Vous administrez le réseau de votre entreprise et avez en charge l'architecture, la sécurité, la qualité des services...
En premier lieu je cherche à connaître le type d'architecture (cluster, n-tiers...) qui est déployée dans votre entreprise et votre capacité à prévoir et limiter les pannes.
Ensuite je m'interroge en ce qui concerne vos méthodes de sécurisation de votre installation (firewall, proxy...) et votre degré de vigilance (log?).
Enfin je m'interesse à tout ce qui a trait à vos méthodes d'audit et de veille tant au niveau de votre propre parc (astreintes?) que des risques liés à l'Internet notamment (virus...).
 
Le but de ce topic n'est absolument pas de disserter sur les fiabilités des OS, il n'en est d'ailleurs pas question dans un premier temps.
L'interêt est avant tout d'avoir un retour d'expérience sur une architecture type, des logiciels x et y etc...
 
 

Je suis actuellement en train de réfléchir à l'intégration dans mon réseau d'un proxy web - passerelle antivirus SMTP.
Ce que je n'arrive pas à determiner c'est la place que ce serveur doit avoir dans mon schéma :  
Intégré au domaine : non, évidemment.
Intégré au réseau privé : bonne question.
 
Le mettre dans la DMZ a un coût en terme de bande passante et d'utilisation du Firewall.
Le placer dans un VLan à part peut être envisageable mais suppose également une sollicitation du Firewall.
 
 
Sachant que ce serveur aura pour fonctions principales :  
- filtrage web
- filtre de protocole
- antivirus SMTP
 
Ou le placeriez-vous? Ou sont placés les votres?
 

le notre est dans la DMZ avec le reste des serveurs
 
pense qu il sera tres solicite !
 
sinon tout mes utilisateurs sont dans des vlans.
pour les logs j ai les logs des acces des utilisateurs, j ai les logs systeme je mets a jour regulierement .
je n ai pas trop peur des attaques externes ni internes en fait
pour les virus j ai un bon antivirus sur la messagerie et sur tout les postes utilisateurs.
le seul truc peut etre que je pourrais rajouter et un antivirus sur le proxy.
 
 
 

tes serveurs sont dans la DMZ?
 
là je trouve ça carrément couillu ou inconscient
 
 
tu as séparé tes VLANs selon quels critères?
 

↑

vi
mais t inquiete c est bien protege.
et on a qqes IDS !
sinon pour les VLANS on a separes par etage. un service par etage c etait parfait.

comment tu filtres ce qui provient de ta DMZ?

Moi en DMZ avec :
 
HTTP(S) public, DNS public, SMTP public.

et donc mon cas de figure, que penserais-tu du positionnement du proxy? DMZ ou intranet ou VLan?

moi je le foutrai ds ton lan mais avec un firewall entre le proxy et le lan

tu ferais lan -> FW -> proxy -> FW
C'est couteux

oue

Moi je le mettrais dans le LAN car j'ai pour principe de mettre dans la DMZ uniquement ce qui doit avoir un contact avec l'extérieur (serveur). Ce qui n'est pas le cas du proxy, il est en écoute uniquement du LAN.
 
Maintenant s'il fait aussi réverse proxy -> DMZ

non ce n'est pas un reverse proxy. J'ai également la même attitude que toi en général mais je me suis trouvé confronté à des avis inverse du fait de la passerelle antivirale

ah pk ca ?

parce qu'il écoute autant ce qui vient de l'intranet que ce qui vient de l'internet.

spour ca qu il lui fo un firewall de chaque cote

 
C'est ce que je ferais et essaie de faire. Sans débattre sur le systeme chose dont je serait incapable vu mes faibles connaissances UNIX...

 
Ah c'est une passerelle antivirus SMTP et Proxy ?

Hello.
 
Actuellement je suis en poste ou on a ça.
 
Le reverse proxy en DMZ.
Le reste des serveurs en Lan.
 
L'accès passe par des firewall qui sont en redondances sur une architecure redondante aussi du coté de FT ( 2 lignes, 2 routeurs ect..)
 
L'acces au net et les mails sont filtrés par un anti spam et anti virus Trend, dont les mises à jours sont verifée automatiquement toutes les heures.
Il y a des remontée d'alertes par mails pour les mises à jours ou la non-mise à jour.
Le filtre est mis sur une architecure clusters. Par contre là pas de remontée si un de noeuds est down, ça se voit uniquement sur les serveurs.  
 
Les postes clients se connectent avec un script de connextion qui fait que losque un des noeuds est down il doivent passer par l'autre noeud.
 
Apres le serveur exchange est aussi protégé par un antivirus.
 
Puis les workstations ont aussi un anti virus dont les mises à jours sont faites à la mains dans un premier temps pour éviter les fichier corrompus.
Ensuite la mise à jours de l'av est diffusée avec un script de connexion.
 
 
Par contre on a pas d'audit précis à part notre vigilance de tout les jours, et l'astreinte est tacite et permantente.

 
oui proxy cache et filtrage de protocole et passerelle antivirus http/ftp/smtp

 
non, je ne mettrais pas de linux/unix pour cause de manque de connaissances et d'absence sûre et certaine de validation par la DG

 

merci pour ta participation
 
quelques questions :  
l'antispam de trend, tu en penses quoi?
Ton serveur exchange dispose d'un antivirus dédié ou est-ce qu'il transite par Trend également?
 
en tout cas t'as une belle architecture on dirait

Il est pas mal l'antispam de Trend, comme c'est le même produit que l'antivirus les quarantaines sont globales.
il est plutot pertinent, le niveau de criticité est modifiable sur plusieurs niveau.
J'avais oublié qu'il y a des remontée d'alertes pour tout mail ou pieces jointes mis en quarantaine.
A cote de ça j'ai pas de comparaison c'est le seul avec lequel j'ai jamais travaillé.
 
Sinon oui le serveur exchange à aussi un antivirus à part qui fonctionne en real-time et qui fait des remontée d'alertes quand il trouve des virus.
et le serveur exchange est lui aussi sur un cluster.
 
Et oui j'ai de la chance d'avoir ce poste

pour l'instant je n'utilise pas la fonction antispam mais je crois que je vais l'ajouter si elle est effectivement bien agencée. Ce que je redoute c'est que des mails soient assimilés à du spam quand ils n'en sont pas donc je dois m'assurer qu'il laisse une liberté suffisament importante en terme de gestion des filtres.

Ca au début il a tendance à bcp confondre les newsletter et le spam c'est vrai.
Mais tu peux modifier les listes d'expéditeurs approuvés comme tu le veux.
Mais j'ai le souçis par exemple d'une news letter fiscale dont l'emmeteur change à chaque fois, donc elle ne passe jamais.
A coté de ça j'ai 350 mails de spam/jours et dans le tas j' ai 5-6 erreurs, j'entends qui ne sont pas du spam.
 
Les erreurs donc soit tu les libères de la quarantaine, soit tu mets l'expediteur en tant qu'approuvé et dans ce cas il ne sera plus bloqué la fois d'après.
Ca nécéssite quand même de vérifier les remontées d'alertes assez souvent, surtout au début.
 
Mais d'un autre coté sans l'anti spam je crois bien que mes users seraient vite débordé.
 
Ca dépend aussi à quel point tu es touché par le spam chez toi.Mais je crois qu'on y échappe difficilement ces derniers temps.
 

bah pour l'instant c'est assez correct, la politique d'utilisation du mail a été relativement bien assimilée par les utilisateurs donc ça se passe sans trop de difficultées.
Par contre un mail mis en quarantaine, une fois libéré est-il retransmis aux destinataires?

Oui tout à fait.
 
Par contre le mail garde l'heure d'arrivée sur le serveur anti spam.
Donc si tu mets 3 heures ( moi une fois j'ai mis 3 jours )  à voir qu'un mail à été bloqué, ça se verra quand l'utilisateur le recevra.
 
En fait le mieux quand tu commences c'est d'essayer de faire une liste exhaustive des contact professionels avec lesquels vous travaillez et de tous les mettres dans la liste des emmetteurs approuvés.
 
Evidemment la liste des emmeteurs approuvés prends en compte le caractere *, c'est important parceque sinon il faudrait mettre chaque utilisateurs, alors que là tu mets *@machin.com en approuvé et tout les mails venant de machin.com passeront.
 
Comme ça normallement tu ne bloques pas des mails de boulot urgents.
 
Et apres il faudra faire au cas par cas.

oui je vois. Je vais surement m'y atteler dans quelques temps, et si j'ai des précisions à te demander je n'hésiterais pas.
 

Question un peu en dehors : utilisez vous les notifications des passerelles antivirales pour signaler soit à l'emetteur d'un message soit à son destinataire, soit aux deux que le message envoyé contient une virus?

N'hésites pas , j'aime bien me faire mousser

Là ça dépend des cas.
 
Le serveur est configuré pour séparer ce qu'il considère comme du mass-mailing et le reste.
 
Dans le cas du mass-mailing, les mails sont purement supprimés ( cad mis en quarantaines) directement sans passer par le serveur exchange.
Et pas de notification ni à l'utilisateur, ni à l'expéditeur, juste une remontée d'alerte pour le service info.
 
Par contre si le serveur voit passer un mail vérolé et qu'il considère que ce n'est pas du mass-mailing, alors le mail est quand même transmis au destinataire. Mais la pièce jointe vérolée est remplacée par un fichier texte disant que le serveur anti virus à supprimé la pièce jointe.
Par contre je ne me souviens plus comment il fait quand il y a un lien dans le corps du message qui renvois vers un download de fichier vérolé, je crois bien qu'il supprime le message.
Mais il est capable de reconnaître ce type de liens HTTP dans un mail ce qui est bien.
 
Faut dire que le serveur AV scan aussi le traffic HTTP, mais il n'est pas capable de scanner le traffic HTTPS pour l'instant.
 
Et dans tout les cas pas d'accusé réception à l'expéditeur. On laisse les utilisateur prévenir leur contacts si ils veulent.

tiens j'avais pas pensé à ces virus joints par url
 
merde faut que je me penche là-dessus

yep, ça représente même pas 0.5% de mes alertes, mais y'en a.
 
Surtout des gens qui consultent des BAL persos sur le net.

il n'y a pas de webmail ici mais par contre faut que je vois ce que je peux faire avec trend pour bloquer ça

Tu utilises IMSS ?

pas à ma connaissance

tu bloqueras avec le proxy justement !
c est clair que pour les webmails la secu repose sur le proxy et sur l antivirus personnel
 
Anti spam pour exchange t as celui de GFI mails essentials qui est sympa !!!!
il utilise un filtre baesien ou baeysien enfin qui apprendss tout seul quoi