Bonjour,  
 
Ma société dispose d'une connexion SDSL 2Mo et toute l'entreprise accede au net en full. Ca veut dire emule, kazaa, site de crack et j'en passe.
Je voudrais sécuriser un peu tout ça et pouvoir bloquer l'accès à certains sites et bien sur au logiciel de p2p et de messagerie instantanée, etc.  
 
Qu'est ce que vous pouvez me conseiller, sachant que je ne veux pas bloqué les mêmes accès pour tout le monde. Le PDG par exemple conservera son accès full  
 
PS: (je n'ai pas de proxy et une solution soft serait la bienvenue).

Quelle est la config actuelle, combien de machine, enfin précise un peu ce qu'il y a déjà en place !

proxy + firewall + IDP

J'ai 40 pc avec un serveur exchange et un serveur DATA le tout raccordé à des switch eux même raccordé à un routeur qui lui est relié a un SDSL equant 2mo.
 
Le top pour moi ça serait de pouvoir rajouter les users de mon choix dans un groupe sujet aux restictions que j'aurais définies.
 

 
C'est quoi un IDP?
 
Le cout d'une telle operation?
 
Y'a pas une solution rapide et economique pour au moins bloquer kazaa et emule?

squid+squidguard
ou ISA+surfcontrol
ou Arkoon + module IDP + relais HTTP
ou Sonicwall + Olfeo
(...)

ça dépend de ce que tu veux faire.
 
Un fortigate avec les licences qui vont bien c'est un peu plus de 1000€ en prix public, un squid+squidGuard+iptables bien configuré c'est de l'huile de coude et un PC...
 
l'IDP c'est le filtrage des couches hautes. OSI layer 7 en général.

 
La version huile de coude me plait bien.  
C'est assez simple a configurer ou c'est encore un soft trés austère? C'est un freeware?
a quelle fonction correspond "squid", "squidguard" et "iptables"?
En fait je suis obligé de faire un proxy et de mettre les paramètres de proxy sur les posts, mais comment je fais ensuite pour que les utilisateurs ne virent pas les parametres de proxy et reviennent sur une ligne full. (y'en a certains qui bidouillent).
 
C'est du linux tout ça non? j'ai jamais touché un nunux de ma vie  

c'est sur linux :  
-squid = proxy/cache
-squidguard = filtrage de contenu
-iptables = firewall
 
tu peux mettre le proxy en transparent si tu veux, sinon ajouter une GPO dans ton AD pour fixer les règles.
De toute façon avec un firewall bien configuré seul le proxy peut sortir sur internet...

Et pour un mec comme moi qui n'a jamais touché un linux et qui n'a jamais non plus mis les pattes dans un proxy ni un firewall, j'ai quoi comme chance de ne pas foirer le truc?
 
Ca se prend bien en main cet outil ou c'est compliqué configurer?
Je dois prendre quoi comme version de linux pour un debutant?

si tu débutes dans linux, tu peux peut-être préférer une appliance déjà prête, et te mettre sur du linux à côté, le temps de configuration quand on ne connait ni le système, ni le principe de fonctionnement des outils c'est pas négligeable.

 
Ouais j'imagine. Je voudrais tout de même limiter les côuts. Je viens de prendre la responsabilité de l'informatique de la boite, si je commence à leur générer des depenses ca va passer moyen  
 
Et en soft sous un OS Microsoft, y'a pas une solution eventuellement testable en free, que je vois si ca vaut le coût?

 
Une solution Ipcop :
 
www.ipcop.org
www.ixus.net

J'ai vu qu'il y avait ANALOG X proxy qui etait free sous windows.
Ca vaut quoi ce machin là?

Regarde Ipcop ca fait tout ca facilement et pas cher (le prix d'un vieux pc avec au moin 2 carte reseau)

Mais c'est un logiciel qui tourne sous linux ou c'est un os a part entiere.
Ca se prend en main facilement meme si on ne connait pas linux?

C'est une distrib complete, ca s'install en 10 min et apres tu manages tout depuis une page web

 
Ha ok ! c'est pas mal ça.
Je pense que je vais le tester.  Avant que je formate un PC de mon stock, ca s'intalle facilement et ça se prend bien en main ou pas? (sachant que je ne connais rien à linux).
Je dois graver l'appli sur un CD bootable et démarrer sur CD non? je fais comment?  

 
tu a du récupérer un fichier au format ISO du logiciel
ce format correspond a une image d'un CD
ce qui rend le CD bootable normalement
grave l'ISO via Nero (dis lui que c un iso)
et tu auras ton CD  
puis apres tu boot dessus et tu install
je suis en train de le télécharger  
je vais surement le tester dans la semaine
je ne connaissias pas IPCOP

 
 
eh ! Tu peux aussi regarder les 2 liens donnés, lire le forum ixus.net et googleliser

 
Je vais le tester demain, je donnerai des nouvelles.

Pourquoi me faudrait il 2 cartes réseaux pour mettre en place le proxy?
Si je relie mon PC au switch et que je renseigne le proxy des utilisateurs, normallement ca devrait aller?
2 cartes réseaux c'est bon pour une solution ADSL ou je devrais brancher mon modem ADSL sur une prise réseau et mon réseau sur l'autre, mais la c'est pas le cas.
Faudrait il que j'intercale mon proxy entre le routeur SDSL et le switch?  

si tu branche ton routeur sur le switch les autres postes pourront passer outre ton proxy

   
 
 
c'est mal barré...
 
j'ai déjà expliqué le contraire un peu plus haut...

Sauf si je met un firewall qui ne laisse passer vers le net que mon proxy

déjà virer les droits admin aux users sur les postes me semblent la premiere des choses à faire
ensuite, comme déjà dit, une bonne config du firewall de ton routeur et l'utilisation d'un proxy.
un + serait un proxy capable de dialoguer avec un annuaire LDAP (dans le cas ou tu utilises l'active directory) pour récupérer les comptes utilisateurs , ce qui permet de personaliser les restrictions.
Cela dit, tu peux commencer par voir ce que donne IpCop.
Si tu utilises AD et internet Explorer, tu peux aussi déployer une stratégie de sécurité de personalisation de la sécurité des différentes zones internet  (par exemple, interdire l'installation d'un controle active X sauf s'il provient d'un site faisant partie de ta liste de sites de confiance.
 
edit : lien pour ipcop ...> http://www.generation-nt.com/dossi [...] /page1.php
                                  http://www.generation-nt.com/dossi [...] /page1.php

Reserved - ça m'intéresse

Y'a moyen dans un premier temps de bloquer les flux P2P type emule, kazaa... juste en intervenant sur le routeur et en verouillant les ports d'usage?

Déja en limitant l'accès vers l'exterieur seulement aux ports http, https et ftp, pour emule et consors c'est plus compliqué.
Seulement, certaines applis utilisent (kazaa, skype) le port http pour sortir.

Oui mais je doute que mes utilisateurs utilisent kazaa HTTP et je n'ai vu aucun skype d'installer. Ce serait surtout pour bloquer emule. J'en ai vu quelques un qui trainaient et sur les postes et d'aprés mes relevés j'atteinds des pics de saturation de traffic sur une SDSL 2MO pour 40 users dont la moitié en vacances. Y'a des n° de ports a bloquer sur le routeur pour emule ou c'est plus compliqué que ça?

bloquer un port c'est inutile, il faut bloquer le protocole, donc faire du filtrage dans les couches hautes.

C'est orange qui gere la config de mon routeur, que faut il donc que je leur demande de bloquer afin que ca soit efficace. J'ai meme des users qui jouent en réseau sur le net avec leur PC du boutot (warcraft et compagnie) !!!!!!!

commence par bloquer ce dont tu n'as pas besoin, ensuite met une firewall, un routeur c'est du L3, avec ça tu ne vas pas très loin.

au pire si tes partitions sont en ntfs tu met des quotas sur les disques dur comme ça ils ne peuvent pas télécharger vu qu'il y a pas de place

Je prefererai une solution moins "usine a gaz".  

 
Si emule utilise quelques ports specifiques, ne me suffirait il pas de les bloquer? (encore faudrait il que je connaisse les ports concernés).

Attache-toi à lire ce qui est déjà écrit dans les réponses précédemment données.
 
Si emule utilise par défaut le port 4662, ce n'est pas pour autant qu'il n'est pas possible de le faire se connecter en passant par un port 80, 25, 110... Bref bloquer un port est aussi illusoire que danser le Sirtakis sur pluton.
 

www.google.fr
 
De temps en temps il faut aussi savoir se bouger, attendre que tout se fasse n'est pas une solution acceptable.

J'ai bien cherché avant de poser la question et je n'ai rien trouvé qui liste les ports qu'utilise Emule !

http://www.google.fr/search?hl=fr& [...] ogle&meta=
 
tu te fous de ma gueule?