Bonjour,

Il n'y a personne qu'il les compétences et les aptitudes pour m'aider et m'éclaircir le chemin :( :( >:( ;)

Merci.

ILAKKAB

Solution à mon problème

La version 2.0RC1 de PfSense gère les Vouchers sure une durée en minute.

Il me suffit juste d'ajouter les codes fournis sur des tickets, un petit tableau excel fait l'affaire

Vraiment sympa cette petite version 2.0

Ok, merci pour la réponse, j'avoue que je n'ai pas encore eu le temps de tester la beta, mais je suis très curieux.

Oui, certes, mais c'est Microsoft qui débloque un problème qu'il a lui-même choisi de bloquer !!
La justification du blocage est peu claire : je ne suis pas persuadé que le "spoofing" du proxy soit la première chose à regarder …

Néanmoins, c'est bien d'avoir déjà trouver la bonne info de déblocage.
Il est très surprenant de créer un nom dns et de voir qu'il n'est pas résolu !

le problème est que pour router…il faut un routeur dans le réseau.
Hors, pfsense n'a pas d'IP dans ce réseau, donc pas de routage possible.

Ajouter une interface supplémentaire (au sens logique pfsense, qui peut etre un VLAN taggé ou un carte physique), avec le subnet privé utilisé sur les routeurs wifi, branché dans le même réseau physique que le WAN.

Surveiller les intrusions, où du moins les tentatives, vaste sujet.

JDH résume la problématique de l'exploitation d'un IDS. Ceci en supposant que la partie détection et surveillance soit bien adapté au contexte, le problème de l' exploitation et de la réaction sur les alertes reste entier.

La surveillance des ports ne vous donneras pas grand chose. L'immense majorité des intrusions réussies menant à une compromission partielle ou totale du système d'information sont le fait de failles applicatives bien exploitées. Donc du trafic sur des ports ouverts de façon licite. Je doute que l'observation des ports vous informe de la mise en œuvre d'une tentative d'exploitation d'un débordement de tampon (buffer overflow). A a partir du moment où la cible est bien qualifiée et le code d'exploitation disponible il faut moins d'une minute pour prendre le contrôle de la machine visée. Avec les bons outils. N'importe quel programme en apparence inoffensif peut vous exposer, comme un simple Acrobat Reader ou un logiciel de sauvegarde.

Un de mes clients dispose d'un monitoring sécurité 24/7 avec temps de réaction garantit de 15 mn sur alerte critique. Tout cela est situé chez un hébergeur en banlieue parisienne alors que les cellules de monitoring sécurité sont réparties sur deux autres payes en Europe. L'hébergeur est aussi propriétaire de quelques milliers de kilomètres de liaisons en fibre optique. Cela vous donne une idée de l'ampleur des moyens nécessaires.

Plus raisonnablement il y a mieux à faire en déployant avec le maximum d'efficacité les outils disponible comme le firewall et … le jus de cerveau appliqué à une bonne conception de l'architecture, à de bonnes procédures d'exploitation et de réaction sur incident.

Oui en ce moment c'est compliqué, les drivers Intel pour BSD ont une bonne buglist.

Soit tu prends du chipset Intel, ce qui marche le mieux mais qui depuis un certain temps pose pas mal de problèmes à cause du driver IGB (notamment la gestion du Large Receive Offload, à désactiver en 1.2.3 sinon débit de 80ko/s).

Soit tu prends du chipset Broadcom. Si tu n' as pas beaucoup d'interfaces ca peut le faire mais si tu en as 8 (ou plus)  avec le driver BGE/BCE tu peux te retrouver dans une situation ou il n'y a plus assez d'espace memoire pour le kernel car le driver est trop gourmand.

Il faut essayer de prendre des cartes pas trop récentes, qui sont commercialisée depuis au moins 1 à 2 ans.

Je ne vois pas comment, si un schéma partiel montre que l'infrastructure n'est pas sûre (ce que d'ailleurs je n'ai pas dit, je dis juste qu'elle est alambiquée) elle pourrait être considéré e comme sûre avec un schéma complet. L'étendu du schéma ne change rien aux problèmes de conception.

Dans l'absolu aucune infra est sur, mais tu ne dit pas ca donc…je ne dit pas ca non plus...Elle est alambiquée, ben un peu comme moi, ca permet d'arriver a des trucs sympa des fois genre un squid en proxy bridge transparent avec authentification AD et proxy parent...

Tu parles de problèmes de conceptions,  je suis parti du principe qu'il me fallait une vision "temps reel", et qu'il fallait que les communications passent par un point et un seul (enfin 2 puisque je suis en carp failvoer sur des vlans)...tout en me permettant de filtrer et d'isoler des réseaux comme dans les salles de réunions par exemple qui sont une populations "extérieure" et donc aucun accès au serveurs internes, les imprimantes qui n'ont besoin d'être contacté que par les serveurs d'impression, le serveur antivirus qui ne doit pas recevoir de comm des clients mais juste du serveur parent, des réseaux sensibles avec accès très restreins, voir aucun accès sauf les admins (réseau dans le réseau)...etc etc...

A partir de la et quand tu sais que tu n'a pas la maitrise à 100 % de l'endroit ou tu te trouves, sachant qu'il ne fallait pas que les user soient pris en otages et que tout à été fait sans aucune coupure de services et sans travailler les we (ttes les facons on est en 3X8 7X7),

Maintenant je en pense pas être en faute de conception...je pense avoir fait les bon choix quand à la conception, même si cela semble ésotérique pour toi et compliqué, je maitrise le schéma, il est stable, les communications sont séparées et comme je visionne les logs grace à (en cours de realisation) nagios/centreon, cela me permet de savoir ce qui n'est pas autorisé par reseaux...Certe je n'ai pas encore la possibilité d'isoler une machine qui n'aurait pas le droit à circuler sur un réseau, mais je cherche des solutions...

Maintenant penses-tu réelement que j'ai fait des erreurs et si oui dit moi lesquelles...Dit moi la théorie voir si elle peut coiincider avec ma réalité...Tout en te répétant une fois encore quà mon avis une conception "classique" permet au hackers de faires des attaques "classiques"...Une conception plus rare, peut lui causer plus de soucis...Mais et pour finir comme dit la pub firestone :

Sans la maitrise la puissance n'est rien !!!

Cette tarte à la crème je l'entend et la lis régulièrement. C'est la conception qui doit assurer la sécurité pas le fait de la cacher.

Oui c'est vrai, mais étant parano de nature, vivons heureux, vivons caché…

merci pour tt

je cherche aussi une comparison entre pfsense,ipcop,smoothwall pour la donner comme des arguments et expliquer le choix de pfsense

Bonjour et merci de vous pencher sur mon problème,

Vu pour la doc, ça commence à m'éclairer.

Est-ce que quelqu'un a déjà expérimenté avec Orange qui semble avare d'information ou avec un opérateur alternatif de la VOIP genre Keyyo ?

Merci d'avance et bon travail à tous.

Pas de Pfsense V2 beta non plus pour la prod. J'en ai deux dans des vm que je teste plus en mode "appliance", avec une seule interface souvent, en utilisant les packages. Pure prospective de ma part à ce stade.

@strategaire:

Mais c'est pour cela que j'ai remercier pour les explications et la démarche dans pfsense.

Maintenant, et ceci en faisant du hors sujet, je continue de trouver bizarre le comportement de pfsense quand il s'agit d'ouvrir une règle d'une zone que vers le LAN. Les commentaires et avis sur mes règles qui ne sont la qu'à titre d'exemple (j'ai choisi le ping car c'est le plus commun mais j'aurais pu dire un autre port) ne m'intéresse pas et je doute qu'elles puissent intéresser quelqu'un ici. De plus avoir un avis aussi trancher sans connaitre le pourquoi du comment, l'historique ou les demandes est un poil bizarre.

Je répète mes remerciements pour la réponse à ma question. Je laisse le droit de répondre pour ma part je clos ici le débat.

Merci

Ce comportement (ou plutôt politique) que vous trouvez bizarre se retrouve dans beaucoup de firewall. Alors, il est possible que ce comportement vous "choque" mais c'est comme ça. Par contre, vous pouvez aussi utiliser le "not" dans les règles de filtrage pour indiquer que vous permettez le ping vers "pas le réseau WIFI" (en d'autres mots, vers tout sauf le range WIFI).

Quant au débat "hors sujet", je pense que le but d'un forum est d'échanger les expériences de chacun. Or donc, votre question peut intéresser d'autres personnes et donc, les avis d'autre utilisateurs à ce propos peuvent aussi intéresser…

My 2 cents.

Bon, bizarrement, après mise à jour avec une dernière release (toujours en Beta 5), j'ai mis pour le HTTPS intermediate certificate le même certificat que le HTTPS certificate et ça fonctionne…

Maintenant, je passe au reste ;)

Si je pouvais placer une sonde sur le port de mirroring …. ça me faciliterais grandement dans ma tache.

J'ignore si c'est possible en utilisant le package pour pfsense. Je suis certain, pour l'avoir fait que c'est possible avec une mise en œuvre manuelle. C'est une excellente solution. L'interface ainsi connecté (celle de la sonde) n'a pas d'adresse ip ce qui la dissimule beaucoup plus. Une autre interface est utilisé pour l'administration.

Ensuite le problème de l'exploitation effective de Snort reste entier et ce n'est pas rien.

De mémoire j'ai donné dans le passé sur ce forum pas mal d'information sur l'usage de Snort.

http://forum.pfsense.org/index.php/topic,27400.0.html
http://forum.pfsense.org/index.php/topic,20304.0.html
http://www.snort.org/docs/iss-placement.pdf

Je n'ai pas le temps de tout rechercher. Il y en a aussi sur Ixus.net

Pour une sécurité absolue […]

C'est une idée qu'il faudrait abandonner. Au mieux c'est une illusion.

je crée un fonction des besoins des règles pour autoriser l'accès à tel ou tel ip de serveur.

Je crois comprendre qu'il s'agit d'accès à des services internet. L'usage du firewall dans ce but n'est pas efficace. Un proxy serait beaucoup plus efficace pour gérer une liste blanche et l'authentification des utilisateurs. Mais vous dites que ce n'est pas possible. Nous serions assez curieux de savoir ce qui rend impossible l'utilisation d'un proxy sur un réseau. J'observe au passage que le filtrage par port ne règlerait pas le problème. Tout aussi curieux est le besoin d'utiliser tous les protocoles (icmp, arp, gre, igmp ?). Il serait intéressant de comprendre pourquoi.

Donc est-il possible d'ajouter une plage d'adresse ip dans une règle ou un aliase ?

Une plage non, un réseau oui.

ok merci pour la réponse rapide

La machine connectée au réseau wifi obtient t elle une ip provenant du pool dhcp de Pfsense ?

Oui, sur l'interface "Diagnostics: DHCP leases" les machines connectées en wifi obtiennent bien une adresse IP.

La machine peut t elle pinguer l'interface opt1 de Pfsense ?

Lorsque je fais tourner les trois machines (toutes sous Ubuntu 10.04) en wifi (une par une ou toutes en même temps), seulement une arrive à pinguer sur l'interface OPT1 : 192.168.2.1

Je ne sais pas si cela a une importance mais dans l'interface "Diagnostics: DHCP leases", la seule machine qui arrive à pinguer n'a pas de "Lease Type" static comme les deux autres mais un "Lease Type"
active.

Quelles sont les règles sur les différentes interfaces de Pfsense ?

WAN 1 & 2 = Règles par défaut
WAN 3 = block WAN any LAN subnet
WAN 4 = block WAN any WAN address

LAN = pass LAN any LAN subnet

OPT1 = pass OPT1 any OPT1 subnet

Merci pour votre aide