Choix d'un boitier Firewall/filtrage "légal"

Choix d'un boitier Firewall/filtrage "légal" - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 06-10-2015 à 10:41:52    

Bonjour à tous,
le sujet du topic vous en dit déjà un peu, je dois mettre en place un système de protection/filtrage dans un centre de vacance hébergeant une centaine de personnes.
 
Le but est de répondre aux aspect légaux, tout en offrant une protection efficace. Il n'y a pas d'AD, simplement des postes indépendant reliés à un switch et une box Orange pro pour l'accès Internet.
 
Je connais bien la solution Olféo mais le tarif n'est pas supportable par la structure, du coup je ne sais pas trop vers quoi me tourner...
J'ai vu les boitiers Cisco de type RV325 mais coté filtrage URL je ne pourrais pas utiliser les listes telles que celle de l'université de Toulouse.
 
Mettre un serveur avec Smoothwall ou IpCop pourrait être une solution, mais j'aurais préféré une appliance en box, plus robuste [:cloud_]
 
Si vous avez des conseils, je suis preneur !
 
Merci  :jap:

Reply

Marsh Posté le 06-10-2015 à 10:41:52   

Reply

Marsh Posté le 06-10-2015 à 11:11:53    

Tu peux très bien monter un smoothwall sur une machine type appliance commerciale.
On n'est pas condamné à installer ce type de solution sur des vieux PCs dont plus personne ne veut !
 
Perso, j'installe sur ça : http://www.lex.com.tw/products/NEO.html
 
Mais tu peux aussi te tourner vers les solutions commerciales de Smoothwall : http://www.smoothwall.com/en-gb

Reply

Marsh Posté le 06-10-2015 à 12:49:16    

Attention d'un point de vue légal tu n'es pas tenu de "protéger" les utilisateurs.
 
Quant au filtrage c'est plus ambigüe.
En cas d'accès à du contenu illégal, d'un point de vue légal c'est la responsabilité du propriétaire de l'accès internet qui est engagée sauf s'il est en mesure de déporter cette responsabilité sur un utilisateur.
 
Donc par rapport à cette exigence tu peux filtrer et/ou logguer de manière nominative les accès.
Mais ça pose également d'autres problèmes légaux: durée de rétention des logs (1an), gestion des données nominatives, charte informatique, etc...
En gros c'est la merde et à peine 1% des accès "publiques" ou "collectifs" suivent les bonnes pratiques.
 
D'autant que dans la réalité je n'ai jamais entendu parler de grosses sanctions pour les propriétaires peu regardant, c'est souvent qu'un simple rappel à l'ordre avec autant d'efficacité qu'Hadopi.

Reply

Marsh Posté le 06-10-2015 à 12:59:38    

A IPCOP, je préfère IPFIRE en ce moment. La communauté est un peu plus active.  
 
C'est un "Fork" d'ipcop tu sera pas perdu avec pas mal de plugins déjà installés url filter, update Accelerator (qui est excellent au passage).
:hello:
 
sophos Home UTM aussi si tu as peu de poste :whistle:


Message édité par panpan_51 le 06-10-2015 à 13:03:55
Reply

Marsh Posté le 06-10-2015 à 13:23:56    

ShonGail a écrit :

Tu peux très bien monter un smoothwall sur une machine type appliance commerciale.
On n'est pas condamné à installer ce type de solution sur des vieux PCs dont plus personne ne veut !
 
Perso, j'installe sur ça : http://www.lex.com.tw/products/NEO.html
 
Mais tu peux aussi te tourner vers les solutions commerciales de Smoothwall : http://www.smoothwall.com/en-gb


 
Merci pour ces premiers commentaires, ils vont dans le bon sens et ça fait plaisir !
 
Tu me conseillerais quelle configuration pour héberger ce genre d'appliance et une centaines d'utilisateurs ? J'avoue que j'ai du mal à dimensionner la chose...
 
Alors je note (et vais tester) IpFire car effectivement, je connais bien IpCop (plus que Smootwall m'enfin c'est pas non plus le jour et la nuit j'imagine).
 
Et enfin, pou _lael_, ok c'est noté, ce qu'il me faut c'est donner les bons outils au directeur, je pense que ce que vous m'avez indiqué est adapté à ce besoin.

Reply

Marsh Posté le 06-10-2015 à 13:44:41    

La configuration ne dépend pas tant du nombre d'utilisateurs que des fonctions que tu vas activer ou non.

Reply

Marsh Posté le 06-10-2015 à 13:58:58    

C'est pas faux, ce sera du filtrage selon les fameuses listes de Toulouse (bien que souvent critiquées, ça me servira de base) et le pare-feu avec quelques règles de base pour bloquer certains ports. Avec un peu de marge pour des besoins futurs éventuels, on peut tabler sur quelle config ?

Reply

Marsh Posté le 06-10-2015 à 14:07:47    

Pour moi de l'ATOM (D525 par exemple), 2Go de RAM et un SSD font l'affaire.
 
Pourquoi indiques-tu que les listes de L'EN sont critiquées ?

Reply

Marsh Posté le 06-10-2015 à 14:25:35    

Merci ShonGail :jap: !
Je dit ça car lors de mes recherche de liste, je tombe sur tout et son contraire avec des articles qui, sans dire que ces listes sont mauvaises, critiques leur actualisation (et donc impact sur les performances), un exemple rapide :  
http://www.jenaireve.com/2011/12/l [...] as-suivre/
 
Je vais regarder combien coûte une config telle que tu me l'as indiquée !

Reply

Marsh Posté le 06-10-2015 à 14:38:07    

Attention le lien date de 2011.
A voir s'il est toujours d'actualité.
Après je crains que ce soit la cas. L'épuration n'est pas faite.
Maintenant il n'existe pas à ma connaissance d'autres choix de listes noires francophones :/

Reply

Marsh Posté le 06-10-2015 à 14:38:07   

Reply

Marsh Posté le 06-10-2015 à 14:40:47    

Je pense que ça reste une valeur sûre car effectivement, ça se bouscule pas au portillon quand on pousse la rechercher sur Google.
Savoir que le rectora utilise également ces listes...

Reply

Marsh Posté le 06-10-2015 à 14:59:46    

Une autre question ShonGail, vu qu'il n'y a pas de tarif sur le site de Lex, ça te revient à combien ce genre de config (HT) ?

Reply

Marsh Posté le 06-10-2015 à 15:05:41    

Tu peux regarder là : http://boutique.supleo.com/

Reply

Marsh Posté le 06-10-2015 à 15:08:46    

Ok merci, je leur ai envoyé un mail pour voir si je peux l'avoir moins cher en direct.

Reply

Marsh Posté le 24-10-2015 à 21:06:44    

au passage pfense vend sa solution en boitier sinon :
 
https://www.pfsense.org/hardware/

Reply

Marsh Posté le 29-10-2015 à 07:40:49    

Tu ne pourrai pas te tourner vers alacasar? C'est une solution open source de gestion de portail captif :jap:

Reply

Marsh Posté le 12-11-2015 à 15:21:55    

Alcasar fonctionne bien et est plutôt simple à mettre en oeuvre. Sinon si tu veux quelque chose de plus "pro" avec un boitier physique, chez nous on est en train de passer sur des boitiers Stormshield (je suis d'ailleurs certifié Administrateur depuis peu sur cette solution  :bounce: ). Tout dépend du budget de ta boite et de tes attentes en terme de sécurité, de fonctionnalités.

Reply

Marsh Posté le 12-11-2015 à 18:27:42    

+1 et en physique il y a ucopia aussi :jap:

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed