Je ne vois pas comment, si un schéma partiel montre que l'infrastructure n'est pas sûre (ce que d'ailleurs je n'ai pas dit, je dis juste qu'elle est alambiquée) elle pourrait être considéré e comme sûre avec un schéma complet. L'étendu du schéma ne change rien aux problèmes de conception.

Dans l'absolu aucune infra est sur, mais tu ne dit pas ca donc…je ne dit pas ca non plus...Elle est alambiquée, ben un peu comme moi, ca permet d'arriver a des trucs sympa des fois genre un squid en proxy bridge transparent avec authentification AD et proxy parent...

Tu parles de problèmes de conceptions,  je suis parti du principe qu'il me fallait une vision "temps reel", et qu'il fallait que les communications passent par un point et un seul (enfin 2 puisque je suis en carp failvoer sur des vlans)...tout en me permettant de filtrer et d'isoler des réseaux comme dans les salles de réunions par exemple qui sont une populations "extérieure" et donc aucun accès au serveurs internes, les imprimantes qui n'ont besoin d'être contacté que par les serveurs d'impression, le serveur antivirus qui ne doit pas recevoir de comm des clients mais juste du serveur parent, des réseaux sensibles avec accès très restreins, voir aucun accès sauf les admins (réseau dans le réseau)...etc etc...

A partir de la et quand tu sais que tu n'a pas la maitrise à 100 % de l'endroit ou tu te trouves, sachant qu'il ne fallait pas que les user soient pris en otages et que tout à été fait sans aucune coupure de services et sans travailler les we (ttes les facons on est en 3X8 7X7),

Maintenant je en pense pas être en faute de conception...je pense avoir fait les bon choix quand à la conception, même si cela semble ésotérique pour toi et compliqué, je maitrise le schéma, il est stable, les communications sont séparées et comme je visionne les logs grace à (en cours de realisation) nagios/centreon, cela me permet de savoir ce qui n'est pas autorisé par reseaux...Certe je n'ai pas encore la possibilité d'isoler une machine qui n'aurait pas le droit à circuler sur un réseau, mais je cherche des solutions...

Maintenant penses-tu réelement que j'ai fait des erreurs et si oui dit moi lesquelles...Dit moi la théorie voir si elle peut coiincider avec ma réalité...Tout en te répétant une fois encore quà mon avis une conception "classique" permet au hackers de faires des attaques "classiques"...Une conception plus rare, peut lui causer plus de soucis...Mais et pour finir comme dit la pub firestone :

Sans la maitrise la puissance n'est rien !!!

Cette tarte à la crème je l'entend et la lis régulièrement. C'est la conception qui doit assurer la sécurité pas le fait de la cacher.

Oui c'est vrai, mais étant parano de nature, vivons heureux, vivons caché…

merci pour tt

je cherche aussi une comparison entre pfsense,ipcop,smoothwall pour la donner comme des arguments et expliquer le choix de pfsense

Bonjour et merci de vous pencher sur mon problème,

Vu pour la doc, ça commence à m'éclairer.

Est-ce que quelqu'un a déjà expérimenté avec Orange qui semble avare d'information ou avec un opérateur alternatif de la VOIP genre Keyyo ?

Merci d'avance et bon travail à tous.

Pas de Pfsense V2 beta non plus pour la prod. J'en ai deux dans des vm que je teste plus en mode "appliance", avec une seule interface souvent, en utilisant les packages. Pure prospective de ma part à ce stade.

@strategaire:

Mais c'est pour cela que j'ai remercier pour les explications et la démarche dans pfsense.

Maintenant, et ceci en faisant du hors sujet, je continue de trouver bizarre le comportement de pfsense quand il s'agit d'ouvrir une règle d'une zone que vers le LAN. Les commentaires et avis sur mes règles qui ne sont la qu'à titre d'exemple (j'ai choisi le ping car c'est le plus commun mais j'aurais pu dire un autre port) ne m'intéresse pas et je doute qu'elles puissent intéresser quelqu'un ici. De plus avoir un avis aussi trancher sans connaitre le pourquoi du comment, l'historique ou les demandes est un poil bizarre.

Je répète mes remerciements pour la réponse à ma question. Je laisse le droit de répondre pour ma part je clos ici le débat.

Merci

Ce comportement (ou plutôt politique) que vous trouvez bizarre se retrouve dans beaucoup de firewall. Alors, il est possible que ce comportement vous "choque" mais c'est comme ça. Par contre, vous pouvez aussi utiliser le "not" dans les règles de filtrage pour indiquer que vous permettez le ping vers "pas le réseau WIFI" (en d'autres mots, vers tout sauf le range WIFI).

Quant au débat "hors sujet", je pense que le but d'un forum est d'échanger les expériences de chacun. Or donc, votre question peut intéresser d'autres personnes et donc, les avis d'autre utilisateurs à ce propos peuvent aussi intéresser…

My 2 cents.

Bon, bizarrement, après mise à jour avec une dernière release (toujours en Beta 5), j'ai mis pour le HTTPS intermediate certificate le même certificat que le HTTPS certificate et ça fonctionne…

Maintenant, je passe au reste ;)

Si je pouvais placer une sonde sur le port de mirroring …. ça me faciliterais grandement dans ma tache.

J'ignore si c'est possible en utilisant le package pour pfsense. Je suis certain, pour l'avoir fait que c'est possible avec une mise en œuvre manuelle. C'est une excellente solution. L'interface ainsi connecté (celle de la sonde) n'a pas d'adresse ip ce qui la dissimule beaucoup plus. Une autre interface est utilisé pour l'administration.

Ensuite le problème de l'exploitation effective de Snort reste entier et ce n'est pas rien.

De mémoire j'ai donné dans le passé sur ce forum pas mal d'information sur l'usage de Snort.

http://forum.pfsense.org/index.php/topic,27400.0.html
http://forum.pfsense.org/index.php/topic,20304.0.html
http://www.snort.org/docs/iss-placement.pdf

Je n'ai pas le temps de tout rechercher. Il y en a aussi sur Ixus.net

Pour une sécurité absolue […]

C'est une idée qu'il faudrait abandonner. Au mieux c'est une illusion.

je crée un fonction des besoins des règles pour autoriser l'accès à tel ou tel ip de serveur.

Je crois comprendre qu'il s'agit d'accès à des services internet. L'usage du firewall dans ce but n'est pas efficace. Un proxy serait beaucoup plus efficace pour gérer une liste blanche et l'authentification des utilisateurs. Mais vous dites que ce n'est pas possible. Nous serions assez curieux de savoir ce qui rend impossible l'utilisation d'un proxy sur un réseau. J'observe au passage que le filtrage par port ne règlerait pas le problème. Tout aussi curieux est le besoin d'utiliser tous les protocoles (icmp, arp, gre, igmp ?). Il serait intéressant de comprendre pourquoi.

Donc est-il possible d'ajouter une plage d'adresse ip dans une règle ou un aliase ?

Une plage non, un réseau oui.

ok merci pour la réponse rapide

La machine connectée au réseau wifi obtient t elle une ip provenant du pool dhcp de Pfsense ?

Oui, sur l'interface "Diagnostics: DHCP leases" les machines connectées en wifi obtiennent bien une adresse IP.

La machine peut t elle pinguer l'interface opt1 de Pfsense ?

Lorsque je fais tourner les trois machines (toutes sous Ubuntu 10.04) en wifi (une par une ou toutes en même temps), seulement une arrive à pinguer sur l'interface OPT1 : 192.168.2.1

Je ne sais pas si cela a une importance mais dans l'interface "Diagnostics: DHCP leases", la seule machine qui arrive à pinguer n'a pas de "Lease Type" static comme les deux autres mais un "Lease Type"
active.

Quelles sont les règles sur les différentes interfaces de Pfsense ?

WAN 1 & 2 = Règles par défaut
WAN 3 = block WAN any LAN subnet
WAN 4 = block WAN any WAN address

LAN = pass LAN any LAN subnet

OPT1 = pass OPT1 any OPT1 subnet

Merci pour votre aide

Idem sur Ixus !

Un firewall, quel qu'il soit, est là pour filtrer les flux réseaux entre TOUTES les machines internes et Internet, y compris les machines sont placées dans une zone spéciale : la dmz.
Donc, le SEUL schéma sérieux c'est d'avoir un câble direct entre le routeur vers Internet et le firewall.

Il est ensuite aisé de configurer le firewall en regardant les flux que l'on veut autoriser.
On regarde ensuite les protocoles supportant ces flux (par exemple sur les sites de références habituels type Christian CALECA).

je précise que le serveur en question est un mac g4 mac osx 10.4

ok merci pour tout !
Je teste tout ça et si je m'en sors je vous tiendrais au courant ^^
Bonne journée

Le souci que j'ai c'est que c'est le serveur pfsense qui va sur le réseau de l'entreprise pour aller surfer ou accéder aux données de l'entreprise et donc c'est le compte du serveur qui es reconnu par le proxy et non le compte utilisé pour la connexion au portail.

Merci.

Salut Bezourox,

J'ai un peu le même souci que toi et je voulais savoir si tu avais trouver un moyen pour faire ça :

Pour cela, il faut que le portail captif redirige vers le proxy avec le login et mot de passe entré dans le portail captif.

Merci.

les DNS indiqués au client pptp sont bien celui du ActiveDirectory c'est la que je pige pas … pk il y a aucune résolution de nom ?
tout en sachant que si j'ajoute une ligne internet en parallèle de mon réseau avec la meme config là il y a résolution de nom ...

Bonjour et merci de votre aide.

J'ai effectivement ajouté une carte quad port DLink que j'avais sous la main et qui fonctionne parfaitement. J'ai aussi testé les Intel dual port en bus pci express c'est aussi supporté.

Bon travail à tous.