Mise en place Serveur Proxy Squid, question

lelectronique.com · 13/10/2011, 10h40

Bonjour,

Je suis en train de mettre un serveur proxy Squid3 dans ma société avec SquidGuard, cela semble fonctionner très bien. Pour être sur que tout le monde passe par le proxy je vais envoyer le paramétrage par une GPO en verrouiller les options du navigateur, d'après mes premiers essais si je verrouille cela bloque aussi pour FF, Chrome... de toute manière je vais bloquer aussi le port de mon firewall pour obliger à passer par le proxy.
Cela ne va pas poser de problème pour les PC de bureau mais je vais avoir des soucis avec les portables car les techniciens partent en déplacement avec et se connecte à internet depuis des clés 3G, wifi de l'hotel... comment puis je faire pour supprimer la GPO quand il ne sont pas connecté au réseau du bureau ? un script bat ?
Merci d'avance pour votre aide
Bonne journée
Ludo

spawntux · 13/10/2011, 13h17

Bonjour,

La solution n'est pas dans la GPO

En effet la GPO fonctionne que pour les gens du domaine, si un presta exterieur ce co, un salarié avec un pc perso, un gsm ou autre
tu es bloqué

La vrai solution est au niveau deja de ton firewall, ton firewall ne doit autoriser les requetes web que pour ton serveur proxy exclusivement

ca me parrait une solution plus sur, apres oui la gpo est necessaire pour un parametrage auto de ie mais ca ne sert a rien d'empecher l'user de modif la valeur ca vas plus le gener qu'autre chose.

Notament pour les profiles mobile tu auras juste a montrer aux techos comment desactiver le proxy pour leur deplacement.

lelectronique.com · 13/10/2011, 13h57

bonjour,
merci pour ta réponse
oui effectivement j'avais oublié de spécifier que j'allais bien entendu bloquer le firewall pour autoriser que le proxy a sortir...
pour la config pas moyen de créer un truc automatique ? car je vois déjà les remarques arrivées...

Cybher · 13/10/2011, 14h08

salut,

tu peux utiliser une GPO pour envoyer la configuration sur l'ensemble des postes
mais il ne faut pas forcément empêcher les modifications pour les postes mobiles (de toute facon, s'il désactive manuellement le proxy, ils n'auront pas accès à internet)

thierry.chich · 13/10/2011, 22h30

Il y a une solution qui est sensée fonctionner correctement qui s'appelle wpad. Ca consiste à annoncer sur son dns et /ou son dhcp un host wpad.mondomaine.local
Sur cette machine, un serveur web qui distribue un fichier wapd.dat, lequel contient un script javascript ultrasimple indiquant l'adresse du proxy.
Une recherche sur google t'indiquera ça.

Attention quand même, il y a peut y avoir quelques soucis avec des mises-à-jour quand on cherche à tout faire passer par un proxy. Le client web microsoft qui fait le mises-à-jour ne prend les confs des navigateurs que lorsque l'utilisateur est logué. Sans ça, il faut le configurer avec des GPO ultra obscures, ou alors utiliser wpad.

spawntux · 13/10/2011, 23h46

WPAD spas top moumoute niveau secu :s

thierry.chich · 14/10/2011, 09h27

Un peu d'argumentation ne fait jamais de mal. Quoiqu'il en soit, wpad étant activé par défaut sur tout les postes, ce qui est le moins sécure, c'est ne pas connaître son existence.

Et naturellement, il faut aussi configurer le firewall de manière adéquate, mais bon, ça va un peu de soi !

spawntux · 14/10/2011, 10h29

WAPD ca sous entend d'un point de vue secu que ton reseau ne peut etre compromis, lors d'attaque c'est bien plus discret qu'un empoissonnement de cache arp.

Je passe le fait que le contrôle de FindProxyForURL est pas toujours super sur tout les navigateurs j'entend par la le fait de faire passer tout et n'importque quoi dans cette fonction.

Apres voila hein c'est un peu comme dire ARP c'est secure mais le mieux pour ARP ca reste un cache statique

enfin voila apres il va avoir un compromis entre securité et facilité.

13/10/2011, 10h40	#1
lelectronique.com Membre du Club Inscription : mai 2003 Messages : 271 Détails du profil Informations personnelles : Âge : 30 Localisation : France, Indre et Loire (Centre) Informations forums : Inscription : mai 2003 Messages : 271 Points : 65 Points : 65	Mise en place Serveur Proxy Squid, question Bonjour, Je suis en train de mettre un serveur proxy Squid3 dans ma société avec SquidGuard, cela semble fonctionner très bien. Pour être sur que tout le monde passe par le proxy je vais envoyer le paramétrage par une GPO en verrouiller les options du navigateur, d'après mes premiers essais si je verrouille cela bloque aussi pour FF, Chrome... de toute manière je vais bloquer aussi le port de mon firewall pour obliger à passer par le proxy. Cela ne va pas poser de problème pour les PC de bureau mais je vais avoir des soucis avec les portables car les techniciens partent en déplacement avec et se connecte à internet depuis des clés 3G, wifi de l'hotel... comment puis je faire pour supprimer la GPO quand il ne sont pas connecté au réseau du bureau ? un script bat ? Merci d'avance pour votre aide Bonne journée Ludo __________________ Tout sur le cyclisme : Annuaire vélo - Magasin Vélo - Comparateur Vélo - Emploi Vélo
	00

13/10/2011, 13h57	#3
lelectronique.com Membre du Club Inscription : mai 2003 Messages : 271 Détails du profil Informations personnelles : Âge : 30 Localisation : France, Indre et Loire (Centre) Informations forums : Inscription : mai 2003 Messages : 271 Points : 65 Points : 65	bonjour, merci pour ta réponse oui effectivement j'avais oublié de spécifier que j'allais bien entendu bloquer le firewall pour autoriser que le proxy a sortir... pour la config pas moyen de créer un truc automatique ? car je vois déjà les remarques arrivées... __________________ Tout sur le cyclisme : Annuaire vélo - Magasin Vélo - Comparateur Vélo - Emploi Vélo
	00

13/10/2011, 14h08	#4
Cybher Modérateur Michel Consultant informatique Inscription : mai 2005 Messages : 3 006 Détails du profil Informations personnelles : Nom : Michel Âge : 29 Localisation : France Informations professionnelles : Activité : Consultant informatique Secteur : Conseil Informations forums : Inscription : mai 2005 Messages : 3 006 Points : 4 039 Points : 4 039	salut, tu peux utiliser une GPO pour envoyer la configuration sur l'ensemble des postes mais il ne faut pas forcément empêcher les modifications pour les postes mobiles (de toute facon, s'il désactive manuellement le proxy, ils n'auront pas accès à internet)
	00

13/10/2011, 22h30	#5
thierry.chich Membre expérimenté Inscription : août 2008 Messages : 455 Détails du profil Informations personnelles : Localisation : France, Puy de Dôme (Auvergne) Informations forums : Inscription : août 2008 Messages : 455 Points : 575 Points : 575	Il y a une solution qui est sensée fonctionner correctement qui s'appelle wpad. Ca consiste à annoncer sur son dns et /ou son dhcp un host wpad.mondomaine.local Sur cette machine, un serveur web qui distribue un fichier wapd.dat, lequel contient un script javascript ultrasimple indiquant l'adresse du proxy. Une recherche sur google t'indiquera ça. Attention quand même, il y a peut y avoir quelques soucis avec des mises-à-jour quand on cherche à tout faire passer par un proxy. Le client web microsoft qui fait le mises-à-jour ne prend les confs des navigateurs que lorsque l'utilisateur est logué. Sans ça, il faut le configurer avec des GPO ultra obscures, ou alors utiliser wpad.
	00

13/10/2011, 23h46	#6
spawntux Membre expérimenté Inscription : janvier 2007 Messages : 439 Détails du profil Informations forums : Inscription : janvier 2007 Messages : 439 Points : 519 Points : 519	WPAD spas top moumoute niveau secu :s
	00

13/10/2011, 13h17	#2
spawntux Membre expérimenté Inscription : janvier 2007 Messages : 439 Détails du profil Informations forums : Inscription : janvier 2007 Messages : 439 Points : 519 Points : 519	Bonjour, La solution n'est pas dans la GPO En effet la GPO fonctionne que pour les gens du domaine, si un presta exterieur ce co, un salarié avec un pc perso, un gsm ou autre tu es bloqué La vrai solution est au niveau deja de ton firewall, ton firewall ne doit autoriser les requetes web que pour ton serveur proxy exclusivement ca me parrait une solution plus sur, apres oui la gpo est necessaire pour un parametrage auto de ie mais ca ne sert a rien d'empecher l'user de modif la valeur ca vas plus le gener qu'autre chose. Notament pour les profiles mobile tu auras juste a montrer aux techos comment desactiver le proxy pour leur deplacement.
	10

14/10/2011, 09h27	#7
thierry.chich Membre expérimenté Inscription : août 2008 Messages : 455 Détails du profil Informations personnelles : Localisation : France, Puy de Dôme (Auvergne) Informations forums : Inscription : août 2008 Messages : 455 Points : 575 Points : 575	Un peu d'argumentation ne fait jamais de mal. Quoiqu'il en soit, wpad étant activé par défaut sur tout les postes, ce qui est le moins sécure, c'est ne pas connaître son existence. Et naturellement, il faut aussi configurer le firewall de manière adéquate, mais bon, ça va un peu de soi !
	00

14/10/2011, 10h29	#8
spawntux Membre expérimenté Inscription : janvier 2007 Messages : 439 Détails du profil Informations forums : Inscription : janvier 2007 Messages : 439 Points : 519 Points : 519	WAPD ca sous entend d'un point de vue secu que ton reseau ne peut etre compromis, lors d'attaque c'est bien plus discret qu'un empoissonnement de cache arp. Je passe le fait que le contrôle de FindProxyForURL est pas toujours super sur tout les navigateurs j'entend par la le fait de faire passer tout et n'importque quoi dans cette fonction. Apres voila hein c'est un peu comme dire ARP c'est secure mais le mieux pour ARP ca reste un cache statique enfin voila apres il va avoir un compromis entre securité et facilité.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email