Les cours du BTS SIO

Outils pour utilisateurs

Outils du site

Piste:
ficheproxyhttp

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision 		Révision précédente
ficheproxyhttp [2023/11/05 21:44]
techer.charles_educ-valadon-limoges.fr [Principe du proxy web] 		ficheproxyhttp [2023/11/08 22:23] (Version actuelle)
techer.charles_educ-valadon-limoges.fr [Affectation d’une politique de filtrage URL]
Ligne 18: Ligne 18:
 {{ :proxyhttp_01.png |}} {{ :proxyhttp_01.png |}}
  
-Exemple d'accès au site www.ac-limoges.fr en utilisant un proxy: 
-  * depuis votre navigateur, vous entrez l'URL http://www.ac-limoges.fr ; 
-  * Le poste de travail va demander au serveur proxy de récupérer la page du site "www.it-connect.fr", alors le proxy va se connecter au site "www.it-connect.fr" et retourner la page Web au poste client. D'un point de vue du serveur qui héberge le site "www.it-connect.fr", on verra seulement le serveur proxy et on ignore la présence du poste de travail. 
-===== Proxy web transparent ===== 
  
 +===== Proxy web non transparent et proxy web transparent =====
 +Il y a deux manières d'utiliser un proxy web : proxy non transparent et proxy transparent.
 +==== proxy non transparent ====
 +  * Le proxy non transparent **doit être déclaré sur le poste client** afin que ce dernier soit configuré de manière à passer par le proxy lorsqu'une requête est envoyée ;
 +  * Le proxy **se connecte au site demandé** à la place du client et **retourne** la page Web demandée au poste client ,
 +  * Le serveur qui héberge le site demandé, ne communique qu'avec le serveur proxy et ignore la présence du poste client.
 +
 +Si le serveur proxy n'est pas configuré sur le poste client, alors la requête sera envoyée directement au serveur distant, comme si le serveur proxy n'existait pas.
 +
 +<WRAP center round info>
 +Le serveur **proxy non transparent** peut être dans en **DMZ**, ou bien la fonction de proxy est assurée directement par le **pare-feu** (pas de DMZ).
 +</WRAP>
 +
 +==== proxy transparent ====
 +  * Le **proxy transparent** n'a pas à être configuré sur le poste client et ce lui-ci l'utilise sans s'en rendre compte. 
 +  * Le proxy est utilisé comme **passerelle** au niveau de la configuration du poste client. C'est la configuration idéale pour filtrer le trafic émis par les postes clients.
 +
 +Dans ce cas, la fonction de pare-feu et de serveur proxy transparent sont généralement regroupée sur un même serveur/équipement c'st à dire le **pare-feu**. Il est bien sûr possible que le pare-feu soit configuré pour relayer les trames vers le proxy
 +
 +
 +Pour en savoir plus : https://www.it-connect.fr/les-serveurs-proxy-et-reverse-proxy-pour-les-debutants/
 ===== Mise en place du filtrage applicatif ===== ===== Mise en place du filtrage applicatif =====
  
Ligne 31: Ligne 48:
   * **bloquer** les maliciels à l’aide d’une **analyse comportementale** sur des machines de détonation (sandboxing Breachfighter).   * **bloquer** les maliciels à l’aide d’une **analyse comportementale** sur des machines de détonation (sandboxing Breachfighter).
  
-==== Configuration du service proxy Web HTTP ====+===== Configuration du service proxy Web HTTP =====
 La fonction de **filtrage des URL** permet de contrôler l’accès aux sites web d’Internet pour l’ensemble des utilisateurs. Pour contrôler ces accès, la politique de filtrage URL va se baser sur une **liste d’URL** classées en **catégories** ou de **mots clés personnalisés**. La fonction de **filtrage des URL** permet de contrôler l’accès aux sites web d’Internet pour l’ensemble des utilisateurs. Pour contrôler ces accès, la politique de filtrage URL va se baser sur une **liste d’URL** classées en **catégories** ou de **mots clés personnalisés**.
-=== Les bases d’URL disponibles ===+==== Les bases d’URL disponibles ====
  
 **Deux fournisseurs de base URL** sont disponibles sur les pare-feu SNS : **Deux fournisseurs de base URL** sont disponibles sur les pare-feu SNS :
Ligne 39: Ligne 56:
   * **Base Extended Web Control (EWC)** constituée de 65 catégories, toutes hébergées dans le Cloud. Cette base est disponible en option payante, elle est néanmoins incluse dans les VM du partenariat Stormshield Academy.   * **Base Extended Web Control (EWC)** constituée de 65 catégories, toutes hébergées dans le Cloud. Cette base est disponible en option payante, elle est néanmoins incluse dans les VM du partenariat Stormshield Academy.
    
-Le menu **Configuration / Objets / Objets Web** puis l'onglet **Base d’URL**. La base par défaut est la Base URL embarquée. +Le menu **Configuration / Objets / URL** puis l'onglet **Base d’URL**. La base par défaut est la Base URL embarquée. 
-http://www.reseaucerta.org juillet 2022 – v1.0 Page 1/14 +{{ :proxy_10.png |}} 
-Les catégories prédéfinies pour la Base URL embarquée sont disponibles. Le contenu des catégories ne peut pas être consulté. Cependant, l’appartenance d’une URL à un groupe peut être vérifiée par le biais des champs de classification. Ces champs sont disponibles depuis le menu Objets Web ou au sein d’une politique de filtrage URL. + 
-Par exemple, pour vérifier l’appartenance de Stormshield à une des catégories de la base :Ouvrir Configuration / Objets / Objets Web onglet URL.Dans la zone Vérifier l’utilisation saisir stormshield.eu et cliquer Classifier.+Les catégories prédéfinies pour la **Base URL embarquée** sont disponibles. Le contenu des catégories ne peut pas être consulté. Cependant, l’appartenance d’une URL à un groupe peut être vérifiée par le biais des champs de classification. Ces champs sont disponibles depuis le menu Objets Web ou au sein d’une politique de filtrage URL. 
 +Par exemple, pour vérifier l’appartenance de Stormshield à une des catégories de la base : 
 +  * Ouvrir **Configuration / Objets / URL** onglet URL. 
 +  * Dans la zone **Vérifier l’utilisation** saisir stormshield.eu et cliquer **Classifier**. 
 +{{ :proxy_11.png |}} 
 +Le résultat s’affiche dans la zone de commentaires, l’URL **stormshield.eu** fait partie de la catégorie **IT** : 
 +{{ :proxy_12.png |}} 
 + 
 +  * Au besoin cliquer le symbole au bas de l’écran   pour déplier la zone de commentaires. 
 +{{ :proxy_13.png |}} 
 + 
 +==== Politique de filtrage d’URL pré-définie ==== 
 +Une seule politique de filtrage est prédéfinie par défaut (quelle que soit la politique choisie, ce sont les deux même règles qui apparaissent). 
 + 
 +  * Ouvrir le menu **Configuration / Politique de sécurité / Filtrage URL** 
 +  * Dans la liste déroulante des politiques de sécurité, choisissez **(0) URLFilter_00**.  
 +{{ :proxy_14.png |}} 
 +**La règle numéro 1** (non activée) autorise les URL qui font partie du groupe **authentication_bypass** qui peut être consulté dans le menu Objets Web, il s’agit des sites qui permettent les mises à jour Microsoft. 
 + 
 +**La règle numéro 2** laisse explicitement passer tous les flux. 
 + 
 +Les règles de filtrage d’URL sont composées d’une colonne **Action** et d’une colonne **Catégorie d’URL**. 
 + 
 +| La colonne **Action permet de Bloquer ou de Passer ou de rediriger** vers l’une des 4 pages de blocage personnalisables.|La colonne **Catégorie d’URL** contient la liste des catégories prédéfinies de la base **URL embarquée** et les catégories personnalisées que vous avez créées. | 
 +|{{ :proxy_15.png |}} | {{ :proxy_16.png |}}| 
 +  
 +Il convient ensuite de choisir les catégories de sites à autoriser, bloquer ou à rediriger vers l’une des 4 pages de blocage personnalisables. Le contrôle de cohérence en temps réel affiche les erreurs détectées dans votre politique. 
 + 
 +==== Création d’une base URL personnalisée ==== 
 +Si les catégories de sites web prédéfinies par votre base d’URL ne sont pas exactement adaptées à vos besoins, il est nécessaire de créer ses propres catégories pour y mettre les URL que l’on souhaite bloquer ou autoriser. 
 + 
 + 
 +<WRAP center round tip> 
 +Il est recommandé de prévoir au moins une catégorie de type **white list** et une catégorie de type **black list**. 
 + 
 +</WRAP> 
 + 
 +  * Dans l’**onglet URL**, cliquer sur **Ajouter une catégorie personnalisée** puis donnez-lui un nom (par exemple black_list). 
 +  * Dans la zone **Catégorie d’URL**, cliquer sur **Ajouter une URL** et saisir par exemple *.badssl.com/*. 
 + 
 +<WRAP center round info> 
 +Le site **badssl.com** permet d’effectuer de nombreux tests de configuration des navigateurs Internet. En particulier l’URL **http.badssl.com** permet de tester l’affichage d’une page web en HTTP. 
 + 
 +</WRAP> 
 + 
 +==== Création d’une règle de blocage ==== 
 + 
 +<WRAP center round info> 
 +Ce qui suit est valable pour n’importe quelle catégorie mais le mode opératoire porte sur la catégorie personnalisée **black_list**. 
 +</WRAP> 
 + 
 +  * Dans la liste déroulante des politiques de sécurité, choisir une des règles de politique de filtrage d’URL (par exemple, **(0) URLFilter_00)** et cliquer sur **Éditer**. 
 +  * Renommer cette politique (par exemple  **Proxy_Cub**) et mettre à jour. 
 +  * Se positionner sur la première règle (désactivée) et cliquer **+ Ajouter** pour ajouter une nouvelle règle de filtrage d’URL. 
 + 
 + {{ :proxy_17.png |}} 
 + 
 +  * Au niveau de la deuxième règle, dans **Action**, laisser **BlockPage_00** et dans la colonne **Catégorie d’URL**, choisir **black_list**, puis cliquer sur **Appliquer** puis sur **Sauvegarder**. 
 + 
 +<WRAP center round tip> 
 +Les pages de blocage par défaut, ici **BlockPage_00** peuvent être éditées depuis le menu **Configuration ⇒ Notifications ⇒ Messages de blocage ⇒ Onglet Page de blocage HTTP**. Les modifications peuvent s’effectuer grâce à l’éditeur HTML, **cela permet de personnaliser la page**. 
 +</WRAP> 
 + 
 +==== Affectation d’une politique de filtrage URL ==== 
 +  * Ouvrir **Configuration / Politique de sécurité / Filtrage et NAT**, et choisir la politique de sécurité actuellement appliquée. 
 +  * Dans l’onglet **Filtrage**, ouvrir la ou les règles qui autorisent l’accès à Internet avec le protocole **http**. Dans l’onglet **Inspection de sécurité**, dans la zone **Inspection** choisir, dans la liste **Filtrage URL**, la politique de filtrage URL à appliquer. 
 + 
 +{{ :proxy_18.png |}} 
 + 
 +Vous devez obtenir la règle suivante : 
 +{{ :proxy_19.png |}} 
 + 
 +<WRAP center round important> 
 +Ne pas faire attention à l’avertissement. En cas d’accès à un site en HTTPS, il faudra effectivement d’abord déchiffrer le flux pour pouvoir décider du blocage ou non, ce qui nécessite l’utilisation d’un proxy SSL (vu ultérieurement). 
 +</WRAP> 
 + 
 +Pour tester 
 + 
 +  * Ouvrir la page web **http.badssl.com** depuis votre navigateur, elle ne doit pas s’afficher correctement. Vous devez voir le message de blocage ci-contre : 
 + 
 +{{ :proxy_20.png |}} 
 + 
 + 
 + 
 ==== Retour  ==== ==== Retour  ====
   * [[:reseau:stormshield:miseenoeuvreutm|Mise en oeuvre de l'UTM Stormshield]]   * [[:reseau:stormshield:miseenoeuvreutm|Mise en oeuvre de l'UTM Stormshield]]
ficheproxyhttp.1699217081.txt.gz · Dernière modification: 2023/11/05 21:44 de techer.charles_educ-valadon-limoges.fr

Outils de la page

Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Noncommercial-Share Alike 4.0 International
CC Attribution-Noncommercial-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki