Filtro web su rete aziendale

[PIETRO95]

Salve a tutti. Mi è stato chiesto di installare in una rete aziendale un filtro per limitare l'accesso al web ai dipendenti ma che deve funzionare solo su determinati computer o ancora meglio solo per determinati utenti - in azienda abbiamo già un server con Windows SBS 2011. La soluzione più semplice potrebbe essere installare sui singoli pc un qualche software ma sarebbe meglio se riesco a trovare una soluzione hardware - o software da installare sul server - che mi permetta di gestire tutto da un unica interfaccia. Cosa mi consigliate? grazie a tutti in anticipo

[peg1987]

Un proxy, o un firewall con funzioni proxy (tipo pfsense, ipcop ecc, se li vuoi free) oppure watchguard, Juniper se li vuoi integrati.

[Dane]

Preparati a gestire un servizio (generalmente rognoso) in più ;-)

Metti un proxy centralizzato. Gestire su ogni pc è un delirio, oltre a rischiare di perderne il controllo. Migra pochi utenti alla volta, avvisandoli (ma non tutti) che li stai facendo passare il proxy e dagli tempo per testare tutti i siti web che usano.

Man mano che prosegui affina la configurazione.

Il problema non è mettere in piedi, il tutto. E' mantenerlo e farlo funzionare come deve.

Good luck!

[PIETRO95]

Quote:

Originariamente inviato da Dane

Preparati a gestire un servizio (generalmente rognoso) in più ;-)

Metti un proxy centralizzato. Gestire su ogni pc è un delirio, oltre a rischiare di perderne il controllo. Migra pochi utenti alla volta, avvisandoli (ma non tutti) che li stai facendo passare il proxy e dagli tempo per testare tutti i siti web che usano.

Man mano che prosegui affina la configurazione.

Il problema non è mettere in piedi, il tutto. E' mantenerlo e farlo funzionare come deve.

Good luck!

Ciao, intanto grazie ancora per avermi risposto!
Si, anche io penso che gestire singolarmente ogni pc possa diventare un delirio e per questo pensavo ad una soluzione centralizzata ma che comunque mi permetta di filtrare solo determinati utenti/computer. Secondo te, anche tra le soluzioni proposte da peg1987, qual'è la migliore, considerando anche l'aspetto economico? Considera che in realtà la rete è molto piccola, parliamo di circa una ventina di dispositivi.

Grazie ancora

[KamiG]

Personalmente ho optato per le soluzioni Watchguard, a mio avviso le più complete, economiche e "semplici" da gestire.
Se (e immagino di si) è presente un server dhcp l'inserimento di un proxy diventa trasparente per i client, è sufficiente cambiare il gateway di riferimento.

[PIETRO95]

Quote:

Originariamente inviato da KamiG

Personalmente ho optato per le soluzioni Watchguard, a mio avviso le più complete, economiche e "semplici" da gestire.
Se (e immagino di si) è presente un server dhcp l'inserimento di un proxy diventa trasparente per i client, è sufficiente cambiare il gateway di riferimento.

Di tutti i prodotti Watchguard disponibili, quale secondo te si adatta meglio alle mie esigenze? Grazie mille

[KamiG]

Io utilizzo un XTM 330 per gestire una rete con circa 50 client.
Secondo me per 20 client vai tranquillissimo con un XTM 33.

[PIETRO95]

Ok bene proporrò la soluzione ma visto i prezzi non penso accetteranno. Qualche altra soluzione molto più economica?

[bio.hazard]

Quote:

Originariamente inviato da PIETRO95

Qualche altra soluzione molto più economica?

crocifiggere in sala mensa (Fantozzi docet...) il primo impiegato che beccate a navigare sui siti proibiti.

[teo180]

Ipcop esegue questo lavoro egregiamente, è un po Brigosa la prima configurazione e il primo periodo di prova

[PIETRO95]

Quote:

Originariamente inviato da bio.hazard

crocifiggere in sala mensa (Fantozzi docet...) il primo impiegato che beccate a navigare sui siti proibiti.

Proporrò anche questa soluzione

Quote:

Originariamente inviato da teo180

Ipcop esegue questo lavoro egregiamente, è un po Brigosa la prima configurazione e il primo periodo di prova

Con ipcop avevo fatto qualche prova in casa diversi mesi fa... si può integrare con AD?

[PIETRO95]

Ok cercato un po in rete e IpCop dovrebbe poter funzionare con Active Directory ma... può (e questa domanda vale anche per tutte le soluzioni hardware, quali Watchguard) filtrare le connessioni HTTPS in base a una blacklist? L'ultima volta che ho provato con ipcop era praticamente impossibile e si poteva usare tranquillamente siti come Facebook in https (a meno che non blocco tutto il traffico https, cosa che naturalmente non posso fare)

[PIETRO95]

up!

[KamiG]

Posso risponderti per Watchguard. I suoi UTM permettono di fare praticamente di tutto... per farti un esempio, in azienda ho vincolato l'accesso ad alcune categorie di siti, ho inserito determinati domini in blacklist, ho schedulato l'accesso ad altri (durante la pausa pranzo abbiamo deciso che i dipendenti possano navigare quasi liberamente) e ho dato navigazione libera ai boss
Non è il luogo giusto per parlarne, però se hai problemi di budget posso farti parlare con il nostro fornitore, magari riesce a farti un po' di sconto... eventualmente mandami un mp che ti passo i riferimenti.

[PIETRO95]

Ho fatto diverse ricerche in rete e con ipcop filtrare le richieste HTTPS è praticamente impossibile e quindi come soluzione non va bene. Se mi assicuri che Wathguard filtra anche gli HTTPS senza problemi allora mi sa che proporrò comunque questa soluzione e.. o la va o la spacca. Ti scrivo in MP per i riferimenti del fornitore. Grazie!