Surveillance des urls sur mon réseau - Sécurité - Systèmes & Réseaux Pro
Marsh Posté le 05-01-2010 à 15:57:11
Une Charte informatique d'entrerpise
couplée
à une politique de sécurisation des postes de travail (afin d'empecher l'utilisateur d'instqller n'importe quoi)
couplé
à un bon proxy ou une appliance de type firewall "intelligent".
=> tu filtres et pas besoin de surveiller. d'ailleurs en surveillant les sites sur lesquels vont tes utilisateurs, tu risque (et surtout ton patron) d'avoir quelques ennnuis avec l'inspection du travail.
Marsh Posté le 05-01-2010 à 16:52:15
Pour la charte informatique c'est bon
Je pensais mettre un parefeu avec ce système de surveillance pour qu'ne cas de problème on sache qui est responsable.
Je pensais qu'en avertissant les utilisateurs on avait pas de problème.
Et j'avais repéré la solution en ligne Olfeo : http://www.olfeo.com/main.php?nom=tarifs
Mais il faut que je compare avec une solution "maison" si le prix est justifié.
Merci à toi.
Je continue de chercher.
Marsh Posté le 05-01-2010 à 17:20:29
Déjà, plus de pb si tu appliques un minimum de sécurité et de filtrage, tu n'auras plus de p2p, plus d'accès aux sites porno..etc...
Par contre un parefeu de base, ne fera pas de filtrage protocolaire ni de filtrage d'URL. Il te faut une appliance "tout en un" (firewall, proxy, filtrage, qos...) un peu comme celui de ton lien (je connais pas ce matériel, mais je peux te dire que les tarfis proposés sur leur site sont élévés par utilisateurs).
Ensuite tu as la 2ieme piste à savoir une solution maison. à base de PC avec plusieurs cartes réseau et bidouille Linux ou openBSD. Mais là, entre en ligne de compte d'autres critères que le prix à savoir : vos compétence en interne pour installer et gerer ce matériel, plus le temps passé à déployer cette solution, sa pérénité, le support..etc....
Marsh Posté le 06-01-2010 à 08:41:47
Oui c'est le problème, voir quelle solution a le meilleur compromis prix/temps passé.
Merci bien pour tes réponses.
Marsh Posté le 06-01-2010 à 08:45:42
Ce sujet a été déplacé de la catégorie Réseaux grand public / SoHo vers la categorie Systèmes & Réseaux Pro par ViMx
Marsh Posté le 06-01-2010 à 09:25:27
Merci pour le déplacement je n'avais pas fait attention en postant...
Sinon pour en revenir à olfeo l'avantage c'est qu'il reprend les listes de filtrage en rapport avec la france, et pas uniquement mondiales.
Marsh Posté le 06-01-2010 à 11:27:06
J'utilise olfeo, je le trouve très bien et pas spécialement cher comme solution de filtrage url.
Marsh Posté le 06-01-2010 à 11:34:20
sohiermdp a écrit : et pourquoi pas une distri Linux ? |
je me repète.... :
Ensuite tu as la 2ieme piste à savoir une solution maison. à base de PC avec plusieurs cartes réseau et bidouille Linux ou openBSD. Mais là, entre en ligne de compte d'autres critères que le prix à savoir : vos compétence en interne pour installer et gerer ce matériel, plus le temps passé à déployer cette solution, sa pérénité, le support..etc....
Marsh Posté le 06-01-2010 à 11:52:49
je pense que la pérénité et le support sont également à prendre en compte pour une appliance prestataire : viabilité économique de l'entreprise...
Marsh Posté le 06-01-2010 à 12:01:10
c'est evident.
Marsh Posté le 06-01-2010 à 12:04:32
Bonjour,
si tu as une utilisation de P2P, tu as deja des gros soucis de sécurité ( firewall non existant ou très mal paramétré sur les Flux entrants).
1) tu n'as pas de compétences en interne, tu cherches un prestataire
2) tu as de compétences, tu gères ton FW convenablement, tu mets un proxy Squid, installé en 1/2 journée ( au pire) avec tous les tutos du net ..
Mon avis.
Marsh Posté le 06-01-2010 à 12:34:00
je ne le répèterais jamais assez, on ne bloque pas du p2p uniquement en jouant avec les regles (sortantes ou entrantes) d'un firewall.
Marsh Posté le 06-01-2010 à 13:39:32
sohiermdp a écrit : et pourquoi pas une distri Linux ? |
J'y ai pensé, j'essaye de comparer toutes les solutions possibles
supernina a écrit : J'utilise olfeo, je le trouve très bien et pas spécialement cher comme solution de filtrage url. |
Pas cher c'est vite dit
C'est pour un peu plus de 60 employés... C'est donc très cher.
Je viens de voir aussi ISA server sur windows, mais là pareil c'est pas donné, donc bien réfléchir avant.
Marsh Posté le 06-01-2010 à 13:44:48
boobaka a écrit : Bonjour, |
Pour les compétences il y a un informaticien qui les a. S'il s'absente son second risque de ne pas pouvoir assurer la maintenance car il n'a pas de connaissances sur linux. Donc il y a ce problème là, et aussi le routeur internet qui est géré par le FAI (là aussi pour cette raison et pour le temps.)
Moi je ne suis que stagiaire donc si c'était ma boite je prendrais un linux c'est clair. Mais je dois prendre en compte les compétences des gens qui sont dans l'entreprise
Je pense que je vais tester SQUID et voir si c'est jouable dans un premier temps.
Marsh Posté le 06-01-2010 à 14:04:36
vrobaina a écrit : je ne le répèterais jamais assez, on ne bloque pas du p2p uniquement en jouant avec les regles (sortantes ou entrantes) d'un firewall. |
Non ce n'est pas ce que j'ai voulu dire, mais en administration de base :
Marsh Posté le 06-01-2010 à 16:46:07
campi a écrit : |
campi a écrit : |
Je l'utilise pour nettement plus d'utilisateurs et comparativement au reste de l'infra, je trouve le prix parfaitement abordable.
Le prix sur le site est un prix catalogue négociable.
Tu px demander à le tester un mois (voire 2) gratuitement avec une licence temporaire pour faire ton choix.
Le net est devenu tellement important, qu'un truc bidouillé, lourd a maintenir et avec une catégorisation moyenne des sites me semble peu adapté a une entreprise.
Bien sur tout dépend de tes moyens et des besoins.
Marsh Posté le 07-01-2010 à 09:34:31
Salut l'ami,
je bosse dans une cité scolaire, donc je vais peut être pouvoir te filer un coup de main.
Déjà, je te conseille de te renseigner auprès de la Région/DSI pour savoir s'ils n'ont pas une solution en serveur mandataire à te proposer. Je te dis ça car généralement ils aiment bien utiliser les mêmes solutions dans tous les collèges/lycées de la région, c'est toujours plus simple à maintenir.
Sinon, tu peux te lancer dans SQUID, qui est vraiment fonctionnel. C'est d'ailleurs celui qui est utilisé chez moi, en Lorraine. Tu trouveras aussi beaucoup de doc sur le net pour sa mise en place sous linux.
Bonne continuation
Marsh Posté le 07-01-2010 à 11:02:19
supernina a écrit : |
Je vais surement prendre contact avec eux pour voir ça
Pour le moment je teste un squid.
tabarez a écrit : Salut l'ami, |
Bonne idée merci
Marsh Posté le 20-01-2010 à 11:10:47
Bon après avoir testé squid, que je trouve pas mal, je voulais demander à ceux qui l'utilisent ce qu'il me faut comme machine pour l'utiliser avec une centaine d'utilisateurs et avec squidguard webmin et sarg, voir un parefeu en plus. Merci
Marsh Posté le 23-01-2010 à 00:32:21
ça peut tourner sur n'importe quel type de machine.
tout au plus, avoir pas mal de mémoire pour le cache.
Marsh Posté le 25-01-2010 à 15:18:41
J'ai testé sur un P4 2.4GHz avec 1Go de ram ça tourne pas mal mais la machine n'est pas en place juste en phase de test. Je voulais savoir si ça suffirait ou s'il faut que je commande une machine récente.
Sinon j'ai testé ipcop, s'il y a des connaisseurs. ca plait bien à mon maître de stage qui n'est pas fan des lignes de commande
Je l'ai installé dans sa dernière version avec advproxy et urlfilter.
Le tout fonctionne bien et est simple à configurer. il y a une authentification des utilisateurs via le contrôleur de domaine en active directory qui fonctionne là aussi parfaitement;
Il me reste un dernier petit problème avec cette configuration: arriver à obtenir le nom des utilisateurs en face des urls dans le journal de la GUI.
Si vous connaissez une solution ou un addon pour faire ça je suis preneur.
Merci
Marsh Posté le 19-02-2010 à 17:41:15
tu peux aussi regarder:
http://www.ironport.com/products/ironport_s160.html
Marsh Posté le 21-02-2010 à 09:32:23
campi a écrit : Bonjour voilà mon problème, j'ai besoin d'installer une solution de surveillance des urls sur le réseau de mon entreprise afin d'éviter des désagrément de type téléchargements illégaux ou autre. |
Il existe des distributions spécialisées pour cela.
Regarde du coté de Smoothwall. Tu trouveras ton bonheur en quelques heures.
Pour la machine qui doit héberger, n'hésite pas à acquérir un boitier mini-itx de ce type : http://www.litchipc.com/produit.ph [...] a=17&idr=5
Marsh Posté le 21-02-2010 à 15:30:49
il y a aussi Iptables sous Linux. Il demande un temps d'adapation mais il fonctionne bien : filtrage sur IP et ports. IPCOP.
Marsh Posté le 24-02-2010 à 10:54:50
Je me suis installé un IPCop, ça répond assez bien à mes besoins finalement. Je lui ai ajouté pas mal d'addons du style advproxy, urlfilter, bot, sarg, etc...
Finalement j'ai un proxy configuré par GPO pour les clients grâce à l'AD et wpad, et c'est assez pratique
Sinon pour ceux qui utilisent olfeo vous savez si c'est possible d'avoir un configuration automatisée des navigateurs avec?
Comme machine j'ai récupéré une vielle tour IBM avec un P4 et ça tourne très bien.
Marsh Posté le 24-02-2010 à 11:26:30
Olfeo utilise squid comme proxy embarqué.
wpad c'est parfait pour la conf auto des navigateurs.
Marsh Posté le 24-02-2010 à 11:30:13
campi a écrit : Je me suis installé un IPCop, ça répond assez bien à mes besoins finalement. Je lui ai ajouté pas mal d'addons du style advproxy, urlfilter, bot, sarg, etc... |
Regarde du coté de Smoothwall avec l'addon DGAV
Ipcop est un dérivé de Smootwall mais ce dernier a mieux progressé en fait (noyau 2.6, graphs des débits, QOS, etc.)
DGAV est basé sur dansguardian et fonctionne avec Squid en mode transparent (= pas de réglage du proxy dans les navigateurs)
Marsh Posté le 24-02-2010 à 16:34:56
Ouais mais je veux une authentification des utilisateurs moi.
Marsh Posté le 10-03-2010 à 11:48:23
campi a écrit : J'ai testé sur un P4 2.4GHz avec 1Go de ram ça tourne pas mal mais la machine n'est pas en place juste en phase de test. Je voulais savoir si ça suffirait ou s'il faut que je commande une machine récente. |
C'est marrant, j'ai réalisé mon projet de fin d'études sur cette distrib' (contrairement à tous mes camarades qui voulant également faire un projet orienté proxy/filtrage se sont tournés vers Squid).
Très très bon choix IpCop, notamment pour sa facilité d'administration (interface web hyper intuitive).
Advproxy et Urlfilter sont les premiers plugins obligatoires sur un IpCop, ils multiplient les capacités de filtrage par 1000 donc bonne initiative
"../.... arriver à obtenir le nom des utilisateurs en face des urls dans le journal de la GUI..../...."
De mémoire (et oui ca fait un moment que j'ai réalisé mon projet ^^) je dis bien de mémoire, il me semble que tu as la possibilité à travers Advproxy (a moins que ca ne soit sous IpCop directement) d'associer les @ MAC à des noms d'utilisateurs, ou du moins a des noms NETBIOS.
Si j'ai le temps dans la journée, je verifie sur Ixus.net (dailleurs jte conseille leur forum, ya pas mal de ressources pour IpCop) et jte file l'info
Edit :
Je viens de vérifier, j'ai téléchargé le travail d'un étudiant qui à l'air de s'être donné du mal, extrait de son projet, je cite :
Journaux du Filtre URL
Permet de consulter les pages bloquées.
La catégorie indique le filtre qui a bloqué cette page et l'adresse Client, l'IP de la machine d'où la page a été demandée.
Le lien vers son pdf t'aidera peut-être :
http://daniel.dls.free.fr/tutorial [...] raffic.pdf
Allez, au travail et tiens nous au courant xD
Marsh Posté le 10-03-2010 à 13:30:05
n0b0dY92 a écrit : C'est marrant, j'ai réalisé mon projet de fin d'études sur cette distrib' (contrairement à tous mes camarades qui voulant également faire un projet orienté proxy/filtrage se sont tournés vers Squid). |
Ipcop est basé sur SQUID.
n0b0dY92 a écrit :
|
Advproxy permet une configuration avancée de SQUID.
URLFILTER ajoute Squidguard et donc la redirection (=filtrage)
Si on veut vraiment un redirecteur plus puissant, il faut se tourner du coté de Dansguardian qui tourne sous Ipcop et fonctionne en mode transparent.
Mais bon à l'heure actuelle, comme indiqué auparavant, il faut préférer Smoothwall.
On ne sera pas perdu, c'est la même base qu'IPCOP mais en mieux.
Marsh Posté le 11-03-2010 à 09:41:35
Smoothwall n'est plus maintenu depuis 3 ans maintenant.
Dernière release en date > la v3.0 – (22nd August 2007)
Trouvera t il les ressources dont il aura besoin pour son projet aussi simplement qu'avec IpCop ?
A voir...
Perso pour un projet aussi simple j'aurai tendance à passer par IpCop..
Après.. les gouts et les couleurs..
Marsh Posté le 11-03-2010 à 10:59:56
Ipcop est toujours sous noyau 2.4 (pas de support SATA quand même) et la communauté autour de Smoothwall est nettement plus active.
As-tu essayé Smoothwall ?
Tu y trouveras de plus des statistiques et des graphs sur les débits qui n'existent pas sous Ipcop et une QOS.
Je connais bien Ipcop. J'ai commencé sous la 1.3 et j'en ai encore qui tournent chez quelques clients.
Mais aujourd'hui je fais du smoothwall pour les raisons évoquées. J'espère que demain Ipcop sortira sous une version encore mieux
Mais pour l'instant ca a l'air au point mort
Marsh Posté le 11-03-2010 à 12:18:57
Tout à fait. de mon coté j'ai basculé de Ipcop 1.3 vers pfsense et Devil Linux, suivant les cas.
Marsh Posté le 26-04-2010 à 16:35:42
Ouch Devil Linux...
Un peu archaïque comme interface, une sorte d'écran noir et un curseur clignotant, ils auraient pu faire une GUI les feignants de dev sur le coup xD
Ca me rappelle les cours d'AS400 (et les parties de CS en Alt - Tab) lol
Marsh Posté le 26-04-2010 à 16:41:59
n0b0dY92 a écrit : Ouch Devil Linux... |
y'a pas de fioritures avec devil linux, tout se paramètre en ligne de commande. Bref il faut s'y connaitre pour le paramétrer finement. Par contre il est "rock stable" et très bien sécurisé (pour peu que l'on installe pas certaines options).
Marsh Posté le 26-04-2010 à 17:05:16
ne pas avoir de GUI, c'est une fonctionnalité aussi, ça te permet dans les pires moments d'intervenir sur ton firewall en ssh ou en console série, en savant t'en servir.
Marsh Posté le 30-04-2010 à 18:39:41
Faudra que je teste tout ça un jour
Merci pour vos conseils
Marsh Posté le 05-01-2010 à 14:58:38
Bonjour voilà mon problème, j'ai besoin d'installer une solution de surveillance des urls sur le réseau de mon entreprise afin d'éviter des désagrément de type téléchargements illégaux ou autre.
Quelles solution s'offrent à moi, je n'ai pas accès au routeur étant donné qu'il appartient à mon FAI et je n'ai pas de serveur proxy. (ça peut être l'occasion d'en mettre un en place).
Merci
Message édité par campi le 05-01-2010 à 14:58:53