Surveiller et verrouiller le web



  • Bonjour à tous,

    L'entreprise au sein de laquelle je travaille (une école) est confrontée à un problème… En effet, nous avons un wifi "public" auquel certains étudiants peuvent se connecter et par conséquent peuvent y faire tout et n'importe quoi. Notre pare-feu PFsense nous permet de bloquer certains sites (ceux donnant accès au téléchargement illégal par exemple) mais il faut entrer manuellement les adresses des websites, ainsi que celles des proxy les plus connus.
    Par la suite, à l'aide du contrôleur WiFi, nous pouvons bloquer les adresses IP, ce qui est inutile étant donné notre configuration en DHCP, et nous pouvons aussi bloquer les adresses MAC (là encore insuffisant pour contrer nos fraudeurs les plus expérimentés).

    Est ce qu'il y aurait un moyen de capturer les paquets afin d'identifier les utilisateurs fraudeurs (à travers les sites qu'ils visitent) ?
    Est qu'il est possible d'envoyer des messages (où qu'une page web s'affiche lorsqu'ils essayent de se connecter de nouveau) aux utilisateurs dont l'adresse MAC serait bloquée (au passage, peut-on bloquer les adresses MAC directement depuis PFSense) ?
    Est ce qu'il y aurait un moyen plus efficace d'empêcher l'accès à certains contenus plus facilement ?

    Bien cordialement,

    LG ;)



  • Il vous faut bien sur un proxy avec authentification et blacklist (avec Squiguard par exemple). Comme vous l'avez indiqué un filtrage par adresse MAC comme par adresse ip est insuffisant et inefficace. Nous sommes plusieurs à avoir donné sur ce fil une grande partie des réponses. Plutôt que de recommencer :
    https://forum.pfsense.org/index.php/topic,71206.0.html

    Est ce qu'il y aurait un moyen de capturer les paquets afin d'identifier les utilisateurs fraudeurs (à travers les sites qu'ils visitent) ?

    Problème très délicat d'un point de vue juridique.
    Je me répète : le proxy doit être sur une machine distincte de Pfsense. On pourra revenir ensuite sur les détails de mise en œuvre.



  • Bonjour et merci pour votre réponse !

    Concernant le proxy, peut-on envisager de le virtualiser et de l'installer sur une VM hyperV SUR le serveur primaire ? De ce fait, il serait à l'intérieur du réseau et pourrait prendre la main sur le réseau WiFi (étudiant) qui lui même est relié au serveur primaire via un switch.
    Concernant SquidGuard, permet-il les fonctionnalités suffisantes pour pallier les problèmes que je rencontre ?

    Et à propos de votre remarque, je pense en effet que vous avez raison et je n'avais pas envisagé l'aspect juridique au sens propre (merci).

    Cordialement,

    LG



  • Concernant le proxy, peut-on envisager de le virtualiser et de l'installer sur une VM hyperV SUR le serveur primaire

    Il n'y a pas de difficulté à virtualiser le proxy si HyperV supporte correctement les machines Linux. HyperV je n'en suis pas un fanatique c'est le moins que l'on puisse dire. Bref c'est une autre histoire. Qu'est ce que le serveur primaire ?

    De ce fait, il serait à l'intérieur du réseau et pourrait prendre la main sur le réseau WiFi (étudiant) qui lui même est relié au serveur primaire via un switch.

    Je ne comprend pas bien l'architecture envisagée.

    Squid  + Squidguard fournira :
    L'accès authentifié (sur la base AD par exemple, mais pas seulement).
    L'enregistrement des logs d'accès, conformément à la loi.
    Le filtrage éventuel des contenus du web, malware, virus, etc … http://squidclamav.darold.net/
    Le contrôle des sites accessibles ou non sur la base de blacklists http://www.squidguard.org/
    Les blacklists sont téléchargeables de façon automatisée : http://dsi.ut-capitole.fr/blacklists/



  • Bonjour,

    Pourquoi faut-il qu'HyperV supporte les VM Linux ?

    Le serveur primaire est en fait le serveur contenant tous les dossier auxquels ont accès les étudiants, c'est un peu la base de notre réseau, d'où l'intérêt de virtualiser le proxy sur ce même serveur.



  • @lg750:

    Bonjour,

    Pourquoi faut-il qu'HyperV supporte les VM Linux ?

    Parce que les solutions proxy performantes sont sous Linux.

    Le serveur primaire est en fait le serveur contenant tous les dossier auxquels ont accès les étudiants, c'est un peu la base de notre réseau, d'où l'intérêt de virtualiser le proxy sur ce même serveur.

    Je ne vois pas le rapport entre le proxy et le serveur de fichiers, ni l'intérêt de virtualiser sur le même système. Cela d'autant que sur les solutions de virtualisation sérieuses la vm est susceptible de changer de serveur physique pour optimiser au mieux l'utilisation de l'infrastructure.



  • Bonjour,

    D'accord, alors il faudrait prévoir une machine supplémentaire, qui tournerait sous linux et sur laquelle j'installerais un proxy type squid ?



  • Oui, physique ou virtuelle selon votre architecture et possibilité.



  • Très bien merci, je vais étudier ça. En effet, nous ne sommes pas encore surs des mesures que nous voulons prendre pour lutter contre le téléchargement frauduleux ou l'overload de la bande passante…

    Cordialement,

    LG


Log in to reply