Forum Clubic

Filtrer un accès Internet en entreprise

Bonjour à tous,

Après avoir fait du support informatique de “première ligne” depuis pas mal d’années, je change de boulot et dois à présent gérer les serveurs du parc d’un établissement scolaire (vous aurez donc compris que les utilisateurs sont assez … relativement disciplinés).
Au niveau de la connexion Internet, c’est pire que ce que je croyais : l’accès est complet sur tous les postes, avec toutes les dérives possibles et imaginables (aussi bien les étudiants que le personnel administratif ou les enseignants).

En bref, je voudrais remettre un peu d’ordre dans tout çà et assurer une gestion plus saine de ce réseau, et donc bannir :

  • le P2P
  • les messageries instantanées
  • certains sites (au moins sur les machines de cours), comme les réseaux sociaux

Le réseau utilise un domaine (basé sur des serveurs Windows 2003). Les GPOs définies permettent juste d’interdire l’installation des programmes au départ des machines placées dans le domaine. Je dois aussi tenir compte du fait que les étudiants qui débarquent avec leur portable dévorent les ressources du réseau et mes GPOs ne servent plus à rien dans ce cas (un serveur DHCP leur assure directement la connexion).

Pour faire tout cela, que me conseillez-vous ? De ce que j’en ai lu jusqu’à présent, je pourrais soit :

  • installer un routeur entre le réseau et la passerelle (nous ne pouvons pas la gérer, seulement notre FAI, avec des coûts exhorbitants sur chaque demande) et le routeur filtrerait les paquets/protocoles
  • acheter un firewall hardware
  • installer un firewall au départ d’une vieille machine (peut-être en Linux)
  • acheter un serveur proxy (ISA server !? Squid !?)

Comme je débute totalement dans la sécurisation des accès Internet, il me faudrait quelque chose d’à la fois maîtrisable sans passer des mois dessus et assez performant que pour décourager les “récalcitrants”. Merci pour vos avis ou expériences à ce niveau !

Salut, je ne suis pas expert la dedans mais moi je ferai ca…

-Limitation à une adresse mac par port ethernet sur les switch. (adieu portables, vaux, vaches,cochons)
-Firewall/Proxy sur une machine linux

Et voilà!

Mais bon je ne suis pas expert donc à vous!

Et bien, installe un contrôle parental gratuit, tout simplement. :slight_smile:
Et sécurise le réseau sans-fil, s’il y en a un.

bonsoir,
Il faut voir avec sambaedu3 et lcs, le couple fonctionne à merveille dans beaucoup de lycée et collège, initiateur du projet académie de caen.

bon courage.

Bonjour,

Globalement votre problematique consiste en un filtrage applicatif de niveau 7 (Web, P2P, MSN etc …) et ce que l’on soit en dhcp ou non, hors domaine on non.
Contrairement, vous avez besoin d’une UTM en mode coupure (cest à dire entre votre routeur FAI et votre LAN).
Cette UTM devras disposer d’un relais HTTP en mode transparent afin de filtrer les accés Web. Ce système permet d’intercepter à la volée tout flux HTTP et de les passer à la moulinette du proxy web intégré à l’UTM (avec anti-virus ou non selon vos besoins).

De plus au niveau des ACL je ne saurais trop vous conseiller la règle d’or de tout firewall professionel à savoir tout ce qui n’est pas explicitement autorisé est interdit. et ce en sortie comme en entrée. Par consequent en régle finale vous aurez tout flux bloqué vers toute destination. Puis au dessus on rajoute les exceptions. Ainsi si vous desirez autoriser certains poste à utiliser la messagerie il ne resteras plus qu’a créer une régle avec en source la plage IP des poste à destination de tout reseau avec service messagerie.
De ce fait si quelqu’un cherche à utiliser du P2P ce serais donc la derniere règle qui va matcher a savoir flux bloquer donc le P2P seras inutilisable et de plus vous pourrez identifier dans les logs de l’UTM quelle est la source qui à fait matcher cette règle.
ce système s’applique bien évidament pour tout autre protocole en sortie donc MSN, Yahoo messanger etc …

Ceci-dit comme je le precise plus haut l’UTM doit disposer d’un filtrage de niveau 7 c’est à dire protocolaire. En effet bloquer les flux MSN ne suffit pas car Microsoft pour detourner cette problematique encapsule dans de l’HTTP. Donc comme vous aller autoriser ce dernier il faudras mettre en place un politique de filtrage protocolaire sur l’HTTP. Ainsi l’UTM en plus de detourner les flux web vers le proxy et ce de maniere transparente. Il deras aussi verifier la conformité du code HTML en transit, il vous seras donc possible de bloquer toute HEADER HTML comportant MSN.

De ce fait il vous seras possible de bloquer tout flux applicatif type LogMeIn ou autre (on ne sait jamais ce que les utilisateurs ont dans la tète …)

Donc pour une UTM deux solutions s’offre à vous
1 L’open source :
il existe le projet EOLE avec l’AMON (projet education nationnale) Il necessite une machine (assez costaut) de bonne conaissance sur Linux. Il dispose d’un relais HTTP transparent mais ne fait pas de filtrage protocolaire et par defaut tout les flux sont autorisé en sortie.
Il existe aussi le projet IPCOP qui en mon sens et le meilleure compromis dans l’open source il tend à s’approcher des UTM professionel. Il dispose d’un relais HTTP transparent et cumulé avec les differents mods disponible vous pouvez en plus implementer le filtrage protocolaire l’analyse anti-virus ainsi qu’une analyse IDPS (système de detection d’intrusion). Si en plus on cumule le harware et qu’on installe l’IPCOP sur une appliance dédiée (type SOEKRIS) on dispose d’un boitier rack 19" moins sensible à la casse qu’un PC.

2 Sous Licence :
Ils ce valent tous plus ou moins selon le niveau de service que vous désirez mais tous conportent le relais HTTP le filtrage protocolaire l’analyse anti-virale ect … et ce selon la licence acquise (donc selon le budget)
Au registre nous avons :
Arkoon, Netasq, Fortinet, Juniper, Zyxel, Cisco, Checkpoint, SonicWall etc … Je cite uniquement les UTMs les plus connus. Ceci dit le cout peut vite grimper, mais vous beneficiez d’un support et de mise à jour ainsi que la garantie d’un constructeur.

Donc, si vous disposez de bonne compétence réseau, que vous avez le temps nécessaire vous pouvez vous rabattre sur de l’open-source.
Si vous ne le “sentez pas”, que vous avez le budget et ne disposez pas du temps necessaire vous pouvez investir sur une UTM constructeur vous aurez alors un support.

En esperant avoir apporté une ebauche de réponse …

salut,

comment faire compliqué quand il y a une solution toute simple :

  • sécuriser son réseau wifi (WPA)
  • Déconnecter les ports du switchs ( du moins ce qui ne servent pas) ==> pour switch administrable
  • Un proxy type “Squid” sur un linux (blocage de sites, surveillance des sites visités par utilisateur, etc, etc) ==> produit trés complet

Tes problèmes sont réglés rien qu’avec ca

Merci à tous pour vos réponses détaillées (Freenix --> ton “ébauche de réponse” est presque encyclopédique, merci encore !) :wink:
Je pense tester d’abord les solutions open source (IPCop ou Squid) et vous fait un topo … “dès que”.

Alors, ce topo ? Vu le temps écoulé, j’espère que tu es parvenu à tes fins ?!

Merci à Freenix pour l’explication détaillée. Je viens de mettre en place un proxy squid dans une école, j’avoue que la problématique de l’encapsulation HTTP ne m’était pas venue à l’esprit ! Même s’ils sont un peu jeunes pour penser aussi tordu, on ne sait jamais : je me garde ça sous le coude quand j’aurais un peu de temps…

p3nnywis3 >
L’accès WiFi est peut-être une fonctionnalité du réseau ? Si cela fait partie des droits des élèves, la sécurisation WPA va pas servir à grand-chose, à part se compliquer la tâche.
Déconnecter les ports du switch ? Pour quoi faire ?! (la question est sérieuse, hein, je comprends simplement pas).
Squid : c’est de la balle :slight_smile: Par contre, je me demande du coup s’il est possible de faire de l’examen de trame pour bloquer les contenus de type encapsulés (j’ai pas encore potassé le man : un bête RTFM suffira - éventuellement des liens vers de la doc abordable, si tu es sûr que squid peut gérer ça tout seul).

p3nnywis3 >
L’accès WiFi est peut-être une fonctionnalité du réseau ? Si cela fait partie des droits des élèves, la sécurisation WPA va pas servir à grand-chose, à part se compliquer la tâche.
==> Si quand même ca a sa fonction la protection du réseau WIFI. Enfin je sais pas mais je suppose que tu fermes ta voiture à clé même quand elle est rentrée dans le garage?! La c’est le même principe

Déconnecter les ports du switch ? Pour quoi faire ?! (la question est sérieuse, hein, je comprends simplement pas).
==> soit tu ne t’y connais pas beaucoup ou soit tu travailles dans une boutique informatique (ce qui revient au même au final). Il est primordial de n’autoriser (ports de switchs, protocoles, sécurisation WIFI) que le nécessaire. C’est le sens de la sécurité informatique. Quand tu installes un ISA Server, il te bloque tout par défaut, c’est un peu le même principe. Un élève ca fouille, ca bidouille, et pour peu qu’ils aient un accès physique à un switch il est nécessaire de ‘down’ les ports libres (un élève ira rarement débranché un équipement réseau mais s’entrainera sur des ports libres) Logiquement tout doit être consigné dans une salle serveur mais bon … . ==> il y a aussi une notion de “psychologie” a abordé dans le problème de la sécurisation. Tout dispositif a sa faille certes mais de la a me poser ses questions ci-dessus je trouve ca abusé pour un mec qui veut étudier si squid contrôle l’encapsulation http lol

Et pour finir, j’ai lancé squid, j’aurais pu dire ISA Server ou une autre solution propriétaire. C’est que Squid se monte simplement, et vu comment ca a l’air d’être la fête là ou il bosse, c’était une solution rapide (1 jour ou deux jours au + pour la mettre en place)

Je travaille pour une entreprise qui a comme client un CFA et je peux te dire que j’en ai vu de toutes les couleurs; donc les points qu’il a abordé, j’y ai été confronté.
Edité le 09/05/2010 à 15:23