En vue d'une installation dans une école je voudrais savoir si qqn avait déjà prospecté pour des logiciels de filtrage de contenu au niveau du firewall / proxy (idéalement, celà me semble plus sûr qu'une installation locale).
 
En clair je cherche un logiciel demandant un minimum de maintenance pourrait filtrer le contenu de sorte qu'il soit adaptés à des enfants entre 8 et 12 ans.
 
Voila si vous avez des liens, des produits à me proposer, ... merci !

Trouvé celà :  
http://www.surfcontrol.com/industr [...] n/web.aspx
 
Qqn a déjà testé ?

Norton internet security

NIS existe en version serveur pour un réseau ?

Je pense à une petite passelle à base IPCOP + Squid/dansguardian : C'est pas chere tres facile à mettre en oeuvre et cela fonctionne tres bien.
 
CF le forum du site www.ixus.net
 
De plus cette solution est transparente pour l'utilisateur car tu n'as strictement rien à parametrer sur le poste client.

 
Cette solution fonctionne très bien.
 
Je l'utilise dans un collège.
Un simple PII@266 256mo de RAM 2GO de HDD suffisent à l'affaire.
 
Désormais il existe un Add-on pour paramétrer Dansguardian à partir de l'interface HTTP d'ipcop. Un minimum d'explication pourrait permettre à un des enseignants de peaufiner/adapter le filtrage si besoin sans difficultés du coup.
 
Les dernières versions de Dansguardian gardent aussi désormais la totalité des logs avec un système de rotation. Cela permet d'être conforme à la loi.

 
tiens, j'ai pas fait attention à la rotation des ses logs.  Merci pour l'info.

 
C'est quand même plus pratique que de les sauver à la main

Merci c'est toujours agréable d'avoir des retours d'expériences.

 
déjà testé, très efficace, mais instable

tu couplerais eventuellement surfcontrol avec quel proxy?

sinon tu as les solutions clés en main, très fiables et très simple à mettre en place et qui plus est aucun besoin d'intervenir dessus etc...
 
http://www.rightvision.com/?lg=fra [...] 0&visu=vue
 
testé et approuvé

Justement rien n'est vraiment défini pour l'instant, c'est juste une "preview"...
 
En gros un opérateur téléphonique a décidé d'offrir des connexions internet à toute école qui en fait la demande, nous nous chargeons de fournir aux écoles les postes et d'effectuer l'installation du réseau local.
 
Pour l'instant j'ignore si l'opérateur va proposer une solution de filtrage ou si cette problématique va nous revenir... car j'imagine assez mal de laisser des enfants de cette âge la sans aucun filtrage

 
C'est typiquement ce genre de trucs que j'ai tendance à préférer... le boitier que tu oublies dans un coin

entre un système isa/surfcontrol et une eye-box je sais direct ce que je prendrais à ta place
 
Comme je t'ai dit le duo surfcontrol/isa par ex est très instable et même si les catégories existent il faut souvent les mettre à jour ou les maintenir etc...
plus contraignant surtout si tu as beaucoup de sites à gérer.

Ok c'est noté, effectivement ce sera bcp de petits sites de 10 à 25 machines.
 
En gros la Eye-Box tu as une machine avec une interface WAN sur laquelle tu plug le routeur ADSL (fourni par l'opérateur ca c'est certain) et de l'autre ton réseau local.
 
Je vois que celà fait aussi serveur de fichier, est-ce possible de l'utiliser comme controleur de domaine ? (au sens Windows du terme avec des clients WinXP sur lesquels on applique de policy) ou faut-il un serveur Win2003 ?
 
Question supplémentaire : tu as une idée approximative du prix ?

Oui quel est le prix d'une telle solution !?
 
A noter qu'il n'y a pas de renseignements précis sur la partie filtrage HHTP (Quel type de redirecteur utilisé). Juste la mention filtrage par blacklist et whitelist.
 
Ce qui est nettement - performant que Dansguardian par exemple.
Sans compter que cela requière une maintenance de ces listes. Maintenance certainement payante.
 
Enfin le tout est sous linux (et pas la dernière version puisque je vois que ipchain est utilisé)
 
Perso, cela ne me convainc guère face à un ipcop+dansguardian (sans compter que le tout est gratuit lui)

je me corrige moi même pour la partie filtrage qui utilise un produit commercial : OPTENET visiblement aussi costaud que Dansguardian.
 
Par contre tout ça doit avoir un prix.
 
 
Pour continuer, tu peux aussi regarder du coté du SLIS qui est une passerelle firewall/proxy filtrant/serveur mail-HTTP et qui est agrée par l'EN. Utilisée dans au moins 4 académies (Grenoble - versailles - Créteil - et ?), c'est une solution gratuite basé sur du linux.

 
non, pas de possibilité de s'en servir comme d'un DC (noyau linux) et pour le prix par contre c'est indiqué sur le site

correction :  

 
http://www.rightvision.com/languag [...] web_fr.pdf
 

Merci pour tout, j'ai écrit un mail pour leur demander des infos complémentaires... ca a vraiment l'air d'être ce que je cherche et si j'arrive à me passer d'un petit DC ca peut le faire.
 
Par ailleurs Optenet server a l'air pas mal du tout comme produit...

comme je te dis c'est un produit très très bien foutu
 
et pour le prix c'est franchement interessant

Ouais je constate, même si avec les "school agreements" les licences MS sont pas aussi chères... la question est maintenant de savoir si l'on peut se passer de DC, ce qui ferait de surcroit une petite économie.

étant donné que la boite en question permet une gestion des utilisateurs via un catalogue LDAP il est possible voire probable que tu puisses le coupler à un serveur Samba.
Solution qui ne te permettrais effectivement pas de gerer des stratégies globales mais du moins de faciliter les mouvements de personnes sur les machines en aval.
Maintenant reste à savoir si tu es tenu à une stratégie globale ou si l'import de templates n'est pas plus dans ton interet rapport resultat/coût

C'est la question que je me pose...
 
Pourquoi pas installer une machine propre avec un utilisateur admin local, un pour les profs et un pour les élèves.
 
Cloner cette machine sur un disque dur externe qui va servir non seulement à l'installation des autres machines, mais aussi à la récup quand ca déconne sévère (J'ai des souvenir que j'étais assez fouteur de merde et je doute que dans l'éduquation ca ait bcp changé...)
 
Vu que l'on a des licences select de toute manière ca ne pose pas de problème côté activation de Win / Office d'effectuer du clonage... surtout que toutes les machines clients seront strictement identiques.
 
Après le reste serait géré par les logiciels proposé par le server applicance depuis un simple navigateur, ce qui limite aussi les logiciels installés sur les clients...
 
J'ai testé en ligne leur interface et je dois avouer que c'est assez sympa.

ouais, très intuitif et par dessus tout la gestion peut-être confiée dans ses grandes lignes à un responsable local. (cas d'une panne, mise à jour, extension de droits, filtrage évolutif...). Bref c'est une solution peu contraignante et largement évolutive.
En plus c'est fiable et le SAV est compétent et rapide
 
Effectivement si tu as un parc parfaitement homogène, voire un serveur applicatif type TSE ou citrix en amont pour les applications alors là tu peux y aller tranquille. Si de surcroit tu prépares un master autoconfigurable alors là tu es doublement gagnant : un problème et c'est réglé.
 
Je vais essayer de retrouver les templates pour XP que j'avais vu concernant la sécurité des postes de travail et la limitation des droits des utilisateurs.
C'est du béton armé mais c'est aménageable bien evidemment

et voilà :  
http://security.ouhsc.edu/documents_nsa_guidelines.asp
 
bonne lecture

OK merci... bah ils ne devraient pas avoir bcp de droits

non, fais hyper gaffe au compte admin
j'me suis fait allègrement baiser une fois

T'inquiète pas je connais une bonne partie des bidouilles... pour, en reprenant tes termes, avoir baisés quelques admins
 
Il va par ailleurs de soit que le compte admin local ne sera pas identique à celui du serveur (pas fou quand même !), qu'il sera fait spécialement pour être difficile à craquer en brute force (et évidemment pas craquable par d'autres types d'attaques)...
 
Après faudra voir dans quelle mesure on pourra restreindre l'accès physique au boitier de la machine, ce qui serait un avantage certain... car actuellement le problème de sécuriser le boot c'est qu'il suffit de provoquer une "erreur" pour que la plus part des BIOS proposent une  séquence de démarrage alternative qui pourrait être exploitée...

les pc dell ou fujitsu par ex ne proposent plus les boots alternatifs
mot de passe dans le bios, pas de boot autre que sur le HDD. Boitier scellé ou mieux encore, enfermé dans un coffrage.
Cablages fixés et intégrés dans des gaines. Ecran dans un coffrage.
 
ps->me suis pas fait baiser par un utilisateur mais par moi-même avec les sécurités NSA, elles sont hyper barbare

Yep... la ce sera des machines IBM, c'est aussi désactivable, mais de loin ce n'est pas le comportement par défaut.
 
Sinon un coup qui m'a marqué pour piquer une SAM, boitier cadenassé, rien à faire boot vérouillé , machine vérouillée comme pas possible, en clair le type s'était vraiment péoccupé de cet aspect... la faille est venue de la carte SCSI Adaptec 2940 et du Ctrl + A qui ne peut pas être protégé. Mis en place simplement mon ZIP100 SCSI de l'époque sur l'interface externe, changé le boot device dans le BIOS de la carte SCSI, démarré sur MSDOS avec NTFSDOS et pu piqué le plus simplement du monde la SAM.
 
Sinon pour les templates NSA je connaissais, mais c'est légèrement "restrictifs" comme trucs ...

ouais, mais a priori tu ne vas pas utiliser de cartes SCSI?
et sauf erreur de ma part, une carte SCSI adaptec peut rester silencieuse au boot
 
c'est très restrictif.
 
Mais si tu veux blinder l'interface windows tu as des solutions plus barbares comme stronghold.

Clair le gars avait pensé à tout, sauf la carte SCSI...
 
Bon la je suis plutot dans une optique, sécu raisonnable et disque master au cas où.
 
Car bon ca ne sert à rien de sortir un panzerfaust pour dégommer un moucheron de 12 ans

Encore mieux que la grosse Bertha c'est le Wilhelmgeschutze, 36m de long le tube !    
 

p'tain c'est fou ça, on va se faire un cours de balistique après celui sur les boites plug n' play