Netgate SG-1000 microFirewall

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.


Messages - jdh

Pages: [1] 2 3 4 5 ... 117
1
(Eh oui il ne manquait plus que Chris1496, qui, pour exister, vient, à son habitude, contredire ...)

Quote
hérétiques
Qui a parlé avec ce qualitatif (sauf vous) ? Pas nous !

Pour illustrer ma réponse (et le raisonnement), je prends un exemple qui m'est arrivé :
- mon chef voit la liste des certificats créés pour accéder en OpenVpn
- il me demande pourquoi je n'ai pas supprimé les certificats des personnes qui ont quitté l'entreprise
- je lui répond assez mal et assez vaguement
- devant un consultant qui va nous fournir les nouveaux firewall, il réitère la question
- le consultant dit 'oui, pourquoi' ?
- et là, je donne la juste réponse
- et le consultant dit  'ah oui'
Pour info, il est impossible de créer une CRL correcte si les certificats ont été supprimés, et DONC les certificats, supprimés, restent alors valides jusqu'à leur expiration, pour celui qui les a copiés ! (ce n'est pas DU TOUT l'effet souhaité !)

En informatique, comme en tout, il y a des choses simples et des choses moins simples.

On a donc 2 choix, face aux questions :
- dire 'allez-y'
- dire la complexité derrière la question

Nous (ccnet, moi et d'autres ...), on essaye d'informer ceux qui posent des questions, en particulier de ce qu'ils n'ont pas même imaginé.
Vous, vous ne leur dites pas la vérité !

Quote
c'est facile de (le) faire sans vraies compétences
Cela mêne où quand on dépasse son niveau de compétences ? Il faut le dire, cela finit mal en général.

Mettre en place un firewall sans compétences ? C'est juste une illusion !

Mon classement perso des risques :
- la sauvegarde qui n'a pas fonctionné
- l'accès non autorisé à des données
- l'exécution d'un ransomware
Rien que sur cette liste, on ne peut pas réussir sans compétences !

Cela me rappelle mon vieil oncle, ancien professeur aux Arts et Metiers : tu veux faire de l'informatique ? Fais des Maths et de la Physique le plus longtemps possible car l'informatique cela s'apprend en 6 mois .. après !

2
En effet, ce qui compte vraiment ce n'est pas la taille, c'est l'expertise.

Il y a plus de 5 ans, dans mon entreprise, j'ai choisi pfSense pour 3 sites.
Aujourd'hui, après avoir intégré un groupe, il y a plus de 10 sites.
Et nous allons changer progressivement pour une marque de firewall 'certifiés' par l'ANSII, pour plein de raisons.
(Raisons ... auxquelles je souscris, en particulier le besoin d'avoir un matériel certifié.)

De la même façon que, ce n'est pas l'appareil qui fait la photo, ce n'est pas le firewall qui fait la sécurité !
(et d'ailleurs le firewall n'est qu'un élément parmi d'autres de la sécurité.)
Ce n'est pas la certification, c'est l'expertise de celui qui configure le firewall qui en fait un élément sûr.

C'est pour cela qu'il faut d'abord
- comprendre ce qu'on veut,
- comprendre comment il faut le faire,
- pour enfin, adapter à la situation la bonne méthode et les bons réglages.

Le forum est un assez bon témoignage que le plus difficile est ... la première étape ...
 
(J'ai écrit expertise pas expérience : proverbe chinois : l'expérience est une lampe allumée dans le dos !)

3
Un forum est un lieu où on peut pose une question (afin d'obtenir une aide ou des réponses).
Mais ça ne sert à RIEN si on ne commence pas par chercher si la question a déjà été posée !

Là, une question identique a été posée le matin même !
Ca en dit long sur la recherche ... à la fois sur la question et sur le sujet.


Quote
hors c'est impossible dans mon cas car le parc est énorme
Or et non hors ! C'est quoi un parc énorme ? 30 postes, 50, 100, 200, 500, ... ?
Et avez vous multiplié par le nombre de navigateurs ?

4
Français / Re: Squid Proxy Server
« on: February 22, 2018, 05:36:59 am »
Ah le problème du déchiffrement des connexions sécurisées (HTTPS, TLS/SSL) ...

Ccnet est un expert, donc vous pouvez lui faire confiance ... comme je lui fais confiance.


La loi du 23 janvier 2006 dite "loi anti-terroriste". 3 liens utiles :
- https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000454124 (le texte de la loi)
- https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000637071&categorieLien=id (le décret d'application)
- http://www.frameip.com/log-fai-isp-operateur/ (un bon résumé su un site de référence)
Les entreprises sont assimilés aux FAI et doivent enregistrer et conserver des traces des communications (de type HTTP).

Article 1384 alinéa 5 du Code civil : l’employeur est responsable de l’agissement de ses salariés, notamment sur les réseaux informatiques ! (Cité par l'ANSSI)

En 2018, les choses ont bien évoluées :
- largement plus de 50% des sites web sont en HTTPS : exemple (janv 2017) https://www.wired.com/2017/01/half-web-now-encrypted-makes-everyone-safer/
- les messageries cryptées se sont fortement développées : exemple Telegram, ...

Se pose la question du déchiffrement des sessions HTTPS.
Les bonnes recommandations (pour la France) :
- CNIL : (mars 2015) https://www.cnil.fr/fr/analyse-de-flux-https-bonnes-pratiques-et-questions
- ANSSI : (juin 2012) https://www.ssi.gouv.fr/agence/publication/ssltls-etat-des-lieux-et-recommandations/
- ANSSI : (octobre 2014) https://www.ssi.gouv.fr/guide/recommandations-de-securite-concernant-lanalyse-des-flux-https/
Dans ce dernier document, l'aspect juridique est (esquissé) à partir de la page 26 ...

La diffusion automatique du certificat de remplacement est juste impossible, si on comprend un peu ce qu'on fait.
J'ai les mêmes étonnements que ccnet sur votre maîtrise du sujet ...

5
Français / Re: Installation pfsense sur ESXi 6.5
« on: February 21, 2018, 03:02:23 am »
Comme toujours ccnet est plus précis que moi !
Vous pouvez ajouter plusieurs vswitchs pour le côté 'LAN' pour isoler au mieux chaque VM.
En particulier, un vswitch consacré à l'interface LAN, qui ne contiendra aucune VM, sera une extrémité d'un VPN (OpenVpn) afin d'administrer par l'ip LAN le pfSense.

Ce qui est surprenant, c'est que vous dites avoir 2 interfaces physiques.
Si c'était réellement le cas, il pourrait y avoir un doute sur la 'bonne' : quelle est la correcte pour WAN ?


Concernant l'exposition de services, il est noter que
- pour HTTPS (HTTP), il peut être judicieux de mettre en place un reverse-proxy 'avant' votre serveur HTTPS, par exemple vulture cf https://www.vultureproject.org/
- pour SSH, il est rare de l'exposer puisque un VPN sécurise mieux. Si vous voulez vraiment le faire, à minima, limitez les risques : refus de root, utilisation de certificats plutôt que password, fail2ban.
(Si le besoin est un transfert de fichier via SSH, plutôt qu'utiliser le SSH de la VM, on utilisera un service SFTP distinct, par exemple ProFTPD avec une config SFTP.)

6
Français / Re: Installation pfsense sur ESXi 6.5
« on: February 19, 2018, 06:23:17 am »
Bravo pour l'utilisation du formulaire : vous fournissez de l'info facilement compréhensible, et c'est bien.

Sur un serveur dédié (suffisamment mémorisé), il est possible d'installer un ESXi et de réaliser un schéma logique tel

Internet <-> (WAN) pfSense (LAN) <-> plusieurs VM

A ce schéma logique doit correspondre une config VMware (c'est la difficulté).
Il faut bien sur :
- 2 vswitchs : l'un connecté à l'interface physique réelle du serveur dédié, l'autre sans interface physique (je doute que le serveur dédié ait 2 interface physique)
(Une bonne idée : les nommer WAN et LAN ?)

Le pfSense sera une VM avec 2 interfaces réseaux : une dans chaque vswitch.
Alors que les VM internes n'auront qu'une seule interface dans le 2ième vswitch.

Ce lien, un peu ancien, semble0correspondre au besoin : https://akril.net/2015/08/08/configurer-votre-ip-fail-over-sur-votre-serveur-ovh-soyoustart/


Je ne peux que vous préconiser de vous faire la main localement (=au bureau) avec un simple PC (avec processeur VT capable forcément).

7
Français / Re: Nouvelle installation PF Sense
« on: February 19, 2018, 05:28:58 am »
Si j'ai écrit que le post initial ne respectait pas le formulaire A LIRE EN PREMIER, c'est que c'était un inventaire et une recherche de schéma.
Il est calir qu'il est alors difficile de préciser WAN, LAN, ...

Je réécrit les choses déjà écrites pour être bien compris :

- Les livebox :
   * si on veut utiliser pfSense, ce n'est pas pour utiliser le Wifi des livebox en amont ! (ceux qui écrivent le contraire vous donne un mauvais conseil)
   * on a donc intérêt à remplacer les Livebox par les boitiers DSL-320 : mais cela peut dépendre du type d'accès Internet, p.e. je remplace des Neufbox par des DSL-320B pour des ADSL SFR.
- Point d'accès Wifi :
   * même avec 2 antennes et 2 fréquences, le WAC104 ne propose qu'un (B)SSID, donc un seul signal (et sans VLAN)
   * puisque vous avez besoin de 2 signaux Wifi, il vous faudra soit 2 point d'accès soit un nouveau (Chez Netgear vous pouvez chercher WAC505, WAC510, WAC720 ou WAC730)
- Les switchs Zyxel doivent permettre, grâce au VLAN, d'avoir plusieurs réseaux : par exemple, les PC d'un côté, les serveurs (NAS) de l'autre.

Bien sur les réseaux seront distincts sur chaque site : exemple

site 1
LAN/ PC : VLAN 8, adressage 192.168.8.0/255.255.255.0
LAN / SRV : VLAN 9, adressage 192.168.9.0/255.255.255.0
WIFI / Bureau : VLAN 10, adressage 192.168.10.0/255.255.255.0
WIFI / Guest : VLAN 11, adressage 192.168.12.0/255.255.255.0

site 2
LAN/ PC : VLAN 16, adressage 192.168.16.0/255.255.255.0
LAN / SRV : VLAN 17, adressage 192.168.17.0/255.255.255.0
WIFI / Bureau : VLAN 18, adressage 192.168.18.0/255.255.255.0
WIFI / Guest : VLAN 19, adressage 192.168.19.0/255.255.255.0

Comme vous n'avez pas précisé le type d'accès Internet, et que je suppose qu'il s'agit d'ADSL, je répète qu'il ne faudra pas s'attendre à une grande performance d'un VPN.
(VPN plutôt IPsec mais OpenVpn peut aussi très bien fonctionner ...)

NB : Il est nécessaire de crypter les signaux Wifi, c'est votre responsabilité légale qui est en jeu (si on l'utilise à votre insu) !

8
Français / Re: Nouvelle installation PF Sense
« on: February 17, 2018, 08:42:22 am »
Même si ce premier post ne respecte pas le formulaire A LIRE EN PREMIER, il est intéressant car il y a des informations !

Concernant le matériel existant :
- Les boitiers DLINK DSL-320B doivent permettre de ne pas utiliser les Livebox = s'utilisent à la place
   + l'avantage est que le wifi des livebox ne sera pas dispo !
- Les point d'accès Netgear WAC104 sont 'entrée de gamme mais AC'
   + AC signifie un wifi performant (=mieux que N)
   } MAIS ils n'ont qu'un seul (B)SSID = un seul signal, ce qui n'est pas terrible pour l'entreprise
- Les switchs ZYXELL sont ok mais peu fréquent :
  + des switchs 24 ou 48 ports 10/100/1000 administrables et de marque tel Aruba, HP, + autres, sont plus intéressants
  + mais ils doivent gérer des VLAN

Concernant les réseaux,
Ce qui importe en entreprise, c'est que le firewall (pfSense), soit à la croisée des réseaux :
- WAN = connexion vers Internet, forcément distincte
- LAN = réseau interne
le réseau interne LAN peut (et doit) être découpé soit physiquement (souvent pour la DMZ) soit logiquement par VLAN.
Donc on choisir des n° de VLAN et on configure le(s) switchs) et le pfSense avec ce choix.
En particulier le Wifi se séparent avec plusieurs (B)SSID chacun sur son VLAN (d'où les points d'accès multi-SSID)

Au niveau du pfSense, il est aisé d'indiquer les VLAN et de créer l'interface qui sera sur ce VLAN, et ainsi de gérer finement les règles de flux inter VLAN=inter-interfaces !


NB : il est clair que si vous laissez les Livebox avec leur Wifi, aucun filtrage n'est possible puisque les Livebox sont en amont du pfSense, d'où l'importance de passer à DSL-320B.

Enfin si vos lignes Internet sont des ADSL, il ne faudra pas attendre de miracle d'un VPN entre les sites puisque la perfomance sera basée sur le débit montant des ADSL soit moins d'1Mb en général.
 

9
Français / Re: Erreur aprés migration en 2.4.2
« on: February 13, 2018, 11:27:18 am »
La migration est majeure car vous avez passé de 386 à amd64 !
Vous avez conservé une sauvegarde de la version précédente (fichier .xml).

Si la restauration de la sauvegarde ne fonctionne pas, il est possible de faire des 'restaurations partielles'.

L'idée est de partir du serveur fraichement installé avec la nouvelle version, donc config à 0.
On configure le LAN correctement et on fait une sauvegarde.
Dans le fichier .xml, on incorpore la sauvegarde originale par petit bout : la section <interfaces>, puis les <aliases>, puis les <rules>
On peut voir ainsi si la config se reconstruit correctement.

Il est notable, que pour les interfaces, du fait de 386/amd64 ou pas, les interfaces physiques BSD peuvent changer ...

10
Français / Re: pfsense ne demarre pas sans écran branché
« on: February 12, 2018, 10:36:26 am »
Cela semble une problématique matérielle.

Avant de regarder si le 'Shuttle sans écran' démarre pfsense, il faut être sûr que le 'Shutle avec écran' démarre pfsense.
Votre description n'assure pas ce démarrage.

En particulier, il est notable qu'il existe des 'live-cd' de pfsense : ces images démarrent sur cd avec une config vierge.
Le cas usuel des débutants est
- démarrage d'un live-cd
- config de base + modif de config + tests
- MAIS oubli d'install sur le disque
Bilan : le pc ne démarre pas pfsense puisque pfsense n'a pas été installé sur le disque ! En outre la config est perdue !

Donc, si 'live-cd', avant de commencer à configurer
- install sur le disque dur
- redémarrage : vérif que pfSense démarre correctement
- config

11
Français / Re: VPN
« on: February 08, 2018, 06:45:25 am »
@Chris1496 : Puisque vous êtes si fort, pourquoi n'avez vous pas alors répondu ?
Qu'il est facile d'écrire n'importe quoi maintenant que le texte original a été effacé !
Faites donc profiter les autres de votre science ....
Je vous mets au défi de faire un tuto 'complet' pour faire un VPN avec L2TP avec ce qu'il faire, ce qu'il ne faut pas faire., install du client, paramétrage des 2 côtés, la vérification du fonctionnement, ...
(Je ne risque pas grand chose ... vous n'avez jamais fait le moindre tuto !)


Si j'ai recommandé d'essayer OpenVPN, c'est que cela fonctionne très bien et très vite, mais aussi parce que j'ai essayé et JAMAIS réussi L2TP.
Je doute fortement qu'il en ait beaucoup qui ait réussi ...
Cela n'a rien à voir avec le fond, la forme. C'était un conseil pratico-pratique, et c'est que l'on peut attendre sur un forum.

12
Français / Re: VPN
« on: February 07, 2018, 07:01:47 am »
Ce fil a été vidé par son auteur.

Face à un entêtement à (tenter de) réussir un VPN basé sur L2TP/IKE, Ccnet et moi avons suggéré de réussir (vite) avec OpenVPN.

Cela a sans doute vexé ...
 

13
Français / Re: VPN traffic avec app sur client Ne marche pas
« on: February 06, 2018, 11:47:34 am »
Parce qu'Android ne supporte pas OpenVpn ? On m'aurait menti ? (Les tests que j'ai réussi n'auraient pas fonctionné ?)

14
Français / Re: pfSense en client OpenVPN, aucun trafic ne passe
« on: February 06, 2018, 11:44:27 am »
Vous avez fourni des infos, donc on peut interpreter et mettre en forme de façon lisible, c'est l'espérience. (Y compris de parler du patron !)
J'essaie d'être factuel et précis, je situe les problématiques, la question n'est pas d'être 'tendre' ou 'pas tendre'.

Si une config client est à reproduire, il faut observer que le fichier texte de conf du client est plus lisible que le formulaire web de conf client de pfSense !
Et en particulier les certificats sont à importer puisque la config les sélectionne avec une liste !
Et il y a une palanquée d'options qui doivent être en correspondance.

La suite est de comprendre quoi faire sur pfSense avec ce qui est fourni par le serveur, en l'occurence le 'push route' !
Encore une fois, il faut observer le client sur un PC : il reçoit une ip, une push route, où les voit-on ? et vient, comment les utiliser dans pfsense ?

Pour la règle OpenVpn, pourquoi ne pas en écrire 2 en précisant les sources et destinations (en l'occurence 2 réseaux)

Et là, vous devriez prendre conscience que si la conf client doit être identique, il y a une grande différence entre un PC client et un pfSense client !
Dès que la différence sera bien comprise, il restera à trouver l'astuce pour faire croire au Synology qu'il n'y a qu'un client (j'en ai trop dit).

15
Français / Re: VPN traffic avec app sur client Ne marche pas
« on: February 06, 2018, 11:17:48 am »
Ce que je veux dire, en terme plus simple :

Je suis un 'vieux' routier de pfSense, et en particulier des VPN.
J'ai utilisé le vieux PPTP (qui a heureusement disparu).
J'ai tenté le L2TP (pfsense serveur ou un serveur Windows) : sans AUCUN succès.
J'ai réalisé des OpenVPN et pour plusieurs pfSense différents, et plusieurs config
Bien évidemment site à site Ipsec et aussi OpenVPN (c'est moins bon).

Bref, plutôt que chercher longtemps, OpenVPN est plus simple et plus rapide à mettre en route.

Pages: [1] 2 3 4 5 ... 117