[Résolu] Problème accès interface web IPCOP

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. Une description est donnée sur le portail phénIXUS : http://www.ixus.net/ipcop/.

[Résolu] Problème accès interface web IPCOP

Message par fabien.fresno » 07 Fév 2014 12:04

Bonjour à tous,

Nouveau venu dans le monde d'IPCOP je me penche actuellement sur une installation un peu particulière et me retrouve confronté à quelques difficultés de configuration sur IPCOP v1.4.20 et IPCOP V2.0.6.

Je vous explique ma situation:

Actuellement nous utilisons un serveur proxy Censornet qui ne nous permet plus d'accéder à nos applications de manière optimale; le squid étant trop ancien et ne pouvant pas être mis à jour.

Nous avons donc décidé de nous pencher sur un nouvelle distribution de serveur proxy, l'IPCOP.

Ci-dessous, le schéma de configuration actuel:
Image

1er problème:
Lorsque j'essaye d'accéder à mon interface web, j'ai une page de connexion avec une erreur ssl ou quelques fois une page me disant "Impossible d'accéder à ce site web".
Capture des logs de connexion du serveur:
Image
J'ai parcouru différents forum (fr et en) mais sans résultat...

2nd problème:
Actuellement, le réseau est composé d'environ 200 postes. Lorsque j'ai mis en production mon serveur sur ces 200 pc, je me suis retrouvé en vrac assez rapidement. Plusieurs utilisateurs se retrouvaient avec des accès aléatoire à internet. Ils avaient le message d'erreur suivant: "Le serveur proxy ne répond pas".
Capture du cache.log:
Image
Je suspectait un problème avec le nombre de redirecteurs insuffisant (laissé à 5 par défaut). J'ai lu sur d'autres forum que le ratio de redirecteurs était de 1/10 mais même après avoir augmenté ce nombre à 20 le résultat est le même.

Voilà... je n'arrive absolument pas à mettre en production ce serveur et ça m'agace!
J'aimerai comprendre où sont les erreurs.

Dans l'attente d'une âme charitable qui pourrait m'aiguiller.

Fabien.
Dernière édition par fabien.fresno le 11 Fév 2014 11:21, édité 2 fois.
fabien.fresno
 
Message(s) : 2
Inscription : 31 Jan 2014 13:14

Re: Problème accès interface web IPCOP

Message par jdh » 09 Fév 2014 06:21

un nouvelle distribution de serveur proxy, l'IPCOP
NON ! Ipcop est un firewall

Pour 200 utilisateurs, il FAUT créer une machine dédiée au proxy ! Il ne FAUT pas/plus rigoler !

Quelques erreurs, en vrac :
- Ipcop 1.4 est totalement obsolète, et à ne plus utiliser !
- confusion firewall / proxy : les rôles sont très différents !
- montage incorrect : vert et rouge relié au même switch et sans doute dans le même réseau !
- utilisation de virtualisation, et même virtualisation de test (virtualbox n'est pas destiné à la production)

Un conseil (certes un peu plus difficile) : créer de toute pièce un vrai proxy :
- debian (wheezy 64) (base sérieuse)
- squid
- squidguard + la blacklist de Toulouse
- lightsquid pour les logs
- wpad pour l'autodétection des navigateurs
(- une taille de cache pas trop grosse : vérifiez le ratio taille / besoin mémoire)

Mais le passage par Ipcop n'aura pas été si inutile : les fichiers de conf sont à conserver et doivent vous inspirer ...
Vous n'aurez pas l'interface web de choix de paramétrage proxy mais ce n'est pas si utile ...

Conseil utile : mettez un (vrai) firewall dans votre réseau : les flux sortants sont à filtrer ! C'est très important !


NB : pfSense et ses packages Squid/SquidGuard sont à éviter aussi : 200 utilisateurs = un proxy dédié.
NB : un proxy peut-être virtualisé mais sur une base sérieuse : KVM ou ESXi : 2 Go de mémoire et 20 Go de disque sont suffisants.
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
jdh
 
Message(s) : 731
Inscription : 02 Nov 2011 00:36
Localisation : Nantes - Angers

Re: Problème accès interface web IPCOP

Message par ccnet » 10 Fév 2014 13:54

Nous avons donc décidé de nous pencher sur un nouvelle distribution de serveur proxy, l'IPCOP.

Je ne peux qu'enfoncer le clou. IPCop n'est pas une distribution de serveur Proxy. Il n'est pas conçu pour cela.
C'est un firewall qui accepte des packages, peu importe le nom qu'on leur donne, ce n'est pas pour autant qu'il faille les utiliser sans discernement.

Je ne ferai qu'abonder dans le sens de JDH. Pour l'aspect proxy je n'en rajoute pas, c'est exactement ce qu'il faut faire, surtout avec 200 utilisateurs.
Vos déboires ne sont pas étonnant, ils sont logiques. L’outil n'est pas adaptés.

Tout informaticien débutant sur les questions de sécurité (et autres fariwalls) se focalise sur le filtrage côté Wan. Il a raison mais pas complètement.
Les flux sortant sont pratiquement aussi dangereux que les flux entrants. Lorsqu'une attaque se termine par l'extraction d'une base de données ou
d'informations volées sur les machines internes, c'est bien parce que le flux sortant nécessaire est disponible. La méthode la plus courante pour
passer un firewall est l'installation d'un tunnel inverse en http ou en https.
ccnet
 
Message(s) : 113
Inscription : 02 Nov 2011 08:51
Localisation : Paris

Re: Problème accès interface web IPCOP

Message par fabien.fresno » 11 Fév 2014 11:20

Bonjour,

Merci de vos réponses et de vos précisions.

Je vais donc me pencher sur une distrib linux avec l'installation des paquets squid et dansguardian.

Je vous remercie du temps passez.

A bientôt

Fabien
fabien.fresno
 
Message(s) : 2
Inscription : 31 Jan 2014 13:14

Re: [Résolu] Problème accès interface web IPCOP

Message par Franck78 » 14 Fév 2014 16:31

Hello,

Avec ou sans proxy, le modem/routeur (géré par le FAI ?) seul est une erreur...

Il devrait être remplacé ou se voir adjoindre un IPCop (si si) ou un pfSense !

bye
Franck78
 
Message(s) : 525
Inscription : 11 Sep 2011 16:04
Localisation : France


Retour vers ipcop

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 1 invité

cron