Bonjour voilà mon problème, j'ai besoin d'installer une solution de surveillance des urls sur le réseau de mon entreprise afin d'éviter des désagrément de type téléchargements illégaux ou autre.
 
Quelles solution s'offrent à moi, je n'ai pas accès au routeur étant donné qu'il appartient à mon FAI et je n'ai pas de serveur proxy. (ça peut être l'occasion d'en mettre un en place).
 
Merci  

Une Charte informatique d'entrerpise
couplée
à une politique de sécurisation des postes de travail (afin d'empecher l'utilisateur d'instqller n'importe quoi)
couplé  
à un bon proxy ou une appliance de type firewall "intelligent".
 
=> tu filtres et pas besoin de surveiller. d'ailleurs en surveillant les sites sur lesquels vont tes utilisateurs, tu risque (et surtout ton patron) d'avoir quelques ennnuis avec l'inspection du travail.
 

Pour la charte informatique c'est bon
 
Je pensais mettre un parefeu avec ce système de surveillance pour qu'ne cas de problème on sache qui est responsable.
 
Je pensais qu'en avertissant les utilisateurs on avait pas de problème.
 
Et j'avais repéré la solution en ligne Olfeo : http://www.olfeo.com/main.php?nom=tarifs
 
Mais il faut que je compare avec une solution "maison" si le prix est justifié.
 
Merci à toi.
 
Je continue de chercher.

Déjà, plus de pb si tu appliques un minimum de sécurité et de filtrage, tu n'auras plus de p2p, plus d'accès aux sites porno..etc...

Par contre un parefeu de base, ne fera pas de filtrage protocolaire ni de filtrage d'URL. Il te faut une appliance "tout en un" (firewall, proxy, filtrage, qos...) un peu comme celui de ton lien (je connais pas ce matériel, mais je peux te dire que les tarfis proposés sur leur site sont élévés par utilisateurs).

Ensuite tu as la 2ieme piste à savoir une solution maison. à base de PC avec plusieurs cartes réseau et bidouille Linux ou openBSD. Mais là, entre en ligne de compte d'autres critères que le prix à savoir : vos compétence en interne pour installer et gerer ce matériel, plus le temps passé à déployer cette solution, sa pérénité, le support..etc....

Oui c'est le problème, voir quelle solution a le meilleur compromis prix/temps passé.
 
Merci bien pour tes réponses.

Ce sujet a été déplacé de la catégorie Réseaux grand public / SoHo vers la categorie Systèmes & Réseaux Pro par ViMx

Merci pour le déplacement je n'avais pas fait attention en postant...
 
Sinon pour en revenir à olfeo l'avantage c'est qu'il reprend les listes de filtrage en rapport avec la france, et pas uniquement mondiales.

et pourquoi pas une distri Linux ?

J'utilise olfeo, je le trouve très bien et pas spécialement cher comme solution de filtrage url.

 
je me repète.... :
 
Ensuite tu as la 2ieme piste à savoir une solution maison. à base de PC avec plusieurs cartes réseau et bidouille Linux ou openBSD. Mais là, entre en ligne de compte d'autres critères que le prix à savoir : vos compétence en interne pour installer et gerer ce matériel, plus le temps passé à déployer cette solution, sa pérénité, le support..etc....  

je pense que la pérénité et le support sont également à prendre en compte pour une appliance prestataire : viabilité économique de l'entreprise...

c'est evident.

Bonjour,
si tu as une utilisation de P2P, tu as deja des gros soucis de sécurité ( firewall non existant ou très mal paramétré sur les Flux entrants).
1) tu n'as pas de compétences en interne, tu cherches un prestataire
2) tu as de compétences, tu gères ton FW convenablement, tu mets un proxy Squid, installé en 1/2 journée ( au pire) avec tous les tutos du net ..
 
Mon avis.

je ne le répèterais jamais assez, on ne bloque pas du p2p uniquement en jouant avec les regles (sortantes ou entrantes) d'un firewall.

 
J'y ai pensé, j'essaye de comparer toutes les solutions possibles
 

 
Pas cher c'est vite dit
 
C'est pour un peu plus de 60 employés... C'est donc très cher.
 
 
Je viens de voir aussi ISA server sur windows, mais là pareil c'est pas donné, donc bien réfléchir avant.

 
Pour les compétences il y a un informaticien qui les a. S'il s'absente son second risque de ne pas pouvoir assurer la maintenance car il n'a pas de connaissances sur linux. Donc il y a ce problème là, et aussi le routeur internet qui est géré par le FAI (là aussi pour cette raison et pour le temps.)
 
Moi je ne suis que stagiaire donc si c'était ma boite je prendrais un linux c'est clair. Mais je dois prendre en compte les compétences des gens qui sont dans l'entreprise
 
Je pense que je vais tester SQUID et voir si c'est jouable dans un premier temps.

Non ce n'est pas ce que j'ai voulu dire, mais en administration de base :

• Tu gères les droits de tes users -> tes users ne peuvent pas installer ce qu'ils veulent.
• Tu gères ton FW, sans parler de bloquer les sorties, si tu bloques TOUT ce qui doit rentrer sans etre explicitement desiré, tu vas bloquer 95% de tes users boulets
• Tu gères un accès via squid en mode transparent, et là tu gfinalises ta gestion fine des accès.

 
Je l'utilise pour nettement plus d'utilisateurs et comparativement au reste de l'infra, je trouve le prix parfaitement abordable.
Le prix sur le site est un prix catalogue négociable.
Tu px demander à le tester un mois (voire 2) gratuitement avec une licence temporaire pour faire ton choix.
Le net est devenu tellement important, qu'un truc bidouillé, lourd a maintenir et avec une catégorisation moyenne des sites me semble peu adapté a une entreprise.
Bien sur tout dépend de tes moyens et des besoins.

Salut l'ami,
 
je bosse dans une cité scolaire, donc je vais peut être pouvoir te filer un coup de main.
 
Déjà, je te conseille de te renseigner auprès de la Région/DSI pour savoir s'ils n'ont pas une solution en serveur mandataire à te proposer. Je te dis ça car généralement ils aiment bien utiliser les mêmes solutions dans tous les collèges/lycées de la région, c'est toujours plus simple à maintenir.
 
Sinon, tu peux te lancer dans SQUID, qui est vraiment fonctionnel. C'est d'ailleurs celui qui est utilisé chez moi, en Lorraine. Tu trouveras aussi beaucoup de doc sur le net pour sa mise en place sous linux.  
 
Bonne continuation

 
Je vais surement prendre contact avec eux pour voir ça
 
Pour le moment je teste un squid.
 

 
 
Bonne idée merci

Bon après avoir testé squid, que je trouve pas mal, je voulais demander à ceux qui l'utilisent ce qu'il me faut comme machine pour l'utiliser avec une centaine d'utilisateurs et avec squidguard webmin et sarg, voir un parefeu en plus. Merci

ça peut tourner sur n'importe quel type de machine.
tout au plus, avoir pas mal de mémoire pour le cache.
 

J'ai testé sur un P4 2.4GHz avec 1Go de ram ça tourne pas mal mais la machine n'est pas en place juste en phase de test. Je voulais savoir si ça suffirait ou s'il faut que je commande une machine récente.
 
Sinon j'ai testé ipcop, s'il y a des connaisseurs. ca plait bien à mon maître de stage qui n'est pas fan des lignes de commande
 
Je l'ai installé dans sa dernière version avec advproxy et urlfilter.
 
Le tout fonctionne bien et est simple à configurer. il y a une authentification des utilisateurs via le contrôleur de domaine en active directory qui fonctionne là aussi parfaitement;
 
Il me reste un dernier petit problème avec cette configuration: arriver à obtenir le nom des utilisateurs en face des urls dans le journal de la GUI.
 
Si vous connaissez une solution ou un addon pour faire ça je suis preneur.
 
Merci

tu peux aussi regarder:
http://www.ironport.com/products/ironport_s160.html

 
 
Il existe des distributions spécialisées pour cela.
Regarde du coté de Smoothwall. Tu trouveras ton bonheur en quelques heures.
 
Pour la machine qui doit héberger, n'hésite pas à acquérir un boitier mini-itx de ce type : http://www.litchipc.com/produit.ph [...] a=17&idr=5

il y a aussi Iptables sous Linux. Il demande un temps d'adapation mais il fonctionne bien : filtrage sur IP et ports. IPCOP.

Je me suis installé un IPCop, ça répond assez bien à mes besoins finalement. Je lui ai ajouté pas mal d'addons du style advproxy, urlfilter, bot, sarg, etc...
 
Finalement j'ai un proxy configuré par GPO pour les clients grâce à l'AD et wpad, et c'est assez pratique
 
Sinon pour ceux qui utilisent olfeo vous savez si c'est possible d'avoir un configuration automatisée des navigateurs avec?
 
Comme machine j'ai récupéré une vielle tour IBM avec un P4 et ça tourne très bien.

Olfeo utilise squid comme proxy embarqué.
wpad c'est parfait pour la conf auto des navigateurs.

Merci bien

 
Regarde du coté de Smoothwall avec l'addon DGAV
 
Ipcop est un dérivé de Smootwall mais ce dernier a mieux progressé en fait (noyau 2.6, graphs des débits, QOS, etc.)
DGAV est basé sur dansguardian et fonctionne avec Squid en mode transparent (= pas de réglage du proxy dans les navigateurs)

Ouais mais je veux une authentification des utilisateurs moi.

 
C'est marrant, j'ai réalisé mon projet de fin d'études sur cette distrib' (contrairement à tous mes camarades qui voulant également faire un projet orienté proxy/filtrage se sont tournés vers Squid).
Très très bon choix IpCop, notamment pour sa facilité d'administration (interface web hyper intuitive).
 
Advproxy et Urlfilter sont les premiers plugins obligatoires sur un IpCop, ils multiplient les capacités de filtrage par 1000 donc bonne initiative
 
"../.... arriver à obtenir le nom des utilisateurs en face des urls dans le journal de la GUI..../...."
 
De mémoire (et oui ca fait un moment que j'ai réalisé mon projet ^^) je dis bien de mémoire, il me semble que tu as la possibilité à travers Advproxy (a moins que ca ne soit sous IpCop directement) d'associer les @ MAC à des noms d'utilisateurs, ou du moins a des noms NETBIOS.
 
Si j'ai le temps dans la journée, je verifie sur Ixus.net (dailleurs jte conseille leur forum, ya pas mal de ressources pour IpCop) et jte file l'info
 
Edit :
Je viens de vérifier, j'ai téléchargé le travail d'un étudiant qui à l'air de s'être donné du mal, extrait de son projet, je cite :
 
Journaux du Filtre URL
Permet de consulter les pages bloquées.  
La catégorie indique le filtre qui a bloqué cette page et l'adresse Client, l'IP de la machine d'où la page a été demandée.
 
Le lien vers son pdf t'aidera peut-être :
http://daniel.dls.free.fr/tutorial [...] raffic.pdf
 
Allez, au travail et tiens nous au courant xD

Ipcop est basé sur SQUID.

Advproxy permet une configuration avancée de SQUID.
URLFILTER ajoute Squidguard et donc la redirection (=filtrage)

Si on veut vraiment un redirecteur plus puissant, il faut se tourner du coté de Dansguardian qui tourne sous Ipcop et fonctionne en mode transparent.

Mais bon à l'heure actuelle, comme indiqué auparavant, il faut préférer Smoothwall.
On ne sera pas perdu, c'est la même base qu'IPCOP mais en mieux.

Smoothwall n'est plus maintenu depuis 3 ans maintenant.
Dernière release en date > la v3.0 – (22nd August 2007)
 
Trouvera t il les ressources dont il aura besoin pour son projet aussi simplement qu'avec IpCop ?
 
A voir...
 
Perso pour un projet aussi simple j'aurai tendance à passer par IpCop..
 
Après.. les gouts et les couleurs..

Ipcop est toujours sous noyau 2.4 (pas de support SATA quand même) et la communauté autour de Smoothwall est nettement plus active.
 
As-tu essayé Smoothwall ?
Tu y trouveras de plus des statistiques et des graphs sur les débits qui n'existent pas sous Ipcop et une QOS.
 
Je connais bien Ipcop. J'ai commencé sous la 1.3 et j'en ai encore qui tournent chez quelques clients.
Mais aujourd'hui je fais du smoothwall pour les raisons évoquées. J'espère que demain Ipcop sortira sous une version encore mieux
Mais pour l'instant ca a l'air au point mort

Tout à fait. de mon coté j'ai basculé de Ipcop 1.3 vers pfsense et Devil Linux, suivant les cas.

Ouch Devil Linux...
Un peu archaïque comme interface, une sorte d'écran noir et un curseur clignotant, ils auraient pu faire une GUI les feignants de dev sur le coup xD
Ca me rappelle les cours d'AS400 (et les parties de CS en Alt - Tab) lol

 
 
y'a pas de fioritures avec devil linux, tout se paramètre en ligne de commande.  Bref il faut s'y connaitre pour le paramétrer finement. Par contre il est "rock stable" et très bien sécurisé (pour peu que l'on installe pas certaines options).

ne pas avoir de GUI, c'est une fonctionnalité aussi, ça te permet dans les pires moments d'intervenir sur ton firewall en ssh ou en console série, en savant t'en servir.

Faudra que je teste tout ça un jour
 
Merci pour vos conseils