Besoin de conseils dans le choix d'un proxy

Besoin de conseils dans le choix d'un proxy - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 28-05-2007 à 15:47:43    

Bonjour,
 
Je suis actuellement à la recherche d'un proxy. N'y conaissant pas grand chose, je me tourne vers vous pour me donner les différents proxy que vous utilisez dans vos entreprises, quels sont ceux que vous me conseillez, ou bien ceux qu'il faut fuire comme la peste. Voici ce que je recherche :
 
- Fonction de cache.
- Filtrage des sites via url/mot clé.
- Filtrage des extentions.
- Filtrage par utilisateur (connexion avec l'AD).
- Avec des statistiques complet. (consommation par utilisateur, les sites les plus vu, les sites les plus vue par utilisateurs, etc...)
 
Et surtout : avec une interface graphique pour naviguer/configuer tout ça.
 
Sachant également que nous avons un sonicwall tout neuf en guise de firewall, tout le superflux (antivirus, antispam et tout le tralala) n'est pas forcément utile.
 
Je me suis déjà penché sur les produits suivant :
> ISA Server 2007 :
Dixit un de nos prestataire extérieur, c'est une vrai usine à gaz. Vos réactions ?
 
> Squid :
Interface/configuration plus qu'austère, même si je ne critique pas la fonction de proxy en elle-même.
 
> Boitier Telmat Web :
Bon boitier qui a le mérite de posséder une interface graphique même si très austère et peu accessible. Fait apparemment bien son boulot mais ne m'a pas emballé
 
Et vous, pourriez vous me dire ce que vous utilisez et quel sont les points forts, les points faibles de chaques application (y compris celle que j'ai cité, plus j'ai d'avis, mieux c'est !)
 
Merci à tous.


Message édité par NoiBe49 le 28-07-2007 à 09:50:27
Reply

Marsh Posté le 28-05-2007 à 15:47:43   

Reply

Marsh Posté le 28-05-2007 à 19:38:30    

Squid fait tout et c'est gratuit...
simplement l'implémentation avec L'ad que je ne pense pas possible..
le reste est assez simple

Reply

Marsh Posté le 28-05-2007 à 19:44:57    

bluecoat fait du bon boulot, et s'integre avec l'AD.
mais un poil deroutant à cofnigurer

Reply

Marsh Posté le 30-05-2007 à 09:00:09    

Reply

Marsh Posté le 30-05-2007 à 10:59:03    

Ca a l'air possible Squid avec AD : http://client.olfeo.com/article.php3?id_article=49 (merci olfeo :D)
Squid est administrable via Webmin mais bon, faut quand mettre un minimum la main à la pate.

Reply

Marsh Posté le 30-05-2007 à 12:13:27    


olfeo c'est juste du filtrage de contenu, il nécessite une sous-couche type ISA ou squid.

Reply

Marsh Posté le 30-05-2007 à 12:23:37    

Krapaud a écrit :

olfeo c'est juste du filtrage de contenu, il nécessite une sous-couche type ISA ou squid.


Si t'achetes l'appliance tout est installé, donc meme si ca repose sur squid ca peut rester transparent pour l'utilisateur, tu admin depuis l'interface web.
Idem si tu  l'installes toi meme sur un serveur, tu dl une version modifié de fedora par olfeo ou tout est deja inclus et tu admin depuis l'interface web.
Le package olfeo peut donc inclure un proxy qui en + fait filtrage URL via les bases olfeo.
La solution Olfeo est d'ailleurs testable pour se faire une idée, suffit d'aller sur leur site !
 
Aprés s'il cherche du gratuit, c'est sur que ca répond pas a la question.
 
Isa server 2007 : suffit pour le tester de choper la version d'éval, je pense que pour un simple besoin de proxy il est pas forcement adapté puisqu'il peut faire surtout office de firewall, d'ailleurs l'interface est surtout tourné vers la configuration des regles de filtrage et les options de paramétrage du proxy sont pas nombreuses. Pour ma part en tant que firewall j'en voudrais pas et juste comme proxy de base non plus, autant mettre squid, car ISA = achat ISA + licence de l'OS.


Message édité par bluesboy le 30-05-2007 à 12:30:25
Reply

Marsh Posté le 30-05-2007 à 18:36:36    

ISA est largement plus puissant que ne l'est Squid, je pense que tu as omis un gros morceau de ton analyse...
 
L'appliance Olfeo est effectivement toute packagée, mais je n'ai pas parlé de l'appliance précédemment, juste de la brique logicielle Olfeo.

Reply

Marsh Posté le 30-05-2007 à 18:47:31    

Si il a que des postes windows et qu'il veut avoir un reporting en fonction de l'utilisateur (AD) je ne sais pas si mis à part ISA 2006 (et pas 2007) il y en ait beaucoup

Reply

Marsh Posté le 30-05-2007 à 18:52:22    

Squid le fait ;)

Reply

Marsh Posté le 30-05-2007 à 18:52:22   

Reply

Marsh Posté le 30-05-2007 à 20:07:24    

tous le font ou presque, des lors qu'il y a un connecteur vers l'AD

Reply

Marsh Posté le 31-05-2007 à 09:54:02    

Krapaud a écrit :

ISA est largement plus puissant que ne l'est Squid, je pense que tu as omis un gros morceau de ton analyse...


 
Qu'est-ce qui te permet d'affirmer ça ?
 

Krapaud a écrit :

Squid le fait ;)


 
Avec quel module ?

Reply

Marsh Posté le 31-05-2007 à 10:41:51    

Pour ma part, j ai administré un serveur squid pendant des années ....

 

ce que j ai le plus a lui reprocher, c est son manque de soutient professionnel. J ai eu a de nombreuse reprise des crash, ba ... .c est pas la mailling liste qui m a aidé a solutionner.

 

ensuite, gros point noir a mon sens : Squid est mono-tache, Mono-Thread(enfin dans les versions que j ai utilisé) la seule chose qu'on peut rendre multitache, c est l'écriture sur le HD du cache. Tres dommage a l'epoque ou de simple station de travail sont multicore et ou les serveurs en ont jusqu a 4, voir 8 Cores.
Rajoutons que Squid est incapable de gérer les authentification NTLM utilisé enormement dans mon entreprise.

 


Pour ISA,... c est pas tout rose non plus,... On est en train de migrer vers ISA2004 et il y a des soucis avec Kerberos, un SP3 vient de sortir avec plein de fix,... on va le mettre en tests.
Pour ce qui est du prix de ISA, il faut prendre en compte que c est :
Licence OS+ (Licence ISA*Nombre de CPU)  
Pour la version Entreprise,... ca commence a douiller pour les serveurs a 4 CPUs

Message cité 2 fois
Message édité par Z_cool le 31-05-2007 à 10:43:12

---------------
#mais-chut
Reply

Marsh Posté le 31-05-2007 à 11:21:50    

Z_cool a écrit :


Rajoutons que Squid est incapable de gérer les authentification NTLM utilisé enormement dans mon entreprise.


 
C'est possible avec krb5 + samba + winbind

Reply

Marsh Posté le 31-05-2007 à 16:27:30    

Sinon Apache est très bien en proxy :)

Reply

Marsh Posté le 12-07-2007 à 12:37:58    

je remonte le topic, étant en plein dans la problèmatique ...
 

Z_cool a écrit :


Rajoutons que Squid est incapable de gérer les authentification NTLM utilisé enormement dans mon entreprise.


 
et l'Authentification Transparente NTLM sur Active Directory, ça ne fonctionne pas ??

Reply

Marsh Posté le 13-07-2007 à 18:13:39    

Reply

Marsh Posté le 27-07-2007 à 17:10:07    

corrigez moi si je me trompe mais perso, j'ai commencé depuis un moment à me documenter pour remplacer dans le futur notre proxy/firewall...et j'en conclue que si l'on veut une gestion fine par user/groupe AD (regle d'accès par groupe, reporting par user), RIEN ne vaut un ISA 2006 (et encore sous reserve que la machine soit intégré dans le domaine) + le client parefeu sur les postes.
 

Reply

Marsh Posté le 27-07-2007 à 20:11:29    

donc t'as rien lu...
Pour te faire plaisir, je vais te dire ce que tu veux entendre:
Oui, il n'y a que l'ISA Proxy qui permet de faire ce que tu veux.
Achete un ISA

Reply

Marsh Posté le 27-07-2007 à 20:57:12    

Pourquoi être aussi méprisant ?

Reply

Marsh Posté le 27-07-2007 à 22:42:29    

ouais pourquoi ?, on se le demande... :sarcastic:
au lieu de le prendre de haut, argumentes et montres moi en effet que j'ai zappé certains outils.
Un outil qui permette de dire le groupe AD machin est autorisé sur http en sortie sur une liste d'adresse determinée et par exemple le groupe AD bidule est autorisé en sortie sur FTP uniquement (un peu idiot comme exemple mais bon)

Reply

Marsh Posté le 27-07-2007 à 23:32:20    

Moi je conseil squid, car installé sur une machine linux, pas forcement tres véloce, il est tres fiable, tres sécurisé et surtout, tres modulable et ayant beaucoup de possibilité de modifcations pour l'adapter a ce que l'on veut.
 
certes, il n'a pas de belles interfaces pour etre gérer ... mais ce n'est pas la beauté qui fait l'efficacité, surtout pour un "logiciel" de sécurité ...

Reply

Marsh Posté le 27-07-2007 à 23:42:16    

et le contrat de support quand ça merde ? Parce que c'est quand même ça l'interêt des produits commerciaux...


Message édité par dreamer18 le 27-07-2007 à 23:42:47

---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 28-07-2007 à 01:06:38    

Effectivement ... tu peux toujours te tourner du coté de IMSS et IWSS .... et comme par hasard, je ne me souviens plus du tout du nom de l'editeur ... je crois mais c'est a vérifier, qu'il s'agit de TREND "qq chose" ...

 

je crois que IMSS et IWSS sont des modules de INTERSCAN ... recherchez de ce coté là ...

 


Message édité par shreckbull le 28-07-2007 à 01:07:15
Reply

Marsh Posté le 28-07-2007 à 12:48:23    

shreckbull a écrit :

Moi je conseil squid ...


justement, j'ai testé IPCOP basé sur SQUID + l'add-on Advanced Web proxy. ça marche tip top sur une vieille bécane mais au niveau relation AD, c'est pas ça.
 
j'avais aussi zieuté du coté des softs Interscan de Trend et du coté de Wingate mais je les ai pas testé par contre

Reply

Marsh Posté le 28-07-2007 à 13:19:42    

Ah ben oui, mais ipcop ... c'est pas génial !!!
 
tu devrais prendre une distribution plus fiable et installer toi meme, squid et squidguard ... et ajoutr les ADD ONS ... notament LDAP_AUTH ...
 
mod LDAP_AUTH qui doit etre dispo pour ton ipcop ... donc cherche un peu tu devrais trouver !

Reply

Marsh Posté le 28-07-2007 à 13:24:37    

Sinon, tu peux prendre PFSENSE ... qui est 5000 fois mieux et plus fiable que ipcop !

 


Tu as squid de dispo avec plusieurs auth possible, notament LDAP.
Squidguard sera tres bientot disponible ...
Et LightSquid est deja disponible !


Message édité par shreckbull le 28-07-2007 à 13:24:59
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed