaine.
Qu'est ce que ça vous coûte? Vous payez un abonnement ADSL à la formule "500 caractères compris"?
Le fait que nous soyons nouveaux sur le forum ne veut pas dire que nous soyons débiles. Le nombres de messages ne prouve pas les compétences. Et de toute façon j'ai eu l'humilité de reconnaitres vos connaissances.
Si j'avais été sur un forum de blaireau je n'aurais pas pris la peine de poser ma question. Mon temps est précieux.
Je comprend parfaitement tout ce que je lis. Je ne reste pas la bouche ouverte devant mon écran à chaque fois que je lis un mot technique.
Je suis administrateur réseau de formation bac+2, mais je n'ai pas étudié la branche de la sécurité en profondeur et donc je ne connais pas les solutions firewall logicielles.
Je comprend le principe et les techniques mais je ne les ai jamais mises en application ou en partie (configuration de firewall intégrés aux routeurs).
Comme je vous l'ai dit, je ne veux pas déléguer sur ce point et je suis têtu, je ne lâche pas l'affaire tant que je n'y suis pas arrivé. Si ce n'est pas avec votre aide ce sera tout seul ou avec quelqu'un d'autre.

[ccnet]

Ce que je reproche c'est le manque d'explications.

viewtopic.php?f=2&t=42170&p=265374&hilit=snort#p265374
viewtopic.php?f=2&t=44045&p=277779#p277779
Pas d'explication ?

Rien n'est approfondi et les objections avancées ne sont pas étayées.

viewtopic.php?f=10&t=41886&hilit=postfix&start=30
viewtopic.php?f=10&t=41748&p=263248&hilit=postfix#p263248
Approfondi, argumenté ?

C'est toujours la même réponse "cherchez dans le forum". Sauf que l'on y trouve rien de concret, toujours la même rengaine.

viewtopic.php?f=37&t=44000&p=277398&hilit=snort#p277398
viewtopic.php?t=41123&highlight=copfilter
Concret ?

Qu'est ce que ça vous coûte? Vous payez un abonnement ADSL à la formule "500 caractères compris"?

Mon temps est comme le vôtre. Qu'est ce que ça coûte ? parfois 30 ou 45 mn pour une seule réponse afin de fournir les sources et références qui conviennent au problème posé. Je n'ai pas un temps qui me permette de développer toujours, encore et encore la même réponse pour le même problème chaque fois, ceci sur 2500 messages. A vous lire on croirait que vous n'en avez pas pour votre argent. Si le nombre de messages n'est pas le meilleur indicateur, on peut aussi s'intéresser aux différents contenus ...

[recycled]

coooool ....
défintion de subjectif : Qui varie selon la personnalité, les principes et les goûts de chacun : on doit pas avoir les mêmes.
je me doutais que ça allais partir comme ça et comme j'ai commencé (je reviens plus souvent sur ixus ces derniers temps) on va essayer de faire avancer les choses.
d'une part , je ne remets pas vos compétences en doute , loin de la, c'est plutot votre ton qui me déplait. en effet les gens viennent chercher ici des réponses (simple si possible) à leur problème, pas des leçons de vies . citation jdh : "Merci de réfléchir avant de répondre pourquoi !"
vous êtes surement très compétents mais vous devriez vous remettre en question des fois : on demande juste un peu de tacte , c'est tout.
qu'il y ai des personnes qui posent leur question sans recherche ou sans réfléchir , y en a plein mais je pense que nous sommes pas tous dans ce cas. donc, on quoi l'idée d'épingler des posts en début de forum pose problème : newbie kit sur forum ipcop ... vous gagnerez surement un temps précieux à ne pas répondre à 2000 posts (ca fait grimper les compteurs ça non) toujours la meme chose ? on pourrai aussi envisager un autre : a lire avant de poster par exemple: enfin ce n'est que des idées à partager gentillement sans leçon de vie
voila a bientot

[jibe]

Salut,

l'idée d'épingler des posts en début de forum pose problème

on pourrai aussi envisager un autre : a lire avant de poster par exemple

Que je laisse ces phrases dans leur contexte ou pas, je ne comprends pas... Comme tout le reste du post, d'ailleurs.

4/ PUBLICATION DES MESSAGES :

Nous vous demandons de :

- Respecter le sujet traité dans chaque forum.
- Faire une recherche préalable avant de poster afin de s'assurer que le sujet n'a pas déjà été traité, par le biais de la fonction Rechercher disponible sur Ixus (l'usage de http://www.google.fr est également recommandé).
- ...

Avec une recherche (second point de la charte), les newbie kits apparaissent aussi bien que les posts intéressants sur le sujet, ces mêmes posts que jdh et ccnet mentionnent implicitement en disant que le sujet a été souvent débattu, ou explicitement.

Il me semble que cette charte est censée être lue et approuvée lors de l'inscription sur Ixus.

Bien sûr, tu vas me répondre :

- Respecter les règles de politesse et de la bonne conduite.

en précisant que le manque de tact que tu dénonces fait partie des manquements aux règles de bonne conduite. Je peux éventuellement comprendre ton point de vue, mais reconnais qu'on peut aussi comprendre et excuser un peu de lassitude et d'énervement (qui se traduisent par un manque de tact) chez ceux qui donnent beaucoup de leur temps et qui se voient contraints de répéter toujours les mêmes choses à des gens qui ne prennent pas la peine de faire la moindre recherche, attitude inadmissible.

Je rappelle une fois de plus que cette attitude négligente accompagnée par l'attitude arrogante, accusatrice, ingrate et souvent méprisante dont font preuve certains a fait déserter d'Ixus une bonne part de ses meilleurs membres : des gens comme jdh et ccnet se comptaient par dizaines il y a quelques années...

[ben350ci]

en précisant que le manque de tact que tu dénonces fait partie des manquements aux règles de bonne conduite. Je peux éventuellement comprendre ton point de vue, mais reconnais qu'on peut aussi comprendre et excuser un peu de lassitude et d'énervement (qui se traduisent par un manque de tact) chez ceux qui donnent beaucoup de leur temps et qui se voient contraints de répéter toujours les mêmes choses à des gens qui ne prennent pas la peine de faire la moindre recherche, attitude inadmissible.

Je rappelle une fois de plus que cette attitude négligente accompagnée par l'attitude arrogante, accusatrice, ingrate et souvent méprisante dont font preuve certains a fait déserter d'Ixus une bonne part de ses meilleurs membres : des gens comme jdh et ccnet se comptaient par dizaines il y a quelques années...

Ce genre de réaction est compréhensible, je suis modérateur sur un forum dédié à l'aquariophilie et l'on y fait les mêmes remarques.
Sauf que j'ai réellement fait une recherche avant de venir poser ma question qui vous parait "débile". A la base je n'avais pas besoin d'un oui ou d'un non (relisez mon premier post), j'avais déjà une vague idée de ce que l'on allait me répondre puisque j'avais déjà vu la même réponse catégorique. J'ai eu le malheur de croire que j'allais pouvoir bénéficier d'une réponse un tant soit peu étayée.
Et à aucun moment je n'ai été arrogant ou méprisant ou quoi que ce soit, ça a plutôt été l'inverse.
Bon, et si on parlait technique plutôt que de perdre du temps sur ces futilités?
Au final ce sujet n'a plus rien à voir avec l'objectif initial. Si on fait une recherche à partir de Google avec les mots clés "mini itx pfsense" on tombe sur Ixus avec ce magnifique n'importe quoi. Ça laisse songeur...
Et si on recommençait du début avec quelqu'un qui veuille prendre la peine d'expliquer en détail le pourquoi du comment ce genre de produit ne convient pas à telle ou telle fonctionnalité de PfSense et pourquoi ne pas mélanger Proxy ET Firewall.
Et si l'envie vous en prend, vous le mettrez en Post-it pour que les futurs newbies ne reposent pas la même question.

[recycled]

je suis d'accord pour arreter de pourrir ce post...
sinon qu'est ce que tu as choisi finalement : ipcop , pfsense ?
a +

[ben350ci]

Salut,
donc je donne des news:
J'ai mis en service le premier firewall pfsense en exploitation. En plus, j'ai configuré openvpn pour une dizaine de postes nomades. Tout fonctionne parfaitement pour le moment.
Je l'ai installé sur un serveur HP rackable d'occase sur ebay.
Prochaine étape, mis en place du portail captif et mise en place d'un proxy sur une machine supplémentaire car il s'agit du réseau de l'école (beaucoup de monde).
Je vais aussi faire les essais sur un boitier alix pour les réseaux des internats et je vous dirais ce qu'il en est.
Merci.
A+

[jdh]

Le site mentionné est le site commercial du pseudo "gregober" sur le forum pfSense.org.
Je ne dirais donc pas de mal du matériel vendu.

Néanmoins, il s'agit de petites appliance destinées à de petites structures.
Le modèle indiqué comporte un disque (ide) comme stockage (en lieu et place de la très usuelle carte compactflash).
L'intérêt d'un disque ide par rapport à une carte compact flash, c'est sa capacité en écriture : très limitée sur une compact flash.
Donc on peut, avec un disque dur, stocker les logs voire faire du cache avec Squid.
Néanmoins, le facteur bloquant de Squid (et d'autant plus si on rajoute SquidGuard) est la mémoire.
Dans le cas, avec 256M de mémoire, je ne configurerai sûrement pas un cache de plus de 500M.

Cette appliance, en mode firewall seul, est adaptée à aller jusqu'à 50 personnes.
Et, en mode firewall plus proxy, est adaptée à aller jusqu'à 10 personnes et 500M de cache.
(NB: réglage de base de FF : 50M de cache local)

Bref cette appliance est certainement de qualité mais à utiliser dans la taille que j'indique pour des performances correctes.


Nous répétons qu'à partir d'une certaine taille, il est nécessaire de dédier une machine (traditionnelle et avec de la mémoire) à la fonction proxy, blacklist, filtrage d'url, logs de navigation, ...

[ben350ci]

Nous répétons qu'à partir d'une certaine taille, il est nécessaire de dédier une machine (traditionnelle et avec de la mémoire) à la fonction proxy, blacklist, filtrage d'url, logs de navigation, ...

Ok jdh, je l'ai bien compris c'est pour ça que je ferais de cette manière à l'école. Il a toujours été question des petits réseaux d'internats, qui à mon sens devraient pouvoir se contenter de cette solution light. Surtout que je ne compte faire du cache que de manière très limitée, car de toute façon j'imagine que la liste des sites visités par des élèves internationaux doit être très hétérogène. Le site qui reviendra sans cesse c'est facebook...
Je le mettrai en place et je vous direz ce qu'il en ressort.
Merci pour votre aide.

[ben350ci]

Salut,
donc j'ai fini de mettre en place le Firewall réservé au réseau administratif de l'école il y a deux mois. Le retour est très positif. J'ai même mis en place le proxy squid et squiguard sur le firewall et il tourne avec une quinzaine de connexions simultanées en période de pointe. Personne n'a noté de ralentissements. Pour le moment c'est en test. Et je confirme l'efficacité du proxy.
Par contre, j'aurais aimé faire des tests d'efficacité de l'ensemble. Connaissez-vous un moyen efficace pour faire cela? J'ai déjà utilisé shields UP et autre tests en ligne, mais ce ne sont que des testeurs de ports simplistes. En local, j'ai utilisé nmap pour vérifier les ports ouverts en interne. Effectivement, il y en a, ne serait ce que pour le contrôleur de domaine.
Mais j'aimerais savoir s'il est encore possible de passer "à travers" le firewall (possible, si par exemple j'ai fait une erreur de config) et d'atteindre finalement un pc qui aurait des ports ouverts.

I need somebody! Help! Wouhouhou!

[ccnet]

Nmap.

Mais j'aimerais savoir s'il est encore possible de passer "à travers" le firewall

Probablement oui. Mais pas de la façon dont vous l'imaginez. Le risque principal est le montage, par un agresseur, d'un tunnel inverse. On utilisera donc un port ouvert en "sortie" (de votre lan vers Internet). Cela suppose la compromission d'une machine interne en exploitant en général une faille applicative (ce dont Pfsense ne vous protège pas). Dans le tunnel inverse le flux sera souvent chiffré, ce qui le rend indétectable par des outils classiques. Cela nous renvoie aux discussion sur le strict cloisonnement des flux, sur la pertinence des modules (comme le proxy) sur le firewall, etc ...

Donc Nmap vous renseignera sur ce qui est visible depuis l'extérieur à condition de choisir les bonnes options ( de mémoire -P -O -v est assez intéressant) , ce qui n'est pas forcément trivial. Il est donc nécessaire de bien lire la documentation, de bien comprendre ce que l'on cherche. Il n'y a pas de recette toute faite.

[ben350ci]

Ok, merci pour l'info.
D'où l'importance d'un IDS/IPS comme Snort si je veux pouvoir être au courant d'une tentative d'intrusion de ce type, non? J'entends que ce système génère une grosse charge de travail pour être réellement efficace mais si je suis présent au bureau au moment où une tentative est détectée, je peux alors intervenir.

Une autre question pour avoir votre avis:
Pensez-vous que le fait de laisser le routeur connecté sur l'interface WAN de PfSense (autrement dit, un réseau supplémentaire sur une plage IP différente du LAN et d'Internet) amène un + en protection par rapport à une interface WAN connectée directement à l'internet par PPOE en utilisant un modem?

Probablement oui. Mais pas de la façon dont vous l'imaginez. Le risque principal est le montage, par un agresseur, d'un tunnel inverse. On utilisera donc un port ouvert en "sortie" (de votre lan vers Internet). Cela suppose la compromission d'une machine interne en exploitant en général une faille applicative (ce dont Pfsense ne vous protège pas). Dans le tunnel inverse le flux sera souvent chiffré, ce qui le rend indétectable par des outils classiques. Cela nous renvoie aux discussion sur le strict cloisonnement des flux, sur la pertinence des modules (comme le proxy) sur le firewall, etc ...

Donc Nmap vous renseignera sur ce qui est visible depuis l'extérieur à condition de choisir les bonnes options ( de mémoire -P -O -v est assez intéressant) , ce qui n'est pas forcément trivial. Il est donc nécessaire de bien lire la documentation, de bien comprendre ce que l'on cherche. Il n'y a pas de recette toute faite.

Pour Nmap, effectivement j'ai bien entamé la doc, et j'avais lu l'importance des options.

Pour le cas de figure dont vous me parlez, je comprends, j'y avais déjà pensé. Mais, mis à part mon Symantec Endpoint Protection client/serveur, que puis-je faire de plus pour m'assurer de l'intégrité de mes machines? Ce sont des machines en Windows XP pro et 7 pro avec les mises à jour automatiques activées. Tout les utilisateurs sont sensibilisés aux risques liées aux mails d'inconnus. L'antispam fourni par l'hébergeur du domaine est activé et sur la machine dont l'adresse e-mail est utilisée pour recevoir le "catch-all" il y a également un antispam (spamfighter).