Bonjour,
 
Je suis administrateur réseau dans une entreprise avec une 60ène d'ordinateurs sous windows xp.
La direction me demande de fournir chaque mois un relevé des sites visités par utilisateur ou nom de machine (ca revient au même)
 
Quelle solution puis je mettre en place ? J'ai entendu parler de Squid, mais je voudrais que le système soit la de manière transparente.
Tout internet doit rester accessible sans authentification de la part de l'utilisateur.
 
Je peux sans soucis avec cette structure, le tout est de savoir quoi installer et sous quel OS.
Réseau interne ==> PC intermédiaire avec une entrée ethernet et une sortie ==> Internet
 
Merci

tu monte un serveur proxy que tu met entre le switch central et le modem vers l'exterieur  ( squid sera parfait )  
 
après il faut renseigner le poxy sur chaque PC ( parametres du navigateur ) mais normalement si tu a des profils c'est faisant depuis le serveur (du moins sur IE)  
après y a plus qu'a lire les log du proxy pour savoir qui va ou  

Ok merci, décidément tout le monde conseil Squid
Au niveau desstats qu'il va me sortir (moi j'aimerai vraiment les pages qu'un utilisateur a visité ou une ip) est ce qu'il fait ca proprement ? Ou alors il faut fouiller dans les logs ?

ben squid est gratuit et dispose d'un solide support donc pourquoi prendre un truc payant qui marche pas mieux ????? CQFD  
 
les logs brut sont illisible , c'est wattmilles lignes avec sur chaque ligne indiqué ( dans le desordre)  
URL visité, heure, ip d'appel + qlq autres trucs , ca fait longtemps que j'ai pas bossé dessus je me souvient plus des details  
 
 
mais tu importe les logs dans un soft autre et tu trie, genre simplement avec excel par import de fichier TXT separateur point virgule , tu trie les visites par IP puis par heure ( pour ne pas considerer les visites aux heures de pauses par exemple) et après qlq  macro VB de base pour comparer avec une black liste et basta  

Ou tu utilises sarg ou webalizer qui gère tout seul l'analyse des logs et te ressort des pages html avec les principales stats ..

niveau confidentialité, le utilisateurs doivent ils être informés de la démarche de la direction?

ben deja a moins qu'il arrive a deployer les parametres proxy depuis le serveur, ils va devoir regler chaque machine 1 a 1 .. ca devrait mettre la puce a l'oreille des gens  
 
ensuite je suis d'accord.. un flicage en regle sans etre prevenu c'est crade, mais bon ... surfer au boulot au lieu de bosser c'est pas le but, et si tu te fait gauler faut assumer ( d'ailleur je faut retourne bosser moi )

Bon merci pour tout je vais adopter cette solution
Les utilisateurs ne seront pas prévenus je pense ...
La configurer du proxy au niveau d'IE doit bien pouvoir se faire au niveau d'une stratégie de groupe ou autre .. Pour que l'utilisateur n'y vois que du feu
Mais je me pose une question, comment ca va se passer pour tout ce qui est logiciel de messagerie, logiciel ayant besoin de communiquer avec l'extérieur, etc ... Est ce que je peut tout laisser ouvert ? En gros utiliser le proxy uniquement pour une écoute du réseau et non un filtrage

mais lache discretement l'info aux collegues quand meme  
 
se faire espionner comme ca c'est quand meme un peut limite,  
 
enfin tout depent de ce que la direction veut savoir
 temps de surfs/heure de connexion OK  
verifier qu'il y a pas de site porno/illegaux OK  
le detail prescis des pages 1 par 1 c'est pas no OK , ca releve de la vie privé ca selon moi  
 
edit un proxy peut etre utilisé en ecoute ou en filtrage, tout depent des reglages  
 
les mails et autres softs passent en dehors du proxy s'il n'exploitent pas le bon protocole donc ca passera pas si tu met pas un soft de routage/pont  pour les faire transiter  

légalement, les utilisateurs doivent absolument savoir qu'ils sont fliqués par la direction.

Tu peux utiliser ton proxy de manière transparente. Aucun paramétrage à réaliser sur les postes clients.
 
Tu cherches à monter la solution toi-même ou la direction est prête à débourser des sous ?

Je cherche à monter ça moi même, je vais donc devoir trouver la bonne distrib et un bon tuto pour faire un serveur squid de manière transparente

C'est obligatoire. Si tu les pistes sans qu'ils en soient informés, les conséquences pour l'entreprise peuvent être lourdes (violation de vie privée, etc.).

Nous sommes en train d'installer IPCop pour le filtrage avec SquidGaurd.
 
D'après les premiers tests (pas encore en prod mais c'est prévu d'ici quelques jours), les résultats sont plutôt positifs.
 
Une petite modif dans les confs de Squid/SquidGuard permet de récupérer le nom de la machine (on n'a pas le nom de l'utilisateur car on est en mode transparent) dans les logs de Squid.

 
 
Ok.
 
je te conseille smoothwall plutôt qu'IPCOP car le dev sur ce dernier est au super ralenti (tjs en noyau 2.4).
En addons : advanced proxy pour la gestion avancée de squid + URLFilter (squidguard) ou Dansguardian (plus avancé que squidguard)

Salut
 
Niveau technique je pense que tu as deja les bonnes reponses, par contre, comme d'autres te l'on deja dit, surveiller les sites consultés par les utilisateurs a leurs insu est une violation de vie privée, soit tres prudent dans ta demarche de mise en place de cette surveillance surtout si tu penses que la direction de ton entreprise n'a pas l'intention de prevenir les utilisateurs
 
Les utilisateurs doivent etre prevenu par ecrit que la direction se reserve le droit de surveiller les communications electroniques et/ou telephoniques
 
Je te conseille fortement avant de mettre en place quoi que ce soit de demander des ordres par ecrit de cette facon si un utilisateur attaque la direction pour violation de vie privée tu ne pourra pas etre tenu pour responsable.
 
Je parle en connaissance de cause vu que j'ai deja du mettre en place ce type surveillance suite a des abus.
 
A bon entendeur
 

Ok merci pour les conseils
Mais du coup, surveillance de communication, etc je me dis que c'est peut etre trop gros pour moi qui veut uniquement avoir chaque mois un compte rendu des sites visités par utilisateur...

Vu que tu veux le faire par utilisateur, tu n'as pas d'autre choix.
 
Si tu ne veux pas passer par un process aussi lourd, tu peux toujours faire des statistiques globales sans cibler des utilisateurs. Néanmoins, une communication générale est quand même préférable.

untangle fait facilement ce que tu souhaites sans passer trop de temps à installer et configurer.
 
La passerelle est transparente, pas besoin de renseigner de proxy, bcp de protocoles sont gérés et les rapports sont assez complets.
 
Untangle est basé sur des modules open-source et la version de base est gratuite. Je n'ai pas eu besoin d'acheter les modules additionnels.
 
Bien sûr, untangle n'est pas parfait mais il est évolue régulièrement et les manques sont peu-à-peu comblés.

J'essaie de me renseigner sur untangle mais il n'y a pas beaucoup de site qui en parlent.. Par exemple quelle distrib est la mieux adaptée, comment le configurer,y a t'il besoin de toucher au routeur, etc
Merci pour ta réponse en tout cas.

Quelle distrib est la mieux adaptée ?
Pas besoin d'installer Linux, Untangle peut s'installer à partir de zéro. Untangle est basé sur une Debian (Lenny).
 
Comment le configurer?
Un assistant est proposé à l'installation, tu choisis les options que tu souhaites. Ensuite, tu te connectes avec un navigateur pour paramétrer et lire les logs.

Y a t'il besoin de toucher au routeur?
Untangle s'adapte à différentes configurations : mode bridge ou pas.
 
Beaucoup d'informations sont disponibles sur le wiki: http://wiki.untangle.com

Typiquement, la mise en place d'un proxy doit être signalée aux utilisateurs à travers la Charte Informatique

 
les utilisateurs doivent etre prévenue qu'il sont surveillé via une charte informatique par exemple.
de plus, si tu conservent les logs plus de 30 jours, ou si tu veux te servir de tes logs lors d'une procédure judiciaire, il te faut une déclaration CNIL également.

Pas de déclaration cnil obligatoire pour des logs (et conservation maximale de 13 mois je crois). Par contre tout ce qui est traitement informatique des données personnelles oui (un Active Directory rempli, le traitement des feuilles de paie, des congés, des données des employés...).

un fichier de log qui comporte @IP ou hostname doit faire l'objet d'une déclaration cnil  (a vérifier mais je croit ne pas me tromper) car avec l'@IP ou le hostname tu peux retrouver le nom de la personne.
apres c'est vicieux, car tu peux dire que tu surveille le PC et non pas la personne si le PC est utiliser par plusieurs personne, mais c'est jouer sur les mots ^^

Non, ce n'est pas obligatoire
La Cnil considère que les logs sont nécessaires à la sécurité d'un réseau.

autant pour moi alors
rectification, tu n'a pas besoin de déclaration cnil ^^