Discussion :

[beberd]

Bonjour Messieurs,

Admin réseaux depuis peu je me retrouve confronter à un vrai casse-tête chinois.
Je dispose d'un parc d'environ 10 serveurs et de 30 postes.
Aujourd'hui devant la demande préssente de la direction on m'a esprécement demandé de mettre en place un système bloquant les chats et autres connexions malhonnêtes.

Actuellement mon réseau est organisé ainsi.

INTERNET-> FIREWALL ROUTEUR ->LAN
-> DMZ.

Comme mon poste l'indique je souhaite rajoutter sur cette architecture un PROXY server (jana je pense mes serveurs étant en Windows 2003).
Le soucis est que je n'ai suit pas sur d'où je dois le mettre.
En DMZ je dispose d'un serveur WEB et d'un serveur FTP. Mon idée était de rajoutter mon proxy içi.
Mais comme mon firewall matériel est un routeur j'ai configuré le NAT pour faire passer les trames mails, antivirus vers le LAN.
Ma question est donc, si je place mon PROXY dans la DMZ, dois-je reconfigurer mon routeur NAT ou pas ?

Est ce que une fois l'installation et la configuration sommaire de mon serveur PROXY, toutes les trames vont passer par celui-ci? ou vais-je devoir reconfigurer mon NAT pour tout faire passer par ce dernier?
Quel sera l'impact sur le fait que je souhaite héberger plusieurs sites à 1000 connexions jours en moyenne?

Je sais que ca fait beaucoup de question d'un coup mais je pense que certains içi ont la connaissance suffisante pour un peu m'éclairer !!!

Cordialement,

[remy_74]

Il me semble que tu te casses bien la tete ..
1. identifie les protocols "malhonnetes" pour la direction
2. Bloque les protocols malhonnetes sortants sur ton Firewall.
3. Prends un café, ca devrait le faire
Sinon,ton proxy ne changera pas grand chose, mais de toute facon si tu veux l'utiliser pour filtrer les conex sortantes je te conseille de le mettre sur ton LAN, de créer une statégie qui oblige le Proxy dans IE (attention aux autres navigateurs... ) . Ton proxy pourra alors utiliser l'authentification Windows et tu pourras mettre des regles de filtrage par utilisateurs ou groupes (Tout le monde sait que la direction a le droit de tout faire, mais pas les employés .. )
Bon courage.

[beberd]

Merci pour cette réponse.

J'avoue avoir penser à bloquer les ports utiliser par msn sur mon firewall.
Mais malheureusement cela ne s'arrête pas là. Certains employés ne cessent de se connecter sur des tchats de rencontre et autres et mon but est de bloquer ces sites là aussi.

D'où mon intérêt pour le proxy.
Par contre n'est il pas plus judicieux de le mettre en DMZ?

[remy_74]

Je ne pense pas que cela soit judicieux de le mettre dans la DMZ :
- Avec un proxy sur le lan, tu peux controler les accés (SQUID permet de controler les accés avec les groupes NT, comme un ISA serveur)
- Tu peux economiser des sessions NAT sur ton firewall.

Faire du NAT pour aller dans ta DMZ pour ensuite resortir de ta DMZ pour surfer ca fait un peu double emploi et risque de surcharger ton firewall. De plus si tu veux mettre en place des controles, ton proxy interogera ton serveur AD donc ca te fait aussi des sessions IP qui passeront via ton Firewall..
d'ou ma preference sur le LAN.

[beberd]

Merci,

C'est pas faux!!!
C'était mon interrogation en fait par rapport à ça!!!
Selon toi le Proxy doit il être sur un serveur dédié? ou peut-il être sur un serveur utilisant une autre application?
Par contre comment ca va se passer avec mes applications présentes dans ma DMZ (serveur IIS par exemple).
A priori si la redierection est faite par le NAT je n'aurais pas besoin de modifier quelque chose vis à vis du proxy?
Le proxy ne servira qu'à mes utilisateurs en interne?
Par contre est ce que le proxy va avoir un impact sur mes différents serveurs (Messagerie, Antivirus...)?

Cordialement,

[remy_74]

Le proxy ne dervait avoir aucun impact sur tes autres applications. Il ne te faut pas changer la configuration de ton reseau mais uniquement les stratégies de conex a internet (donc IE et toute les applications sucéptible de surfer, faire du chat etc..)
Tu ajoute aussi quelques régles sur ton firewall pour bloquer les vilains protocols.
Pour ce qui est de savoir si tu dois avoir un serveur dédié a toi de voir sur ton existant. ISA serveur est trés gourmand en ressource, mais tu peux utiliser d'autre proxy.

[beberd]

Je pensais plutôt me tourner vers un serveur JANA.
J'ai lu sur différents sites qu'il était simple d'utilisation et qu'il était pas trop lourd et que beaucoup le préconisait.

Pour le reste je vais essayer de configurer tout ça !!!
Merci pour toutes ces infos c'est gentil d'avoir pris le temps de répondre à tout ça!!!

Si j'ai un autre petit soucis je me permettrais de venir te déranger!!!

[remy_74]

ok bon courage.

[freejobos]

Salut à tous,
@Beberd:
La question que tu dois te poser en bon admin, c'est qu'est ce que les clients sont sensé faire ??
Si c'est juste du surf sur le net pour avoir des prix, ou des info par exemple
tu coupes tous les ports sur ton firewall et tu laisses passer que le 80.
Il n'est pas utile et surtout stupide d'essayer de chercher les ports utiliser par chaque appli genre MSN, YAHOO etc... Il y en a tellement que tu ne pourras jamais tous les bloquer.
Donc, il faut prendre le probleme à l'envers. De quoi ont besoin les clients ??
Email et HTTP ??
Ben tu fermes tous tes ports et tu laisses le port 80(http),443(https),25(smtp) et 110(pop) + autres appli dont tu as besoin.
Voila.. Comme ca, pas la peine de te prendre la tete avec des proxy etc...
Freejobos

[remy_74]

Il veut faire du filtrage d'URL en plus .. Donc tout fermer ne sera qu'en partie la solution.

Salut à tous,
@Beberd:
La question que tu dois te poser en bon admin, c'est qu'est ce que les clients sont sensé faire ??
Si c'est juste du surf sur le net pour avoir des prix, ou des info par exemple
tu coupes tous les ports sur ton firewall et tu laisses passer que le 80.
Il n'est pas utile et surtout stupide d'essayer de chercher les ports utiliser par chaque appli genre MSN, YAHOO etc... Il y en a tellement que tu ne pourras jamais tous les bloquer.
Donc, il faut prendre le probleme à l'envers. De quoi ont besoin les clients ??
Email et HTTP ??
Ben tu fermes tous tes ports et tu laisses le port 80(http),443(https),25(smtp) et 110(pop) + autres appli dont tu as besoin.
Voila.. Comme ca, pas la peine de te prendre la tete avec des proxy etc...
Freejobos

[beberd]

La solution proposé par freejobos est super interressante !!! Mais comme a répondu remy_74 mon souhait est de faire du filtrage d'URL d'où mon intérêt pour un proxy.
J'ai installé JANA SERVER et je pensais fermé les ports de msn messenger sur mon serveur!!!
Le soucis est que je ne souhaite pas m'amuser à récupérer tous les ports pour tous les fermés.
J'aurais espéré que mon Proxy me permette de filtrer les ports.
Ainsi les règles de blocage des ports seraient sur le firewall et répartie en fonction des utilisateurs (certaines personnes sont autorisées à utiliser skype pour communiquer en Hongrie).
J'attaque juste sur JANA SERVER et je fais fouiller voir si je trouve quelques choses me permettant de bloquer ces ports en fonction des utilisateurs.

[beberd]

Bonjour,

Après divers recherche je n'ai rien vu me permettant de gérer mes ports par utilisateurs sous JANA SERVER.
Est ce quelqu'un serait en mesure de me guider à travers cette tâche?

Cordialement,

[freejobos]

Bonjour,

Après divers recherche je n'ai rien vu me permettant de gérer mes ports par utilisateurs sous JANA SERVER.
Est ce quelqu'un serait en mesure de me guider à travers cette tâche?

Cordialement,

Hello,
Je reviens de vacances, et je petes la forme
Bref, pour répondre à ta question, personnellement je la jouerais plutot comme ca.
2 niveau de firewall (soft): un où tu fermes le max de port et ne laisse passer que les flux souhaités pour les utilisateurs "normaux", et un autre avec moins de restrictions pour les utilisateurs comme le big boss et ses secretaires.

Sinon, la solution la plus radicale, c'est de mettre toutes les machines dans un domaine, et avec les GPO, tu donnes accès à l'execution que de certain programme (genre IE etc..) De cette facon, les utilisateurs ne pourront pas installer de conchoneries sur leurs machine et/ou utiliser des messenger et compagnie.



Solution finale: tu installes un soft de type http://www.naomifilter.org/index.html
Ce qui permet de filtrer les url et les recherches Plutot utiliser pour les enfants, mais des fois ca peut servir