[Linux] Utilisation d'opendns pour du filtrage url ?

segfault coredump segfault67@::1
Mar 15 Juin 09:15:10 CEST 2010


2010/6/15 Jean-Michel Schelcher <jm_ml@::1>:
> Bonjour,
>
> Le 14/06/2010 23:23, segfault coredump a écrit :
>> Bonsoir, j'ai comme projet pour une prestation d'installer opendns
>> (.com) avec en couplage une interdiction pour les utilisateurs sans
>> privilèges (parc xp..) de modifier les paramètres réseaux..
>>
>> Qu'en pensez vous ? et quid des solutions opensource ne requiérant
>> pas un serveur dédié ? (le but étant de fournir à chaque poste des
>> white & grey list ainsi que des horaires adaptés pour le surf libre
>> -pauses entre 12h et 14h par exemple).
>
>
> À mon avis ce n'est pas une bonne idée:
> - une bonne sécurité de ce type ne doit pas se mettre en place sur
> le poste de travail, mais sur le point de sortie.

Gros problème c'est qu'il risque de ne pas y avoir de machine en
"point de sortie" (et donc pas de proxy configurable à souhait, la
ça aurait été beaucoup plus simple, un squidguard et hop filtrage via ip-range
et on en parlerait plus ;) ) .

> Si quelqu'un vient avec son portable tu n'auras pas la main sur sa
> config.
> - pas de DNS ne signifie pas forcément "pas d'accès au net" et par
> extension, "aux sites que je veux visiter": s'il configure un proxy (qui
> est sur internet évidemment), plus besoin de DNS, c'est le proxy
> qui fait ces interrogations .

Justement, le but du jeu serait de rendre le dns non-modifiable par
l'utilisateur
standard ou limité -il va de soit que si tu laisse un utilisateur en
admin, cette
recherche du filtrage url ne servira strictement à rien).

Ces interdictions sont rendues possibles avec les droits locaux (ou
via un domaine
win32 quand  on à l'infrastructure qui va avec) et opendns permet un panel de
configuration assez large dans le domaine des réglages (une des solutions
recommandées par ailleurs et de faire ce réglage dns directement via le routeur
justement mais le blocage des requêtes en "local" permet plus de souplesse -
d'ou ma question de savoir si un logiciel de filtrage url
(éventuellement en client serveur)
était disponible en opensource -du type filtrage cybercafé avec
dépendance d'une machine
"maitre").

Il est aussi possible d'interdire la modification du proxy IE ...je ne
sais pas si cela
est faisable sous firefox par contre ... mais c'est assez goret comme méthode
et en un changement de navigateur cela ne sert plus à rien (d'où
l'intérêt de filtrer
directement au niveau de la couche des requêtes dns envoyées par la machine:
IE des réseaux wifi publics arrivent à interdire l'utilisation de proxy).

>
> Le plus simple et plus efficace est de mettre en place un proxy, de
> forcer son utilisation (=> pas de proxy marche moins bien que
> avec proxy) et de configurer le firewall pour qu'il ne laisse sortir
> que lui (en gros).
>

La est le problème, le proxy est très facilement modifiable "par défaut"
et si justement pas de machine (en gros c'est une prestation à très petit
budget, de type intervention pour PME + solution efficace & à bas prix).

> Petite question annexe: tu travailles pour quelle société ?
>

Annexe : je suis en travailleur indépendant (sous traitance et missions en
intervention directe du type de celle-là) et je recherche accessoirement un
job d'administrateur sous environnement debian/fedora ou dev c++/php
(spécialisé php / xhtml / jquery). (cv+ bouts de code sur demande).

> a+
>
> Jean-Michel Schelcher
>
>
a++

P.S : pour ceux qui ne m'aurait pas reconnu, c'est Hénarès Sébastien ;)
et mea culpa pour les utilisateurs de la liste pour cette "pseudo
annonce de recherche
d'emploi" que je glisse.

-- 
HSN


Plus d'informations sur la liste de diffusion linux