Console d'admin trop accessible

[IPCop user]

Bonjour à tous,
je rencontre un problème avec mon installe d'ipcop, tous les postes du réseau green peuvent accéder à l'interface d'admin en https:445.
Une seule règle est définie dans BOT, l'accès au port 800 pour le réseau green, et c'est celle là qui est utilisée lors de l'accès à l'interface d'admin semble t-il.
Si je ne configure pas le proxy sur le poste client, alors l'accès ne se fait pas.
Si je le configure alors l'accès se fait mais pas de demande d'authentification (proxy sur LDAP).
Si je tente l'accès au web, demande d'authentification.
C'est comme si le client utilisait le port 800 pour entrer sur ipcop et qu'ensuite il pouvait tranquilement accéder au port 445.
Etrange...
Merci pour votre aide !

IPCop 1.4.10
BOT 2.3.1
Advanced Proxy 1.2.2

[IPCop user]

Bon, mon problème n'a pas l'air de susciter l'enthousiasme alors si quelqu'un peut faire le test sur sa config, tenter d'accéder à l'interface d'admin depuis une machine du réseau green configurée pour utiliser le proxy d'ipcop.
Merci d'avance pour vos réponses/suggestions

[Franck78]

Salut,

Comme en standart IPCop ne restreint pas l'accès à son GUI depuis green, il semble assez logique d'y parvenir malgré 'blockout' installé.
Pour blockout, la sortie, c'est RED !

Si tu penses que c'est un bug, c'est les auteurs de blockout qu'il faut contacter

[m2nis]

je rencontre un problème avec mon installe d'ipcop, tous les postes du réseau green peuvent accéder à l'interface d'admin en https:445.

La seule règle qui peut normalement permettre d'accéder à l'interface d'admin est:
Vert -> Ipcop, port 445

N'auriez-vous pas ouvert une plage d'adresse par erreur, ou...

[Mister-Magoo]

Normal, si tu utilise BOT, par défaut, toute le réseau vert à accés à IPCOP.
Certes, tu renseignes bien l'adresse MAC de la machine qui peux y accéder mais c'est pour le cas où tu bloque tout (cette adresse MAC aura toujours accés à IPCop quoi que tu programme...).
Donc, il te faut créer une règle qui interdise explicitement l'accés du réseau vert vers IPCop (ports 81 et 445 bien sur) et une autre qui autorise explicitement la/les machines(s) qui doit(vent) y accéder...

Suis-je clair

[m2nis]

Normal, si tu utilise BOT, par défaut, toute le réseau vert à accés à IPCOP.

Non. BOT fait (à mon avis) ce que devrait faire Ipcop par défaut: tout bloquer! Et notamment vert -> tout. D'ailleurs, la faq est très explicite: "Par défaut, BOT bloque tout le traffic qui n'est pas explicitement permis." et l'accès à Ipcop en fait bien évidemment partie (en passant, il manque quand même une restriction sur le vpn). On retrouve aussi cette question dans la faq qui confirme qu'une seule machine a accès à l'administration par défaut avec BOT:

---
Est-ce que BlockOutTraffic peut être configuré pour permettre à plus d'une machine d'accéder à la page d'administration WebGUI de IPCop sur l'interface VERTE? En d'autres mots, est-ce possible d'avoir plus d'un "admin"?
Oui, c'est possible. Créez une régle d'accès IPCop pour chaque admin.
---

Tout cela confirme bien le fonctionnement que j'obtiens. IPCop user doit donc avoir une règle dans sa config qui ouvre l'accès à Ipcop.

[Mister-Magoo]

Oui, BOT bloque tout le trafic pas explicitement permis vers les autres interfaces mais pas sur la verte.
Les règles de blocage de la verte sont à paramétrer dans la seconde partie de l'écran où sont mises les règles, et par défaut, une règle autorise tout.

[m2nis]

Les règles de blocage de la verte sont à paramétrer dans la seconde partie de l'écran où sont mises les règles, et par défaut, une règle autorise tout.

Bon, visiblement, nous parlons bien des mêmes choses, ce qui est plutôt rassurant. Je n'avais pas souvenir qu'une règle était présente pour autoriser vert -> ipcop. En tous les cas, il est certain que si elle était présente, je me suis dépéché de l'enlever.

Enfin, il doit donc bien avoir une règle qui fait que Ipcop user n'arrive pas à ses fins, à ceci près que ce n'est visiblement pas lui qui l'a créée. Mais c'est bien elle qu'il faut chercher.

[Mister-Magoo]

disons que si tes utilisateurs passent par le proxy (transparent ou pas), les utilisateurs du réseau vert ont et doivent avoir accés à IPCop. Egalement pour la résolution DNS, etc ....
Donc, de base, tout le monde de vert a accés à IPCop. Tu mets alors les règles pour interdire les ports 81 et 445 (sauf à qui de droit bien sur )
l'adresse MAC de sécurité dans la config de BOT ne sert que si tu as enlevé cette règle, auquel cas plus personne n'accède à IPCop. Cette règle est "en dur" et sert pour ça ...

[shwing]

j'ai lu en diagonale les postes ci-dessus...

jettez un oeil ici --> http://forums.fr.ixus.net/viewtopic.php ... 7&start=15

2ème page -

Question: Rendre impossible la vue de la page index.cgi

Mots-clé: httpd.conf , password, mot de passe, sécurité, home page, authentification, page de garde,

Réponse: modifier le fichier /etc/httpd/conf/httpd.conf aux lignes 58 à 65 modifier ceci

remplacer ceci:
Code:
<Files index.cgi>
Satisfy Any
Allow from All
</Files>

<Files credits.cgi>
Satisfy Any
Allow from All
</Files>


par ceci:

Code:
<Files index.cgi>
AllowOverride None
Options None
AuthName "Restricted"
AuthType Basic
AuthUserFile /var/ipcop/auth/users
Require user admin
</Files>

<Files credits.cgi>
AllowOverride None
Options None
AuthName "Restricted"
AuthType Basic
AuthUserFile /var/ipcop/auth/users
Require user admin
</Files>


lancer la commande Code:
killall httpd


et relancer par

Code:
httpd -DSSL


ce qui a pour but de fermer le serveur web et de le relancer pour activer les modifications.


merci à yarglaheu et à Billou02 pour ce tuto.

[m2nis]

disons que si tes utilisateurs passent par le proxy (transparent ou pas), les utilisateurs du réseau vert ont et doivent avoir accés à IPCop. Egalement pour la résolution DNS, etc ....
Donc, de base, tout le monde de vert a accés à IPCop. Tu mets alors les règles pour interdire les ports 81 et 445 (sauf à qui de droit bien sur )

Personnellement, je préfère autoriser les ports 53 et 800 (et 123 le cas échéant) à certains que d'ouvrir tout sauf 81 et 445 à tout le monde.

[Mister-Magoo]

Tu peux aussi, tout dépends du niveau de sécurité/réstriction que tu souhaite

[impala]

Donc, de base, tout le monde de vert a accés à IPCop. Tu mets alors les règles pour interdire les ports 81 et 445 (sauf à qui de droit bien sur Very Happy )

Bonjour
Moi ce que je pige pas, c'est que j'ai accès à l'interface d'administration Ipcop depuis le réseau bleu aussi, proxy bleu activé ou pas.

J'ai une conf réseau classique RVB, avec un point daccès wifi sur la patte bleue (routeur Micradigital Belkin configuré en AP).
Bon je ne suis pas trop inquiet, car j'ai activé la reconnaissance MAC sur l'AP wifi, et il faut connaitre le mot de passe Ipcop pour s'y connecter.

D'autre part quand j'active le proxy bleu en mode transparent, j'ai accès depuis le réseau bleu au serveur http du vert, ce qui me semble anormal, vu que je n'ai aucune règle particulière active.
C'est conforme aux spécifs ipcop ça ?
J'ai désactivé le proxy bleu, car ainsi l'accès est impossible.

@+

[Mister-Magoo]

Quand tu utilise BOT, il y a 2 sections:

* L'accés aux diverses interfaces et réseaux défini suivant les règles que tu entre, sachant que, tout ce qui n'est pas explicitement défini est refusé;

* L'accés à IPCop lui même, indépendement des autres règles. Ces règles définissent l'accés au proxy (navigation web), à la résolution de nom DNS (si utilisé via IPCop), au serveur de temps NTP. De base, BOT créé une règle autorisant le réseau vert à accéder à IPCop, donc, l'administration des accessible.

Sans BOT, je sais pas, je n'ai pas utilisé IPCop sans cet addon

[IPCop user]

Bonsoir à tous,
je suis heureux de voir que le sujet à finalement éveillé l'intérêt de certains
Le problème est bien que si je n'autorise pas l'accès au port 800 pour green, je n'ai pas accès à l'interface d'admin depuis green, ce qui confirme que green n'a pas d'accès 'par défaut'. De plus le guide de démarrage de BOT est clair, les machines qui ne sont pas explicitement déclarées pour l'accès aux ports 81 et 445 ne doivent pas accéder à l'interface d'admin. Pour moi l'intérêt de BOT est justement de bloquer TOUS les accès entre toutes les interfaces. Il y a donc bien quelque chose qui cloche de mon point de vue. Ceci dit si c'est reproductible avec une installe par défaut je m'étonne que le guide de démarrage soit passé à côté de ce pb, non ?