Bonjour,
 
Je suis actuellement à la recherche d'un proxy. N'y conaissant pas grand chose, je me tourne vers vous pour me donner les différents proxy que vous utilisez dans vos entreprises, quels sont ceux que vous me conseillez, ou bien ceux qu'il faut fuire comme la peste. Voici ce que je recherche :
 
- Fonction de cache.
- Filtrage des sites via url/mot clé.
- Filtrage des extentions.
- Filtrage par utilisateur (connexion avec l'AD).
- Avec des statistiques complet. (consommation par utilisateur, les sites les plus vu, les sites les plus vue par utilisateurs, etc...)
 
Et surtout : avec une interface graphique pour naviguer/configuer tout ça.
 
Sachant également que nous avons un sonicwall tout neuf en guise de firewall, tout le superflux (antivirus, antispam et tout le tralala) n'est pas forcément utile.
 
Je me suis déjà penché sur les produits suivant :
> ISA Server 2007 :
Dixit un de nos prestataire extérieur, c'est une vrai usine à gaz. Vos réactions ?
 
> Squid :
Interface/configuration plus qu'austère, même si je ne critique pas la fonction de proxy en elle-même.
 
> Boitier Telmat Web :
Bon boitier qui a le mérite de posséder une interface graphique même si très austère et peu accessible. Fait apparemment bien son boulot mais ne m'a pas emballé
 
Et vous, pourriez vous me dire ce que vous utilisez et quel sont les points forts, les points faibles de chaques application (y compris celle que j'ai cité, plus j'ai d'avis, mieux c'est !)
 
Merci à tous.

Squid fait tout et c'est gratuit...
simplement l'implémentation avec L'ad que je ne pense pas possible..
le reste est assez simple

bluecoat fait du bon boulot, et s'integre avec l'AD.
mais un poil deroutant à cofnigurer

olfeo ?

Ca a l'air possible Squid avec AD : http://client.olfeo.com/article.php3?id_article=49 (merci olfeo )
Squid est administrable via Webmin mais bon, faut quand mettre un minimum la main à la pate.

olfeo c'est juste du filtrage de contenu, il nécessite une sous-couche type ISA ou squid.

Si t'achetes l'appliance tout est installé, donc meme si ca repose sur squid ca peut rester transparent pour l'utilisateur, tu admin depuis l'interface web.
Idem si tu  l'installes toi meme sur un serveur, tu dl une version modifié de fedora par olfeo ou tout est deja inclus et tu admin depuis l'interface web.
Le package olfeo peut donc inclure un proxy qui en + fait filtrage URL via les bases olfeo.
La solution Olfeo est d'ailleurs testable pour se faire une idée, suffit d'aller sur leur site !
 
Aprés s'il cherche du gratuit, c'est sur que ca répond pas a la question.
 
Isa server 2007 : suffit pour le tester de choper la version d'éval, je pense que pour un simple besoin de proxy il est pas forcement adapté puisqu'il peut faire surtout office de firewall, d'ailleurs l'interface est surtout tourné vers la configuration des regles de filtrage et les options de paramétrage du proxy sont pas nombreuses. Pour ma part en tant que firewall j'en voudrais pas et juste comme proxy de base non plus, autant mettre squid, car ISA = achat ISA + licence de l'OS.

ISA est largement plus puissant que ne l'est Squid, je pense que tu as omis un gros morceau de ton analyse...
 
L'appliance Olfeo est effectivement toute packagée, mais je n'ai pas parlé de l'appliance précédemment, juste de la brique logicielle Olfeo.

Si il a que des postes windows et qu'il veut avoir un reporting en fonction de l'utilisateur (AD) je ne sais pas si mis à part ISA 2006 (et pas 2007) il y en ait beaucoup

Squid le fait

tous le font ou presque, des lors qu'il y a un connecteur vers l'AD

 
Qu'est-ce qui te permet d'affirmer ça ?
 

 
Avec quel module ?

Pour ma part, j ai administré un serveur squid pendant des années ....

ce que j ai le plus a lui reprocher, c est son manque de soutient professionnel. J ai eu a de nombreuse reprise des crash, ba ... .c est pas la mailling liste qui m a aidé a solutionner.

ensuite, gros point noir a mon sens : Squid est mono-tache, Mono-Thread(enfin dans les versions que j ai utilisé) la seule chose qu'on peut rendre multitache, c est l'écriture sur le HD du cache. Tres dommage a l'epoque ou de simple station de travail sont multicore et ou les serveurs en ont jusqu a 4, voir 8 Cores.
Rajoutons que Squid est incapable de gérer les authentification NTLM utilisé enormement dans mon entreprise.

Pour ISA,... c est pas tout rose non plus,... On est en train de migrer vers ISA2004 et il y a des soucis avec Kerberos, un SP3 vient de sortir avec plein de fix,... on va le mettre en tests.
Pour ce qui est du prix de ISA, il faut prendre en compte que c est :
Licence OS+ (Licence ISA*Nombre de CPU)  
Pour la version Entreprise,... ca commence a douiller pour les serveurs a 4 CPUs

 
C'est possible avec krb5 + samba + winbind

Sinon Apache est très bien en proxy

je remonte le topic, étant en plein dans la problèmatique ...
 

 
et l'Authentification Transparente NTLM sur Active Directory, ça ne fonctionne pas ??

Oui ca marche !

corrigez moi si je me trompe mais perso, j'ai commencé depuis un moment à me documenter pour remplacer dans le futur notre proxy/firewall...et j'en conclue que si l'on veut une gestion fine par user/groupe AD (regle d'accès par groupe, reporting par user), RIEN ne vaut un ISA 2006 (et encore sous reserve que la machine soit intégré dans le domaine) + le client parefeu sur les postes.
 

donc t'as rien lu...
Pour te faire plaisir, je vais te dire ce que tu veux entendre:
Oui, il n'y a que l'ISA Proxy qui permet de faire ce que tu veux.
Achete un ISA

Pourquoi être aussi méprisant ?

ouais pourquoi ?, on se le demande...
au lieu de le prendre de haut, argumentes et montres moi en effet que j'ai zappé certains outils.
Un outil qui permette de dire le groupe AD machin est autorisé sur http en sortie sur une liste d'adresse determinée et par exemple le groupe AD bidule est autorisé en sortie sur FTP uniquement (un peu idiot comme exemple mais bon)

Moi je conseil squid, car installé sur une machine linux, pas forcement tres véloce, il est tres fiable, tres sécurisé et surtout, tres modulable et ayant beaucoup de possibilité de modifcations pour l'adapter a ce que l'on veut.
 
certes, il n'a pas de belles interfaces pour etre gérer ... mais ce n'est pas la beauté qui fait l'efficacité, surtout pour un "logiciel" de sécurité ...

et le contrat de support quand ça merde ? Parce que c'est quand même ça l'interêt des produits commerciaux...

Effectivement ... tu peux toujours te tourner du coté de IMSS et IWSS .... et comme par hasard, je ne me souviens plus du tout du nom de l'editeur ... je crois mais c'est a vérifier, qu'il s'agit de TREND "qq chose" ...

je crois que IMSS et IWSS sont des modules de INTERSCAN ... recherchez de ce coté là ...

justement, j'ai testé IPCOP basé sur SQUID + l'add-on Advanced Web proxy. ça marche tip top sur une vieille bécane mais au niveau relation AD, c'est pas ça.
 
j'avais aussi zieuté du coté des softs Interscan de Trend et du coté de Wingate mais je les ai pas testé par contre

Ah ben oui, mais ipcop ... c'est pas génial !!!
 
tu devrais prendre une distribution plus fiable et installer toi meme, squid et squidguard ... et ajoutr les ADD ONS ... notament LDAP_AUTH ...
 
mod LDAP_AUTH qui doit etre dispo pour ton ipcop ... donc cherche un peu tu devrais trouver !

Sinon, tu peux prendre PFSENSE ... qui est 5000 fois mieux et plus fiable que ipcop !

Tu as squid de dispo avec plusieurs auth possible, notament LDAP.
Squidguard sera tres bientot disponible ...
Et LightSquid est deja disponible !