Bonjour tout le monde :
 
voici ma petite question
 
J'arrive dans une institution où presque rien n'a été fait en matière de sécurité et d'Internet (pas de DMZ...)
Mais, mon premier souci, ou plutôt celui des chefs, n'est pas là : il faut d'abord et avant tout pouvoir remonter aux personnes qui vont sur Internet afin d'être conforme à notre chère legislation sur la sécurité interieure, mais sans oublier la CNIL au passage...
 
Topo du réseau :
 
- 1 point d'accès unique à Internet passant par une liaison ADSL
- un domaine Windows d'environ 200 bécanes (je vous rassure, Internet n'est pas le but premier de ce réseau !)
 
 
Je pense avoir trouvé une solution pas trop chère (moins je dépense les deniers du contribuable mieux je me porte) :
 
- une debian avec squidguard placée entre le modem ADSL et le premier élément de réseau, qui enregistre ce qu'il faut d'adresses IP and Co
- mettre sur le serveur AD une surveillance "pointue" des ouvertures-fermetures de sessions.  
 
Le moyen pour remonter un usage pas cool d'Internet si les flics le demandent :  
- ils nous donnent l'adresse IP visitée qui les a interessés, avec des horaires et dates,  
- on regarde dans les logs de squidguard quelle IP interne y a accédé,
- on va voir qui s'est logué sur cette machine là à ce moment (nous sommes en adressage fixe)
- et le vilain malfrat est cuisiné par le cousin français de Jack Bauer
 
L'avantage de cette formule : pas cher et permet "l'anonymisation" des données utilisateurs.
 
Alors, si vous avez des remarques et suggestions, ça m'interesse fortement (dimensionnement pour pouvoir garder les logs un an, voire trois si on en croit certains projets de décret, autre solution...) : je suis open
 
Dès que cette partie là sera validée, je pourrai m'attaquer au montage d'une vraie petite DMZ (relais DNS, voire MX) en grattant un ou deux ordis...
 
PS : bien sûr pas question que les utilisateurs entrent un mot de passe sur le proxy, c'est pas confortable pour eux...
 
Blabla

Pour ce que tu veux faire, je te conseillerais quand même d'investir dans un système mieux intégré, avec ISA Server. Un système par squid ne te permettra pas de remonter facilement jusqu'à un utilisateur en cas de débordement.

ouais bonne idée, mais squid tout seul irait bien .. squidguard ne vit plus trop je crois ?

Rebonjour
 
Wolfman : certes, ISA serait sans doute plus simple à installer, voire à exploiter, mais tout est une question d'argent... merci pour la suggestion. Le fait qu'en cas de pb, ce soit un peu difficile à remonter permet de sécuriser les données utilisateur (faut avoir envie de remonter tout le cheminement).
 
gizmo31 : effectivement, squidguard semble un peu mort. Mais j'en ai besoin pour filtrer les URL (mineurs oblige).
 
En furetant, j'ai d'ailleurs trouvé des produits integrés qui semblent adaptés à ma problématique faits par des gens de l'Education Nationale :  
 
- pingoo http://www.pingoo.org
- SLIS http://slis.ac-grenoble.fr
 
Ils en font même plus que ce dont j'a besoin. Je crois que je vais faire quelques expé amusantes...  
 
Blabla