Proxy et wpad



  • Bonjour,

    Je souhaite filtrer l'accès à internet dans une mairie selon une charte informatique.
    J'ai déjà téléchargé  squid et squidguard. J'utilise la version 2.0.3 de pfsense. J'ai aussi mis en place la blacklist de toulouse avec un proxy transparent.
    Seulement je me suis rapidement aperçue que les sites en https n'étaient pas filtrer car un proxy transparent ne gère que le port 80 et pas le 443.
    Sur divers forum, j'ai lu que l'on pouvait se servir du WPAD pour y remédier. Grâce à des tutos bien expliqué j'ai compris à quoi cela servait et comment le mettre en place.

    Mais quelques questions me trottent encore dans la tête:

    • Dois-je installer ce script sur chaque PC ou sur le serveur DNS uniquement?
    • J'ai 100 PC à gérer, sans compter le PC portables qui va et viennent  et les smartphones… Cette solution peut-elle s'appliquer à tout le monde même aux gens de passage?
    • Sinon, existe-t-il une solution plus adaptée à mon cas?

    Merci d'avance



  • Vous avez installé le proxy sur Pfsense ?
    Si il y a une charte, ce qui est très bien, un proxy transparent ne convient pas puisqu'il n'y a pas authentification de l'utilisateur. De plus la législation dispose que l'organisme doit conserver des logs d'accès. Mais dans votre cas, ces logs ne permettrons pas de tracer quoi que ce soitr en cas de problème.
    Pour https vous avez aussi une contrainte légale sur la possibilité (techniquement disponible) de gérer la session SSL sur le proxy.
    Pour les invités (de passage) ceux ci devraient se connecter sur une réseau distinct de celui de la Mairie. Oui il est possible d'utiliser des profils d’autorisation différents.
    C'est globalement un sujet complexe, si vous voulez faire les choses correctement, je pense qu'il vous faut remettre tout à plat, vous n'êtes manifestement pas prêt à déployer ce proxy correctement. Votre projet n'est pas mur, il est mal spécifié, on ne gère pas une centaine de users avec Squid sur le firewall, les contraintes légales ne sont pas intégrées, la segmentation réseau ne semble pas au point.



  • Je vous remercie de votre réponse rapide.

    Je suis actuellement en stage de fin de DUT, donc novice sur Pfsense et je n'ai pas encore toutes les connaissances concernant le monde informatique et réseau.
    J'ai installé le proxy sur Pfsense mais il n'est pas encore actif car il n'est pas assez complet à mon avis.
    J'ai la possibilité de faire une authentification par groupe pour les accés avec Active Directory que j'ai relié à Pfsense.
    Par aillleurs, mon tuteur peux m'aider en cas de solution plus complexe. Pensez vous qu'on puisse faire respecter la charte avec seulement Pfsense et SquidGuard?

    Merci



  • J'ai installé le proxy sur Pfsense mais il n'est pas encore actif car il n'est pas assez complet à mon avis.

    A proscrire sur tout pour 100 users. C'est une erreur en terme d'architecture.

    J'ai la possibilité de faire une authentification par groupe pour les accés avec Active Directory que j'ai relié à Pfsense.

    c'est une bonne chose. Je pense que vous voulez dire une authentification utilisateur et affectation d'un "profil" selon appartenance à un groupe ?

    Pensez vous qu'on puisse faire respecter la charte avec seulement Pfsense et SquidGuard?

    Squid et SquidGuard. Ce dernier seul ne peut rien. Il est fait pour fonctionner sur Squid. Impossible de répondre à votre question, je ne connais pas la charte, je ne suis donc pas en mesure d'en établir les implications techniques.



  • Excuse moi si je ne suis pas assez précise dans mes explications.
    Quand je parle du proxy sur PFsense, c'est bien évidemment par Squid et SquidGuard que je l'ai configuré.
    Quant à l'authentification, vous avez bien compris ou je voulais en venir.
    Pour la charte informatique, elle interdit l'accès au site qui ne sont pas lié au travail des employés (people, porno, jeux, socialnetwork…)

    Merci



  • @choupette:

    Pour la charte informatique, elle interdit l'accès au site qui ne sont pas lié au travail des employés (people, porno, jeux, socialnetwork…)

    Merci

    Encore une fois il NE FAUT PAS INSTALLER SQUID SUR LE FIREWALL !!!
    Dis comme cela, ce pourrait être suffisant. Maintenant, comme on dit en sécurité, le diable est dans les détails !

    Il ressort globalement de ce projet une impression d'impréparation, de manque de maturité du besoin et donc des solutions.



  • Excusez moi de mon manque de connaissance, je ne comprends pas pourquoi je ne peux pas installer squid sur le pare feu?

    Je vais faire part à mon tuteur de vos remarques qui j’espère vont faire avancer mon projet.
    Je vous remercie.



  • Jdh et moi avons, sur ce forum, largement expliqué le pourquoi. On peut, mais on ne devrait pas. Les besoins en terme de ressources sont très fondamentalement différents entre le firewall et le proxy. Comme cela s'est déjà vu un problème avec Squid peut conduire à l'indisponibilité totale du firewall. Ce qui n'est pas souhaitable.
    Un firewall est un composant de la plus haute sensibilité pour la sécurité. Par ailleurs chaque process qui tourne sur un système apporte sa part de vulnérabilité, c'est donc un mauvais choix en terme de risque que de multiplier les services actifs sur un firewall.
    Enfin les performances risque de ne pas être au rendez vous.
    Bref, faite des recherches ici et sur Ixus.net où nous avons déjà largement démontré en quoi cela est une mauvaise pratique. C'est une pratique dangereuse et une augmentation du niveau de risque contraire à l'objectif de sécurité.



  • Je vous remercie de vos explications très claires et m'excuse de vous avoir fait répéter une énième fois ceci


Locked