Problème Squid / SquidGuard



  • Salut à tous, alors je vous expose mon problème :

    Contexte : Dans le cadre de mon stage en entreprise (hôpital) je dois monter une maquette de portail captif tout en respectant les contraintes, si la solution mise en place est choisie elle sera déployée dans le futur.

    Besoin : Mise en place d'un portail captif respectant les contraintes: Connexion à l'interface graphique sécurisée, Connexion en tant que client sécurisé, Comptes utilisateur dans un serveur Radius, Connexion temporaire avec des codevouchers, Proxy transparent, Filtre bloquant l'accès à certains sites (Violence, drogue ou a caractère pornographique).

    Schéma : Une simple maquette :

    • Un ordinateur équipé de 2 cartes réseaux (Une WAN [10.10.3.3 reçu par le DHCP du réseau] et une LAN [192.168.1.1 définit manuellement]) qui disposera du logiciel PfSense.
    • Un commutateur Nortel, dont les ports seront découpés en deux Vlan (une partie Lan et une partie Wan)
    • Une bornes Wi-fi Orinoco, afin de partager un accès Internet à un ordinateur client pour vérifier la configuration. (Connecté côté LAN, adresse IP: 192.168.1.1)
    • Un ordinateur portable disposant d’une carte wi-fi et d’une carte réseaux pour la configuration de base. (Pour servir de client, connecté sur la borne wifi, reçoit une adresse IP par le DHCP de PfSense : entre 192.168.1.25 et 1.49)

    Les paquets installés sont Freeradius2; Squid et SquidGuard.

    Les règles du parefeu :

    • WAN : Autoriser le serveur proxy (port 3128); DNS; HTTP et HTTPS.
    • LAN : Autoriser le port 3128, DNS; HTTP; HTTPS .

    Le portail captif est donc activé sur l'interface LAN, la connexion ce fait par le serveur Radius, une fois l'authentification faite, une fenêtre 'pop-up' est ouverte et le client est redirigé sur Google.

    Le serveur proxy est lui aussi sur l'interface LAN, sur le port 3128. Le proxy transparent est activé ainsi que les log (dans /var/squid/logs)
    SquidGuard est activé, et utilise la blacklist Shalla.

    Question :

    Alors voilà, je suis actuellement bloqué avec Squid et SquidGuard. Toute la configuration fonctionne, lorsque le client ce connecte sur la borne wi-fi et qu'il ouvre le navigateur, il est bien redirigé vers le portail captif et l'authentification est elle réussie. Mais à partir de ce moment il ce retrouve bloqué et ne peu rien faire.
    Le problème rencontré est le suivant  : SquidGuard affiche "SquidGuard service state: STOPPED" alors qu'il semble démarrer dans la page de configuration, il m'es impossible de le démarrer il reste toujours sous ce statut.

    Logs et tests : J'ai effectuer plusieurs recherches sur internet, j'ai notamment trouvé plusieurs tutoriels quant à l'installation et la configuration de SquidGuard, je les ait suivi à la lettre mais rien à faire. Comme marqué dans des forums anglais j'ai désinstaller puis réinstallés les paquets, j'ai même effectuer une remise à zéro ainsi qu'une réinstallation complète de Pfsense. J'ai au passage essayer les différents paquêts (Squid; Squid3; SquidGuard et SquidGuard-devel) uns par uns, par pairs ou même tous ensemble,  rien à faire.

    Mais je me retrouve vraiment bloqué à cause de SquidGuard qui reste en 'conflit' et rien n'est indiqué dans les fichier de Log. Mon tuteur de stage à essayer d'installer le service sur un serveur, mais il ce retrouve également bloqué avec SquidGuard, j'ai lu que j'étais pas le seul mais je n'ai pas trouver de solutions concrète à mon problème (certains on réinstaller les paquêts, d'autres appuient plusieurs fois sur la combinaison 'Save->Apply' et le service ce lance, mais rien ne fonctionnant pour moi, je me permet donc de poster ici afin que vous puissiez nous venir en aide.

    Au passage, j'ai essayé d'être le plus complet possible dans la description du problème, il ce peu qu'il manque des informations, et je m'en excuse par avance, et je vous les fournirais volontiers.
    Il peu s'avérer aussi que l'erreur vienne de moi, une option activée alors qu'il ne faut pas, une mauvaise configuration… J'ai peu être aussi louper un sujet récent discutant du même problème, enfin je m'excuse si je suis fautif  ;D

    Je vous remercie d'avance pour vos éventuelles réponses. ;)



  • Bonjour,

    je ne saurais que vous conseiller les pistes suivantes pour votre essai/ appel d'offre

    (et donc je vous laisse le soin, de retirer dans votre maquette ce qui selon moi est une mauvaise approche)

    – pour les bornes :

    oubliez.  je ne sais pas combien vous chiffrez la votre, mais une cisco SB de gamme WAP double 2.4/5 vous coutera moins de 250€ la piece
      (moins de 150 si vous restez en 2.4)  (quid de l'utilité du 5 dans l'hopital, ou le client est captif et de passage..)  (Vérifiez de ne pas entrer en Interf avec le materiel médical ! .......... etude a faire sur les freq)  le 5Ghz n'est pas dévelloppé, le déployer, c'est toucher 10% de la clientele seulement.  clientele captive et de passage je le rappelle.)  moi j oublierai la double radio si j etais vous

    elles vous fourniront une fidélité bien meilleure, une bonne couverture, et ce n'est qu'un début je ne vais pas détailler

    si vous etes anti cisco, préférez ubiquity.

    evitez le reste.  ou zyxel eventuellement, mais evitez tout le reste merci.

    -- pour le coeur de réseau,  nulle part je vous vois parler de Vlan...  bref, verifiez que votre nortel les supportes, et donnez un VLAN  a chaque station, et activez sur la station l'isolation inter-clients. (je ne saurai donc que vous conseiller de prendre des SW cisco et non nortel...  )

    1/ vous aurez des stats de conso et de tirages par étages/bornes/zone
      2/ c'est plus secure, ainsi vous interdisez les connexions sur le réseau iintranet (via les commutateurs, Inter-Vlan) (car passage obligé par le routeur pf), et vous interdisez par l'isolation les connexions faisceau a faisceau (clients inter bornes) (attachés a la même station, sur le même Vlan)

    -- pour pfsense:

    déportez le proxy sur une autre machine

    abandonnez squidguard

    préférez une solution de type OpenDNS, en bridant sur le réseau LAN la capacité de changer les DNS, faites votre filtrage dessus

    et si vous êtes malin, empoisonnez le cache DNS local avec une IP a vous, pour l'hote de blocage fournie par OPENDNS. (du style:  block-x.opendns.com)
    (yen a une dizaine)

    ensuite, via apache, ou nginx, je vous laisse faire la suite, pour que la page index sur le serveur legitime, (elle s'appelle "main" il me semble)  matche sur le serveur fake

    => Cela vous permettra d'avoir un joli service de filtrage DNS gratuit et brandé a votre image.

    (avec les referer, vous pouvez ensuite via scripting sur la page fake, traiter le refus, faire des stats, ou consigner, mais ca c est optionnel)

    Je vous déconseille squidguard.
      gerer une blackliste, ce n 'est pas votre metier.

    infliger a votre proxy de lire une blackliste a chaque requete, c'est dommage

    par ailleurs, ce n'est pas tres scalable, et plus la lliste grossit plus le surf devient lent

    seul un bloquage DNS, vous permettra de bloquer par thematiques.

    exxemple :  avec ce genre de service, vous pouvez sans probleme faire tomber, tous les sites de torrent, ainsi que tous les trackers de torrent (la connexion au tracker) dans les clients bittorrents de chacuns.

    il n est pas si evident de faire cela avec un proxy ..  oubliez d'avance.

    seul le blocage DNS, vous procure une solution d'empoisonnement complete qui est transverse, a tous les protos
    et qui va anéantir les contournements de 90% des gens.  pour les 10% restants, bloquez les sites de webproxy, bloquez les proxyies sauf le votre, bloquez le VPN.  cela vous permettra d'anéantir les contournements de 8% supplémentaires.

    les deux % restants passeront pas des tunnels SSH, ou autre
    vous n'y pouvez rien, oubliez les, c'est un réseau d'hopital, et pas la Nasa.

    Par ailleurs, ce sont des trafics tunelés, et donc vous vous en foutez, ils ne tombent plus sous votre responsabilité, ni ne proviennent de votre réseau
    (en terme de visu d'origine IP)

    la seule préocuppation que ces 2% restants reprente pour vous, c'est qu'ils ne mettent pas la qualité de service en danger sur une zone par leurs usages.
    mais par chance, dans votre réseau le client est de passage.

    squidguard ne bloque que le port 80...

    --

    en appliquant mes conseils, vous libererez votre machine de squid,  et vous augmenterez vos performences,

    ainsi vous pourrez liberer votre squid des fonctions squidguard, ce qui vous permettra de lui donner toute sa performence et son utilité

    Logger > Accellerer > caching de contenu  ----  rien d'autre

    avec les Vlan, vous aurez une vue segmentée du réseau, vous lui apporterez plus de securité

    avec les AP de classe pro, vous serez crédible dans votre projet, et vous pourrez au moins avoir une zone avec 25 clients dessus, sans que l'AP ne s'effondre

    car avec du materiel de classe GP,  (l'ap a moins de 100€).. de marque machin truc...  dès 10 utilisateurs, les perfs baissent.
    adieu les Vlan, adieu l'isolation

    bref, ce n'est pas concu pour cela.

    cordialement



  • salut salut

    En complément des informations de @flo, je rajouterais de sortir le service radius sur une machine dédiée et ou sur celle qui hébergera squid.

    Il ne vous sera pas assez répété par l'ensemble des personnes pouvant vous apporter une aide probante que Pfsense est et doit rester un pare-feu/routeur pas une usine à gaz qui fait le café et qui fini par être une passoire coté sécurité.

    Personnellement je veux bien comprendre que l'on peut le faire mais cela n'est pas une raison de le faire pour des raisons mainte fois explicité pour nous gouroux du forum comme CCNET et JDH pour ne citer qu'eux et dont je partage leurs points de vues.

    Toujours pour compléter vous êtes dans une environnement hospitalier avec des contraintes de sécurités évidentes qui n'ont pas l'air de vous frapper, il y a plusieurs réseaux qui cohabitent dans ce Réseau là, il me semble que vous l'avez perdu de vu.

    prenez en considération les informations de @flo vous passerez plus facilement pour un stagiaire professionnel qu'un stagiaire bidouilleur qui fait un stage en passant à coté d'un vrai bon stage qui pourrait avoir une recommandation à son terme.

    Cordialement



  • @tatave

    ne sois pas si inflexible. je te trouve dur sur le coup, on a vu bien pire !!!!!!!!!

    sa requete est formulée de maniere conforme, désireuse, et questionneuse, –-- et tout le monde débute a un moment.

    le principal est d'apprendre, et de se documenter, et je suis sur que ce jeune homme aura eu quelques "tilts" qui lui serviront une fois suivante, en me lisant...

    -- concernant RADIUS, j'agrée et je vais même encore plus loin que toi :  Radius (Home Radius/ Final radius) (radius de décision) est a mon avis a placer dans un datacentre, (a proximité de son serveur de SQL) (ou avec, si c'est une bête, et qu'il y a moins de 1000 users je dirais) car il doit faire du 24/24 (et avoir une connectivité/latence similaire a toutes les entrées) et c'est plus pratique surtout lorsqu il gere plusieurs sites, et a plusieurs points d'entrées.

    ses interlocuteurs sont alors idéalement des radius intermediaires, et il ne va dialoguer QU AVEC eux. via le secret, et idéalement via une liaison VPN.

    --

    dans ce type de cas, ca me choque pas tellement que Pfsense puisse servir de proxy radius, dès lors que sa seule fonction sera store and forward

    non? qu en penses tu?

    --

    concernant la sécurité, on le sait bien qu'en WIFI il ne faut se reposer que sur SSL SSH ET sftp.


    TOUTEFOIS ca n'empeche pas d'avoir une bonne isolation réseau, dès lors qu'on estime normal qu'un patient de la chambre 300 n'a pas a pouvoir entrer en communication par le réseau de quelque maniere que ce soit avec un patient de l'étage au dessus, sur une autre station, sur un autre port commutateur dans la chambre 500.

    ou a avoir le droit de scanner le réseau

    et je n aborde même pas le problème suivant:

    un service wifi hopital,  OK, 6 mégas max chacun, why not, on peut meme faire pire, 3 mégas.. même 1.. bref
    c est pas une question

    par contre :  quid d'un réseau sans VLAN, avec pleins pleins de petits appareils, tous dans le même réseau

    quid du traffic de diffusion?  on dit toujours en ethernet : jamais plus de 250 adresses par réseau idéalement.

    bref
    il y en a des choses a dire ;)



  • @flo loin de moi d'etre cassant. ^^

    Je reconnais que la formulation a été faite et même bien, il y a de la recherche et un certain travail préparatoire indéniable.

    Connaissant aussi un peu cette partie informatique/hospitalière, je préfère appuyer sur le point de l'interopérabilité et interconnexion des différents réseaux entre ceux public, médicaux, séjour, administratif… avec des troncs communs. Le tout ou il faut que rien ne diffuse les data patients ailleurs que là ou il faut que cela aille.

    @holling

    vous avez un bon sujet de stage et un chouette challenge mettez toutes les chances de votre coté.

    Cordialement.



  • dans tes experiences de réseaux "commerciaux" hospitaliers, tu utilises le même réseau que le réseau médical? (tu le segmente virtuellement)

    moi je ne le ferai pas, je sais pas pourquoi, mais je vois pas pourquoi on viendrait alourdir le réseau métier avec ca.

    les hopitaux sont suffisamment équipés de gaines pour déployer un réseau secondaire

    et même si l'hopital est mal fichu,
    regarde ca:http://www.trendnet.com/support/supportdetail.asp?prod=265_TPA-311

    rien ne t'mpeche de te servir du coax de certaines chambres, pour déployer des "points de présence" du réseau a divers étages

    j'ai acheté un de ces appareils récemment pour effectuer des tests, en vue d'un comparatif sur une résidence dépourvue de cablage cat5e

    et bien je peux te dire, que pour 100€, avec un filtre a 3€ pour isoler du systeme TV collectif la liaison coax de chaque appart, tu passes du 95M
    ET tu passe du 130-140 dans les deux directions  (j'ai essayé l'appareil)

    je ne suis pas si sur que payer du personnel pour sortir les 30 metres de coax, y attacher 30 metres de cat 5e, et tout renvoyer dedans (environ 35 min par appart hors frais de cable), je dis donc: je ne suis pas sur que ca vaille le coup en terme de personnel et en terme de cout de cable d'ignorer ce genre de technologies

    dans une chambre d'hotel, dans certaines chambres d'hopitaux pour y poser des AP pour tout une zone, dans une résidence d'étudiants
    pour y amener une connexion 100 dans chaque appart

    ces solutions semblent idéales et cohabitent tres bien avec les freq TNT et sat.  (c'est du 12-40, la TNT c'est du 300 - 600 et le SAT c'est du 1000-2000)

    le cable coaxial a une puissance indéniable dans certaines topologies, car dans un seul cable (déja posé, et non corruptible par le temps, car c'est un cable tres fiable et peu sensible), tu peux amener a faible cout, des centaines de radios, de chaines TV et un service IP..

    le tout avec des débits dédiés..  c'est ce que propose un cablo-opérateur, sauf que lui va fonctionner par poches de quartier,
    la tu n'as pas de poches, tu as bien un boitier de par en part, tout est dédié, unitaire

    mais tu peux etre plus salop encore, et partager coté colonne seche, un boitier de ce type, pour 4-5-6 apparts
    en realité c est tout a fait faisable, mais je ne l ai jamais essayé, car c'est agressif comme mutualisation au regard du cout de déploiement (moins de 100€) par point d'utilisation (chambre appart etc)

    ces appareils ne natent pas, c 'est un pont, qui utilise le coax, a coté des frequences TV/radio, sans les gener, et sans les filtrer

    ils permettent donc d'amener du 100 full duplex (dans la pratique 93, ou 140) et tout le service TV d'un hopital ou d'un hotel ou collectif, pour moins de 100€
    et c'est totalement plug and play,  tu branches, ca synchronise, basta.

    et les Vlan traversent.. et tu as deux ports ETH coté client…
    bref, a mon avis, pour 80€ une superbe manière d'amener le "Tres haut débit" sur une boucle locale existante, en moins de 20min.

    et ce, sans payer deux mecs, a déposer un cable dans une gaine datant de 20 ans, et a se faire chier a repasser le coax + 1 cable cat5e

    au cout par unité tu es gagnant a mon avis  (cout de cablage, de prise, de main d'oeuvre, de charges sociales)



  • @flo

    Effectivement mais nous nous éloignons du sujet initié.

    Comme dans le monde privé, il y a à boire et à manger, tout est affaire de faire le plus avec le moins et de personnes ^^

    pour en revenir au but du poste ==>

    • squid sans squidguard sur une machine dédiée et l'authentification aussi (si possible pour ce point là)
    • usage de vrai ap pro et pas des trucs grands public (cela va bien pour du particulier ou une petite pme qui n'a pas de vrai budget et qui peut changer très souvent d'ap (pas tjrs le bon calcul)
    • suivant les hôpitaux, il y a ou pas des vlans qui sont interco et plus ou moins bien sécurisé (coté a étudier de plus près si possible ce point en second projet de stage si j'ose dire)

    déterminer si le wifi il y a des outils médicaux qui s'en servent et comment ? et ou s il y a que du public qui y accède. d'où l’importance de savoir qui fait quoi et comment.

    Cordialement.



  • Alors tout d'abord merci pour vos différentes réponses  ;)

    Pour ma part, il s'agit d'une simple maquette ou tout est rassemblé sur PfSense, il m'a été demandé de réaliser cette maquette dans le but de découvrir les portails captifs (chose que je n'avait pas vu en cours), tout en essayant de l'intégrer aux contraintes de l'hôpital. Après plusieurs recherche j'ai choisis PfSense car justement il permet l'ajout de différents modules répondant aux attentes.
    La maquette est simple, d'où un matériel non sophistiqué, il s'agit ici de 'récupération' afin de réaliser tranquillement de mon côté.

    Je ne suis que peu de temps en stage, je ne déploierais pas cette solution dans l'hôpital, mais je pense que mon tuteur prend les bonnes précautions et n'utilise pas tout les services sur un seul serveur.
    A vrai dire je ne sais pas comment il c'est organiser, je lui demanderais à l'occasion.
    Mais je ne m'en fait pas, mon tuteur est tout de même compétent et ne mettrait pas en place un service non sécurisé dans l'hôpital.

    Pour le moment tout fonctionne avec PfSense, mise à part SquidGuard qui joue des siennes c'est pourquoi j'étais venu à la base.  ;D

    Il est vrai que votre solution proposée est meilleure, je l'avait lue dans un autre post d'ailleurs, mais je ne pourrais la mettre en maquette faute de temps, de moyens et de compétences  ???
    Après je ne sais pas quel sera la suite de mon stage, peut-être une maquette plus poussée d'un portail captif comme vous le proposer.

    Pour info : Le réseau est lui bien découpé en plusieurs Vlan et à mes souvenirs les bornes wi-fi sont déployées uniquement pour le public.

    Enfin, vos réponses m'auront tout de même appris certaines choses, je note d'ailleurs la solution proposée et pourrais voir pour la mettre en œuvre dans le futur.



  • salut salut

    merci pour vous éclaircissements, vous pouvez tout en réalisant votre maquette de tout en un, sur le présentation que vous en ferez appuyer sur les points que nous avons cités et les argumentations pour les raisons évoquées.

    Cordialement et bon courage pour votre stage.



  • @HOLING

    Votre maquette est jolie sur le papier et je l'approuve.

    dans la réalité ce sera du travail qui ne respecte pas les regles de l'art, et qui sera de piètre qualité.

    nous vous avons donné toutes les pistes utiles pour reprendre de fond en comble votre maquette

    et lui donner un aspect plus pro

    vous pensez que faire des "combo-serveurs" est une avancée.  vous avez tors.

    moi je vous dis :  Mieux vaut deux petits serveurs qui se partagent le travail

    qu'un gros qui est au four et au moulin.

    par ailleurs dans la deuxieme partie de ma réponse je vous ai donné des pistes qui peuvent enrichir votre maquette, et qui sont particulièrement intéressantes dans le modele de type hospitalier, hotelier, résidences, (Modele "MDU")

    qui consiste au réemploi de manière viable du cable coaxial, sur des technologies dont on entend pas souvent parler en europe, mais dont on peut trouver quelques rares produits,  (comme le HPNA/HCNA  (cas du trendnet)  le MoCA, ou le G.Hn)

    le G.Hn n est pas encore mature.
    en ce qui me concerne je préfere le HPNA, car il est a mon sens plus performant  sur le ratio frequences utilisees / rendu

    MoCA empiète sur les freq sat,  HPNA préservera la FM, la TV, le SAT pour le même service.

    ce genres d'informations sont particulierement interessantes, dans le milieu (hospi, hotel, resid)
    car ces structures sont parfaitement cablées et bien capilarisées en bon vieux cable coax.

    donc moi, si j'etais celui qui recevrait votre maquette, voila ce que je vous dirai :

    • le combo est une erreur
    • le materiel retenu est une erreur
    • vous ne me parlez que du coeur de réseau et pas du réseau.

    or pour moi, votre "futur" réseau, axé autour de SW nortel et d'AP (probablement G) de marque machin trucs

    je répond dessuite => C'est des economies de clopinettes, pour un réseau merdique a l'arrivée.

    vous avez tout interret a ce que votre maquette propose une solution Wlan Pro

    et pk pas (preuve de vos recherches) une solution alternative, comme le HPNA sur paire de cuivre en milieu residentiel ou hotelier, ou le HPNA over Coax (TRENDNET d'exemple) dans tous les milieux joliement capilaires de bon coax (comme une chambre  - d'hotel  - d'hopital)

    autant de pièces qui ont chacun un cable, qui chemine vers une collonne seche ou ils rejoignent des splitters. (switch coax)
    bref, vous avez la X lignes,  une mine d'or.  _il serait dommage que votre maquette ne tienne pas compte de cela.

    calculez le cout en fonction de la superficie, du nombre de bornes, du prix des bornes
    c est a mon avis aussi cela qu on attend de vous dans cette maquette,

    un :  "alors voila, en wifi ca couterait 75 par chambre,  mais en coax ca couterait 80 et en pur cat5e ca couterait 150 par chambre"
    voici les pours , voici les contres. de chaque techno

    voici ce que nous pouvons proposer :  Un service collectif "entrée de gamme" dans chaque étage par le wifi,  (802.11n) (exemple: cisco WAP321 150€)
    et pourquoi pas un service plus premium pour tous les fans de canalplay, de mycanal etc, avec une arrivée dans la chambre.

    les VLANs et les identifiants de supplicants RADIUS vous aideront la dedans, au niveau de la gestion des droits (clients autorisé sur réseau cable, client uniquement autorisé sur tarif wifi collectif)

    votre interlocuteur attend votre expertise, vos propositions,  --- vous êtes là pour apprendre, être force de proposition, et qu'il se dise (pourquoi pas si vous avez de la chance)  tiens, celui la il est bien, je le CDI-se après son alternance et je le garde.  (difference entre un alternant, qui s'implique, et a un truc a apporter, et un stagiaire qui passe, qui regarde, et qu on oubliera)

    ;)

    Bien cordialement

    votre maquete peut contenir :

    -- Le coeur de réseau son serveur coeur, et ses serveurs freres (voir mon post du debut)

    -- Le réseau de distrib (backbone cablé 5e qui va aux AP, et aux collones seches eventuellement pour nourrir AP et autres appareils)

    -- Le réseau de collecte WIFI (les AP)

    -- Le réseau de collecte alternatif (le coax)

    -- Le chiffrage du coeur de réseau (indépendant du réseau de collecte)

    -- le chiffrage comparatif des réseaux de collectes

    -- des pistes

    ps:  je vois pas pourquoi on vous demande de faire une maquette avec du vrai materiel
    par ailleurs le materiel que vous avez n'est pas suffisant.

    en ce qui concerne finalement squidguard, si le service ne démarre pas, c 'est a cause du paquet
    les paquets sont des briques ajoutées a pfsense, mais NE SONT PAS PFSENSE.

    pfsense, c est tout ce quil y a dans les menus, quand la machine dispose de 0 paquets installés.
    un paquet est une faille dans sa securité. c est du code externe.

    votre maquette peut contenir des arguments en ce sens

    en bref:  je vous invite a vous differencier, plutot qu a vendre "pfsense out of the box "  "tadaaa voila !!" a votre dsi.

    moi en tout cas c est ce que j attendrais de vous, et pas que vous me fassiez une "démo d'un portail captif"
    lol



  • @Holing:

    Besoin : Mise en place d'un portail captif respectant les contraintes: Connexion à l'interface graphique sécurisée, Connexion en tant que client sécurisé, Comptes utilisateur dans un serveur Radius, Connexion temporaire avec des codevouchers, Proxy transparent, Filtre bloquant l'accès à certains sites (Violence, drogue ou a caractère pornographique).

    Du coup, comme je viens de rebondir sur ce sujet suite à un débat sur le proxy dans un autre fil, je me permets de donner un avis  :-[

    L'approche OpenDNS est probablement jouable en acceptant quand même pas mal de compromis, tant en terme de services offerts qu'en terme de sécurité.

    • si il n'y a pas de contrainte de profiling (tous les utilisateurs subissent les même filtres en permanence)
    • si on considère que tous les services derrière une adresse IP sont à proscrire dès lors qu'il y en a un qui entre dans cette catégorie (par de granularité)
    • si on ne s'intéresse pas au contenu de ce qui passe en clair sur le réseau (attachements, exécutables, virus etc…)

    alors OpenDNS + Umbrella peut rendre un service acceptable dans certains environnements mais ne peut pas, si j'en comprends bien le fonctionnement, remplacer les solutions qui fonctionnent au niveau du protocole qu'elles couvrent.

    Dans ce post il est principalement question de HTTP: un proxy bien configuré va rendre un niveau de service bien meilleur et bien plus sûr qu'OpenDNS, avec la possibilité de:
    [list]

    • contrôler l'accès aux sites web en HTTP ou HTTPS
    • ne filtrer que quelques URL spécifiques d'un site
    • bloquer HTTP mais permettre SSH ou FTP ou le mail
    • contrôler qui parmi les utilisateurs locaux peut accéder et quand
    • mettre en œuvre un antivirus
    • ….

    bref, ce n'est pas comparable.
    OpenDNS pour un device mobile qui se promène dans la nature sans VPN vers l'infrastructure sécurisée de l'entreprise, c'est envisageable.
    Pour remplacer purement et simplement ce que ferait un proxy dans une entreprise (ici un hopital), je n'y crois pas beaucoup.

    Ce que ne dit pas le cas décrit par Holing, c'est si la population qui accède au service est celle de l’hôpital (les employés) ou bien les patients. Il peut y avoir de petites (grosses) différences dans les contraintes et niveau de service.


Log in to reply