Proxy et IP Source



  • Bonjour à toutes et à tous, je fais appel à vous aujourd'hui pour un soucis du côté de notre nouveau proxy sous PFSense. Je vous explique le contexte ci-dessous

    Contexte : Une école de commerce vient d'investir dans une nouvelle infrastructure Netgear très performante pour l'administration et les étudiants. (C'est déjà mieux que leur ancienne LiveBox pour 300 étudiants).
    5 Vlans :

    • VLAN 1 : pour les switchs, coeur de réseau …

    • VLAN 10 : pour les serveurs/imprimantes …

    • VLAN 20 : pour la VOIP

    • VLAN 30 : pour les étudiants (ordis salle info + réseau wifi)

    • VLAN 40 : pour l'administration (bureaux + wifi)

    Besoin : La loi française nous impose de conserver 1 an de logs des connexions étudiantes, le proxy était donc indispensable. De plus nous profiterons de PFSense pour toute la partie Firewall + Content filter (notamment pour bloquer Facebook pendant les heures de cours, parce que les étudiants sont là pour bosser).

    Schéma :

    Question : J'ai donc réussi ma première étape qui était de configurer le proxy en mode transparent. Les connexions sont bien loguées et les site sont bien bloqués. Cependant ! L'adresse source d'où viennent les connexions sont la 192.168.2.10 hors j'aimerai pouvoir identifier les IP source du réseau 10.XX.0.XX. Cela afin d'autoriser le VLAN 40 (Administration) à passer à travers l'ensemble des restrictions et que leurs connexions ne soient pas logguer.

    Comment faire cela ? Est-ce techniquement possible ? J'ai un gros doute.

    Merci d'avance,

    cordialement



  • Salut salut

    1- Enfin un vrai poste respectant les pré-requit pour la demande d'aide, c'est à noter :p (troll off)

    2- questions ?

    • 2.1 - Comment identifiez vous vous utilisateurs ? (ad/ ldap / nds)
    • 2.2 - Nous voyons bien l'infra hard, mais coté services …

    3- le proxy sur pf = a mon sens fausse bonne idée pour votre cas.

    • 3.1 - De part vos obligations légales quid de vos log squid.
    • 3.2 - dépotez le serivces squid sur une machine dans le réseau avec les bons paramètres
    • 3.3 - pour des raison maintes fois explicités sur le fourm squid sur pf notamment pour des raison de sécurité.

    4-  pour les questions de vlan je ne suis pas assez calé pour vous répondre, je laisse la parole à mes camarades.

    Cordialement.



  • Bonjour,

    2.1 - pour l'identification, le proxy est transparent (les étudiants sont pas des bêtes en informatique et donc leur faire configurer un proxy sous iOS ou Android, bonjour la galère si je dois le faire pour les 300 étudiants). Dans les logs, nous souhaiterions identifier avec l'IP et/ou l'adresse MAC (même si cela est modifiable facilement, je le répète, ils n'y connaissent rien ^^).

    2.2 - côté services ? Il n'y a que du Windows Server avec un AD/Radius (pour l'auth wifi) + un serveur de fichiers et c'est tout.

    3.1 - pouvez vous détailler ? je ne m'y connais pas beaucoup dans squid.
    3.2 - Si on peux déporter squid sur un serveur qui n'a qu'une carte réseau et qui est donc dans le lan, mais qui récupère bien toutes les connexions pour les logs c'est bon, mais il faut m'en dire plus :) Qu'en est-il pour le web filtering ?
    3.3 - sécurité ? Là aussi je suis pas trop sur de savoir pourquoi ce n'est pas sécurisé.

    4 - Les VLAN sont bons et déployer depuis un moment, je ne peux pas vraiment y toucher :/



  • Pour un réseau de cette taille, il NE FAUT PAS utiliser le package Squid de pfSense !!
    Il me semble parfaitement essentiel de mettre un proxy dédié et de mettre en place WPAD.

    Le positionnement du proxy devra être dans le LAN pour éviter de récupérer l'adresse du firewall (qui réalise un NAT) !
    WPAD permet de trouver le proxy de manière automatique (A) et évite de configurer chaque micro (qui devra activer toutefois le proxy automatique).

    Un proxy transparent est incompatible avec une authentification qui semble nécessaire.



  • Le soucis est qu'il me semble impossible de passer le proxy en dessous du Firewall car en plus de ça le Firewall gère les VLAN et le DHCP (et ça je ne peux pas le changer, ordre de ma hiérarchie). Il me faut une solution totalement transparente pour les utilisateurs. Je pensais que celle-ci était la bonne, mais apparemment non.

    Avez vous d'autres pistes pour que je puisse réaliser ce que je souhaite faire ? (C'est à dire blocage de sites sur certains VLAN selon les horaires et logs des connexions).

    Merci d'avance,

    cordialement,



  • Salut salut

    Petite question qui pourrait donner une piste à suivre.

    Avez vous une machine qui héberge des VM (exsi ou hyper-v ou autre…) le mieux serait bien évidement une machine physique dévolu à cette charge.
    Si oui c'est de ce coté la que je regarderais la possibilité d'intégrer une vm linux ou bsd embarquant le squid
    Cette VM aura tout le flux réseaux serait redirigé sur elle depuis le pare-feu (à vérifier la faisabilité)
    VM qui est bien évidement en arrière du pare-feu.

    Après il y a pas de changement insurmontable ni énorme sur l'architecture, juste une redirection de flux et un ajout d'une vm, rien de bien sorcier.
    Etant donné que vous avez une authentification via votre serveur Windows avec l'ad (il y a de nombreux tuto sur le web pour l'interco de pf avec  un ad) qui sont avec un portail captif certes.
    Le concept reste le même = si je ne suis pas reconnu sur le réseau, je sors pas sur le web.

    Beaucoup d'entre nous on mis en place un proxy en arrière du router/pare-feu (avec ou sans vlan) associè avec un portail captif et un annuaire (ad /nds / ldap) c est costaud à faire pour un débutant ou un utilisateur éclairé mais pas impossible. Comme en plus vous avez des obligations légales je ne serais que trop vous conseiller de monter une machine qui centralisera vos log de vos applications et accès.

    • un vm ou machine physique distincte en arrière du/des routeurs pf :
      -- pour le squid
      -- pour la centralisation des log

    Vous serez plus tranquille sur le long terme assurément, et je pense que mes camarades du forum valideront l'idée et ou l’amélioreront.
    Cordialement.



  • Bonjour, merci pour vos différentes pistes à suivre.

    On m'avait évidemment donné l'idée avant que l'on se décide à utiliser squid et squidguard pour bloquer et logger les sites web que visitent nos étudiants, de trouver un moyen via le SRX de créer 2 routes (une vers internet et une vers une machine qui log le tout), mais cela n'est apparemment pas possible (quoique je vais poser la question au support Netgear).

    Nous avons bien un Hyper V qui héberge pour l'heure 2 VM (l'AD et le serveurs de données) + 2 NAS + 1 répliqua de l'HyperV + une machine cliente un peu boostée avec 2 cartes réseau qui sert de proxy pour PFSense (qui avant servait pour du IPCop) sur le réseau étudiant avec leur livebox).

    J'attire votre attention sur le fait que l'AD n'est que pour l'administration hors c'est les connexions étudiantes que je dois logguer uniquement (celles du WIFI en priorité + de leurs 2 switchs qui représentent les salles info.

    Concernant l'identification, si nous pouvions nous passer du portail captif cela serait quand même bien. Nous ne voudrions pouvoir identifier l'utilisateur qu'avec son adresse IP + MAC (même si cela est changeable je le répète, ce ne sont pas des informaticiens et ne savent même pas ce qu'est une adresse IP).

    Pour vous expliquer un peu plus en détails le contexte, je suis étudiant dans une école d'informatique et en stage dans une école de commerce qui s'agrandit et donc change de locaux. Ils comptent donc sur moi pour avoir un réseau plus performant (et comme je l'ai dit plus haut, il est difficile de faire moins performant qu'une livebox ADSL à 4Mo pour 300 étudiants).

    Bref, à ce jour l'infrastructure fonctionne et j'ai juste un soucis côté log et blocage de sites.
    Le blocage de sites pourrait se faire via le SRX5308, seulement celui-ci ne gère pas les plages horaires pour le blocage de sites (uniquement pour le blocage de protocoles).
    J'ai absolument besoin de conserver le fait que le coeur de réseau fasse la partie gestion VLAN et DHCP.

    Merci d'avance de vos conseils et éclaircissements.



  • J ai réalisé ce genre de configuration pour une ecole de commerce en 2006, rafraichit en 2011.
    A l'epoque c'etait déjà un cluster de firewall pfSense sur serveurs HP DL 320, pilotant un equilibrage de charge en sortie sur plusieurs connexions ADSL pour supporter le surf de 1500 étudiants.

    En 2011, nous avons simplifié la partie box ADSL en passant sur une seule fibre optique 100Mb.

    La partie proxy a toujours, et l'est encore je pense, été gérée par des passerelles virtuelle (vmware)Trend IWSVA avec du haproxy en frontal pour l'equilibrage de charge (car 70mbits de traffic internet permanent ca mange de la ressource CPU en analyse antivirale, filtrage d'url, introspection java etc…).
    Le deploiement du proxy etait géré par un wpad, l authentification via un AD. Les passerelles ramassaient egalement le flux du hotspot en sortie des controleurs de mobilité HP.

    Les logs de navigation nominatifs etaient sysloguées sur une machine dédiée avec rétention 1an (30 jours sur proxy pour les stats).



  • Salut salut

    @juve

    J'avais bien dans l'idée que vous aviez fait une chose du genre.
    juste une question, mon approche n'était peu être pas trop éloignée de votre explication si je ne m'abuse, même si j'arrivais pas à l'explicité aussi bien que vous.

    Cordialement.



  • @Tatave.

    Oui tout à fait, j'ai donné une rapide description d'un exemple concret qui confirme votre explication : segmentation logique des rôles !


Log in to reply