Besoin de conseil : autorisation Windows Update



  • Bonjour à tous !

    J'ai besoin de vos lumières pour la mise en place d'une PfSense pour l'un de mes clients :

    -> Le matériel : Alix 2D13
    -> Le client : petite PME (une trentaine d'utilisateurs)
    -> La configuration : Basique. DHCP/DNS Forwarder. Pas de WSUS/AD/DNS chez le client…

    Le besoin : la mise en place d'un blocage pour 3 postes : (utilisé 24H/24, la nuit, etc...)

    • Poste configuré avec des IP fixes
    • L'accès au web doit être bloqué. A peu près. (surtout le porno)
      -> Sauf pour les mises à jour Windows/Avast + LogMeIn

    J'avais pensé à plusieurs solutions :

    --> Autorisation par FQDN :

    Pas top. PfSense ne gère pas les wildcards (normal). Les mises a jour Avast et Microsoft utilisent plein d'IP sur des FQDN différent (server126.windowsupdate.com, etc...)
    J'ai utilisé les URL fournis ici (http://technet.microsoft.com/en-us/library/bb693717.aspx), en espérant qu'avec le DNS Forwarder l'IP reste la même. ça marche pour le téléchargement des mises à jour. Mais j'ai des problèmes pour la recherche de nouvelles mises à jour et pour Avast, ça risque d'être pire.

    --> Autorisation par IP :

    En utilisant les ranges d'IP trouvé sur I-blocklist, il y a moyen d'autoriser les accès vers les serveurs de Microsoft. Mais pour Avast, c'est encore le même problème, faut trouver une liste d'IP, etc...

    --> La mise en place de Squid en mode transparent et castré (pas de logs, etc...) :

    J'ai sais : Firewall != Proxy. Squid sur Alix 2D13 = impossible (ou presque).
    La mise en place de Squid sur Alix, je l'ai déjà fait. (c'est pas top, mais ça marche).
    Ici, il n'y a pas de problème de gestion de blacklist : on bloque tous pour 3 IP sauf l'accès à quelques wildcards type "*.windowsupdate.microsoft.com"...
    ça "pourrait" le faire. (il n'y a que 3 postes)

    Pour l'instant, je m'oriente vers le Squid par soucis de facilité...

    Et vous, comment feriez-vous pour autoriser juste les mises à jours Windows/Avast pour quelques postes ?

    Merci d'avance pour vos réponses/conseils !  :D



  • (Bon exposé : il y a de la réflexion. Bien !)

    La réponse est dans la question :

    • Alix = petit cpu = bien adapté au firewall et pas adapté du tout à un proxy type Squid.
    • filtrage http = proxy = Squid = Squid + Blacklist/WhiteList

    De mon point de vue, il FAUT

    • un proxy dédié = le seul autorisé à accéder à Internet,
    • Wpad pour passer via le proxy avec la config minimale des navigateurs.

    Squid sur le proxy doit pouvoir identifier les 3 postes (via leur adresses ip) et accéder à une whitelist.
    Pour les autres, il auront la blacklist de Toulouse (parce que Adult n'est pas utile aux autres).

    De plus, un proxy est nécessaire au regard des obligations d'une entreprise en terme de fourniture d'accès à Internet.



  • Manifestement le problème est bien compris et les solutions vous les connaissez, tout comme les limitations de ce que vous avez envisagé.
    Pourquoi n'utilisez vous pas les bonnes solutions que vous connaissez ?
    Comme Jdh je pense qu'il y a des raisons (des bonnes) techniques pour utiliser le proxy dédié. Tout comme il y a des raisons tout aussi indéniables sur le plan juridique.



  • Bonjour,

    Merci pour vos retours !

    En effet, le must pour le contrôle des accès web reste le proxy dédié mais comme d'habitude avec ce genre de problème, le client n'a pas l'argent/le temps/l'envie de mettre en place une solution de proxy complète.

    C'est pourquoi j'étais parti sur l'idée d'un Squid utilisé au minimum… (juste pour trois utilisateurs, permettant l'accès quelques domaines)

    Pour l'instant, les 3 postes sont coupés d'Internet, mais cela pose des problèmes de sécurité (mises à jours Windows et Avast).

    Autoriser au niveau du firewall des FQDN avec un wildward comme par exemple "*.windowsupdate.com" aurait été LA solution, mais ça ne semble pas marcher...

    Il semble qu'à une époque, une build interne le permettait...
    (cf : https://forum.pfsense.org/index.php/topic,44264.msg231443.html#msg231443)

    Vous savez si il existe une méthode équivalente permettant de le faire ?