Discussion :

[lelectronique.com]

Bonjour,

Je suis en train de mettre un serveur proxy Squid3 dans ma société avec SquidGuard, cela semble fonctionner très bien. Pour être sur que tout le monde passe par le proxy je vais envoyer le paramétrage par une GPO en verrouiller les options du navigateur, d'après mes premiers essais si je verrouille cela bloque aussi pour FF, Chrome... de toute manière je vais bloquer aussi le port de mon firewall pour obliger à passer par le proxy.
Cela ne va pas poser de problème pour les PC de bureau mais je vais avoir des soucis avec les portables car les techniciens partent en déplacement avec et se connecte à internet depuis des clés 3G, wifi de l'hotel... comment puis je faire pour supprimer la GPO quand il ne sont pas connecté au réseau du bureau ? un script bat ?
Merci d'avance pour votre aide
Bonne journée
Ludo

[spawntux]

Bonjour,

La solution n'est pas dans la GPO

En effet la GPO fonctionne que pour les gens du domaine, si un presta exterieur ce co, un salarié avec un pc perso, un gsm ou autre
tu es bloqué

La vrai solution est au niveau deja de ton firewall, ton firewall ne doit autoriser les requetes web que pour ton serveur proxy exclusivement

ca me parrait une solution plus sur, apres oui la gpo est necessaire pour un parametrage auto de ie mais ca ne sert a rien d'empecher l'user de modif la valeur ca vas plus le gener qu'autre chose.

Notament pour les profiles mobile tu auras juste a montrer aux techos comment desactiver le proxy pour leur deplacement.

[lelectronique.com]

bonjour,
merci pour ta réponse
oui effectivement j'avais oublié de spécifier que j'allais bien entendu bloquer le firewall pour autoriser que le proxy a sortir...
pour la config pas moyen de créer un truc automatique ? car je vois déjà les remarques arrivées...

[Cybher]

salut,

tu peux utiliser une GPO pour envoyer la configuration sur l'ensemble des postes
mais il ne faut pas forcément empêcher les modifications pour les postes mobiles (de toute facon, s'il désactive manuellement le proxy, ils n'auront pas accès à internet)

[thierry.chich]

Il y a une solution qui est sensée fonctionner correctement qui s'appelle wpad. Ca consiste à annoncer sur son dns et /ou son dhcp un host wpad.mondomaine.local
Sur cette machine, un serveur web qui distribue un fichier wapd.dat, lequel contient un script javascript ultrasimple indiquant l'adresse du proxy.
Une recherche sur google t'indiquera ça.

Attention quand même, il y a peut y avoir quelques soucis avec des mises-à-jour quand on cherche à tout faire passer par un proxy. Le client web microsoft qui fait le mises-à-jour ne prend les confs des navigateurs que lorsque l'utilisateur est logué. Sans ça, il faut le configurer avec des GPO ultra obscures, ou alors utiliser wpad.

[spawntux]

WPAD spas top moumoute niveau secu :s

[thierry.chich]

Un peu d'argumentation ne fait jamais de mal. Quoiqu'il en soit, wpad étant activé par défaut sur tout les postes, ce qui est le moins sécure, c'est ne pas connaître son existence.

Et naturellement, il faut aussi configurer le firewall de manière adéquate, mais bon, ça va un peu de soi !

[spawntux]

WAPD ca sous entend d'un point de vue secu que ton reseau ne peut etre compromis, lors d'attaque c'est bien plus discret qu'un empoissonnement de cache arp.

Je passe le fait que le contrôle de FindProxyForURL est pas toujours super sur tout les navigateurs j'entend par la le fait de faire passer tout et n'importque quoi dans cette fonction.

Apres voila hein c'est un peu comme dire ARP c'est secure mais le mieux pour ARP ca reste un cache statique enfin voila apres il va avoir un compromis entre securité et facilité.