Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
ficheproxyhttp [2023/11/05 21:44] techer.charles_educ-valadon-limoges.fr [Principe du proxy web] |
ficheproxyhttp [2023/11/08 22:23] (Version actuelle) techer.charles_educ-valadon-limoges.fr [Affectation d’une politique de filtrage URL] |
||
---|---|---|---|
Ligne 18: | Ligne 18: | ||
{{ : | {{ : | ||
- | Exemple d' | ||
- | * depuis votre navigateur, vous entrez l'URL http:// | ||
- | * Le poste de travail va demander au serveur proxy de récupérer la page du site " | ||
- | ===== Proxy web transparent ===== | ||
+ | ===== Proxy web non transparent et proxy web transparent ===== | ||
+ | Il y a deux manières d' | ||
+ | ==== proxy non transparent ==== | ||
+ | * Le proxy non transparent **doit être déclaré sur le poste client** afin que ce dernier soit configuré de manière à passer par le proxy lorsqu' | ||
+ | * Le proxy **se connecte au site demandé** à la place du client et **retourne** la page Web demandée au poste client , | ||
+ | * Le serveur qui héberge le site demandé, ne communique qu' | ||
+ | |||
+ | Si le serveur proxy n'est pas configuré sur le poste client, alors la requête sera envoyée directement au serveur distant, comme si le serveur proxy n' | ||
+ | |||
+ | <WRAP center round info> | ||
+ | Le serveur **proxy non transparent** peut être dans en **DMZ**, ou bien la fonction de proxy est assurée directement par le **pare-feu** (pas de DMZ). | ||
+ | </ | ||
+ | |||
+ | ==== proxy transparent ==== | ||
+ | * Le **proxy transparent** n'a pas à être configuré sur le poste client et ce lui-ci l' | ||
+ | * Le proxy est utilisé comme **passerelle** au niveau de la configuration du poste client. C'est la configuration idéale pour filtrer le trafic émis par les postes clients. | ||
+ | |||
+ | Dans ce cas, la fonction de pare-feu et de serveur proxy transparent sont généralement regroupée sur un même serveur/ | ||
+ | |||
+ | |||
+ | Pour en savoir plus : https:// | ||
===== Mise en place du filtrage applicatif ===== | ===== Mise en place du filtrage applicatif ===== | ||
Ligne 31: | Ligne 48: | ||
* **bloquer** les maliciels à l’aide d’une **analyse comportementale** sur des machines de détonation (sandboxing Breachfighter). | * **bloquer** les maliciels à l’aide d’une **analyse comportementale** sur des machines de détonation (sandboxing Breachfighter). | ||
- | ==== Configuration du service proxy Web HTTP ==== | + | ===== Configuration du service proxy Web HTTP ===== |
La fonction de **filtrage des URL** permet de contrôler l’accès aux sites web d’Internet pour l’ensemble des utilisateurs. Pour contrôler ces accès, la politique de filtrage URL va se baser sur une **liste d’URL** classées en **catégories** ou de **mots clés personnalisés**. | La fonction de **filtrage des URL** permet de contrôler l’accès aux sites web d’Internet pour l’ensemble des utilisateurs. Pour contrôler ces accès, la politique de filtrage URL va se baser sur une **liste d’URL** classées en **catégories** ou de **mots clés personnalisés**. | ||
- | === Les bases d’URL disponibles === | + | ==== Les bases d’URL disponibles |
**Deux fournisseurs de base URL** sont disponibles sur les pare-feu SNS : | **Deux fournisseurs de base URL** sont disponibles sur les pare-feu SNS : | ||
Ligne 39: | Ligne 56: | ||
* **Base Extended Web Control (EWC)** constituée de 65 catégories, | * **Base Extended Web Control (EWC)** constituée de 65 catégories, | ||
- | Le menu **Configuration / Objets / Objets Web** puis l' | + | Le menu **Configuration / Objets / URL** puis l' |
- | http://www.reseaucerta.org juillet 2022 – v1.0 Page 1/14 | + | {{ :proxy_10.png |}} |
- | Les catégories prédéfinies pour la Base URL embarquée sont disponibles. Le contenu des catégories ne peut pas être consulté. Cependant, l’appartenance d’une URL à un groupe peut être vérifiée par le biais des champs de classification. Ces champs sont disponibles depuis le menu Objets Web ou au sein d’une politique de filtrage URL. | + | |
- | Par exemple, pour vérifier l’appartenance de Stormshield à une des catégories de la base :Ouvrir Configuration / Objets / Objets Web onglet URL.Dans la zone Vérifier l’utilisation saisir stormshield.eu et cliquer Classifier. | + | Les catégories prédéfinies pour la **Base URL embarquée** sont disponibles. Le contenu des catégories ne peut pas être consulté. Cependant, l’appartenance d’une URL à un groupe peut être vérifiée par le biais des champs de classification. Ces champs sont disponibles depuis le menu Objets Web ou au sein d’une politique de filtrage URL. |
+ | Par exemple, pour vérifier l’appartenance de Stormshield à une des catégories de la base : | ||
+ | * Ouvrir | ||
+ | * Dans la zone **Vérifier l’utilisation** saisir stormshield.eu et cliquer | ||
+ | {{ : | ||
+ | Le résultat s’affiche dans la zone de commentaires, | ||
+ | {{ : | ||
+ | |||
+ | * Au besoin cliquer le symbole au bas de l’écran | ||
+ | {{ : | ||
+ | |||
+ | ==== Politique de filtrage d’URL pré-définie ==== | ||
+ | Une seule politique de filtrage est prédéfinie par défaut (quelle que soit la politique choisie, ce sont les deux même règles qui apparaissent). | ||
+ | |||
+ | * Ouvrir le menu **Configuration / Politique de sécurité / Filtrage URL** | ||
+ | * Dans la liste déroulante des politiques de sécurité, choisissez **(0) URLFilter_00**. | ||
+ | {{ : | ||
+ | **La règle numéro 1** (non activée) autorise les URL qui font partie du groupe **authentication_bypass** qui peut être consulté dans le menu Objets Web, il s’agit des sites qui permettent les mises à jour Microsoft. | ||
+ | |||
+ | **La règle numéro 2** laisse explicitement passer tous les flux. | ||
+ | |||
+ | Les règles de filtrage d’URL sont composées d’une colonne **Action** et d’une colonne **Catégorie d’URL**. | ||
+ | |||
+ | | La colonne **Action permet de Bloquer ou de Passer ou de rediriger** vers l’une des 4 pages de blocage personnalisables.|La colonne **Catégorie d’URL** contient la liste des catégories prédéfinies de la base **URL embarquée** et les catégories personnalisées que vous avez créées. | | ||
+ | |{{ : | ||
+ | |||
+ | Il convient ensuite de choisir les catégories de sites à autoriser, bloquer ou à rediriger vers l’une des 4 pages de blocage personnalisables. Le contrôle de cohérence en temps réel affiche les erreurs détectées dans votre politique. | ||
+ | |||
+ | ==== Création d’une base URL personnalisée ==== | ||
+ | Si les catégories de sites web prédéfinies par votre base d’URL ne sont pas exactement adaptées à vos besoins, il est nécessaire de créer ses propres catégories pour y mettre les URL que l’on souhaite bloquer ou autoriser. | ||
+ | |||
+ | |||
+ | <WRAP center round tip> | ||
+ | Il est recommandé de prévoir au moins une catégorie de type **white list** et une catégorie de type **black list**. | ||
+ | |||
+ | </ | ||
+ | |||
+ | * Dans l’**onglet URL**, cliquer sur **Ajouter une catégorie personnalisée** puis donnez-lui un nom (par exemple black_list). | ||
+ | * Dans la zone **Catégorie d’URL**, cliquer sur **Ajouter une URL** et saisir par exemple *.badssl.com/ | ||
+ | |||
+ | <WRAP center round info> | ||
+ | Le site **badssl.com** permet d’effectuer de nombreux tests de configuration des navigateurs Internet. En particulier l’URL **http.badssl.com** permet de tester l’affichage d’une page web en HTTP. | ||
+ | |||
+ | </ | ||
+ | |||
+ | ==== Création d’une règle de blocage ==== | ||
+ | |||
+ | <WRAP center round info> | ||
+ | Ce qui suit est valable pour n’importe quelle catégorie mais le mode opératoire porte sur la catégorie personnalisée **black_list**. | ||
+ | </ | ||
+ | |||
+ | * Dans la liste déroulante des politiques de sécurité, choisir une des règles de politique de filtrage d’URL (par exemple, **(0) URLFilter_00)** et cliquer sur **Éditer**. | ||
+ | * Renommer cette politique (par exemple | ||
+ | * Se positionner sur la première règle (désactivée) et cliquer **+ Ajouter** pour ajouter une nouvelle règle de filtrage d’URL. | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | * Au niveau de la deuxième règle, dans **Action**, laisser **BlockPage_00** et dans la colonne **Catégorie d’URL**, choisir **black_list**, | ||
+ | |||
+ | <WRAP center round tip> | ||
+ | Les pages de blocage par défaut, ici **BlockPage_00** peuvent être éditées depuis le menu **Configuration ⇒ Notifications ⇒ Messages de blocage ⇒ Onglet Page de blocage HTTP**. Les modifications peuvent s’effectuer grâce à l’éditeur HTML, **cela permet de personnaliser la page**. | ||
+ | </ | ||
+ | |||
+ | ==== Affectation d’une politique de filtrage URL ==== | ||
+ | * Ouvrir **Configuration / Politique de sécurité / Filtrage et NAT**, et choisir la politique de sécurité actuellement appliquée. | ||
+ | * Dans l’onglet **Filtrage**, | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | Vous devez obtenir la règle suivante : | ||
+ | {{ : | ||
+ | |||
+ | <WRAP center round important> | ||
+ | Ne pas faire attention à l’avertissement. En cas d’accès à un site en HTTPS, il faudra effectivement d’abord déchiffrer le flux pour pouvoir décider du blocage ou non, ce qui nécessite l’utilisation d’un proxy SSL (vu ultérieurement). | ||
+ | </ | ||
+ | |||
+ | Pour tester | ||
+ | |||
+ | * Ouvrir la page web **http.badssl.com** depuis votre navigateur, elle ne doit pas s’afficher correctement. Vous devez voir le message de blocage ci-contre : | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | |||
+ | |||
==== Retour | ==== Retour | ||
* [[: | * [[: |