Bonjour à tous,
 
J'ai un projet à réaliser sous une debian (c'est mon choix perso), INSTALLER UN PROXY
 
Mon directeur souhaite que je me en place aussi vite que possible car nous rencontrons des problèmes sur nos réseaux. Voici une brieve historique :::
- Actuellement nous avons 10 filiales qui ont un accès Internet, mais nous n'avons pas de control sur les divers connexions des utilisateurs.
- Nous rencontrons des soucis au niveau bande passante dû a des téléchargements transparents
- Beaucoup des utilisateurs passent leurs temps à se connecter sur des sites d'adulte, donc ils attrapent des virus, spyware....
- Pendant les heures de travail beaucoup d'utilisateurs utilisent MSN
 
Ce que mon entreprise souhaite :
- Une meilleurs visibilité sur différents accès de site web
- Un  rapport mensuel sur les divers connexion par filliale
- Créer une liste pour bloquer les accès vers des sites non professionnel
- Alerter un utilisateur landa lorsque celui ci va sur des sites porno
 
 
Et encore d'autre chose; dite moi si vous avez d'autres idée pour la sécurité de l'entreprise
 
Ce que je compte faire (dite moi si c'est correct et me dire si cela peut se réaliser merci pour vos conseils)
- Installer un proxy sous squid
- Installer apache en plus pour pouvoir administrer squid via une interface web (je ne sais pas si cela est possible)
- Mettre en place des alertes lorsque un utilisateur essaye d'aller sur site non autoriser (exemple : vous n'avez pas le droit d'aller sur ce site, si cela est dans votre cadre professionnel, envoyer moi votre demande par mail.....), par contre je ne sais pas comment on met en place ce système.
 
Les questions que je me pose :
- Est il préférable d'utiliser debian pour installer squid ?
- Quel est la différence entre squid et squidguard ?
- Est il possible d'installer squid sur windows (moi je ne préfére pas, mais c'est une question de mon boss) ?
- Puis je utiliser un seul server proxy pour l'ensemble de mes sites ?
 
Merci d'avance pour vos réponses  
 
B0nd
 
 

- Puis je utiliser un seul server proxy pour l'ensemble de mes sites ?
 
Qu'est ce que tu appelle " bien sur, si ils utilisent tous le meme support pour sortir "
 
Et merci pour ta bonne volonté, les réponses aux questions
 
b0nd
 

 
Ils sortent tous par la meme connexion Internet?

Non, justement chaque ont un accès Internet free.
L'interconnexion de site à site (siege-filiale) se fait par un VPN.
Donc les filiales utilisent leurs propre connexion Internet pour surfer
 
A mon avis je crois que c'est mieu d'avoir un proxy par site (siege et filiale) car sinon j'aurais une surcharge de trafic au siege.
 
Ou alors, lorsque un utilisateur d'un filiale veut utiliser Internet passe par le proxy siege et que le proxy renvoie les paquet vers le réseau du filiale
 
Dis moi ce que t'en pense ou propose u

(suite)
Dis moi ce que t'en pense ou propose une solution plus complète et moins couteuse car je crois que ce n'est la meilleurs solution d'installer un proxy sur les 14 sites (filiale)
 
Merci d'avance  
 
B0nd

Pour ma part, ce serait 1 par site parceque je me voit pas refaire passer tout le traffic par le VPN

Tout d'abord merci pour ton éclairage, mais je me permet de t'expliquer un peu plus en détail le réseau actuel
Actuellement les  14 filiale utilisent chacun une connexion VPN pour se connecter au réseau du siege
De plus le siège utilisent 2 connexion Internet, 1 pour les connexion filiale et un autre pour les utilisateur du siège
Donc j'ai déjà une communication de trafic VPN entre le siege et filiale qui est relativement correct
 
Mon idée serai installer sur ce meme réseau un 2 proxy pour filiales
 
Est ce que tu crois que le faite d'intercaler un proxy  provoquerais une communication médicore.
 
Fonctionnement

 
Peux tu me dire si mon raisonnement peut tenir la route ou pas
 
Merci  
 
B0nd

Fonctionnement
 
user filiale demande une requete -->la requete rediriger vers le proxy-->le proxy valide par oui/non -->oui :le proxy renvoie la requete vers le routeur du filiale pour accèder à Internet.
 
Si c'est non : proxy renvoie à l'utilisateur un  popup

 
C'est un proxy, donc le flux passe http passe obligatoirement par lui, et non pas seulement un ACK à une demande d'autorisation ou non

C'est un proxy, donc le flux passe http passe obligatoirement par lui, et non pas seulement un ACK à une demande d'autorisation ou non
 
je ne comprend pas ce que tu veut me dire, peux m'expliquer plus en détail
 
merci  
 
B0nd

Egalement pouvez vous m'expliquer les termes suivantes car je n'arrive pas à comprendre la différence entre :
-squid
-squidguard
-squid transparents
 
Merci  
 
B0nd

Je te renvois a ce lien que quelqu'un t'a déjà donné dans ce topic et qui explique bien tout cela :  
 
http://christian.caleca.free.fr/squid/

J'eu la validation pour installer squid, pour l'instant on va acheté le serveur, puis dernère je vais commencer à installer debian et squid après.
 
Si besoin je vous demanderai votre aide. Pouvez vous m'aider SVP  
 
Merci  
 
B0nd

Pas de probleme

 
Bah c'est ton squid qui telecharge la page que le client à demander et qui lui envoie

salut,  
 
Squid est un proxy (mets en cache les pages internet statiques les + fréquemment accédées): donc quand tu essaies d'accéder à une page internet, la requête passe par squid qui vérifie si la page à laquelle tu tentes d'accéder n'est pas déjà dans son cache, si c'est le cas il te renvoie directement la page sans envoyer la requête sur le net, sinon il transmet la requête au site.
Squidguard est une extension (plugin?) de squid qui te permet de gérer des listes de sites interdits (site porno, webmail, site de paris...). A noter que Squid est capable de le faire sans squidguard via les ACL (access control list), mais ça devient vite très lourd à gérer, et c'est pourquoi squidguard est là
un proxy transparent: c'est simple, quand tu mets en place un proxy tu dois dire à tout tes utilisateurs de modifier leur paramètre de config dans firefox... pour leur dire qu'il faut passer par le proxy avec tel IP et sur tel port... le proxy transparent te permet de t'affranchir de cela (à condition que l'@ de la passerelle et celle du proxy soit la même).

ce qu'il faudrai à mon avis c'est un proxy par filliale, mais une bdd des sites interdits et autres parametres au siege
 
donc quand un proxy dois verifier si un site est authorisé, il demande à la bdd du siege, et apres il fait la connexion au site lui meme
 
donc le seul traffic filliales -> siege serai pour la connexion à la bdd
 
bon apres je sais pas si c'est possible

Un plus sur notre réseau
 
Je crois que je vous omis de vous parler d'une autre réseau qui est important. Les filiales que nous avons utilisent une connexion ICA pour se connecte à notre application métier, pour résumer nous avons une ferme citrix sur notre réseau.
Je vous en parle car j'ai une idée, pourquoi ne pas utilier cette connexion Citrix, je m'explique un peu de ce que je souhaite mettre en place :  
Le réseau LAN utilisera un proxy-cache (Plutôt proxy transparent)
Le réseau des filiales utilisera le même proxy-cache en passant par une connexion ICA, c'est à dire sur leur bureau ils auront un IE publié qui utilisera le proxy-cache du LAN.  
Voir le schéma Merci
 
Explication :  
Pour le réseau LAN du siège
1- Lorsqu’un user souhaite se connecter sur Internet
2- User passe par le firewall/ routeur (port 80)
3- Le routeur renvoit les vers le port 8080 (PROXY), regarde les reglès puis renvoit ou non sur Internet
 
Pour le réseau Filiale
Le réseau des filiales utilisent une application publié, Ce que je compte faire c’est utiliser un IE publié pour utiliser un seul PROXY se trouvant au siège
1- Un user du filiale lance IE publié et passe par le routeur, VPN, routeur du siege et arrive sur PROXY
2- PROXY renvoie ou non sur Internet selon les règles
 
 
 
 
PS : Dans le futur on va regrouper le réseau en 1, il n’y aura pas 2 réseaux (FERME CITRIX + RESEAU LAN)
 
Merci de m'aider et de me dire si cela vous semble réalisable  
 
Merci encore
 
B0nd  
 
 
 
 
 
 
 
 
 
 
 

Il est vrai qu'il sera bien plus simple de publier un IE sur le citrix, comme ca, un seul proxy
 
On l'utilise nous mais en TSE, donc pas de difference
 
J'ai pas compris le PS

Ouaip ca me parait pas forcement etre une bonne idée....Tousd les postes de tes sites distants, ont ils accès a l'application metier?
Car si ce n'est pas le cas, va vaut dire que pour chaque poste ayant acces Internet, tu paies une licence citrix...
De plus, le flux citrix doit etre reservé (pour optimiser les perf) a ton application metier (nous sommes dans le meme cas dans notre entreprise)...
Ne melangeons pas tout, tu optimiseras mieux en placant un proxy par site...Enfin ca reste mon avis..
++

Ouaip ca me parait pas forcement etre une bonne idée....Tous les postes de tes sites distants, ont ils accès a l'application metier?
 
Pour répondre à ta question "OUI" les filiales utilisent tous une application CITRIX et de plus cette application n'utilise pas beaucoup la bande passante, je crois que cela ne posera pas de problème en performance, mais je vais comme même étudier ta question.
 
Ne melangeons pas tout, tu optimiseras mieux en placant un proxy par site...Enfin ca reste mon avis..  

 
C'est vrai que je pourrais utiliser un second serveur Proxy mais niveau budget, c'est cho, neanmoins je vais voir avec mon boss
 
Cependant je ne sais pas trop comment on met se système en place (IE publié doit passer par le proxy), pouvez vous m'aider
 
Merci d'avance
 
B0nd

Je reviens vers vous pour que vous me conseillez
 
Merci

un proxy par site avec une db centralisée répliquée la nuit

un proxy par site avec une db centralisée répliquée la nuit
 
Aujourd'hui nous avons 14 sous - site (filiales) et nous (le boss) ne pouvons pas se permettre de nous investir sur un proxy par site, cela nous reviens trop cher (Une étude a déjà été fait par un ancien mec).
De plus nous comptons les revendre les filiales.
 
C'est pour cette raison là que nous avions choisi d'utiliser un IE publié (citrix)
 
Merci  
 
B0nd

trop cher???

splurf : trop cher???
 
Je ne sais de quoi tu parles, concernant le IE publié ou 1 proxy par site ??
 
Mais je te repond "OUI" concernant la solution : Un proxy par site
 
B0nd

Par ailleurs une publication D'IE est une grosse faille de securité au niveau des serveurs metaframes .... C'est pourquoi presque personne n'utilise ce style de connection....
Un ex parmis tant d'autres : publie IE, connecte toi d'un client, dans ta barre d'adresse IE tu tapes p: (si le DD est d: ...) et ho miracle tu te retrouves sur le DD de ton serveur metaframe....Quand meme moyen non?
Je reste sur mes positions mais le but de citrix n'est pas de publier un acces Internet (surtout IE)...Tu peux faire un proxy avec une petite machine pas performantes (un peu d'espace disque) qui traine souvent dans les salles des tech ;-)
++

trop cher de récupérer une machine de spare pour faire un proxy?
 
à voir ....

 
+1
 
tu recupere des vieu pc qui ne servent plus, ça fera tres bien l'affaire...

Salut à tous,
 
J'ai une question : a quoi la module SARG pour SQUID
Je vous assure que j'ai vraiement chercher sur le net mais cela ne m'explique pas à quoi il est sert, comment on install,.....
 
Pouvez vous m'aider sVP à me donner un coup de pouce  
 
B0nd

Sarg est un analyseur de log squid....

 
Heu, apt-cache show sarg

A installer en stable, j'ai eu, dernierement, des soucis de bugs avec la version testing..
 
++