IPCOP et Update Accelerator

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. Une description est donnée sur le portail phénIXUS : http://www.ixus.net/ipcop/.

IPCOP et Update Accelerator

Message par gesap » 27 Mars 2012 15:26

Bonjour,

Je viens de terminer l'installation d'un serveur IPCop 1.4.20 (avec MAJ 1.4.21), sur un modéle GREEN+RED.
Le coté RED (réseau local) héberge un quinzaine de machines et la patte rouge du serveur, le coté GREEN (réseau Internet) héberge
la deuxième patte du serveur. Tout fonctionne parfaitement bien, sauf l'addon Update accelérator 2.1.3 dont le cache reste désespérément vide.
Les statistique du cache affiche : Le cache locale est vide

Pourtant, l'intérêt d' Update accélerator réside bien dans la mise à disposition des utilisateurs du premier téléchargement effectué.
Les Addons Installer sont :
Bot 3.0.0.0
adv-proxy 3.0.5
Update accelerator 2.1.3
Url Filter 1.9.3
Addons serveur Mod 2.3 cli

Au final les mises à jour Microsoft et antivirus sont re-telechargés systématiquement.
l'addon est bien activé, aucun réglages n'a été modifié dans services >accélérateur de mises à jour.
dans services > proxy avancé je suis bien activé sur le green et le mode transparent n'est pas activé.

Voilà, si quelqu'un, par chance a quelques informations ou un axe de recherche qui puisse me permettre de solutionner
mon problème, je vous en remercie par avance.
gesap
 
Message(s) : 3
Inscription : 27 Mars 2012 13:32
Localisation : Brest

Re: IPCOP et Update Accelerator

Message par Argenlos » 27 Mars 2012 15:40

Bonjour et bienvenu sur PhenIXUS,

Je t'invite à lire la charte pour savoir comment bien poser ta question


Tu peux te baser sur cette page de Wiki pour poser ta question de façon complète.
http://wiki.ixus.net/doku.php/ixus/cont ... nde_d_aide

gesap a écrit :Le coté RED (réseau local) héberge un quinzaine de machines et la patte rouge du serveur, le coté GREEN (réseau Internet) héberge
la deuxième patte du serveur.

Je crois que tu t'es trompé. Si tu avais fait un petit schéma tu aurais vu ton erreur :)


gesap a écrit :Les Addons Installer sont :
Bot 3.0.0.0
adv-proxy 3.0.5
Update accelerator 2.1.3
Url Filter 1.9.3
Addons serveur Mod 2.3 cli

Une machine une fonctionnalité, c'est encore plus vrais pour un firewall...tu ne trouve pas que cela fait un peu trop d'ajout pour IPCOP?


Cordialement,

Edité par jibé : balise quote mal formée.
La bonté est si rare dans notre monde que lorsqu'elle est prodiguée elle engendre la suspicion.
Argenlos
Argenlos
 
Message(s) : 133
Inscription : 02 Nov 2011 15:42
Localisation : Montaigu

Re: IPCOP et Update Accelerator

Message par gesap » 27 Mars 2012 16:59

Bonjour,

Désolé j'ai inversé les couleurs, la fatigue probablement :oops:
RED pour Internet
GREEN pour mon réseau local
Je m'empresse de lire la chartre.

Merci
gesap
 
Message(s) : 3
Inscription : 27 Mars 2012 13:32
Localisation : Brest

IPCOP et problème de cache addon Update Accelerator

Message par gesap » 27 Mars 2012 21:11

Contexte Professionnel

Objectif
Migration du réseau internet de l'entreprise vers une solution permettant :
- l'authentification des clients,
- la journalisation des connexions,
- la filtrage des accés via Url filter et une Blacklist
- Utilisation du cache gros fichier "update accelerator" pour économie de bande passante
via une liaison satellite Internet.
- Amélioré le contexte SSI de l'entreprise

Matériel
Le serveur IPCop s'articule autour d'une solution :
- Serveur IBM processeur Quad-core Intel Xeon
- 2 Go Ram - 2 dd en Raid: 250 Go à SATA. Hot swap
- 2 cartes réseaux (compatibles IPCOP)

Logiciels
- VMWare Esxi supporte la machine IPCOP
- Putty pour un accès aisé à la console,
-Winscp pour le côté pratique ( transfert de fichier, récupération des log ..etc )


Réseau
- Un routeur Cisco connecté à deux switch supportant deux vlan
- deux possibilités de connection internet via deux proxy extérieurs
- un vlan entreprise (Green) dédié client
- un vlan Internet (Red) Internet
- Solution Green+Red

L'installation du produit IPcop dans sa version 1.4.2.1 avec les addons suivants
Bot 3.0.0.0 ( pour autoriser ou bloquer les flux http, ftp, icmp, ssh etc ....)
adv-proxy 3.0.5 (proxy avancé)
Update accelerator 2.1.3 (cache gros fichiers Maj Windows et Antivirus, important pour l'entreprise)
Url Filter 1.9.3 ( filtrage des url internet)
Addons serveur Mod 2.3 (gestion des addons)
Le choix d'une solution centralisée est possible grâce à la configuration du serveur (Mémoire vive 2Go et les deux DD 250 Go) permettent de conjuguer l'utilisation du firewall et du proxy.

Schéma
Voir PJ


Exposé du problème :
Si la solution IPCOP apporte toute satisfaction quant à l'authentification des clients, la journalisation et le filtrage des sites par blacklist, Url et expression, il reste un dernier problème à solutionner : le fonctionnement de l'addon Update accelerator 2.1.3.
dont le cache reste désespérément vide. Les statistiques du cache affiche : Le cache locale est vide, le bouton Statistique et maintenance n'ont aucun effet et ne laisse apparaitre aucun fichier déjà téléchargés.

Au final les mises à jour Microsoft et antivirus sont re-telechargés systématiquement par les client au lieu d'^tre prélevées dans le cache. L'addon est bien activé, aucun réglages n'a été modifié dans services >accélérateur de mises à jour. Dans services > proxy avancé je suis bien activé sur le green et le mode transparent n'est pas activé. cette fonctionnalité est pourtant importante pour mon entreprise, car la bande passante disponible sur Internet n'est malheureusement pas constante.

Aucun message d'erreur, IPCop fonctionne très bien, mais sans stocker les précieux fichiers des mises à jour économisant ma bande passante.

Pas de log signalant un dysfonctionnement,

Voilà j'espère avoir été plus claire. Si quelqu'un, par chance a quelques informations ou un axe de recherche qui puisse me permettre de solutionner mon problème, je vous en remercie par avance.

Bien amicalement,
Pièces jointes
ipcop.jpg
ipcop.jpg (35.99 Kio) Consulté 1654 fois
gesap
 
Message(s) : 3
Inscription : 27 Mars 2012 13:32
Localisation : Brest

Re: IPCOP et Update Accelerator

Message par ccnet » 27 Mars 2012 22:52

Nous sommes donc dans un contexte professionnel. Un certain nombre d'objectifs sont formulés. Je retiens en particulier :

Migration du réseau internet de l'entreprise vers une solution permettant :

Vous voulez sans doute dire migration de solution d'accès à internet depuis le réseau de l'entreprise.

- l'authentification des clients,
- la journalisation des connexions,
- la filtrage des accés via Url filter et une Blacklist
- Utilisation du cache gros fichier "update accelerator" pour économie de bande passante
via une liaison satellite Internet.

Des objectifs forts légitimes pour différentes raisons. Tout cela correspond à ce que l'on demande à un proxy.

- Amélioré le contexte SSI de l'entreprise

Améliorer la sécurité du SI de l'entreprise tout le monde le souhaite en général.

VMWare Esxi supporte la machine IPCOP

Je vais y revenir. Forcément comme l'on deviné ceux qui me connaissent ici.

Putty pour un accès aisé à la console,

A quelle console ?

Réseau
- Un routeur Cisco connecté à deux switch supportant deux vlan
- deux possibilités de connection internet via deux proxy extérieurs
- un vlan entreprise (Green) dédié client
- un vlan Internet (Red) Internet
- Solution Green+Red

Désolé je ne comprend pas la moitié de cette configuration et encore moins l'utilité de des vlans.
Le routeur connecté à deux switchs si il y a deux vlans je ne comprend pas à quoi cela sert.

Les proxys extérieurs je ne comprend pas non plus ...

Je ne vous pas à quoi peut servir un vlan monté sur l'interface verte d'Ipcop, sans compter que celui ce ne les gère pas nativement. C'est toujours possible mais il faut contourner l'interface d'ipcop et modifier manuellement des fichiers de config. C'est peu maintenable dans le cas d'ipcop, donc peu sûr. Si il y a une bonne raison d'utiliser un vlan sur l'interface verte d'ipcop je compte sur vous pour nous la donner. Soit le vlan ne sert à rien, soit ipcop ne convient pas.

Un vlan sur red avec une seul ip publique je ne vois pas à quoi cela est utile. D'une façon générale, pour l'entreprise courante, compte tenu de la nature du trafic internet je ne comprend pas à quoi sert le vlan sur internet.

Tout cela est peu lisible pour moi et je me demande comment cela peut améliorer la sécurité tant certaine chose semble curieusement conçu.

Le choix d'une solution centralisée est possible grâce à la configuration du serveur (Mémoire vive 2Go et les deux DD 250 Go) permettent de conjuguer l'utilisation du firewall et du proxy.

Non, non et non !!

Plus je répond à votre poste plus il m’intéresse et m'intrigue. Un cas d'école ou presque. En voulant bien faire on va à l'encontre de louables intentions (améliorer la sécurité du SI).

Je reviens à "la solution centralisée". Non pour plusieurs raisons.
Dans votre demande le rôle du firewall est totalement passé sous silence. C'est peut être un artefact de présentation du problème. Or justement ipcop est d'abord, essentiellement, avant tout un firewall. C'est un dispositif critique et central d'une solution de sécurité. Encore que ce soit très loin d'être le seul. La défense périmétrique, qui est un de ses rôles majeurs, est très souvent privilégiée. L'autre est sa capacité à cloisonner le trafic, cette caractéristique est souvent insuffisamment comprise et exploitée. Si la défense périmétrique est nécessaire, elle est aujourd'hui notoirement insuffisante. la défense en profondeur s'impose aujourd’hui. Elle devrait s'imposer. Ce "concept" requiert des composants sûrs à tous les niveaux, capables de résister en cas de défaillance d'un autre composant du dispositif. Je ne développe pas plus.
En ajoutant une flopée d'addon au firewall vous faites, d'un composant étudié pour présenter le minimum de risque, un nid à bugs. Tenez pas plus tard qu'aujourd'hui : http://www.certa.ssi.gouv.fr/site/CERTA ... I-173.html
et encore avant : http://www.certa.ssi.gouv.fr/site/CERTA ... index.html
http://www.certa.ssi.gouv.fr/site/CERTA ... index.html
Et justement à propos de la dernière ... sans commentaire. Installer un firewall sur un hyperviseur est une pure folie. Ou comment réduire à néant tous vos efforts.
Votre argument de la configuration centralisée, surtout telle que montée ici ne tient pas la route. Surtout pas si vous voulez "Amélioré le contexte SSI de l'entreprise", que je traduis par "Améliorer la sécurité du SI". Les besoins en ressources d'un firewall et d'un proxy avec un filtre de contenu et tout l'outillage qui va bien pour être dans les clous réglementairement parlant, sont des choses parfaitement antagonistes. Il y a quelques temps un internaute nous exposait ici les problèmes avec son proxy (un squid bien sous tout rapport) qui consommait toutes les ressources de son système. Vous êtes prêt à prendre ce risque avec votre firewall est perdre votre connectivité parce qu'ul problème sur Suid met votre machine à genoux, si puissante soit elle ?
Vous voyez bien que déjà vous avez un problème avec votre configuration. Je n'aime pas avoir des problèmes de proxy mais encore moins de firewall. Je ne vous donnerai pas de solution, du moins pas celle que vous cherchez mais je pense, qu'avec la meilleure volonté du monde, vous avez fait les mauvais choix pour atteindre vos objectifs.
Le proxy comme une vm sur un ESX : oui (mais pas n'importe comment, c'est déjà un minimum de 3 cartes réseau, sans parler du monitoring hors bande ou d'une interface style Ilo sur hp, ni de Vmotion ou autres fonctionnalités de redondance de vmware) , mais surement pas le firewall.
ccnet
 
Message(s) : 113
Inscription : 02 Nov 2011 08:51
Localisation : Paris

Re: IPCOP et Update Accelerator

Message par jdh » 27 Mars 2012 23:26

(VMWare Esxi : je me disais bien que si ccnet passait par là ...)

Vous avez fourni un certain nombre de précisions, un schéma. C'est bien , il faut continuer
Il faut surtout bien poser les problématiques et choisir les meilleures solutions.

La virtualisation pose un problème de compréhension des phénomènes réseaux !
Il faut vraiment savoir ce qu'on fait. Et franchement, il vaut mieux ne pas faire (surtout en milieu pro) !

Un firewall peut se contenter d'un pc de récup, d'un processeur ancien et d'une faible mémoire (512 Mo welcome).
Il faut éviter d'ajouter des fonctions qui seront bien mieux placées sur une machine dédiée.
C'est le cas du proxy et de tout ce qui gravite autour !
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
jdh
 
Message(s) : 731
Inscription : 02 Nov 2011 00:36
Localisation : Nantes - Angers

Re: IPCOP et Update Accelerator

Message par mab » 29 Mars 2012 09:07

Salut à tous,

Bon, je fais fi des considérations précises ci-dessus évoquées, et me concentre sur la question initiale :

Cet addon fonctionne parfaitement. ;)

As-tu essayé de le réinstaller ?

Es-tu certain qu'il est activé dans le menu "proxy avancé" ?

Es-tu certain que tes téléchargements passent bien par cet ipcop ? (un "coup de" tcpdump devrait te le confirmer rapidement)

Juste un détail : Ipcop n'est pas un serveur comme mentionné sur ton graphe.
mab
 
Message(s) : 33
Inscription : 08 Nov 2011 22:16
Localisation : centre sud

Re: IPCOP et Update Accelerator

Message par Franck78 » 29 Mars 2012 15:59

Salut,

Je ne vois pas du tout l'utilité d'un Esxi dans cette solution. Il ne supporterait que IPCop ! ? Question pas évidente en regard du relativement petit disque (250Go raid1 ?) et du cache énorme voulu. Il resterait quoi d'autre sur l'Esxi ...

A l'heure de la virtualisation, il deviendra de plus en plus difficile d'extraire un tout petit firewall tout seul sur sa petite machine à lui.
Plutôt qu'un IPCop virtuel surchargés d'addons et d'autres VM?, un IPCop virtuel , un squid virtuel, un xy virtuel.
Avec la régle absolue suivante : que les services réseau de base sur ce host esxi ?


Pour le problème, oui Mab à raison, il faut biensur commencer par vérifier que les winxp passent bien là ou ils sont attendus. Et ca n'a pas l'air gagné dans ce 'drôle' de réseau.
Franck78
 
Message(s) : 525
Inscription : 11 Sep 2011 16:04
Localisation : France

Re: IPCOP et Update Accelerator

Message par ccnet » 29 Mars 2012 19:50

Franck78 a écrit :Salut,
Plutôt qu'un IPCop virtuel surchargés d'addons et d'autres VM?, un IPCop virtuel , un squid virtuel, un xy virtuel.
Avec la régle absolue suivante : que les services réseau de base sur ce host esxi ?

Ce serait nettement mieux en effet de rassembler les services d'infrastructure sous forme de différentes vm sur un esx. Sauf le firewall.
ccnet
 
Message(s) : 113
Inscription : 02 Nov 2011 08:51
Localisation : Paris


Retour vers ipcop

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 0 invité(s)

cron