Authentification nominative sur pfsense



  • Bonjour

    Je suis débutante en administration système et réseau et j’aimerais vos conseille pour mettre en route une solution poser dans mon cahier des charges sur pfsense

    Je voudrais faire un proxy sous pfsense avec squid et squidguard, et j’aimerais une authentification nominative afin que mes logs soit plus claire.
    J'ai un serveur 2012R2 avec un active directory .
    Donc si j’ai bien compris se que j'ai vu sur internet j’installe un serveur NPS sur mon 2012 puis je configure radius  sur mon pfsense . je vois juste ou pas?
    Nous somme bien d'accord que le portail captif ne rentre pas en jeu dans mon cas?

    Merci de votre futur réponse.



  • Si c'est uniquement pour faire du proxy Squid, oubliez Pfsense et montez un Squid sur la plateforme Linux (ou autre) de votre choix. Vous aurez toute latitude pour configurer une authentification basée sur Active Directory.
    Et pour résumer ce sont des questions de configuration de Squid et non de Pfsense. Oui je sais que Squid a été porté sous la forme d'un package pour Pfsense. Mais ce n'est pas Pfsense, avec tout ce que cela implique.

    j’aimerais une authentification nominative

    J'ai rarement vu une authentification anonyme. Je plaisante … mais sérieusement quand même.



  • Merci ccnet de votre réponse.
    Je suis d'accord avec vous pour moi squid n'a rien à faire sur Pfsense, mais dans mon cas j'ai un cahier des charges que  mon formateur nous a donné, il veut pfsense avec son panel de solution.
    je dois lui présenter un rapport sur la faisabilité du produit en tenant compte de ceci

    Nous recherchons une solution pour, sécuriser et optimiser notre utilisation d'internet et notre téléphonie IP, ceci pour tous les utilisateurs dans nos locaux…….
    Nous disposons d'un serveur Active Directory 2012R2 pour la gestion de nos utilisateurs (une centaine environ) et cela doit être la base d'une authentification et de monitoring pour cette solution car c'est très facile pour nous de gérer nos utilisateurs par ce biais et de maintenir à jour les différents utilisateurs. Pour ce qui est de notre réseau, justement,  nous avons une séparation entre la Direction, l'Administration et la Production, une séparation par des groupes de l'AD mais aussi par un réseau différent. Nous avons en plus, un serveur ESXi qui pourra mettre en production la solution finale.
    Nous avons défini un cahier des charges sur les fonctions attendues et le produit envisagé suite à une étude préalable est pfSense dont le site officiel est situé à https://www.pfsense.org/
    La solution proposée devra tenir compte des aspects suivants :
    • mémoriser nominativement les différents accès internet
    • autoriser ou interdire l'accès à certains sites ou a certains types de trafic
    • nous avons deux liaisons internet (une avec utilisation de serveur mandataire et l'autre sans)
    • certaines machines devront pouvoir accéder à internet sans restriction
    • est-il possible d'ajouter de nouveaux packages ou modules complémentaires ?
    • peut-on diriger certains utilisateurs sur une box et d'autres sur l'autre box ?
    • dans quelles conditions peut-on optimiser l'utilisation des deux box ?

    ps: oui désolé pour mon authentification anonyme  :P



  • Problème multi-récurrent …

    • 100 utilisateurs imposent, clairement et sans ambiguité, un proxy dédié : Linux de votre choix + Squid / Squiguard / Authentification
    • pfSense (non virtualisé) servira (uniquement) à permettre au proxy d'aller sur internet (http, https, et ftp) et à interdire aux autres machines de le faire.

    Je suis débutante = Je suis en formation, autant l'écrire directement …

    Ce cahier des charges (virtuel) est un exercice rédigé par un formateur.
    Il est curieux que certains principes ne soient pas inclus ou d'autre piétinés :

    • rôle limité du firewall dans la problématique, et nécessité d'utiliser un proxy dédié.
    • pas un mot sur la config des postes : important quand il y a 100 utilisateurs soit 100 pc !
    • mot vieilli : 'serveur mandataire'

    Ce sera l'occasion d'indiquer de bons principes

    • moins de choses sur FW = meilleur sécurité
    • proxy dédié = meilleure efficacité et respect de la différence de 'jobs'
    • mise en place de WPAD = facilité de config des navigateurs (sur 100 postes !)


  • Serait-il possible de publier un petit schéma succinct car j'avoue ne pas comprendre cette histoire de liaisons internet avec et sans proxy.

    Par ailleurs, juste pour être sûr qu'il n'y a pas de mal-entendu : la notion de proxy, sauf à mettre en œuvre des ACL au niveau de Squid, ne gère pas directement le filtrage. Celui-ci est généralement délégué à un redirecteur (ici SquidGuard) qui prend en charge le filtrage, de manière sélective si nécessaire.

    De ce fait, il est tout à fait possible d'avoir, dès lors qu'il y a authentification, un accès "sans restriction" et un accès "filtré" au niveau d'un unique accès qui passe par un proxy.

    Techniquement il est aussi possible de faire ça sans authentification mais c'est alors basé sur des adresses IP sources et ça ne vaut pas grand chose comme solution, en tous cas à mon avis  ;)



  • Bonjour

    Je vous remercie d’avoir répondu, néanmoins  je trouve que le ton hautin et gratuit de jdh  n’est pas approprié à un forum.

    Que je sois débutante ou en formation, en quoi cela est important à mon problème !

    Mon formateur veut utiliser Pfsense avec l’option proxy, c’est son droit et son réseau, je demande simplement une aide pour savoir si ma solution niveau authentification (voir mon premier poste) était juste.

    Je comprends bien que cela puisse frustrer certaine personne  la notion de proxy sur pfsense, mais après tout si Pfsense  le propose, pourquoi pas !



  • Vous avez tort de le prendre de cette façon. Votre niveau actuel est un élément important. Il conditionne votre compréhension des problèmes qui se posent. Ce n'est pas un reproche, c'est un constat.

    Je comprends bien que cela puisse frustrer certaine personne  la notion de proxy sur pfsense, mais après tout si Pfsense  le propose, pourquoi pas !

    Pfsense ne propose rien. Et ce n'est pas une question de frustration. Il y a une équipe qui développe Pfsense. Ce logiciel est open source. Il permet donc à n'importe quel contributeur de le modifier ou de le compléter selon des règles définies.

    En résumé les développeurs de Pfsense s'engage sur ce qu'il développent.
    Les contributeurs produisent des packages. Rien ne vous garantie la cohérence et la sécurité de l'ensemble.

    Pour vous en persuader, je vous conseille de vous pencher sur les récent déboires de Cisco et Juniper de Et pourtant il s'agit de produits commerciaux dont le code n'est pas ouvert et qui sont censés être maitrisés de A à Z. Alors en open source avec des packages …

    Par ailleurs sur le pourquoi pas du proxy sur le firewall vous trouverez toutes les explications sur le pourquoi ce n'est pas souhaitable dès que l'on dépasse la toute petite PME.



  • @ccnet:

    Pfsense ne propose rien. Et ce n'est pas une question de frustration. Il y a une équipe qui développe Pfsense. Ce logiciel est open source. Il permet donc à n'importe quel contributeur de le modifier ou de le compléter selon des règles définies.

    je suis d'accord que le proxy n'est qu'un package, avec les risques que cela induit.
    D'accord également que la charge du proxy, qui peut être conséquente, voire très conséquente, doit absolument être prise en compte.

    Dire que pfSense "ne propose rien", même si c'est exact d'un point de vue strict périmètre du cœur de l’application qu'ils développent, c'est un peu limite pour le néophyte qui lit les publications de pfSense. ou qui parcourt le forum en dehors de la section française.

    pfSense ne prend pas autant de précautions que toi sur ces aspects de ségrégation entre qui développe quoi et ce que supporte le produit.

    Par exemple sur le store en ligne de pfSense (et pas du développeur du package proxy  ;)), pfSense met clairement en avant la possibilité d'installer un proxy sur leur machine. Il y a même des quelques publications, par pfSense, en terme de sizing et des considérations sur le poids de certains package.

    ça n'aide pas à une compréhension claire pour le néophyte n'est-ce pas ?



  • Je ne sais pas comment le prendre mais passons, se prendre la tête pour ça ne sert à rien.

    Je suis sur le forum pour y voir plus clair car plus je me documente sur pfsense plus mes idées sont embrumées. On m'a toujours dit un firewall d'un côté un proxy de l'autre, mais là en occurrence après discussion avec le formateur on a une vm et un produit donc un peu coincé surtout que ce projet va être  jugé et noté donc dois-je en faire cas ma tête et proposer ma version, dilemme.

    Pas facile, car mes connaissances sont largement inférieure à celui du formateur et  j'ai beau me documenter cela ne fait pas le poids à des années d'expérience.



  • j'ai un peu du mal à comprendre cette histoire de "formation" et de choix imposé.

    Si le but est de faire une maquette à des fins didacticielles, si en plus c'est le choix du formateur, je ne vois pas trop le problème à faire une maquette avec le proxy sur ta machine pfSense.
    Si il s'agit de passer ensuite cette maquette en prod, alors le commentaire de ccnet est a prendre en compte avec attention.



  • @chris4916:

    pfSense met clairement en avant la possibilité d'installer un proxy sur leur machine.
    […]
    ça n'aide pas à une compréhension claire pour le néophyte n'est-ce pas ?

    Pour le premier point c'est vendeur bien sûr. AllInOne.
    C'est certain pour ce qui est de la compréhension.

    on a une vm et un produit donc un peu coincé surtout que ce projet va être  jugé et noté donc dois-je en faire cas ma tête et proposer ma version, dilemme.

    Faites ce que l'on vous demande. Ensuite vous vous forgerez votre opinion avec l'expérience en sachant que des voies différentes sont possibles, et même souhaitables, pour des configurations un peu plus larges qu'un devoir. Éventuellement vous pouvez mentionner des réserves et exposer votre point de vue. C'est juste une option.



  • Bonjour,

    Comme souligné précédament, plusieurs choses vont à l'encontre de principe de sécurité et de ''Best Practices'' .

    Tachon de répondre à la demande en considérant comme imposé, l'usage de squid sur PF  :)

    Personnellement, je ne mettrais pas en production le montage que je vais vous proposé, surtout pour une centaine de PC ; mais cela est une autre histoire  ;)

    1/ Multi-wan :
    En l'état actuel, si squid est installer sur pf vous ne pourrez pas répartir le trafic sur vos WAN ni optimisé certain flux en load-ballancing.
    Il vous faut donc 2 Pf, un ''GROS'' celui qui servira de proxy (peut être virtualisé) et un ''petit'' Pf (physique, pas virtuel) placer devant le gros pour gérer le multi-wan.
    Ce qui compliquera encore plus l'éventuel gestion de flux entrant (triple NAT )

    2/ Virtualisation :
    Hormis à des fin de tests, c'est une fausse bonne idée que de vouloir virtualisé un élément aussi vital que le FW.
    La virtualisation complique nettement la perception des contraintes réseaux et fait encore baisser le niveau global de sécurité.
    Je part du principe que vous (avec éventuellement l'aide de votre formateur) maitriser suffisamment l'environnement réseau de ESX.
    Le montage est parfaitement réalisable sous ESX, il faut bien sur bien considérer les besoins des packages utilisé en ce qui concerne la mémoire, la charge et disponibilité cpu et l'espace disque.

    3/ Autres aspects/divers :
    Comme préciser par JDH ou CCNET, prévoir la mise en place de Wpad => besoin d'un serveur Web Dhcp et Dns (Votre serveurs AD, je présume ?).
    Le gros pf ce trouve détourné de ce pour quoi il à été conçu (FW) pour être utilisé comme proxy filtrant et amène un NAT supplémentaire totalement inutile ; l'implémentation de squid sur pf est loin d'égaler un squid ''classique'' surtout pour des configurations ou réglages avancer. (Mais ceci est une autre histoire  ;D )
    L'authentification des users via pf ou squid sur l'AD n'est pas un problème, ni même si vous souhaiter utiliser le portail captif en utilisant radius, vous trouverez des tutos pleins le net.
    Vous n'avez pas du tout évoquer la gestion ou la conservations des logs (de squid entre autre) ?

    Cordialement



  • Je reviens à cet instant sur le forum.

    Ah bon je serais hautain (ça s'écrit comme celà) …
    C'est vous qui le voyez comme ça : ce n'est absolument pas mon sentiment !

    Je suis débutante + mon formateur : vous êtes en formation, c'est réel ou non !!

    Je prends très mal ce que vous écrivez parce que c'est JUSTE votre interprétation !

    Pour votre information, je n'ai pas fait d'études d'informatique mais de maths avec de l'informatique. et j'ai fini cela il y a près de 30 ans.
    A l'époque, il n'y avait même pas un micro dans l'école. Le seul matériel était une machine de type Unix avec des terminaux et on apprenait le Pascal, le Fortran, le Cobol, entre autres ...
    En 3ième année, en info de gestion (Cobol), il fallait faire, en binome, le même sujet.
    Mon prof a été sympa, j'ai rendu le devoir avec 3 jours de retard, mais il m'a mis la meilleure note (et pas n'importe laquelle).
    En particulier, parce (mon binome et moi) j'ai montré une bonne maitrise de ce projet mélant les 3 langages parce que chaque langage avait son intérêt.

    Face à ce devoir, rien ne vous interdit, bien au contraire, d'avancer les bonnes pratiques même si ce n'est pas la façon de voir de votre prof ! BIEN AU CONTRAIRE

    Si vous êtes capable d'énoncer une bonne pratique en la justifiant, cela montre que vous avez 'dépassé' le problème.
    Si, au contraire, vous ne montrez aucun esprit critique, vous serez jugé comme telle.

    Ce devoir est juste un piège mais je ne vais pas réécrire ce que j'ai déjà écrit ...

    Sur ce, voyant à qui j'ai affaire, je ne vous salue pas ....