Contrôler ce qui se passe sur les pc de mon réseau

[rudddy]

Bonjour,

je suis pas hyper doué en gestion réseau.

j'ai une installation au bureau avec une vingtaine de pc connecté via switch à un routeur Cisco Linksis RV082

Les problèmes que j'ai sont :
- employés toute la journée sur fessebook et tralala (je l'avais bloqué via le host, mais une petite maline a trouvé la parade, je vais me la faire celle là ...)
- certains téléchargent en p2p et me bouffent ma bande passante
- d'autres sur youtube et cie

bref, j'aimerais pouvoir gérer tout ça de mon poste tranquillement avec dans le meilleur des cas :
- visu des logs des sites visités par chaque PC
- possibilité de bloquer certaines urls (l'idéal serait certains mots clés des urls, avec des joker * ...)
- possibilité de bloquer suivant les ips des PC de mon réseau
- bloquer les appli p2p et autres du même genre
- bloquer les appli du type logmein que certains utilisent et qui bouffent de la bande passante

Est-ce que c'est ce qu'on appelle communément un firewall ?

Merci de m'aiguiller et de me faire part de vos expérience dans le domaine.

Merci

Yves

 

[YoyoS]

Normalement c'est faisable avec les routeur/switch possedant un bon firewall. C'est bizarre que ton cisco ne puisse pas gérer cela ?
Sinon je t'invite à configurer ton routeur/switch afin de bloquer tous les ports entrants et sortants. Ensuite tu ajoutes manuellement tous les ports importants à laisser passer. Plus moyen de P2P après ça

 

[rudddy]

oui mon routeur a un firewall mais il est désactivé

j'essaye de l'activer mais j'arrive pas et je trouve pas de tuto ni de mode d'emploi

 

[mipc]

y aurai aussi une procédure simple à mettre en place, des stratégie système ou de groupe, et bloquer les ordinateurs pour qu'ils ne puissent pas faire certaine choses interdit de rajouter de programmes ou de modifier l'ordinateur, le faire surtout en premier lieu sur les ordinateurs des collaborateurs posant le plus de problème, comme ça ça mets les choses au claire de se qui est autorisé pour pas.

c'est quoi comme routeur que tu a!!!?

 

[rudddy]

comme précisé j'ai un linksys rv082

ouai c'est clair que c'est soulant que chacun installe ses conneries sur son pc puis vienne te voir en disant : "j'ai plein de virus !!!" ou encore pire quand tout le réseau est atteint à cause de lui ...

 

[kanon90]

un proxy pourra aussi faire l'affaire.
d'autant + que tu obtiens des logs de navigation des users.

Par contre qui dit surveillance dit charte informatique signée

 

[rudddy]

ouai pas de souci pour la charte elle est déjà signée, mais pas appliquée

tu me peux stp développer pour le proxy ? ça s"installe où ? sur chaque pc ? sur un pc du réseau ? sur le routeur ?

 

[Rod la Kox]

Déjà, tu bloques toute install sur les postes, hors admin global. Ca supprime un max de merde et de bidouille, même si il existe des parades, mais là, le commun des mortels ne les connait pas.

Ensuite, faut vraiment que tu te mettes dans le cambouis, parce que posséder un réseau professionnel connecté au web sans n'avoir aucune connaissance des réseaux et de leur sécurité, c'est quelque peu suicidaire.

 

[JanoLapin]

Ensuite, faut vraiment que tu te mettes dans le cambouis, parce que posséder un réseau professionnel connecté au web sans n'avoir aucune connaissance des réseaux et de leur sécurité, c'est quelque peu suicidaire.

Tu peux aussi fiare appel à des éditeurs payants (bien que tout ce que tu demandes existe en open source gratos, mais qui nécessitent du savoir faire). Certains auront même des formules en SaaS / servcies managés à te proposer.

 

[Julia41]

Après ton routeur, tu as quoi pour aller vers le net ? C'est du direct ou t'as une neuf box ?
Personnellement je vis chez ma mère (oui Geek et j'assume) et pour éviter qu'elle télécharge ses "conneries entre "copine"" je peux bloquer pas mal de chose ne serait-ce que par l'IP.

Tu peux faire pas mal de trucs en utilisant le fichier host de windows et en bindant tout sur 127.0.0.1.

Petite technique que j'ai mise en place chez un pote qui vient d'ouvrir sa boite :
Un petit serveur linux (qui sert pas à grand chose) réponds à l'IP bla.bla.linux.bla
Bind de tous les hosts pour *.facebook.com vers cette IP avec une jolie page "tu veux te faire virer ?" (en plus diplomate).

Normalement ils ne devraient pas pouvoir modifier le fichier de hosts, sinon tu vas effectivement bouffer pas mal de virus.

Utiliser un petit serveur sous linux après/avant ton routeur pourrait te permettre de faire pas mal de trucs beaucoup beaucoup plus précis.

Je reste quand même persuadé que quelques cours d'informatique de ta part (ou d'un pro si tu ne t'en sens pas capable) de sensibilisation peuvent être nettement plus rentable à terme aussi bien en terme de virus, qu'en terme de "ce qu'ils font chez eux" (ça tu t'en fous, mais l'éducation c'est la clé).

 

[legoulu]

y'a des filtres parentaux tout betes aussi qui permettent de bloquer l'accès à certains sites

 

[rudddy]

Déjà, tu bloques toute install sur les postes, hors admin global.

Comment on fait ça Rod la coc ;-) ?

 

[rudddy]

Après ton routeur, tu as quoi pour aller vers le net ? C'est du direct ou t'as une neuf box ?

Je suis en direct

Tu peux faire pas mal de trucs en utilisant le fichier host de windows et en bindant tout sur 127.0.0.1.

ils ont trouvé la parade, c'est que c'est des coriaces ... (et en plus tu peux pas bloqué des ports ou des protocoles mais que des ip

Utiliser un petit serveur sous linux après/avant ton routeur pourrait te permettre de faire pas mal de trucs beaucoup beaucoup plus précis.

je préférerais éviter cela si c'est possible

 

[Julia41]

Tu les passes sous Ubuntu et tu te gardes le root

Sinon, oui la technique du proxy est pas mal avec SQuid par exemple mais tu restes sur le principe d'avoir "un serveur en plus"

Au niveau de ton routeur, tu dois quand même avoir des solutions simples avec.
T'as pas un pannel de dispo sur ton routeur ? ou un port de libre dessus pour tapper des trucs ?

 

[Rod la Kox]

Déjà, tu bloques toute install sur les postes, hors admin global.

Comment on fait ça Rod la coc ;-) ?

via la mmc (sur windows) et la gestion des stratégie de groupe admin/users




Tu vas vraiment avoir du taf, toi... :mrgreen:

 

[ricosound]

Bonjour.

Bien entendu, comme dit plus haut, blinder les droits ; hors l'administrateur, personne ne doit pouvoir installer une application sur une machine. Puis nettoyer les stations une par une.

Mais aussi :

Réunion d'information / mise au point / rappels :

Un employé est sensé passer l'essentiel de son temps au service de l'entreprise.

Le personnel est engagé par la charte informatique, le règlement intérieur de l'entreprise (s'il existe) et par les lois en vigueur dans le pays.

Le code du travail, appuyé par la jurisprudence, prévoit une échèle de sanctions en fonction des fautes commises par un employé, de la simple convocation écrite chez le DRH ou équivalent pour "remettre les idées en place" jusqu'à, dans les cas extrêmes, licenciement pour faute avec plainte en justice.

Il est utile aussi de rappeler qu'en France, l'intrusion dans un système informatique est punie par la loi et que cela peut conduire à de lourdes punitions. Je me rappelle qu'a la fac, 2 étudiants avaient étés condamnés à de lourdes amendes ( genre, de mémoire, plus de 100K€ ) pour avoir tenté de violer le système de protection, et bien entendu étaient exclus définitivement de la fac.

Il est vraisemblable qu'après une bonne "mise au point" les problèmes cessent ou s'atténuent largement.

Si, après le rappel collectif, les problèmes continuent, application progressive des sanctions prévues par le code du travail.

Il y a forcément une réponse en 2 parties, d'un coté la technique, de l'autre le management du personnel. L'un ne va pas sans l'autre.

Bon courage, Éric.

 

[rudddy]

oui je vais avoir bcp de boulot je sais :-( ca tombe bien je suis payé pour ca (dixit le boss)

mon routeur a un firewall mais je sais pas le configurer et en plus, je balise car comme on fait aussi de la voip et qu'on a configuré ds vpn sur le routeur, je voudrais pas qu'on se retrouve ni sans téléphone ni sans internet ...

pour les sanctions, malheureusement mon boss est bien trop peu agressif pour les appliquer, même si je lui dis tout ça maintes fois ...

sinon, mmc sous wondows, c'est intéressant ... comment l'utiliser pour mes soucis ?

 

[kanon90]

simple curiosité, tu es admin réseau et tu ne sais pas configurer un routeur ?

 

[rudddy]

non je suis seo, et mon patron me dit de
- gérer le réseau
- gérer la voip
- gérer les pc
- gérer les mails
- créer des sites web
- gérer les adwords
...

tu piges ?

 

[ricosound]

Bin t'est pas dans la mouise !

 

[Rod la Kox]

Bah tu répond à ton patron que tu veux les salaire de chaque spécialiste. Ca devrait le calmer.

 

[rudddy]

déjà fait

 

[legoulu]

rapproche toi de quelqu'un qui tient un cyber, ses problématiques sont les mêmes que les tiennes (empecher les clients d'installer ce qu'ils veulent, surveillance des postes, tout en conservant la VOIP), du coup il pourra t'aider vu que c'est son coeur de métier. A moins qu'il sous-traite...

 

[rudddy]

quelqu'un m'a envoyé un soft payant en mp (version démo) car il ne voulait pas faire de la pub sur le forum

je vais le tester et je vous ferais un retour, et JE lui ferais de la pub le cas échéant (en espérant une ristourne ;-))

 

[Rod la Kox]

déjà fait

Et ?






:mrgreen:

 

[rudddy]

et ...
...
...
...
...
oualou

 

[legoulu]

ajouté à ça que tu vas avoir du taf supplémentaire sur ton site de retraites, avec toutes les modifs en cours de discussion au gouvernement

Tu vas nous faire une grosse déprime je sens

 

[rudddy]

je te cache pas que j'ai une pression monstre, et que je sais plus ou donner de la tete

bon en tout cas, je vous fais un retour quand j'aurais testé le logiciel

 

[kanon90]

ton job c'est pas SEO... C'est webmaster

cf http://fr.wikipedia.org/wiki/Webmestre

 

[Rod la Kox]

Gni ?
Qui te dis qu'il a conçu le site.

Les job autour d'un site, il y en a un tas.

On utilise tous webmaster, mais c'est un terme qui ne veut absoluement rien dire.

"webmaster" revient à la même chose que "informaticien" ou "commercial". C'est un terme générique ne définissant en aucun cas l'activité de la personne.

 

[rudddy]

On utilise tous webmaster, mais c'est un terme qui ne veut absoluement rien dire.

+1

 

[kanon90]

Gni ?
Qui te dis qu'il a conçu le site.

Les job autour d'un site, il y en a un tas.

On utilise tous webmaster, mais c'est un terme qui ne veut absoluement rien dire.

"webmaster" revient à la même chose que "informaticien" ou "commercial". C'est un terme générique ne définissant en aucun cas l'activité de la personne.

c'est pas moi qui le dit :

non je suis seo, et mon patron me dit de
- gérer le réseau
- gérer la voip
- gérer les pc
- gérer les mails
- créer des sites web
- gérer les adwords

avec autant de tâches son job est plus proche de webmaster que SEO... après il y a rien de péjoratif non plus à être webmaster.

 

[Mushyouri]

Ben dans les petites boîtes où tu n'as pas une DSI avec pleins de spécialistes.
Tu as un clampin qui a dit un jour oui et qui sous prétexte que ça ressemble à un ordi se retrouve avec
Le PC puis le réseau puis internet puis les mails puis créer le site puis le référencer puis l'e-marketing, puis la VOIP puis les voitures (ben maintenant avec toutes l'électronique qu'y a dedans, ça dépend de la DSI ces machins), puis les alarmes puis puis puis.

On est informatien-webmaster-emarketeur...

Ca a quoi comme nom cette fonction (en dehors de couillon de service ;-))

Quand de temps en temps, on lui paye une formation, il est content sinon, il se démerde avec les forums, internet et quand vraiment, il est dans la merde, il fait intervenir une SSII mais faut pas que ça coûte trop chère.

Tant que les utilisateurs avaient pas d'ordinateur chez eux, c'était royal mais maintenant c'est à longueur de journée "Oui mais chez moi, je peux faire, ou j'utilise ça comme logiciel" et c'est pour ça qu'à la machine à café tu viens me voir pour que je regarde ton portable car y rame.

Ruddy,

Faites toi aider par un pro pour configurer ton firewall car avec du VPN, VOIP et peut être un serveur de messagerie, tu risques de tout bloquer. Tu demandes à une boîte de venir te le configurer et tu lui demandes pourquoi il ferme celui-là et pas celui-ci comme ça tu apprendras en même temps.

L'avantage d'un proxy, c'est que tu as les traces de ce que fait chacun et donc le jour ou tu veux le plomber, tu lui sors les fichiers log.
Quand j'en ai un qui me fait ch..er, je lui demande de venir me voir et je lui montre les fichiers temp sur son ordi, les fichiers log en lui disant que tel jour à telle heure, il regardait tel site... et que je lui conseille de faire gaffe car il est supposé bosser et pas aller sur les forums ou facebook.

En général, ça le calme et je lui présente ça comme un conseil d'ami.

 

[rudddy]

merci du conseil

je viens de réussir à configurer le firewall, et apparemment tout est nickel sauf :
- pas de logs
- pas de blocage par ip en local
- pas de blocage d'installation de logiciel

 

[agenceinternet]

Je ne m'y connais pas, mais pour empécher l'installation de logiciel, pourquoi ne pas avoir simplement créé des comptes utilisateur pour chaque employé afin qu'il n'est pas les droits d'admin et qu'il ne puisse donc pas installer de programme... ?

 

[rudddy]

ouai mais les postes ont déjà été installés...et avec un compte normal, je suis pas sûr qu'il puisse pas installer un logiciel ...

 

[JanoLapin]

Tu pourrais aussi dans un premier temps installer un sniffer sur tonr éseau, afind e cartographier un peu ce qui se passe (Xplico, etc..)

 

[ricosound]

Hello.

Les comptes, cela peut se créer et se changer n'importe quand.

Il faut d'abord créer un compte administrateur avec tous les droits, puis depuis celui-ci, recréer les comptes user, avec les droits restreins.

C'est ainsi que tu peut décider d'interdire l'installation de logiciels sur les machines.

Ensuite, grand ménage.

Cordialement, Éric.

 

[rudddy]

Tu pourrais aussi dans un premier temps installer un sniffer sur tonr éseau, afind e cartographier un peu ce qui se passe (Xplico, etc..)

xplico a l'air effectivement cool ! ca s'installe sur chaque poste ou sur un seul sur le réseau ?

 

[JanoLapin]

je te citais celui-là parce que l'ami Korbi a fait un post dessus ce matin:
http://www.korben.info/xplico-comment-mieux-visualiser-le-resultat-de- ... niffs.html

mais en cherchant avec le mot sniffer et réseau, tu trouveras ton bonheur. Fais donc les classiques: sourceforge, framasoft, et les forums d'étudiants sysadmin.. y a tout ce qu'ilf aut.

L'idée c'ets d'abord de cartographier pour faire un diagnostic. A partir de celui-ci, tu pourras alors définir des objectifs, et des priorités. Tu sauras donc mieux où aller chercher de l'aide ciblée... plutôt qu'un appel au secours généralistes.

Bon courage...

 

[rudddy]

ouai intéressant même très, mais apparemment ceci ne fonctionne que sur un serveur en amont de la connexion

Je vousdrais un trcu que j'installe sur un pc du réseau et qui va sniffer tout le réseau !

 

[werthers]

En quelques mots (on lit du bon et du moins bon sur ces 3 pages) :

Tu aurais à priori besoin d'un proxy, car ton routeur est un modèle trop basique.
Un proxy va te permettre d'autoriser ou non certaines personnes à surfer (selon IP, login, etc), à mettre des quotas de téléchargement/envoi, appliquer un filtre de contenu (bloquer les sites porno, réseaux sociaux, etc) et d'autres choses.

Pour savoir lequel prendre, il faudrait connaitre l'architecture de ton réseau (type de serveurs, OS des postes clients, etc) et le budget consacré ("le moins cher possible" n'est pas une réponse valable).

Ce genre de choses est possible avec certains boitiers qui font routeur+firewall+autres avec abonnement :
exemple http:**www.zyxel.fr/products/securite+parefeu/zyxel_zywall_5.html
ou en software sur un serveur / poste dédié :
exemple Microsoft ISA Server ou Forefront pour Windows, SquidGuard ou autre sous Linux

Le mieux serait de faire appel à un prestataire externe, au moins pour une étude, au mieux pour une solution complète. On ne s'improvise pas administrateur réseau / sécurité en lisant 3 tutos sur le web (ce n'est pas du tout une critique contre toi mais ton patron doit en être conscient, sinon la prochaine fois il te demandera aussi de vider les poubelles ?).

Bon courage :wink:

 

[JanoLapin]

Le mieux serait de faire appel à un prestataire externe, au moins pour une étude, au mieux pour une solution complète. On ne s'improvise pas administrateur réseau / sécurité en lisant 3 tutos sur le web (ce n'est pas du tout une critique contre toi mais ton patron doit en être conscient, sinon la prochaine fois il te demandera aussi de vider les poubelles ?)

dans le genre je fais un appel du pied commercial tout en injuriant au passage un prospect, j'ai rarement vu mieux.....

Comme tu le disais toi-même -jeune Werther en souffrance- y a du bon et du moins bon dans ce thread.... :mrgreen:

 

[werthers]

En relisant mon message, tu n'y verras aucune insulte ni aucune démarche commerciale. Je réponds à ses questions et à lui de prendre ou pas ces conseils, je n'ai rien à y gagner.
Faisons avancer la discussion plutôt que de tergiverser. Salutations !

 

[kanon90]

le patron ? Tant que le boulot est fait et qu'il débourse pas un centime... Le reste il s'en fout.
Je dois pas être loin de la vérité.

Sinon tu peux prendre un stagiaire aussi. Ils aiment bien linux les ptits étudiants