Bonjour,
 
Voilà j'expose la problématique.
 
Ma hiérarchie me demande de trouver une solution, pour pallier au problème d'envoi de gros fichiers avec l'extérieur, dépassant la capacité de notre messagerie interne.
 
Problème récurrent, me direz-vous !!!    
 
Notre réseau se résume à travers un AD, une messagerie (autre exchange), et je précise que nous n'avons pas de DMZ.
 
Après quelques recherches je suis tombé sur ce comparatif intéressant :  
http://blog.admin-linux.org/logici [...] volumineux
 
Donc les solutions logicielles existent, même si j'attends des conseils supplémentaires  
 
Ma question se situe plus au niveau de l'infrastructure... quels conseils pour mettre en place une telle solution en évitant la création systématique d'une DMZ ??
 
Merci à vous  

A mon avis, rien ne sert de reinventer la roue.
Pour notre part, on est pas mal concerné par le problème nos solutions :
Dropdbox, SugarSync, dlfree et yousendit en fonction des us et préférences de chacun. Gratuit et ca fait le boulot sans surcharge d'administration.

Merci pour les conseils, mais j'envisageai plus une solution "plus professionnelle" avec des données à caractère très sensibles, et donc une solution "locale" sur lequel nous avons la "main" et sécurisée...
Un serveur FTP me semble être "léger" en terme de sécurité...  
Je ne connais malheureusement pas le pannel des solutions, mais une connexion "crypter" et "sécurisée" vers un serveur accessible de l'extérieur, hébergeant une des solutions énoncées dans le comparatif que j'ai énoncé dans mon premier post...

Avoir la main sur la solution n'en fait pas une solution plus professionnelle.
amha, tout sera plus secure avec les solution précitées qu'une solution homemade avec toutes les failles de sécurité inhérente.
Sur du Dropbox / SugarSync et yousendit c'est "crypté" et "sécurisé".
 
My 2 cents

Un serveur FTP c'est pas forcément léger en sécurité, mais c'est vachement chiant à gérer entre la création de comptes pour les partenaires et le support pour ceux qui n'y connaissent rien pour configurer leur client FTP.
 
Si tu veux quelque chose de solide, la DMZ ou le reverse proxy sont obligatoires (car sans ça oui tu serais léger, on ne publie pas un service sur le web via un nat vers le lan serveur )
Ensuite pour le choix de la solution il faut que tu penses à plusieurs trucs pour faire ton choix:
 
- Verrouiller le dépôt de fichier pour les users de ta boîte via authentification, et aux users extérieurs par choix de l'adresse du destinataire (forcer le domaine @taboite.com). => Histoire de pas devenir à votre insu un MegaUpload.
 
- Disposer d'un scan antivirus sur les fichiers déposés.
 
- Avoir des logs.
 
- Connexion en https.
 
- Suppression automatique des fichiers après un certain temps.
 
Perso j'ai eu à mettre ça en place et j'avais utilisé nssdropbox, personnalisé par les développeurs web de la boîte + clamav sur l'hôte Linux Debian.

J'utilise FileZ dans ma boite, vraiment très bien.  
 
L’inconvénient majeur de ce type de solutions, c'est la bande passante nécessaire : pour un fichier de temps en temps, ça va, mais si tout le monde envoie de gros fichiers, et que la connexion dédiée à l'application n'a qu'un faible débit en upload (genre 100ko/s pour un adsl classique) quand tu envoie des fichiers de plusieurs centaines de mo, ça prends du temps...
 
 
Autrement en solution "pro" - comprendre payante - et hébergeable chez toi, il y a Accellion file Transfert, avec une intégration possible dans Outlook. La problématique de la BP reste la même.
 
 

Nous on fait du simple FTP vers un serveur en datacenter.
Chaque client à son compte avec mdp fort défini par nous. tous les comptes clients ont un quota d'écriture.
Tout ce beau monde se connecte en SSL.
 
On utilise G6FTPServer, c'est payant mais pas cher, et ca fait d'autres trucs (intégration AD, etc.).

Hé c'est pas mal ça, mais aurais-tu un tutoriel en français sous la main ? (je me tape déjà de l'anglish toute la journée - anglais traduit par un roumain d'après une source chinoise - alors bon)
 
Sinon je préconise pour ce genre de cas un webDAV avec un accès sécurisé en HTTPS ou comme ShonGail un serveur FTP, le tout hébergé dans un datacenter.

J'ai laissé la doc d'exploit sur site et j'y travaille plus. Néanmoins, je me souviens que la doc de base était suffisante pour implémenter le truc. Ensuite la personnalisation c'était surtout graphique.

Ah bon, go pour la doc en anglais quoi
 
Sinon pour un vieux post que tu avais fait il y a un an, c'est aussi à voir :

Ouaip et passer en debian 64 ne change rien, c'est vraiment inhérent au code php. Après ça date d'un an faudrait aller voir sur leur forum s'ils ont fixé le truc?

tu peux voir tonido http://www.tonido.com/, c'est une solution de cloud hébergée chez toi, avec ou sans nat. c'est gratuit ou pas cher en version payante

C'est du dropbox/sugarSync équivalent, non ?

Pour faire suite au sujet... l'idée du proxy_reverse et une solution open source de partage de fichier me plait bien !
Donc si je résume.
Je pars sur un proxy-reverse SQUID, ensuite j'installe une solution opensource avec authentification. Tout ceci derrière le firewall de d'une Box adsl.
 
Mais par contre pour l'authentification des users, quelle solution "secure" je peux mettre en place... étant donné que je ne pourrai interroger l'AD ??
Merci pour ces échanges intéressants en tout cas :-)

Heu oué enfin, si le reverse proxy est sur le même réseau que le serveur qu'il publie...
Pareil tu parles de solution pro et secure et t'as une box
Pour l'authentification AD ça se fait sur la plupart des produits. Après ya moyen de créer un openldap local mais ça demande + de conf déjà.

comme dit, j'essaye de trouver une solution "secure" et justement voir ce qu'il faut ou ne pas faire... tout ce que je peux exprimer à l'heure actuelle, c'est mon besoin :
- échange de fichiers de grosses tailles avec l'extérieur
- solution d'échange interne et non à un service tiers
- 600 users susceptibles d'échanger des fichiers avec l'extérieur
- possibilité de dédier une ligne adsl qu'à cet usage..
 
et un vpn lol ??

Avec cette archi, tes clients vont se partager 80ko/sec pour prendre des fichiers chez toi ?
Ca te parait acceptable ?

J'ai un peu de mal avec l'histoire des 600 users sur une ADSL moi aussi.

MegaFrancedownload.org ?  
Dommage, ça part sur une bonne question, mais l'utilisation finale me semble plus que douteuse.

J'arrête tout de suite les suspicions !!!!
C'est le cas de figure d'une entreprise de 600 users qui souhaitent échanger des fichiers de grosses tailles avec l'extérieur, rien de plus bardiel !!!
concernant la charge d'échange et le type d'échange, cela concerne principalement de la bureautique et les 600 users n'uploadront pas tous.

1) 1Go à 80/90Ko/s  cela fait fait environ 3h30 de upload non stop en ADSL.    
 
2) Imagines que 2 de tes clients ont besoin de télécharger chacun un fichier de 100 ou 500Mo.......      
 
 
A ta place, je me prendrais une "Box" chez un hébergeur sur laquelle j'installerai ma solution de diffusion. Ainsi tu pourrais programmer les envois de tes gros fichiers vers la box la nuit (ou en heures creuses) et ensuite qu'il y ait 1, 4, 10 clients pompant ces fichiers, tu n'aurait plus de contrainte de bande passante de ton coté.  
 
 
 
 

Tu veux plutôt parler d'un serveur auprès d'un hébergeur comme OVH ?

oui bien évidement

bonjour,
voilà je poursuis mon projet, et je suis donc parti sur une solution OPENUPDATE, qui m'a séduit par le nombre de ses fonctionnalités.
J'ai donc configuration mon serveur Postfix, et j'arrive à envoyer des notifications par mail.... seul problème, c'est que les suffixes utilisés par mes users @.....fr n'est pas relayé par mon FAI... j'ai essayé avec des @free.fr @wanadoo.fr, et là c'est instantané...
 
Je n'ai pas la possibilité de créer une DMZ à mon niveau, et préfère contourner cette solution... alors que puis-je faire pour que mes utilisateurs puissent utiliser leurs adresses mail....
 
Merci

Regarder les logs postifx ?
Tu peux avoir un soucis de reverse Dns ...

Simple question à ta "hiérarchie" :
 
C'est quoi comme fichier qu'ils veulent transmettre ? Nan parceque utiliser dopbox et consort pour envoyer certains type de fichiers .... Genre comptable, commerciale etc ... Franchement moi ca me ferais vomir.
 
Solution hébergé (à ce que je sache) c'est 0 contrôle ... Et rien que pour celà, moi je le ferais pas.
 
Il te faut un système que tu puisses filtrer, contrôler et surtout il te faut une estimation de la taille des fichiers !
 
Si ils ne veulent pas te mettre les moyens pour monter la solution, moi à ta place, je dirais que tu souhaites confier celà à un prestataire car tu ne cautionnes pas ce genre d'utilisation sur lequel tu ne peus engager ta responsabilité tellement tu n'as pas le contrôle.
 
C'est clairement dis, constructif et responsable.

Objectivement pas moi    ( DropBox est loin d'etre seul sur le marché )
Entre une solution secure quoi qu'on en dise, et une usine a gaz que tu vas gérer seule avec ses contraintes/limites et les failles de sécurité inhérentes ...
Je ne suis pas pour le "tout à l'exterieur" mais c'est un cas typique de reinventeur de roue carré.

Tout dépends des fichiers encore une fois ...    edit : Et là le soucis reste la sensibilisation des users, perso j'ai une devise : La confiance n'exclut pas le contrôle. Et si j'ai pas le contrôle sur ce que les gens déposent sur le serveur ... Je fais pas.
 
Cas pratique, la société pour laquelle je travail. Société d'audit financière, commisaire au compte et juridique, je peux te garantir que déposer des bilans ou autres sur un serveur type dropbox ... Ca peut vraiment mal se passer avec les clients et les autorités.
 
Sans parler du fait que le serveur qui héberge le fichier peut être à l'étranger (fuite fiscale), que l'utilisation de ce service peut être détourné (type mégaupload, imagine demain dropbox ferme parceque certains l'utilisent mal ... Tu fais quoi avec tes fichiers ? T'appel le FBI ?) ...
 
Après si c'est pour envoyer un dossier de presse, des infos légères je dis pas, mais des fois c'est quand même plus compliqué que ça. Je préfère savoir qu'une donnée a étée piraté sur mon serveur en local et prévenir les différents acteurs afin d'apporter une protection, que de ne pas savoir que le fichier à été piraté sur le serveur d'un hébergeur et voire les métiers se faire défoncer ...

C'est là qu'on diverge donc ... Moi je ne vais pas créer des failles de sécurités dans mon infra.
La sécurité des données internes et la disponibilité du système est nettement plus importante/prioritaire.
 
Je ne dis pas que tu ne peux pas héberger ta solution, si tu le fais tu as les compétences globales en interne pour le faire, ce qui, amha, n'est pas le cas dans la structure du posteur initiale.

Oui enfin ouvrir un serveur et ouvrir son infra toute entière, y a quand même un monde Effectivement, installer en "homemade" ce genre de solution nécessite des investissements (compétences et budget).
 
Du coup faire appel à un presta n'est pas un mal comme dis plus haut. Il n'y a pas de honte, y a plein de sujet sur lesquels je ne me met pas en responsabilité car je ne suis pas suffisament connaisseur
 
Et encore une fois, les solutions hébergées je ne suis pas contre ! Si, et seulement SI, on a un moyen de contrôle sur la nature des infos qui transitent. Y a peut être des hébergeurs qui offrent une partie cliente customisable ! Chez nous de toute façon (car on l'a eu ce sujet) ça a vite été réglé. Notre responsable sécurité (même pas informatique) a simplement dis NON ... Et le sujet était clos
 
La sécu ca a du bon des fois

Vous oublier une chose importante dans la demande initiale : PAS DE DMZ    
 
donc les solutions en locale........  

Ouais enfin s'il monte quelque chose en interne, il a quand même intérêt à considérer une DMZ

Heu non justement, ouvrir un port est en soit une faille de sécu .. Si tu ne maitrises pas la machine que tu as derrière ca peut vite etre critique. Je dis tu, mais ce n'est pas toi qui est visé    
 

Je fais, également appel aux prestas de mon coté ... Si j'ai un retour sur investissement .. La solution, dans le cas présent, me semble juste suicidaire.
 
Maintenant je pense qu'on est foncièrement d'accord.
 

 En plus    ...

Je suis partisan du "faire" ou "s'aider à faire soit même"... aujourd'hui on peut tout externaliser bien sûr, et donner les clefs de la maison à un prestataire pour qu'il gère, pour le bonheur de tous bien sûr... mais je ne souhaite par rentrer dans ce débat...  
j'aimerai juste m'appuyer sur des conseils d'experts ici, pour réaliser ce projet.
 
CAHIER DES CHARGES :
 
Tranferts de fichiers type : bureautique, PDF principalement ("bridage" inclus dans openupdate)
Taille limite défini : 100mo
authentification requise ("bridage" au suffixe @....fr)
logs serveur requis envoyés par mail à l'administrateur
connexion en https
impossibilité de création DMZ, donc Box dédiée à ce service.
suppression automatique de fichiers déposés (inclus dans openupload)

Alors oui ... Box obligatoire Je vous laisse j'y connais rien à ces hébergeurs Je suivrais ca de loin

[quotemsg]Heu non justement, ouvrir un port est en soit une faille de sécu .. Si tu ne maitrises pas la machine que tu as derrière ca peut vite etre critique. Je dis tu, mais ce n'est pas toi qui est visé    
[quotemsg]
Ouep mais même si je ne l'avais pas explicitement dis (comme on en était pas dans les détails techniques) le mini en infra est une DMZ et du reverse proxy pour du home made.
 
Mais de toute façon pas de DMZ, pas d'hébergement

ne peut-on pas imaginer cette architecture :
 
NEUFBOX > Squid-reverse-proxy > serveur upload  ??

bien sur que si, mais le mieux c'est de mettre ton serveur d'upload dans une DMZ.  Car si une personne mal intentionnée arrive à prendre la main sur le pc upload alors c'est l'ensemble de ton réseau qui peut-etre compromis.

ce qui sera compromis c'est juste le serveur upload, car la structure en question serait indépendante sur mon LAN... car même pas dans une DMZ...  
Pour moi le danger est moindre, car les fichiers stockés auront une durée de vie de 2jours seulement....  
 
où seraient les autres dangers ??
 
après la mise en place d'un firewall en amont n'est pas exclus...
 
par contre un point soulevé, serait l'hébergement !!! est-il possible de faire héberger le site chez le FAI de ma box ??

 
     tu es en train de dire que tu va faire un réseau indépendant pour gerer cette problématique d'envoi de fichier ?.  C'est bien cela dont il est question ?.