proxy pc portable et experience utilisateur

proxy pc portable et experience utilisateur - Infrastructures serveurs - Systèmes & Réseaux Pro

Marsh Posté le 03-11-2015 à 12:29:36    

Bonjour,
 
Jusqu'a présent nous utilisions un système de proxy transparent donc aucun problème pour nos utilisateurs.
Actuellement nous migrons vers une solution ou nous devons renseigner un proxy.
Nous n'avons aucun problème pour tout ce qui est pc fixe mais comment gérer les pc portables ?
 
Nous cherchons une méthode qui serait transparente pour l'utilisateur mais à première vue, rien ne vient à l'esprit.
 
Etre obligé d'aller désactiver le proxy puis le réactiver des qu'il est en entreprise.
Un fichier .reg sur le bureau pour désactiver et un pour l'activer
un script de connexion qui vérifie l'adresse IP et en fonction modifie la clé de registre correctement.
 
Voila les 3 seules idées auxquelles nous avons pensé mais dans toutes ca ne remplit pas tous les cas.
nous utilisons un enregistrement DNS qui pointe vers notre proxy et le port 8080
 
Merci par avance pour votre retour d'expérience.


---------------
Mon Feedback---Mes ventes
Reply

Marsh Posté le 03-11-2015 à 12:29:36   

Reply

Marsh Posté le 03-11-2015 à 12:38:23    

Si les postes sont en DHCP, il y a l'autoconfig qui n'est pas trop complexe à mettre en palce : http://findproxyforurl.com/deploying-wpad/
La plupart des navigateurs cherchent cette config par défaut

Reply

Marsh Posté le 03-11-2015 à 13:27:05    

OK donc ça a l'air d être une méthode très bien ça .
On a trois domaine donc nous faut le mettre en place sur les 3 car pas de haute dispo si jamais une liaison wan tombe les autres sites seraient susceptibles d être embetes


---------------
Mon Feedback---Mes ventes
Reply

Marsh Posté le 03-11-2015 à 18:40:17    

Le wpad (autoconfig) est à fuir absolument d'un point de vue sécurité pour des postes nomades qui vont aller se connecter en dehors d'un réseau corporate.
Une fois sortie du réseau corporate on peut très facilement détourner l'intégralité du trafic web d'un poste qui a cette option activée dans le navigateur.
 
Je te suggère plutôt d'utiliser le traditionnel fichier .pac poussé via GPO et hébergé sur un service HTTP.
 
Si le poste nomade ne parvient pas à récupérer ce fichier .pac, typiquement quand il n'est pas connecté dans le réseau corporate, alors il accèdera aux ressources et/ou internet en direct.


Message édité par _lael_ le 03-11-2015 à 18:47:39
Reply

Marsh Posté le 03-11-2015 à 20:29:59    

Quand je lis ça http://www.viruslist.com/fr/analysis?pubid=200676337
J ai l impression que c est le fait d utiliser un .PAC la faille de sécurité ...
Qu est ce qui est utilisé dans les entreprise aujourd'hui ? On a des sous traitant ou c est automatique mais je ne sais pas comment c est gere et d autre ou ils décochent à la main l option proxy dans ie .
Nous utilisons ie et firefox donc il serait préférable que ce soit compatible avec les deux  
 
Merci


---------------
Mon Feedback---Mes ventes
Reply

Marsh Posté le 03-11-2015 à 23:56:40    

Matteu a écrit :

Quand je lis ça http://www.viruslist.com/fr/analysis?pubid=200676337
J ai l impression que c est le fait d utiliser un .PAC la faille de sécurité ...


Pas lu le truc, mais rien que le titre parle bien de la "configuration automatique", ce qui correspond bien au wpad.
Après le format du wpad c'est bien du pac mais c'est pas le truc en lui-même qui est vulnérable c'est l'implémentation via wpad qui permet un détournement de la fonctionnalité.
 
Edit: Pour ta dernière question, au niveau des banques et assurances ils utilisent tous (pour ce que j'en ai vu) des .pac poussés par GPO.
Après, les .pac contiennent souvent des exclusions pour certains domaines locaux pour les joindre sans passer par les proxy.
Il peut également contenir plusieurs proxys en fonction d'où se situe la ressource à laquelle on souhaite accéder.
 
Pour Chrome et Firefox, ils récupèrent par défaut la configuration proxy de IE donc du coup le .pac poussé par GPO.
Ça marchera automatiquement et immédiatement sauf si les utilisateurs se mettent à tripoter la configuration de firefox / chrome
 
Par contre il faut bien se dire que le .pac n'est pas un élément de sécurité ou de filtrage, rien n'empêche l'utilisateur de le désactiver. Il faut donc s'assurer qu'il ne puisse pas accéder aux ressources autrement qu'en utilisant les proxys vers lesquels il est redirigé grâce au .pac


Message édité par _lael_ le 04-11-2015 à 00:19:48
Reply

Marsh Posté le 04-11-2015 à 08:01:48    

OK, donc la meilleure méthode serait le .pac je suppose.
Dans un premier temps nous allons passer par un fichier qui leur desactivera le proxy si ils double clique dessus le temps de tester le .pac
 
Comment ca il peut le désactiver ?
Meme si on cache l'onglet connexion il a un moyen pour ne pas l'utiliser ?
 
Cordialement


---------------
Mon Feedback---Mes ventes
Reply

Marsh Posté le 04-11-2015 à 12:35:23    

C'est basé des clefs de registres, tu as plein de moyens de les modifier en fonction de la sécurité du portable mis à leur disposition.
Et ils peuvent utiliser un autre navigateur également.
 
Je le redis: Le .pac n'est pas un élément de sécurité, c'est juste une "aide" pour que le navigateur sache par où aller.

Reply

Marsh Posté le 19-11-2015 à 10:44:10    

Bon alors je dois implémenter ce fameux .pac j'ai besoin de comprendre un peu mieux parce que la j'ai du mal.
Quelles sont les manipulation a réaliser ?  
La génération du .pac je l'ai déjà lorsque je me connecte en vpn sur un site, il me génére ce fichier.
Par contre apres je fais quoi ?  
Parce que si j'ai bien compris, il ne faut pas utiliser la parti configuration automatique via IE dans la partie réseau ?  
Tu as un lien pour m'expliquer tout ca sinon, ce serait bien plus simple.


---------------
Mon Feedback---Mes ventes
Reply

Marsh Posté le 19-11-2015 à 12:59:35    

Tu le fous sur un serveur web et tu met la clé en gpp/clé de registre

Reply

Marsh Posté le 19-11-2015 à 12:59:35   

Reply

Marsh Posté le 19-11-2015 à 18:41:52    

oui je veux bien ca c'est la seule chose que j'ai compris dans l'histoire en fait xD

 

Par contre, que firefox par exemple récupère la config de IE par défaut suis pas forcément d'accord.
J'ai mis la un proxy manuel sous IE et sous firefox j'ai rien... Je suis en détecter automatiquement et je peux aller ou je veux.
J'ai voulu gerer firefox avec les gpo mais je me rends compte que c'est pas si simple que je pensais, donc la encore va falloir que je creuse car il faut déployer une extension apres ca fonctionne pour le minimum vital.

 

Bref, le .pac j'ai a peu pres compris comment ca fonctionne pour le créer, notre but étant de toujours passer par le proxy depuis le lieu de travail sauf pour les connexion intersite evidement et de ne jamais utiliser le proxy lorsque les utilisateurs sont a la maison.
De ce que je comprends, c'est tou a fait possible avec le .pac

 

Le wpad si j'ai bien compris c'est l'option dans ie utiliser un script de configuration automatique ?

 

La clé de registre à modifier c'est laquelle ? C'est quoi la différence entre ca et utiliser la config auto d'ie justement en dehors de la sécurité, je veux dire, graphiquement ou est ce que je peux voir qu'ie se sert d'un .pac ?

 

Autre chose, pour etre sur que j'ai bien compris, nous n'avons pas de serveur web accéssibles depuis l'extérieur. Si le pc est sur le domaine (physiquement) il utilise le .pac sinon si il est chez lui, dans un hotel ou autre il est no proxy c'est bien ca ?


Message édité par Matteu le 19-11-2015 à 18:43:15

---------------
Mon Feedback---Mes ventes
Reply

Marsh Posté le 19-11-2015 à 20:17:27    

Use automatic configuration script tu mets l'url de ton .pac
Si FF est configuré pour prendre les param systeme il l'utilise

Reply

Marsh Posté le 19-11-2015 à 22:25:00    

Ok j'essayerai de retester demain avec firefox pour en etre sur parce que j'ai un doute sur la question !
 
Par contre je comprends pas du coup, le use automatic configuration script me semblait que c'était l'autoconfig dont il est question au dessus avec la faille de sécurité que ca implique .
 
Est ce que c'est possible de m'éclaircir sur le sujet stp la je comprends RIEN pour être sincére je vois pas la différence entre les 2.


---------------
Mon Feedback---Mes ventes
Reply

Marsh Posté le 19-11-2015 à 22:55:48    

non c'est automatically detect settings le wpad

Reply

Marsh Posté le 19-11-2015 à 23:29:31    

ok donc ca il faut le décocher si j'ai bien compris xD  
 
Mais je comprneds quand meme pas comment le pc pourrait detecter tout seul que le fichier .pac est sur un site interne du cou xD


---------------
Mon Feedback---Mes ventes
Reply

Marsh Posté le 20-11-2015 à 02:44:55    

Bha c'est simple, admettons que tu héberges ton .pac sur un site interne du genre http://toto.net.intra/proxy.pac ou http://10.10.10.10/proxy.pac
 
S'il est ailleurs que dans le réseau d'entreprise le poste nomade ne pourra pas résoudre toto.net.intra ou joindre l'IP 10.10.10.10 et ne récupèrera donc pas de .pac
 
Par conséquent les paramètres proxy ne seront pas chargés et le poste utilisateur accèdera aux sites sans passer par un proxy.

Reply

Marsh Posté le 20-11-2015 à 19:20:09    

Ok je comprends mieux :)  
faut que je regarde au niveau de iis comment on fait ca :)


---------------
Mon Feedback---Mes ventes
Reply

Marsh Posté le 30-11-2015 à 08:56:36    

Je l'ai mis en place sur IIS ca fonctionne très bien.
 
Cependant après réflexion, le serveur n'etant pas en haute dispo, si jamais il plante, ca veut dire que plus personne ne peut aller sur internet.
On va donc le mettre au niveau du sysvol afin d'etre tranquile au cas ou un serveur crash. avec un file:\\ et non pas http...


---------------
Mon Feedback---Mes ventes
Reply

Marsh Posté le 01-12-2015 à 11:57:21    

Bon alors au final vu les incompatibilité de syntaxe entre FF et IE pour le file:// on va rester sur un serveur web et le fameux http.
J'ai fais tous les test aujourd'hui ca a l'air ok donc ca va passer en prod sous peu.
 
Juste une question, le .pac a été généré par mon responsable et il y a une partie ou je ne trouve pas de doc dessus et qui est inutile j'ai l'impression. Je voulais avoir votre avis.
 
function FindServerProxy(url, host) {
 return "DIRECT";
}
 
A quoi sert FindServerProxy ???


---------------
Mon Feedback---Mes ventes
Reply

Marsh Posté le 01-12-2015 à 12:08:14    

Reply

Marsh Posté le 01-12-2015 à 14:13:51    

Je pense que tu as lu trop vite :)

 

Sinon, autre question , je vois qu'il y a une mise en cache ?
Si je suis sur mon LAN et que le serveur ou est hébergé le fichier tombe -> plus d'accés internet ?
Si je suis chez moi, je ne peux pas résoudre l'adresse ou se situe le fichier -> pas de proxy ?

 

Si j'ai bien compris, a partir du moment ou le PC ne peut pas résoudre l'adresse renseignée, le PC n'utilise pas de proxy. Le cas écheant, il lit le fichier c'est bien ca ?

 

La haute disponibilité de ce fichier étant gérée je suppose généralement via du nlb sur 2 serveur IIS ?
Car je suppose que si je fais juste 2 enregistrement DNS vers 2 serveur IIS, si un tombe, et que le DNS le redirige vers celui ci ne pourra pas avoir accés à internet...

 

Dans notre cas, nous avons un seul serveur IIS et de plus il fait relai smtp + licensing TSE 2008 donc il faudrait qu'on mesure l'impact etc.. Donc non à l'ordre du jour. Mais c'est la curiosité :)


Message édité par Matteu le 01-12-2015 à 14:20:06

---------------
Mon Feedback---Mes ventes
Reply

Marsh Posté le 01-12-2015 à 15:05:02    

ah oui, exact :D je croyais que tu demandais à quoi servait la fonction "normale" findproxyforurl :D
 
J'ai l'impression que c'est pour les appliances vpn juniper.
 
oui nlb c'est pas trop mal. Sinon dns round robin mais ça va surtout dépendre d'où se situe l'erreur. Si c'est une erreur de connexion il va aller sur l'autre sinon si c'est une erreur http genre 404 not found il va pas essayer l'autre

Reply

Marsh Posté le 01-12-2015 à 15:17:27    

Ok ce que tu dis doit etre vrai.
Parce qu'on utilise juniper pour se connecter sur le reseau airbus et mon responsable a fait un copier collé (après m'avoir dit que c'était mieux de partir d'une feuille blanque que le réutiliser ... bref)
 
Si le serveur est down, le dns va quand meme le ramener sur un fonctionnel ? Parce que je pensais que le premier il l'amene sur l'hote A le deuxieme hote B le troisieme hote A etc... Que A ou B fonctionne ou pas, je pensais pas que ca influencait sur la reidrection ...  
 
Par contre, tu as reussi à trouver l'info ou parce que moi quand j'ai tapper ca sur google.... Il me retourne pas grand chose comme résultat.
 
Ensuite, tu saurais me renseigner pour les question que j'ai mis au dessus savoir si j'ai bien compris ?
 
Parce que pour les pc fixes on n'est pas inquiet, mais pour les laptops, on souhaite que ce soit transparent pour l'utilisateur en fait qu'il soit chez lui, un wifi public, ou dans l'entreprise, il n'ait rien à faire (si c'est possible bien sur :)  )


---------------
Mon Feedback---Mes ventes
Reply

Marsh Posté le 01-12-2015 à 15:36:53    

http://www.nber.org/sys-admin/dns-failover.html par exemple (j'avoue je sais que ça marche sur les browsers mais est-ce que ça marche pour winhttp responsable du proxy ? faudrait tester ^^)
 
pour ton histoire de laptop oui c'est censé marcher, des fois juste à fermer/réouvrir le browser pour qu'il voit qu'il arrive pas à récupérer le pac et donc bypasser le proxy mais normalement il le fait tout seul lorsqu'il voit qu'il y a eu un changement de paramétrage ip (passer du lan au wifi chez toi par exemple)

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed