Bonjour,
Globalement votre problematique consiste en un filtrage applicatif de niveau 7 (Web, P2P, MSN etc …) et ce que l’on soit en dhcp ou non, hors domaine on non.
Contrairement, vous avez besoin d’une UTM en mode coupure (cest à dire entre votre routeur FAI et votre LAN).
Cette UTM devras disposer d’un relais HTTP en mode transparent afin de filtrer les accés Web. Ce système permet d’intercepter à la volée tout flux HTTP et de les passer à la moulinette du proxy web intégré à l’UTM (avec anti-virus ou non selon vos besoins).
De plus au niveau des ACL je ne saurais trop vous conseiller la règle d’or de tout firewall professionel à savoir tout ce qui n’est pas explicitement autorisé est interdit. et ce en sortie comme en entrée. Par consequent en régle finale vous aurez tout flux bloqué vers toute destination. Puis au dessus on rajoute les exceptions. Ainsi si vous desirez autoriser certains poste à utiliser la messagerie il ne resteras plus qu’a créer une régle avec en source la plage IP des poste à destination de tout reseau avec service messagerie.
De ce fait si quelqu’un cherche à utiliser du P2P ce serais donc la derniere règle qui va matcher a savoir flux bloquer donc le P2P seras inutilisable et de plus vous pourrez identifier dans les logs de l’UTM quelle est la source qui à fait matcher cette règle.
ce système s’applique bien évidament pour tout autre protocole en sortie donc MSN, Yahoo messanger etc …
Ceci-dit comme je le precise plus haut l’UTM doit disposer d’un filtrage de niveau 7 c’est à dire protocolaire. En effet bloquer les flux MSN ne suffit pas car Microsoft pour detourner cette problematique encapsule dans de l’HTTP. Donc comme vous aller autoriser ce dernier il faudras mettre en place un politique de filtrage protocolaire sur l’HTTP. Ainsi l’UTM en plus de detourner les flux web vers le proxy et ce de maniere transparente. Il deras aussi verifier la conformité du code HTML en transit, il vous seras donc possible de bloquer toute HEADER HTML comportant MSN.
De ce fait il vous seras possible de bloquer tout flux applicatif type LogMeIn ou autre (on ne sait jamais ce que les utilisateurs ont dans la tète …)
Donc pour une UTM deux solutions s’offre à vous
1 L’open source :
il existe le projet EOLE avec l’AMON (projet education nationnale) Il necessite une machine (assez costaut) de bonne conaissance sur Linux. Il dispose d’un relais HTTP transparent mais ne fait pas de filtrage protocolaire et par defaut tout les flux sont autorisé en sortie.
Il existe aussi le projet IPCOP qui en mon sens et le meilleure compromis dans l’open source il tend à s’approcher des UTM professionel. Il dispose d’un relais HTTP transparent et cumulé avec les differents mods disponible vous pouvez en plus implementer le filtrage protocolaire l’analyse anti-virus ainsi qu’une analyse IDPS (système de detection d’intrusion). Si en plus on cumule le harware et qu’on installe l’IPCOP sur une appliance dédiée (type SOEKRIS) on dispose d’un boitier rack 19" moins sensible à la casse qu’un PC.
2 Sous Licence :
Ils ce valent tous plus ou moins selon le niveau de service que vous désirez mais tous conportent le relais HTTP le filtrage protocolaire l’analyse anti-virale ect … et ce selon la licence acquise (donc selon le budget)
Au registre nous avons :
Arkoon, Netasq, Fortinet, Juniper, Zyxel, Cisco, Checkpoint, SonicWall etc … Je cite uniquement les UTMs les plus connus. Ceci dit le cout peut vite grimper, mais vous beneficiez d’un support et de mise à jour ainsi que la garantie d’un constructeur.
Donc, si vous disposez de bonne compétence réseau, que vous avez le temps nécessaire vous pouvez vous rabattre sur de l’open-source.
Si vous ne le “sentez pas”, que vous avez le budget et ne disposez pas du temps necessaire vous pouvez investir sur une UTM constructeur vous aurez alors un support.
En esperant avoir apporté une ebauche de réponse …
