Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Questions diverses

    Scheduled Pinned Locked Moved Français
    46 Posts 6 Posters 9.5k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      aksl
      last edited by

      Bonjour à tous,

      Je débute depuis peu avec pfSense et je me pose quelques questions.

      Contexte :

      • Un réseau d'une centaine de machines

      • Deux sous-réseaux dont un filtré

      • Pas de service accessible depuis l'extérieur

      • Les postes clients sous Windows et les serveur Windows / Linux

      J'ai parcouru un peu le forum et j'ai eu peur de certaines choses !

      J'ai lu à plusieurs reprises que pour un réseau "actif", il serait préférable de séparer pfSense et le proxy/filtrage ?

      Pour les mises à jour Windows, du coup il vaut mieux installer un serveur WSUS ?

      Question générale, pour des serveurs qui offrent des services internes, est-il nécessaire (mieux) de créer un sous-réseau dédié pour eux ?

      1 Reply Last reply Reply Quote 0
      • C
        ccnet
        last edited by

        Quelques éléments de réponse.

        La description est succincte. Je ne suis pas certains de comprendre exactement ce que signifie "Deux sous-réseaux dont un filtré". J'imagine deux /24 séparés par un routeur, par Pfsense ? Que l'un ne peut pas accéder à l'autre sans en comprendre le besoin d'un point de vue fonctionnel. Pures suppositions de ma part qui limitent la pertinence des réponses.

        J'ai lu à plusieurs reprises que pour un réseau "actif", il serait préférable de séparer pfSense et le proxy/filtrage ?

        Nous sommes plusieurs à avoir détaillé à différente reprise les raisons qui nous semble justifier la séparation des deux fonctions qui, surtout avec 100 postes consomment des ressources de façon assez antinomiques.

        Pour les mises à jour Windows, du coup il vaut mieux installer un serveur WSUS ?

        Cela me parait être une bonne idée, surtout vu l'aspect contraignant des mises à jour réalisées depuis le sire Microsoft. C'est surtout du point de vue du confort des utilisateurs. Ensuite si vous avez des configuration très spécifiques, bien standardisées, il n'est pas inutile de ne pas appliquer aveuglément les correctifs Microsoft.

        Question générale, pour des serveurs qui offrent des services internes, est-il nécessaire (mieux) de créer un sous-réseau dédié pour eux ?

        Je ne sais pas donner une seule réponse qui vaille pour toutes les organisations. Je ne pense pas que ce soit ni possible, ni pertinent (de donner une réponse unique). Je ne sais pas quel est le métier de l'entreprise. La réponse est fonction du degré de sensibilité des informations gérées. La seule méthode passe à mon sens par une analyse de risque. Vous pourrez déduire de l’écart entre le risque brut et le niveau de risque résiduel souhaité (c'est celui que vous acceptez) les mesures à mettre en œuvre.

        Segmenter et cloisonner sont des bonnes pratiques de la défense en profondeur. C'est aussi assez structurant. Après il y a des difficultés de mise en œuvre potentiellement, donc coûts et contraintes. C'est plus difficile avec les environnements Microsoft. Pa r exemple le confinement d'un serveur Windows implique qu'il ne soit pas dans un domaine AD, sinon il ne peut pas être confiné et il emporte avec lui des informations qu'on pourrait ne pas vouloir présentes dans une zone de sécurité particulière. Encore une fois c'est un exemple et non une règle de conduite.

        Une dernière chose : instinctivement on considère les menaces externes comme les plus fortes. C'est souvent faux.

        1 Reply Last reply Reply Quote 0
        • C
          chris4916
          last edited by

          @aksl:

          Contexte :

          • Un réseau d'une centaine de machines

          • Deux sous-réseaux dont un filtré

          • Pas de service accessible depuis l'extérieur

          • Les postes clients sous Windows et les serveur Windows / Linux

          Je ne sais pas ce que tu entends par sous-réseau  :-[
          C'est un réseau routé ?
          Un réseau dans un autre subnet ?

          [quote]J'ai parcouru un peu le forum et j'ai eu peur de certaines choses !
          J'ai lu à plusieurs reprises que pour un réseau "actif", il serait préférable de séparer pfSense et le proxy/filtrage ?

          Pour une centaine de machines, si l'activité "web" est significative, le proxy va en effet demander pas mal de ressources. Il est préférable de le mettre sur une machine à part. D'autant que si tu veux un jour bénéficier de fail-over ou de load-balancing sur le WAN, le proxy sur pfSense ne sait pas (pour le moment) le faire.

          Pour les mises à jour Windows, du coup il vaut mieux installer un serveur WSUS ?

          C'est toi qui voit. ça n'a pas grand chose à voir avec pfSense ou le proxy:
          si la bande passante utilisée par les multiples mises à jour de tous tes clients Windows ne te dérange pas, un serveur WSUS n'est pas indispensable.
          Mais c'est comme pour le proxy : avec une centaine de machines, ça commence à faire une consommation conséquente sur le WAN et un serveur WSUS serait le bienvenu.

          Question générale, pour des serveurs qui offrent des services internes, est-il nécessaire (mieux) de créer un sous-réseau dédié pour eux ?

          Même point qu'au début du post. C'est quoi pour toi un sous-réseau dans ce contexte ?
          Si ta question est : "vaut-il mieux isoler les serveurs derrière un pare-feu lorsqu'ils sont accédés uniquement depuis le LAN ?"  je dirais que ça dépend du nombre de serveur et des contraintes de sécurité que tu vas retenir.
          Si tu as un seul serveur, tu peux gérer un FW local (FW Windows ou iptables ou autre).
          Si tu as beaucoup de serveurs, un firewall unique permet une gestion plus facile et plus cohérente pour l'ensemble des serveurs.

          Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

          1 Reply Last reply Reply Quote 0
          • A
            aksl
            last edited by

            Bonjour,

            Merci pour vos réponses !

            En gros j'ai un réseau en 192.168.1.0/24 qui peut accéder à internet sans filtrage et un réseau en 192.168.2.0/24 quoi doit être filtré.

            Je compte mettre en place du fail-over et du load-balancing sur le WAN (2 box). Donc si les réseaux utilisent le proxy, ils ne pourront pas en bénéficier ?

            Pour les mises à jour Windows je verrai ça un peu plus tard.

            Au niveau des mes serveurs, il 'y a pas vraiment de risques. C'est une école avec un réseau administratif et pédagogique.

            Au niveau de l'architecture ça ferait :

            2 BOX (accès WAN) - pfSense        –----- 192.168.1.0/24
                                                                  ------- 192.168.2.0/24 (filtré)

            Derrière, j'ai deux AD, un debian qui doit être accessible depuis les deux réseaux.

            J'essaye de mettre en place une bonne architecture (c'est ma première).

            Merci beucoup  :)

            1 Reply Last reply Reply Quote 0
            • C
              chris4916
              last edited by

              @aksl:

              Je compte mettre en place du fail-over et du load-balancing sur le WAN (2 box). Donc si les réseaux utilisent le proxy, ils ne pourront pas en bénéficier ?

              uniquement si ton proxy est sur pfSense.

              Si tu as un proxy "externe", ce n'est pas un problème  ;)

              Sur ton "schéma" réseau, peux-tu préciser comment tes 2 réseaux se connectent à pfSense ?
              Tu as 2 interfaces physique différentes ?
              pfSense fait le routage entre les 2 ?

              Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

              1 Reply Last reply Reply Quote 0
              • A
                aksl
                last edited by

                Au final, mon pfSense aura 4 interfaces physiques (si le proxy reste dessus).

                • 1er WAN

                • 2ème WAN

                • 192.168.1.1 pour le réseau 192.168.1.0/24

                • 192.168.2.1 pour le réseau 192.168.2.0/24

                Il y a un routage entre le 1.0/24 et le 2.0/24 mais seulement pour quelques machines (les clients ne doivent pas accéder au réseau administratif, seulement les serveurs).

                Une question peut-être bête, si je sépare le proxy du pfSense :

                • Les postes du réseau 1.0/24 doivent-ils passer par le proxy (même si je ne les filtre pas) ?

                • Ou alors je leur met directement comme gateway l'interface pfSense ?

                En lien avec ça, si je souhaite utiliser une authentification Active Directory sur mon proxy, comment dois-je faire avec deux AD (squid gère-t-il le double AD) ?

                1 Reply Last reply Reply Quote 0
                • B
                  baalserv
                  last edited by

                  Bonjour,

                  Vous avez déjà 2 réseaux séparer sous AD

                  Je pense que le plus simple et le plus sain, est de conserver pf comme routeur/fw avec gestion du multi-wan. Donc 2 wan & 2 lan

                  Vous ajouter un proxy dédier seulement dans le réseau qui en à besoin, pour l'autre réseau l'ip de l'interface pf dans ce réseau servira de Gateway pour les postes.

                  Squid peut s'appuyer sur l'AD pour l'authentification des users, mais il vous faut aussi une solution de gestion et d'archivage des logs (squid et pf). Le proxy et le système de logs peuvent être sous forme de VM.

                  Il serai judicieux également d'utiliser le serveur AD du réseau ou sera le proxy pour déployer Wpad afin de facilité la configuration des navigateurs.

                  Cordialement

                  Si la connerie humaine fournissait de l'énergie, la Terre serait sauvée …

                  1 Reply Last reply Reply Quote 0
                  • A
                    aksl
                    last edited by

                    @baalserv:

                    Bonjour,

                    Vous avez déjà 2 réseaux séparer sous AD

                    Je pense que le plus simple et le plus sain, est de conserver pf comme routeur/fw avec gestion du multi-wan. Donc 2 wan & 2 lan

                    Vous ajouter un proxy dédier seulement dans le réseau qui en à besoin, pour l'autre réseau l'ip de l'interface pf dans ce réseau servira de Gateway pour les postes.

                    Squid peut s'appuyer sur l'AD pour l'authentification des users, mais il vous faut aussi une solution de gestion et d'archivage des logs (squid et pf). Le proxy et le système de logs peuvent être sous forme de VM.

                    Il serai judicieux également d'utiliser le serveur AD du réseau ou sera le proxy pour déployer Wpad afin de facilité la configuration des navigateurs.

                    Cordialement

                    Bonjour,

                    Le serveur AD du réseau où sera le proxy utilise déjà WPAD, ça a l'air de fonctionner pour le moment.

                    Qu'appelez vous concrètement un proxy dédié ? Un proxy sur un autre machine que le FW ?

                    Le système de logs n'est pas géré par squid ?

                    Merci d'avance

                    1 Reply Last reply Reply Quote 0
                    • B
                      baalserv
                      last edited by

                      @aksl:

                      Qu'appelez vous concrètement un proxy dédié ? Un proxy sur un autre machine que le FW ?

                      Oui, un proxy sur une machine dédier (VM ou pas) autre que le fw

                      @aksl:

                      Le système de logs n'est pas géré par squid ?

                      Squid génère beaucoup de log et ne remplace pas un serveur SYSLOG qui lui servira au logs de squid mais éventuellement aux logs de pf ou autre ..

                      Si la connerie humaine fournissait de l'énergie, la Terre serait sauvée …

                      1 Reply Last reply Reply Quote 0
                      • C
                        ccnet
                        last edited by

                        Attention avec les logs Squid : http://wiki.squid-cache.org/SquidFaq/SquidLogs
                        Il faut des outils pour les exploiter correctement.
                        Par ailleurs la consultation et l'archivage des logs sont impactés par la loi du 6 janvier 1978 (informatique et liberté).

                        1 Reply Last reply Reply Quote 0
                        • A
                          aksl
                          last edited by

                          Merci pour toutes vos réponses, ça m'aide énormément.

                          J'ai fait un schéma rapidos, je dois partir sur quelque chose comme ça ?

                          Ce n'est donc pas "sale" que la gw des clients du réseau 1 soit directement le pfSense ?

                          1 Reply Last reply Reply Quote 0
                          • C
                            chris4916
                            last edited by

                            @aksl:

                            Ce n'est donc pas "sale" que la gw des clients du réseau 1 soit directement le pfSense ?

                            1 - non seulement ce n'est pas "sale" mais en plus tu n'as pas beaucoup de choix. Donc oui la gateway de ces clients, c'est l'interface de pfSense.
                            2 - ils peuvent malgré tout utiliser le proxy sur le réseau voisin, il suffit que:
                              #  leur DNS résolve le nom correctement
                              #  le FW les y autorise

                            La notion de filtrage (qui encore une fois est géré par Squidguard et pas par Squid) peut s'appliquer de manière différente selon 'IP source du client.

                            un petit point de détail (qui n'en est pas un  ;D)
                            ton schéma réseau est faux car il n'y a pas de raison que le proxy soit traversé. la gateway par défaut des machines sur le réseau 2 devrait être pfSense également (sur son interface "réseau 2". Le proxy n'est qu'une machine de ce réseau et pa sle point de passage obligatoire de tout le flux sortant

                            Ceci pour éviter des déconvenues lorsque tu voudras faire autre chose que du HTTP/FTP  ;)

                            Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                            1 Reply Last reply Reply Quote 0
                            • A
                              aksl
                              last edited by

                              D'accord donc pour résumé :

                              • Gateway pour réseau 2 : interface pfSense

                              • Sur pfSense FW : DROP ALL FROM 80, 433 TO WAN NET / ALLOW FROM ip_proxy:3128 TO WAN NET

                              J'ai du boulot :D

                              1 Reply Last reply Reply Quote 0
                              • C
                                chris4916
                                last edited by

                                @aksl:

                                Sur pfSense FW : DROP ALL FROM 80, 433 TO WAN NET / ALLOW FROM ip_proxy:3128 TO WAN NET

                                ALLOW FROM ip_proxy~~:3128~~ TO WAN NET

                                3128, c'est le port d'écoute du proxy, pas le port source du proxy en tant que client HTTP  :P

                                Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                                1 Reply Last reply Reply Quote 0
                                • A
                                  aksl
                                  last edited by

                                  Je vais presque reprendre depuis le début ça va être plus simple.

                                  • Un serveur pfSense

                                  • Un serveur squid + squid guard

                                  • Un serveur pour l'exploitation des logs

                                  Sur Squid, il faut prévoir beaucoup d'espace disque pour la sauvegarde des logs ?

                                  Et une question d'ordre générale, un proxy peut être sur deux domaines (authentifier les utilisateurs de deux domaines) ?

                                  1 Reply Last reply Reply Quote 0
                                  • C
                                    chris4916
                                    last edited by

                                    @aksl:

                                    Un serveur pour l'exploitation des logs

                                    Qu'entends-tu par là exactement ?  ???

                                    Sur Squid, il faut prévoir beaucoup d'espace disque pour la sauvegarde des logs ?

                                    ça va vraiment dépendre de ta politique d'archivage et de ton métier (les FAI n'ont pas les même obligations que l'entreprise du coin)
                                    Si tu mets en place une option de filtrage (ce qui est normalement obligatoire, ceci dit au passage), du doit conserver les logs pendant 1 an.
                                    Mais tu dois surtout, si tu envisages de mettre en place de l'authentification, faire une déclaration à la CNIL  ;D

                                    Autre point: tu peux gérer tes logs directement sur le serveur proxy mais habituellement, lorsqu'il y a une vraie volonté de gestion de ceux-ci, la solution généralement admise est rsyslog sur un serveur en charge de récolter les logs de différentes machines.

                                    Et une question d'ordre générale, un proxy peut être sur deux domaines (authentifier les utilisateurs de deux domaines) ?

                                    Toi tu aimes faire des choses simples  ;D ;D ;D
                                    Avec une authentification LDAP dans Squid, je ne pense pas que ce soit simple sans mettre en place des mécanismes de LDAP proxy.
                                    Dans AD et/ou en NTLM je ne sais pas  :-[
                                    Il y a peut-être une solution avec Kerberos et un trust (et donc ça devrait marcher avec AD) mais comme ton serveur proxy ne peut rejoindre qu'un seul royaume, le trust est obligatoire (pour autant que je comprenne bien la problématique.

                                    Tu as vraiment des utilisateurs dans 2 domaines différents ?

                                    Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                                    1 Reply Last reply Reply Quote 0
                                    • A
                                      aksl
                                      last edited by

                                      Pour le serveur de logs, je parlais d'une solution comme rsyslog par exemple ou alors la solution ELK :)

                                      En effet, je compte conserver les logs pendant une année.

                                      Combien de Go dois-je prévoir sur le disque de Squid ?

                                      Pour les deux domaines, c'est juste à titre d"information car j'ai deux réseaux 1.0/24 et 2.0/24, chacun avec son AD.

                                      Je me demandais juste si j'avais voulu utiliser le proxy avec authentification sur les deux réseaux, quelle aurait été la solution :D

                                      1 Reply Last reply Reply Quote 0
                                      • J
                                        jdh
                                        last edited by

                                        Maintes fois écrit sur le forum :

                                        Les logs de Squid NE SONT pas dans syslog !!! (donc rsyslog inefficace)

                                        (Encore une raison pour séparer firewall et proxy)

                                        Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                                        1 Reply Last reply Reply Quote 0
                                        • C
                                          chris4916
                                          last edited by

                                          @jdh:

                                          Les logs de Squid NE SONT pas dans syslog !!! (donc rsyslog inefficace)

                                          ça dépend comment tu configures Squid  ;)
                                          Par défaut les logs sont plutôt dans /var/log/squid/acess etc… mais rien ne t'empêche de les mettre ailleurs, y compris dans syslog si tu lis le lien ci-dessus.
                                          Et donc facilement véhiculés par rsyslog sur un serveur distant.

                                          tu peux également utiliser rsyslog pour dupliquer le contenu du log access de squid sur un rsyslog distant:
                                          http://en.wikipedia.org/wiki/Syslog#Facility_Levels

                                          Il y a pas mal d'exemples documentés sur le web pour ceux qui se sauraient pas comment mettre ça en œuvre.

                                          Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                                          1 Reply Last reply Reply Quote 0
                                          • A
                                            aksl
                                            last edited by

                                            Je vais m'amuser avec la solution ELK moi :)

                                            On m'a présenté ça en cours, ça a l'air pas mal :D

                                            Du coup on est bien d'accord que les postes qui utilisent Squid comme proxy ne peuvent pas faire les mises à jour Windows ?

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.