Netgate Store

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.


Messages - chris4916

Pages: [1] 2 3 4 5 ... 127
1
Français / Re: OpenVpn + proxy
« on: May 18, 2018, 11:44:09 pm »
Peut-être aveuglé par un combat qui n'a pa leiu d'être, tu ne lis pas correctement ce que j'ai écrit:

je ne dis pas qu'il faut pousser le proxy.pac via GPO (ni qu'il ne faut pas le faire d'ailleurs) mais je précise que les règles d'accès au proxy sont portées par le proxy.pac et non pas par WPAD qui n'est que une des manières d'automatiser l'accès au proxy.pac


Pour ce qui est du choix WPAD vs. GPO... je te laisse avec tes certitudes.
Mais là encore, ne te trompe pas dans ta précipitation de lutter contre mon argumentaire. Je suis un grand fan de WPAD  ;)  et tu n'es pas le seul à écrire des tutos https://wiki.zentyal.org/wiki/Select_Right_HTTP_Proxy_Design mais dans la vraie vie des grands comptes et de beaucoup de PME que tu aimes prendre en exemple lorsque ça sert ton propos, l'approche "via GPO" est très très souvent mise en œuvre.

2
Français / Re: OpenVpn + proxy
« on: May 18, 2018, 05:02:14 pm »
Pour apporter une petite précision technique car la confusion est souvent faite:
Ce n'est pas WPAD qui permet de définir ce qui passe par le proxy et ce qui n'y passe pas.

WPAD, c'est, derrière le protocole qui le défini, Web Proxy Automatic Discovery, donc le protocole de découverte automatique du proxy(.pac)
C'est le proxy.pac qui permet de contrôler le comportement du browser qui s'appuie dessus mais il est aussi utile de comprendre qu'il y a beaucoup d'environnements qui utilisent un proxy.pac sans jamais mettre en œuvre WPAD. Par exemple lorsque le proxy.pac est poussé par GPO.

3
Une adresse ip surtout privée dans "alternate names", c'est plutôt à éviter.
Ce n'est pas extraordinaire, j'en conviens, ni très utile au quotidien, mais je veux bien que tu expliques le "surtout privé"  ;)  d'autant que là, l'objectif est d'accéder à un site qui n'est supposé être accédé que depuis le LAN.

4
C'est normal si vous tentez de vous connecter avec l'ip qui ne fait pas partie du certificat. Il faut paramétrer votre résolution dns interne et vous connecter avec pfsense.schoolDom.com.

En effet, ou configurer des "alternate names" dans le certificat  ;)

5
Malgré tes efforts évidents pour documenter le problème, je ne vois pas où tu montres que l'accès à pfSense est "non sécurisé"  :( d'auant que tu montres qu'un certificat est bien installé.
De plus, il me semble, si il y a effectivement un problème de certificat, que tu devrais vérifier à minima que celui-ci a bien, dans les "extended key usage", le rôle de "serveur"

En marge de ces points, je ne comprends pas ça:

Quote
Pourquoi ? Afin que le nom de domaine de la pfsense soit un sous-domaine du nom de domaine créé chez hébergeur. Supposition : éviter les problèmes (ou pas) lors de la signature du certificat par le registrar

Ce n'est pas le registrar qui signe le certificat mais Let'sEncrypt. Bien sûr il faut que le domaine auquel appartient pfSense soit publique, mais c'est la seule contrainte. Si ton seul domaine publique est SchoolDom, pourquoi pas, mais il ne faut pas te tromper sur la raison de la convergence vers ce domaine unique.

Enfin, rien à voir avec le sujet de ce fil, mais je ne comprends pas non plus le positionnement du proxy transparent avec une flèche depuis internet vers le LAN. Tu veux dire "reverse proxy" ou alors c'est bien un proxy (pas reverse) mais en mode transparent, auquel cas ta flèche est à l'envers :-)

6
Français / Re: Can't load kernel
« on: May 14, 2018, 12:39:36 am »
Je ne sais pas comment inserer une image sur le forum, si vous pouvez m'aider je vous envoye une image d'un cramberry.
Ce n'est pas plus simple de juste mettre une référence ou un lien vers la description de ce hardware ?

7
Français / Re: Net Balancing pfsense possible ?
« on: May 12, 2018, 01:55:37 am »
mais puisque tu as 2 ISP, pourquoi ne pas tout simplement faire 2 interfaces WAN ?

8
Français / Re: squid + squidguard - s'arrête périodiquement
« on: May 09, 2018, 11:25:10 am »
- Je veux travailler avec une appliance 'UTM' : est ce meilleur que Squid ? peut on accéder simplement au log (sans avoir accès au firewall) ?

Ah bon  :o ???

Par exemple des solutions comme Zentyal ou NethServer, pour ne citer que celles-ci, permettent de faire ça très bien.
Et même pfSense permet de définir des groupes avec des privilèges histoire "que l'accès au firewall" ne signifie pas systématiquement "je suis root et je peux modifier les règles".

Pour rester dans e cadre de ce fils: une fois mise en place une authentification basée sur un annuaire central, la sécurité et le contrôle autour de ce directory va devenir presque aussi critique que la gestion des règle de FW  ;)

Et la plupart de ces UTM implémentent Squid: la question de "meilleur que Squid" ne se pose donc pas.

9
Français / Re: squid + squidguard - s'arrête périodiquement
« on: May 09, 2018, 11:14:33 am »
J'aimerai bien me passer du squid. Mais je ne sais pas comment m'en passez pour filtré certain catégorie de site?

Si l'objectif est d'empêcher l'accès à certaines catégories de sites, un proxy HTTP est la bonne solution technique.
Tu peux tout à fait faire du filtrage avec Squid avec SquidGuard en te basant par exemple sur les catégories publiées par l'université de Toulouse (ce sujet à été évoqué sur ce forum il y a peu).

Un lien intéressant:
http://eduscol.education.fr/internet-responsable/ressources/legamedia/filtrage.html
Par ailleurs, la plupart des académies mettent à disposition un document comme celui-ci:
http://www.activitice.ac-aix-marseille.fr/spip/sites/www.activitice/spip/IMG/pdf/Referentiel_securite.pdf
Renseigne toi auprès de l'académie à laquelle tu es rattaché.

L'authentification est plus que recommandée mais, il ne faut pas se leurrer, on atteint rapidement la imite de cet exercice qui est loin d'être "théorique". Selon la taille de ta structure, la gestion des comptes et des mots de passe associés, plus tout le support que cela nécessite, soit pour mettre en place des solution de type SSPR ou disposer d'un service qui va suivre et gérer les comptes, devient vite très conséquent.

Autant dans une université, comme dans l'entreprise, la nécessité de la gestion des comptes informatiques de utilisateurs "étudiants" est acquise et mise en oeuvre (souvent pour l'ENT), autant pour une école primaire ou un collège, voire même lycée l'exercice est plus compliqué et le service informatique sensé gérer ces aspects absent.

Raison de plus pour faire des choses simples et en l’occurrence, un proxy avec squidguard et WPAD pour éviter de devoir gérer la configuration de chaque poste et l'approche probablement la plus simple et économique. La vraie difficulté est plus autour de la gestion, au quotidien, des comptes utilisateurs, soit via AD (Microsoft est très actif au niveau des écoles) soit via une solution "LDAP" (ce que je préconise si tu n'as pas déjà un domaine Windows déployé)

10
Français / Re: squid + squidguard - s'arrête périodiquement
« on: May 09, 2018, 03:44:51 am »
Mais comme tu ne décris pas comment est configuré ton proxy, il est assez difficile de t'aider...
Proxy en mode explicite ou transparent ?

A priori, tu fais du SSL bump mais je n'en suis même pas très sûr.

Si c'est le cas, c'est, dans le principe, une assez mauvaise idée:
- tu vas avoir des problèmes avec les HSTS
- il faut prendre soin de notifier très clairement les utilisateurs que leur connexion HTTPS est "espionnée"

En cherchant un peu sur le web, cette erreur est assez largement documentée. Par exemple:
https://www.reddit.com/r/linuxadmin/comments/7l880i/problem_with_squid_and_https/
mais je n'ai pas regardé plus que ça car pas concerné par SSL Bump

11
en effet, mystère  :-X

12
As-tu au moins vérifié que, depuis le LAN, la résolution du nom de ton serveur de mail pointe bien vers l'IP interne ?
Comment fonctionne ton DNS interne ? C'est celui de pfsense ?

13
La majorité des personnes qui arrivent ici avec des problèmes étiquetés Pfsense ont en réalité des problèmes de compréhension ou connaissances des mécanismes basiques.

C'est mon analyse également  ;)
Ce qui n'empêche pas de discuter des sujets en question dans la mesure où s'est quand même mis en œuvre via ou autour de pfsense 8)

14
pfSense n'est jamais qu'un bundle de composants. Ce qui est important de comprendre, ce n'est pas "pfSense" mais le principe de fonctionnement des différents services qui le composent et que tu utilises (ou pas).

Bien sûr qu'il est fortement souhaitable que la résolution DNS soit accessible aux postes clients sans quoi... ça ne marche pas  ;D
Mais il y a différentes manières d'obtenir ce résultat.

Dans le cas précis d'HTTP, si les postes clients utilisent un proxy explicite, ils n'ont pas d'autre besoin que celui de résoudre l'adresse de celui-ci car c'est ensuite le proxy qui se charge de résoudre les fqdn.
Ce qui rend les choses beaucoup plus simple, de ce point de vue car le DNS client se charge des résolutions "internes" et le proxy s'appuie sur un DNS qui se charge des résolutions "internet".

La difficulté du proxy, lorsque tu couples ce composant avec le portail captif, c'est de bien comprendre que l'accès internet (si le proxy est utilisé pour l'accès internet  ;)) va se faire via le proxy et donc celui-ci doit se trouver après le portail captif sans quoi c'est ce dernier qui va être autorisé à traverser le portail.

Ce que je te suggère, c'est, avant de vouloir empiler toutes les fonctionnalités, c'est de le faire progressivement en t'assurant que tu comprends bien chaque étape, sachant qu'au final, ton portail captif va se retrouver en coupure entre "le réseau local" et "internet".
Donc les clients doivent résoudre les noms coté réseau local
ils doivent s'appuyer sur un service (DNS, forwader ou resolver) qui résout les noms "internet"
Le portail captif tournera à l'adresse IP qui est la passerelle par défaut des postes clients.

15
Si tu crées des règles de FW qui autorisent tout dans tous les sens, comment le portail captif doit-il fonctionner ?
Son rôle étant justement d'ouvrir des règles en fonction du comportement de l'utilisateur, si tout est déjà ouvert, ça ne sert à rien.

- Quel est le DNS configuré sur tes postes utilisateurs ? pfSense ou Windows ?
- Qu'entends-tu exactement par "j'ai configuré les requêtes sur le port 53 en UDP." ?
- et surtout, ce point n'est pas rassurant: "J'ai configuré le NAT pour que toutes les requêtes faites sur "172.16.3.0/24" passent vers "192.168.1.69/24"". en effet, par défaut, sans rien configurer de spécial, pfsense va mettre en place tout seul les options de NAT nécessaires au fonctionnement correct. La modification des options de NAT par défaut est nécessaire dans quelques cas mais pas dans ce que tu vises.

Pages: [1] 2 3 4 5 ... 127