Présentation

Article

1 - FONCTIONS AVANCÉES DE CACHE

2 - ARCHITECTURE AVANCÉE : LA REDIRECTION TRANSPARENTE

3 - GESTION DE L'AUTHENTIFICATION

  • 3.1 - ACL externes
  • 3.2 - Authentification des utilisateurs avec Squid
  • 3.3 - Authentification de l’utilisation de Squid par LDAP

4 - FILTRAGE ANTIVIRAL

5 - FILTRAGE D’URL

  • 5.1 - Installation de SquidGuard
  • 5.2 - Mise en relation avec Squid

6 - RAPPORTS D'UTILISATION

7 - CONCLUSION

Article de référence | Réf : TE7707 v1

Architecture avancée : la redirection transparente
Mise en œuvre d'un proxy - Fonctions avancées

Auteur(s) : Laurent LEVIER

Date de publication : 10 nov. 2008

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

Version en anglais En anglais

RÉSUMÉ

Le logiciel Squid possède la faculté de s'interfacer avec des logiciels tiers, décuplant ainsi ses possibilités et offrant des services inhérents à tout relais applicatif digne de ce nom, tels que le filtrage antivirus ou le filtrage d'URL pour bloquer les utilisations abusives ou illégales d'Internet. Par ailleurs, les entreprises disposant d'une authentification centralisée pourront renforcer l'accès Internet par un contrôle d'accès. Enfin, Squid sait aussi offrir des traces, mais peu exploitables. Heureusement, des logiciels tiers permettent de combler cette lacune par la production de rapports plus ou moins granulaires.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

ABSTRACT

Squid software is able to interface itself with other software and thus to dramatically increase its possibilities and offer services provided by any satisfactory application relay, such as an antivirus or URL filter in order to prevent abusive or fraudulent use of the Internet. Furthermore, companies benefiting from centralized authentication can reinforce Internet access with a controlled access system. In addition, Squid can also provide traces although difficult to process. Fortunately, other software applications can address this gap by producing more or less granular reports.

Auteur(s)

  • Laurent LEVIER : CISSP (Certified Information Systems Security Professional) - CISM (Certified Information Security Manager) - Officier de Sécurité du Réseau Interne, Equant Télécommunications

INTRODUCTION

Nous avons vu, dans l'article sur la mise en place d'un relais applicatif , que le logiciel Squid disposait de nombreux avantages, de par son ancienneté et son large déploiement. Nous avons aussi vu comment paramétrer pour qu'il offre les services de base de relais applicatif HTTP, HTTPS et FTP. Cependant, le logiciel dispose de nombreuses autres fonctionnalités dont certaines méritent d'être utilisées.

Squid possède également la faculté de s'interfacer avec des logiciels tiers, permettant ainsi de décupler ses possibilités et surtout d'offrir des services que tout relais applicatif digne de ce nom doit savoir offrir de nos jours, tels que le filtrage antivirus ou le filtrage d'URL pour bloquer les utilisations abusives ou illégales d'Internet. Par ailleurs, les entreprises disposant d'une authentification centralisée (telles ActiveDirectory ou LDAP) pourront renforcer l'accès Internet par un contrôle d'accès.

Enfin, Squid sait aussi offrir des traces, mais ces données ne sont au final qu'une suite de lignes qui empêche une exploitation facile de cette information. Heureusement, des logiciels tiers permettent également de combler cette lacune par la production de rapports plus ou moins granulaires.

Ce sont tous ces points que nous allons maintenant aborder dans cet article traitant de l'utilisation avancée de Squid.

Cet article est réservé aux abonnés.
Il vous reste 93% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v1-te7707


Cet article fait partie de l’offre

Sécurité des systèmes d'information

(76 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Présentation
Version en anglais En anglais

2. Architecture avancée : la redirection transparente

Lors du déploiement d’une solution d’accès à Internet reposant sur l’utilisation de proxy déclarés dans les navigateurs des postes clients, on se heurte rapidement au problème du comportement en cas de perte d’un des points de sortie Internet du site. En effet, le navigateur tente toujours de demander au relais applicatif de faire le travail. Bien sur, on peut imaginer monter une solution où un serveur fournirait un fichier de configuration de navigateur PAC qui serait généré après s’être assuré du bon fonctionnement du relais applicatif. Pourquoi donc faire du bricolage quand le problème des accès redondants d’un réseau à l’autre est déjà géré par des protocoles de routage dynamique tels que OSPF ou BGP, ou même WCCP pour le simple interfaçage avec un relais applicatif ?

2.1 Redirection transparente par Firewall

Nous avons sommairement présenté ce principe dans le premier article  sur les relais applicatifs. L’utilisateur envoie vers Internet sa requête, laquelle est interceptée de manière invisible et renvoyée au relais qui la traite et renvoie la réponse. La perte du lien réseau pourrait alors être gérée par des protocoles de routage dynamique. De plus, selon le logiciel de pare-feu, la détection de la perte du relais applicatif est également possible.

Dans cette architecture, la configuration du logiciel Squid doit être modifiée, car il n’y a pas de relation directe entre le client et le proxy. Sur des pare-feu gratuits, tels que IP tables, IPfilter..., la redirection se fait en redirigeant tous les flux du réseau source vers n’importe quelle adresse/réseau cible (en général 0.0.0.0/0), port 80, vers le port du proxy.

Au niveau de Squid, il suffit, pour qu’il devienne adressable de manière transparente, de modifier la configuration du paramètre http_port. Alors qu’auparavant celui-ci indiquait l’adresse IP et le port à écouter, il indiquera en plus que le proxy doit traiter la requête de manière différente. Le nouveau format du paramètre devient :

http_port 192.168.0.254:8080 transparent

Nota : le fait d’ajouter ce mot-clé n’empêche pas Squid de traiter directement (lorsqu’il est paramétré dans le poste client) les requêtes comme avant.

...

Cet article est réservé aux abonnés.
Il vous reste 95% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(76 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Architecture avancée : la redirection transparente
Sommaire
Sommaire

Cet article est réservé aux abonnés.
Il vous reste 95% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(76 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS