Bonjour,
+1
Ici (>10k postes sur une centaine de sites dans le monde) nous utilisons une solution Zscaler avec une configuration proxy déployée en WPAD/DHCP.
Le MITM ne fontionne pas dans 100% des cas (HSTS, ciphers non supportés par zscaler, applicatifs capricieux ...) mais cela reste gérable via une liste d'exceptions.
On 24/01/2020 14:15, Morgan LEFIEUX wrote:
Bonjour, nous utilisons toujours le couple SQUID/SQUIDGUARD avec authentification SSO des users via Kerberos. La base de filtrage est celle de l'Université de Toulouse (https://dsi.ut-capitole.fr/blacklists/). Le fait que la plupart des sites soient passés en HTTPS ne change rien au bon fonctionnement à condition de ne pas utiliser le mode transparent de SQUID. Pour palier à ça, il suffit de configurer automatiquement le proxy sur les navigateurs via WPAD (à pousser via DNS et DHCP). L'ensemble fonctionne très bien depuis presque 15 ans pour 600 utilisateurs environ chez nous.
Le 24/01/2020 à 12:26, open doc a écrit :
Bonjour à tous,
Jusqu'ici nous étions plutôt "cool" sur l'utilisation des machines et de l'utilisation d'internet dans l'entreprise. Je fais plutôt confiance aux gens, et j'essaie de les responsabiliser, mais cela a des limites. Nous avons eu des cas de gens qui faisaient vraiment n'importe quoi et avec les risques de cryptolocker je souhaite nous protéger d'éventuels problèmes. Je souhaite me focaliser sur le filtrage WEB des domaines/URL er non des aspects de sécurité plus globale qui sont déjà en place (stratégies de groupes, backup, accès réseau dédié, backup externalisé, PCA ...)
Quand j'étais jeune, il y a bien longtemps, j'avais déjà intégré chez un client une solution squid/squidguard avec des bases de liste, des acls ... ca marchait bien et ca répondait à sa demande. Je pensai repartir sur cette solution même si ca fait un peu "old school". Sachant que la partie base des URL ne fonctionne plus, car avec le TLS, on ne voit plus rien mis à part les domaines. Il y a aussi la problématique de l'intégration dans l'infra, transparent, pas transparent. Personnellement, je préférerai en mode transparent.
J'avais aussi à l'époque intégré du Olfeo, c'est vraiment génial, mais dans notre cas on ne vas pas l'acheter.
Notre prestataire nous a parlé d'une fonctionnalité disponible dans Checkpoint que nous pourrions intégrer, à voir.
Il doit y avoir beaucoup d'autres solutions. De votre côté, quelles solutions utilisez vous ?
Par avance, merci pour vos réponses. _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/