Aide sur les groupes



  • Bonjour à tous,

    Je fait des tests avec pfsense mais j'ai 2-3 questions qui me trottent dans la tête:

    1. J'ai installer le package freeradius et je ne trouve pas la possibilité de travailler avec des groupes ? est ce normal ?
    2. J'ai un paquet d'utilisateurs (élèves), je souhaite pouvoir les regrouper en groupes (classes). Jusque là, pas de problèmes sauf en mode radius, je trouve pas comment faire des groupes.
    3. En testant les groupes avec la DB locale, comment faire pour n'autoriser que certains groupes à pouvoir utiliser internet ? et comment faire pour que certains puissent utiliser internet mais qu'à certaines heures (durant pauses où à certaines heures de cours) ?
    4. Je dois importer un grand nombre d'utilisateur en les insérant directement dans des groupes distincts, est ce possible ? je ne vois pas de solution pour importer des utilisateurs ?

    Merci d'avance pour les tuyaux



  • Si vous souhaitez utiliser une authentification c'est que vous utilisez autre chose que la fonction de base de Pfsense (firewall). Mais vous ne dites pas quelle application doit utiliser ces données d'authentification. Un portail captif, un proxy peut être ?
    Si vous commenciez par exposer le besoin fonctionnel, avant de soulever des questions de mise en œuvre technique dont on ne sait pas à quoi elle se rapportent précisément, ce serai sans doute plus simple pour vous aider. D'autant que l'expérience montre, sur ce forum, que les questions posées ne sont souvent pas les bonnes, le plus souvent parce que la solution choisie, a priori, pour satisfaire un besoin fonctionnel, n'est pas la bonne.



  • effectivement ce n'est pas toujours evident d'utiliser la bonne terminologie pour des autodidactes comme moi.

    Pour résumer, j'ai installer pfsense, autorisé le 80 et 443 en sortie pour faire simple durant les tests. J'ai mis en place le portail captif et configuré les vouchers. Tout fonctionne impeccable, soit en utilisant la DB locale soit via le package radius.
    Mon but est de créer les utilisateurs mais dans des groupes (config école avec élèves/classes et les profs dans un autre groupe)
    Je veux pouvoir autoriser le groupe profs à utiliser internet via la portail à tout moment, certains groupes élèves à certaines heures en fonction des cours (élèves avec ordi en classe), le reste des groupes autorisés durant les heures de récréation et de table.

    Par manque de temps et de moyen, je compte utiliser pfsense pour les packets mais aussi le package squid et autres pour le filtrage et la fonction de proxy.

    J'ai du mal a comprendre comment faire la relation entre les utilisateurs de pfsense pour le portail et les utilisateurs du package squid pour les filtres et autres. Ils semblent indépendant …

    Je suis un habitué de winroute qui fait firewall mais également proxy en même temps. Du coup, difficile de penser d'une autre manière en séparant les différentes nécessités....

    Merci pour votre aide et votre patience face aux neophytes comme nous !  :o



  • C'est ce que je supposais et il est préférable que ce soit clairement dit.
    Plusieurs remarques avant de commencer par les problèmes de configuration. Comme (presque) tout le monde, du moins ici, vous ne prenez pas les problèmes dans le bon ordre.
    Un premier point important, vous travaillez pour un établissement scolaire, avec une population de mineurs, et vous allez fournir des possibilités d'accès à internet. D'un point de vue réglementaire vous êtes assimilé à un FAI et les obligations qui s'impose à ceux-ci vous concerne. La loi du 23 janvier 2006 s'applique à votre établissement. En connaissez vous le contenu ?
    Ensuite, comme vous devez conserver des logs avec des données d'authentification, donc nominatives la loi du 6 Janvier 1978 dite Informatique et Liberté s'applique aussi. Tout cela à une incidence sur les choix d'architecture.
    En particulier tout embarquer sur Pfsense, notamment le proxy, est une mauvaise idée. Comme le package existe beaucoup l'utilise sans réflexion particulière. C'est une erreur et je vous invite à recherche dans ce forum les réflexions de divers intervenants sur ce point. Par contre il vous faut un proxy et de plus sévèrement filtrant, compte tenu de votre population d'utilisateurs et des risques potentiels induits. Je ne vous fais pas la liste, les parents vous la feront au premier problème même bénin.  Vous êtes un publique, un établissement privé sous contrat ?
    De plus je vos invite à consulter ce que dit ou recommande le ministère sur la mise à disposition d'internet dans votre contexte. Je l'ignore totalement mais il est possible que des dispositions ayant une incidence y existe.
    Pour vous rassurer Squid est parfaitement en mesure de gérer les politiques horaires et de filtrages en fonction de l'appartenance à un groupe d'utilisateurs, lui même défini dans une architecture Active Directory. C'est un problème Squid, pas Pfsense. Le site de Squid donne toutes les informations.
    Vos utilisateurs (ou les parents des mineurs) ont ils signé une charte informatique, celle ci est elle annexée au règlement intérieur ? Les parents sont ils tous d'accord pour que leurs enfants accèdent à internet depuis votre établissement ? Dans le cas contraire, et en cas de problème, la responsabilité (pénale et civile) du représentant légal de l'établissement sera engagée. Vous ne pourrez vous prévaloir d'aucune clause permettant votre exonération de responsabilité.
    Je déduis de votre réponse que vous utilisez abondamment le Wifi. Je vous suggère en ce qui concerne le firewall, l'accès aux interfaces d'administration de vos équipements et serveurs d'utiliser un réseau filaire et de séparer celui ci du réseau Wifi. C'est une simple question de bon sens.
    Comme vous le voyez nous sommes encore éloigné de l'implémentation d'une solution technique a priori tant il y a de points à statuer avant.
    Ce qu'il faut comprendre c'est que des réponse à ces questions vont dépendre les choix techniques, puis seulement ensuite vont se poser les question d'implémentation pratique et non l'inverse.
    La sécurité est un processus et non une collection de recettes techniques que l'on applique à partir d'un "tuto", comme disent beaucoup trop de personnes qui postent ici.



  • Bravo à ccnet : les points importants sont bien décrits.

    • séparer pfsense du proxy
    • utiliser du filaire, bien défini, pour l'administration = séparer physiquement les zones distinctes.
    • s'informer sur la config du proxy
    • s'informer sur les contraintes, notamment juridiques.

    J'ajoute le rôle possible (et très judicieux) de WPAD.

    Attention aux fausses bonnes solutions !



  • Entre la théorie ou l'idéal, il y'a la pratique. Effectivement, je suis 100% d'accord avec vous mais en pratique, c'est impossible dans mon cas. Le reseau existe depuis pas mal d'années, il a été étendu, année après année à faible coûts. Nous n'avons qu'un seul réseau, pas de switchs managables, pas vlan, pas lan pour le wifi …etc. Nous sommes une école avec des volontaires qui bossent la plus part du temps après leurs heures pour faire un minimum de choses. Pas de consultant ou de personnel dédié, pour ma part, je doit gérer TOUT le réseau, à savoir, environ 200PC, 1 serveur 2003 avec TS, exchange et AD, le site internet ... et tout ceci avec 6h dans mon horaire gracieusement offert par la direction. Donc vous comprendrez bien qu'entre la théorie et l'idéal, pour moi il y a aussi la réalité de mon niveau de compétences, du peu de moyens et surtout du manque de temps. Donc si je trouve une solution rapide et efficace, je ne vais pas m'en privé. Notre installation avait été sécurisée avec winroute mais à l'utilisation il n'est pas pratique car 1. pas de licence, car trop cher, 2. pas d'import de csv d'utilisateurs (1000 élèves).

    Donc pour résumer, il me faut pfsense, uniquement pour régler le routage. Squid comem proxy mais peut on y ajouter un portail comme avec pfsense ? Si oui, et si je pige bien, la gestion des users se fait uniquement sur squid.

    Si vous pouviez simplement me dire il te faut ca et ca, ensuite brancher lui sur lui et ainsi de suite. Du coup je pourrais partir sur une bonne base. Le firewall sur le wan avec deux cartes réseaux une wan et lan, le proxy doit il également avoir deux cartes réseaux ou pas necessaire ? Faut il le placer entre le lan et le coté lan du firewall ?

    Je veux que toute personne voulant utiliser internet doivent se connecter et que tout soit loguer. C'était le cas avec winroute mais je veux en changer pour les problèmes énoncés plus haut.

    Merci



  • @Lenif:

    Si vous pouviez simplement me dire il te faut ca et ca, ensuite brancher lui sur lui et ainsi de suite. Du coup je pourrais partir sur une bonne base. Le firewall sur le wan avec deux cartes réseaux une wan et lan, le proxy doit il également avoir deux cartes réseaux ou pas necessaire ? Faut il le placer entre le lan et le coté lan du firewall ?

    Comme l'a indiqué ccnet, cette façon de travail est à proscrire d'une manière générale. D'ailleurs, le cheminement qu'il propose devrait être de rigueur car il permet de prendre les bonnes habitudes. Avoir de bonnes méthodes de travail c'est 50% de boulot effectué sans compter le temps gagné par la suite.

    Pour répondre à la question, pour ma part je dirais que l'idéal serait serait un FW avec 4 cartes réseaux, 1 pour le WAN, 1 pour le LAN, 1 pour le wifi, 1 pour la DMZ. Ainsi, première étape, on sépare le LAN et le wifi. Ensuite, l'emplacement du proxy => DMZ. Envisager peut-être une 5ème carte réseau pour un 2ème WAN ?

    Mais cette solution répond-elle aux besoins et aux exigences ?
    Est-elle la plus judicieuse à mettre en place ?
    Permet-elle d'être en accord avec la loi ?
    Quant est-il de l'évolution dans le futur ?
    Celui qui passera après moi pourra-t-il s'y retrouver facilement ?

    Voilà bien le soucis: on croit résoudre un problème mais on en crée d'autres simplement parce que certaines questions en amont n'ont pas eu de réponses préalables. On peut se dire qu'on met en place d'abords, on test, et puis on voit après. C'est l'erreur que commettent bien trop de monde. Mettre la charrue avant les boeufs n'a jamais été la bonne façon de procéder.



  • merci mais vu la complexité pour trouver des solutions ou des pistes, j'ai fini par tout envoyer péter.
    Nous ne somme pas tous des ingénieurs réseaux spécialisés en sécurité. La base du truc était posée mais la mise en oeuvre est une usine à boudin, chaque solution trouvée apporte son autre lot de question et problèmes qui reste sans réponses, excepté les quelques réponses que j'ai pu trouver sur ce forum …
    J'ai du coup cherché et trouvé une version de Kerio Control, non officielle, certes, mais de toute manière on a pas de moyens, vu que nous sommes une asbl. J'ai donc installé, configuré, mis en place le portail, les filtres web et tout cela en moins de 2h .... merci quand même pour vos réponses et vos tentatives de mise sur le droit chemin mais par manque de temps j'ai du abandonner pfsense ...



  • Entre la théorie ou l'idéal, il y'a la pratique. Effectivement, je suis 100% d'accord avec vous mais en pratique, c'est impossible dans mon cas. Le reseau existe depuis pas mal d'années, il a été étendu, année après année à faible coûts.

    Deux réflexions pour en terminer.
    1. Je ne crois pas que respecter les lois relève de l'idéal ou de la théorie. Suivre un peu l'actualité de monde de la sécurité devrait suffire à convaincre les plus septiques.
    2. C'était à mon avis l'occasion pour remettre les choses à niveaux.
    Mais vous êtes le maitre à bord.


Log in to reply