Discussion :

[jaymzwise]

Bonjour,


Actuellement, nos agences passent par le siège (via liaisons VPN) pour pouvoir accéder à Internet, le seul Parefeu de l'entreprise s'y trouve. Aujourd'hui, après changement des routeurs ce n'est plus possible... On souhaiterait donc installer un Parefeu (Logiciel de préférence) sur chaque site afin de rétablir l'accès à Internet.

Je souhaiterais savoir si il n'est pas déconseillé d'installer une distribution Pare-feu (OpenWall, IPCop, etc.) dans une entreprise, niveau sécurité est-ce bien blindé ?
N'est-il pas préférable d'installer un OS avec le système de base puis soit créer son script de règles Iptables soit utiliser un script tout fait (Celui d'Arno par exemple) ?


Merci d'avance.

[Katyucha]

j'ai testé IPCop .... je te le conseille.
C'est simple et efficace, ca demande pas une grosse configuration en face.

Je te conseille si tu prends cette solution, de faire acheter ce livre :
http://securite.developpez.com/livre...e/#L1904811361

Ca t'aidera énormément

[jaymzwise]

Merci pour le conseil.
Par contre, petites questions.

Actuellement, notre firewall Netask loggue bien évidemment le trafic Internet et nous permet ainsi de faire des analyses mensuelles (IP du client, Sites visités, durée d'utilisation, etc.). Est-ce possible avec IPCop ?

Notre Firewall actuel nous permet de mettre en place une politique de sites Interdits (Publicitaire, jeux, etc.). Il ne me semble pas que ce soit possible avec IPTables. Je suppose que la mise en place d'un proxy pourrait nous permettre d'obtenir le même résultat non ?

[Katyucha]

Merci pour le conseil.
Par contre, petites questions.

Actuellement, notre firewall Netask loggue bien évidemment le trafic Internet et nous permet ainsi de faire des analyses mensuelles (IP du client, Sites visités, durée d'utilisation, etc.). Est-ce possible avec IPCop ?

Notre Firewall actuel nous permet de mettre en place une politique de sites Interdits (Publicitaire, jeux, etc.). Il ne me semble pas que ce soit possible avec IPTables. Je suppose que la mise en place d'un proxy pourrait nous permettre d'obtenir le même résultat non ?

Pour la première question, je n'ai aucune idée, je n'ai pas regardé cet aspect

Pour la deuxieme : ouep, le proxy permet de filtrer ou pas des sites, c'est d'ailleurs pour moi, la première fonction d'un proxy

[gorgonite]

Je conseille également ipcop dans pas mal de cas... tant qu'on a ce qu'on veut dans les modules de base, ou les addons "fiables"

Actuellement, notre firewall Netask loggue bien évidemment le trafic Internet et nous permet ainsi de faire des analyses mensuelles (IP du client, Sites visités, durée d'utilisation, etc.). Est-ce possible avec IPCop ?

disons que IPCop utilise Squid, et de permet d'exporter les logs, donc tu pourras utiliser un utilitaire d'analyse de logs Squid (logreport par exemple ), et obtenir les statistiques souhaitées... mais je ne crois pas qu'il existe déjà une addon qui donne un résultat "professionnel" de ce côté

Notre Firewall actuel nous permet de mettre en place une politique de sites Interdits (Publicitaire, jeux, etc.). Il ne me semble pas que ce soit possible avec IPTables. Je suppose que la mise en place d'un proxy pourrait nous permettre d'obtenir le même résultat non ?

Je te conseillerais deux addons :

• BlockOut Traffic, qui te permet de gérer finement IpTables
• SquidGuard, le célèbre outil complémentaire à Squid, qui permet de filtrer les publicités, le contenu pour adultes, les contenus violents, etc ; et l'interface fournie donne accès directement aux whitelists et blacklists personnalisées

à une époque, j'ai essayé l'addon Copfilter, que je déconseillerais fortement à tout le monde, car :

• elle utilise HAVP au lieu de Squid
• le réglage de monit est quelque peu foireux
• leur antivirus (Clamav) est un bon choix, mais il est très mal réglé pour les mises à jour (et donc on se prend beaucoup de mails d'alertes)

[jaymzwise]

Merci pour toutes ces infos

Finalement, on a préféré mettre en place un proxy sur le site de notre siége afin que nos agences puissent à nouveau avoir accès à Internet, depuis le changement de notre firewall (Netasq) les agences ne pouvaient plus y accéder.

Netasq et notre prestataire planchent sur le problème mais pas de solution ni d'explications pour le moment...

La solution du Proxy a été la plus simple à mettre en place et je dois dire que ça tourne très bien