Filtrage Url + Filtrage Mail entrant

[rira]

Bonjour,
Actuellement dans mon entrerprise (~100 de machines) nous externalisons le filtrage url (blocage + antivirus) via un boitier sonicwall loué chez un prestataire.
je voudrais mettre en place ce genre de système dans mon entreprise, je pensais à un ipcop + advproxy + urlfilter pour la partie filtrage url
Mais d'autre part je voudrais également mettre un système de filtrage de mail pour bloquer les spams et les virus, quels solutions me préconisez-vous? je pensais au début mettre copfilter sur l'ipcop qui servira de filtrage d'url mais les avis sont partagés, ne faut-il pas mieux également séparé les 2 filtrages sur 2 serveurs différents?
j'attends vos réponses pour avancer sur mon projet.

[ccnet]

ne faut-il pas mieux également séparé les 2 filtrages sur 2 serveurs différents?

Il vaudrait mieux en effet. Il faut expliquer pourquoi. J'ai déjà beaucoup et souvent expliqué pourquoi ni le relai smtp ni le proxy n'ont leur place sur le firewall. Je n'ai pas le temps de tout recommencer une nouvelle fois. Mais je peux donner quelques lignes directrices.

Un firewall doit être sûr. Un firewall c'est du logiciel (sur un matériel dédié comme sur un serveur). Plus un logiciel ou un système comporte de ligne de code moins il est sûr. Le nombre de vulnérabilités est directement proportionnel au nombre de ligne de code. Plus la plateforme de votre firewall est restreinte moins il est potentiellement vulnérable.

Le filtrage du courrier est assez fortement consommateur de ressource. Il faut un relai efficace et particulièrement stable pour ce travail. Postfix est probablement un des logiciels les plus stables qui existe autant pour la version courante que pour les versions passées. Construire un relai de messagerie assurant le filtrage sur la base de Postfix est un bon départ. Ce n'est pas un travail trivial. Aussi pour aller vite et efficacement je vous conseillerai une distribution qui le permet facilement. ClarkConnect Community v5. Gratuite pour ce que vous avez à faire. J'ai déjà développé sur Ixus les raisons de ce choix ainsi que les améliorations possibles. De plus vos bénéficiez de la puissance et de la souplesse de Postifix (avec Spamassassin, le grey listing, ...).

Le proxy est un sujet pouvant être relativement complexe. Pour une centaine d'utilisateurs, avec du filtrage d'url, il faudra de la mémoire sur cette machine. La référence en matière de proxy c'est bien sûr Squid et ses addons. Plateforme Debian avec Squid, SquidGuard et les addons nécessaires.

La mise en musique de toute cela peut s' envisager de plusieurs façons. Vous utiliseriez ipcop donc une seule dmz. Si cela convient, c'est à dire que la séparation des machines acceptant du trafic externe de celles qui ne font que "sortir" n'est pas jugée nécessaire, alors une machine Vmware (ESX pas vmware server) avec les deux machines (relai smtp, proxy) conviendra. Sinon il faut séparer.

Et il est alors nécessaire d'avoir deux dmz, une interne, une externe. Le critère de séparation est le sens du trafic.

Voilà, je pense, de quoi commencer à réfléchir.

[rira]

je ne connais pas la version clark connect, je la télécharge pour la tester et ainsi l'essayer dans le but de filtrer uniquement mais email.

concerant le proxy, est-il envisageable de prendre un ipcop dédier au filtrage? ou est-il mieux adapté d'installé une debian + squid + squidguard?

une question le filtrage de mail + url pourra se faire sans modifier la configuration des clients (proxy transparent) en créant une règle de redirection de port (c'est bien cela)?

[ccnet]

concerant le proxy, est-il envisageable de prendre un ipcop dédier au filtrage?

Absolument pas.

une question le filtrage de mail + url pourra se faire sans modifier la configuration des clients (proxy transparent) en créant une règle de redirection de port (c'est bien cela)?

Pour le filtrage des mails le sujet est mal compris manifestement. Si l'on examine le fonctionnement de smtp on comprend immédiatement que le client ignore tout des relais pouvant exister entre son serveur de mail et le destinataire final.

Pour le proxy, vous anticipez un peu. Authentification nécessaire ou non sur le proxy ?

Votre projet semble insuffisamment défini. Vous abordez des questions de mise en ouvre alors qu'il n'est pas complètement spécifié. C'est une source de déconvenues et d'ennuis potentiels, ce que, à mon avis vous ne pouvez vous permettre avec une centaine d'utilisateurs. L'architecture réseau elle même convient elle avec ce qu'implique ipcop ? Quoi d'autre dans votre infrastructure qu'il faille considérer avant de penser à installer quelque chose ?

[rira]

voici actuellement mon architecture:

[Mon Reseau ]-> [Modem] -->->[Prestataire de service avec gestion du filtrage url uniquement + Parefeu]-->[Accès internet]

Le but serait de ramener le serveur de filtrage d'url dans nos locaux + filtrer le emails entrant.

Création d'une DMZ pour y intégrer mes serveurs de filtrage url + mail

je suis un peu dans le flou concernant la partie conception?
qu'elle est la meilleure architecture à adopter?

[ccnet]

Pas de ftp , pas de vpn, pas de web mail, quel serveur de mails, pas de serveurs de fichiers, pas de mobilité présents ou à venir ? Des données importantes, pas très importantes ? quels risques avec l'informatique chez vous ? Des contraintes de disponibilité du SI ?
Telles sont les questions qui se posent avant de concevoir quelque chose. Vous en êtes aux choix techniques alors que tout le fonctionnel et les contraintes ont été ignorés ...

[jdh]

On peut supposer que le but est de se séparer du prestataire. Pourquoi pas ?

Une bonne approche est de
- lister les services fournis,
- ajouter des besoins nouveaux,
- distinguer des éléments,
- déterminer les moyens techniques et l'expertise nécessaires élément par élément,
- imaginer l'architecture assemblant chaque élément,
- maquetter chaque élément puis l'architecture,
- lancer l'opération.

Chaque opération est importante, exigente et demande du recul. Plus encore pour avoir une vue d'ensemble ...



Cela commence par un papier et un crayon avant d'être des cd insérés, des touches appuyées, et force cafeine ...

Ca tombe bien sur un forum : ça ressemble à un papier et un crayon ...

[rira]

Actuellement,
notre prestataire de service, nous fournis l'accès internet + service complémentaire (filtrage url, parefeu...)
Pour résumé nous avons que le modem dans notre entreprise.

Notre contrat se termine l'année prochaine, au lieu de repartir sur la meme architecture, je voudrais gérer plus de service en interne et alléger en meme temps notre facture de prestation de service.

Notre messagerie est externalisé chez un autre hébergeur (ovh)
Notre serveur web est externalisé chez un autre hébergeur
Nos site distant (2) sont relié au batiment principal en VPN opérateur, mais l'année prochaine je les relie en Hiperlan car ils sont situé dans un rayon de 2Km maximum.

Donc l'année prochaine, je me retrouve avec un seul et meme réseau globale (plus de vpn), actuellement je n'ai pas de DMZ

je comptais intégrer le filtrage url, le prestataire me propose un boitier sonicwall
mes e-mail entrant ne sont pas filter contre le spam et les virus (antivirus sur les postes avec serveur antivirus uniquement).

je sais que copfilter peut scanner les mails mais je ne connais pas les autres produits car je commence juste ma reflexion.
ce projet est pour l'année prochaine, je suis en pleine phase de réflexion.

[rira]

je reviens a mon problème de filtrage de mail, ce serait uniquement du Pop3.

[ccnet]

On peut toujours filtrer les mails lors de la récupération en pop3 par l'utilisateur ou Fetchmail, mais cela n'a pas beaucoup de sens en manque singulièrement d'efficacité. Une grosse partie des spams sont facilement détectables lors de l'établissement de la connexion smtp parce que le serveur émetteur ne respecte pas certaines régles comme :
L'existence d'un fqn dans le Helo
Un nom de domaine inconnu.
Un enregistrement PTR incorrect ou inexistant.
Un serveur blacklisté (si on utiise rbl)
Les adresses non assignées IANA.
Liste non exhaustive mais totalement inapplicable dans le connexion pop3 par définition.
Un filtrage efficace se réalise lors de l'établissement de la connexion smtp sur une passerelle qui n'est pas le serveur de mail de l'entreprise. Pas en pop3.

Je crois qu'il faut que vous repreniez les choses à la base où qui vous recourriez à un professionnel qui maîtrise le sujet.

En l'état j'aurai tendance à vous conseiller de laisser la messagerie et son filtrage chez votre prestataire.

[rira]

le problème c'est que concernant ma partie e-mail, je n'ai actuellement aucun système de filtrage et ce que me propose ovh sur ce point est inexistant voir très peu efficace.

[ccnet]

Il va falloir envisager de revoir votre architecture, sa conception et sa gestion future. Nous vous avons bien prévenu dès le début. Vous voyez vous même ce qui se produit lorsque l'on commence par penser réalisation technique sans réflexion amont.

Le filtrage en pop3 reste possible mais cela va singulièrement manquer d'efficacité, votre serveur de mail va recevoir des milliers de spams par jour. Quel serveur de mail avez vous ? Je parle du logiciel.

[jdh]

Pour compléter ce qu'écrit ccnet, je donne l'exemple d'une entreprise que je suis :

- les mails sont hébergés chez l'opérateur (qui fournit les sdsl),
- les clients sont en pop3 sur chaque pc.

Le mieux que j'ai pu mettre en place c'est juste un "proxy pop" (j'ai mis à jour celui existant) :

- localement, pop.domaine est défini comme le "proxy pop",
- le "proxy pop" est sur une base de Debian + F-secure InternetGateKeeper,
- tout ce qui rentre en pop3 sur le "proxy-pop" va vers le vrai pop sur internet.

Point plus :
- il y a filtrage AV (l'AS étant totalement nul : uniquement blacklist).

Point moins :
- ne fonctionne que sur pop.domaine (peut être aussi considéré comme point plus),
- impossible de transformer en AS.

Bilan : très moyen ! (Surtout que la perte d'un portable = la perte des mails !)



Il faut comprendre que la gestion des mails est autrement plus compliqué que le filtrage http !
(plus compliqué car nécessite plus de compétence ...)

Autant pour 10-30 boites, il est bien plus simple d'héberger, autant à 100 boites, on peut gérer soi-même ...
Le vrai moyen de contrôler ce qui se passe est de gérer soi-même le MX, par exemple avec un petit relais avec AV/AS/greylisting/RBL/...

[rira]

merci pour c'est renseignement.
Je vais me mettre à la lecture des 2 ouvrages suivant afin d'appronfondir mes connaissances afin d'avancer sur mon projet de l'année prochaine.

Tableaux de bord de la sécurité réseau http://www.amazon.fr/Tableaux-s%C3%A9curit%C3%A9-r%C3%A9seau-C%C3%A9dric-Llorens/dp/2212119739/ref=wl_it_dp_o?ie=UTF8&coliid=I1MI3K5JPVT030&colid=3GW1RNX8O9LJP

Sécurité informatique : Principes et méthode (Broché)
http://www.amazon.fr/S%C3%A9curit%C3%A9-informatique-Principes-Laurent-Bloch/dp/2212125259/ref=wl_it_dp_o?ie=UTF8&coliid=I3FVUES6S7SLS2&colid=3GW1RNX8O9LJP