Remplacer Microsoft Forefront TMG



  • Bonjour,

    J'administre le réseau d'une PME d'environ 40 PC et 4 ou 5 serveurs (contrôleurs de domaine, serveur SQL, serveur Exchange).
    Tout cela est basé sur des OS Microsoft, on a pas le choix, tous nos outils et ceux de nos clients n'existent que sur ces OS.
    Les serveurs sont tous sous Windows Server 2008 R2 et j'utilise la virtualisation.
    90% des postes de travail sont sous Windows 7 pro, 10% sous Windows 10 pro.
    J'ai aussi une baie SAN mais elle n'est pas reliée au LAN, uniquement aux serveurs pour le stockage.

    Lorsque la question de relier notre LAN à Internet s'est posée il y a longtemps, j'ai fait le choix de Microsoft ISA server puis de son successeur Microsoft Forefront TMG car je pouvais l'avoir gratuitement dans un pack que propose MS aux partenaires, et par ailleurs c'est un excellent outil qui fait à peu près tout. Filtrage, journalisation, règles entrantes et sortantes, serveur VPN, etc.

    Au fil des ans j'ai pu intégrer notre serveur de messagerie et filtrer virus et spam avec un composant add-on, filtrer sur le contenu des mails, publier un serveur FTP, ouvrir des accès VPN, etc.
    Je n'utilise pas la fonction proxy intégrée par contre.
    Ce firewall est relié à Internet par une SDSL pro.
    Tout marchait bien jusqu'au jour ou Microsoft a décidé d'abandonner ce logiciel  :-[

    Pour l'instant il tourne encore mais je dois songer à sa succession.

    Il y a 6 mois j'ai découvert pfSense que j'ai installé à titre expérimental sur 1 machine "pour voir".
    J'ai utilisé un "package" complet FreeBSD + pfSense, c'est très simple à installer, un enfant de 12 ans pourrait le faire.
    J'ai relié 2 Box grand public sur 2 interfaces WAN (car je veux aussi faire de l'agrégat de liaison Internet, on est ravitaillés par les corbeaux ici…) et j'ai une 3ème carte réseau qui est reliée à mon LAN.
    Pour l'instant 2 postes de travail utilisent simplement cette "passerelle" vers Internet et ça marche très bien car les utilisateurs sont informaticiens et savent ce qu'ils font.

    Maintenant avant de pouvoir basculer l'ensemble du parc sur cet accès, j'ai besoin de mettre en place les mêmes fonctions avancées que j'ai sur mon Forefront amené à disparaître.
    Filtrage d'URL, journalisation des accès, filtrages de contenus Web, filtrage de contenus mails, anti-spam, anti-virus, publication de serveurs FTP et/ou HTTP, serveur VPN, etc.

    Et là je coince sur le choix des outils à ajouter.
    J'ai entendu parler de Squid mais je n'arrive même pas à l'installer sur une machine FreeBSD.
    Je vous précise que le monde libre (Linux, FreeBSD, ...) m'est totalement inconnu.

    Je cherche donc un site, des tutos, des conseils, voire une assistance pro payante pour débutant.

    J'ai lu ici ou là quelques échanges intéressants mais j'aimerais disposer des informations nécessaires avant de me lancer.

    Que pouvez-vous me conseiller ?

    Merci.



  • @PascalB41:

    Bonjour,

    J'administre le réseau d'une PME d'environ 40 PC et 4 ou 5 serveurs (contrôleurs de domaine, serveur SQL, serveur Exchange).

    Que pouvez-vous me conseiller ?

    Merci.

    En premier lieu une réflexion sur l'architecture.
    La taille de l'entreprise, les services (mail, proxy, filtrage, serveur ftp, …) justifient largement la mise en place d'une dmz. Dmz dans laquelle vous pourriez loger les éléments d'infrastructure permettant de faire en sorte qu'aucune connexion entrante vers le lan ne soit possible. C'est une bonne pratique assez basique et minimaliste aujourd'hui en matière de sécurité. Des vm fournissant ces services (de sécurité (anti-spam, anti virus, ...) y serait placée.
    Il y a quand même du travail de conception avant se mettre à installer quoi que ce soit. Du travail d'architecture pour concevoir quelque chose qui réponde aux besoins de l'entreprise. On documente cela un minimum.
    Ensuite lorsque l'on sait de quoi on a besoin, on choisi des outils qui feront le travail.
    Enfin on réalise, on documente aussi et on teste.



  • Merci pour la réponse.

    Je me doute bien que ce travail d'étude / documentation est nécessaire.
    Et c'est dans ce cadre que je cherche à me documenter sur les outils libres qui pourraient répondre aux besoins que j'ai sommairement exprimés.

    Pascal.



  • Outils possibles :
    Firewall : Pfsense
    Proxy : Squid avec des solutions de filtrage de contenu : dansgardian, squidguard. Voir aussi Artica.
    Relai smtp : Postfix voir solutions packagées avec ClearOS par exemple. Artica aussi.
    FTP : ce n'est pas ce qui manque. Plutôt a proscrire de nos jours. FTP est peu sûr, difficile à sécuriser. Selon besoin on peut envisager OwnCloud. Si il s’agit de mettre à disposition des fichiers. Bien d'autres choses possibles avec cet outil remarquable.
    Serveur web : IIS (bof) Apache2, Nginx.
    D'une façon générale éviter les solutions où un serveur MS est en dmz avec une réplique de votre AD. Inutile d'exposer celui-ci.
    VPN : on le fait souvent sur le firewall. On peut le faire autrement, avec Pfsense aussi mais qui ne remplira pas le rôle de firewall (J'ai testé et plusieurs fois mis en œuvre).


Log in to reply