Présentation
EnglishRÉSUMÉ
Le logiciel Squid possède la faculté de s'interfacer avec des logiciels tiers, décuplant ainsi ses possibilités et offrant des services inhérents à tout relais applicatif digne de ce nom, tels que le filtrage antivirus ou le filtrage d'URL pour bloquer les utilisations abusives ou illégales d'Internet. Par ailleurs, les entreprises disposant d'une authentification centralisée pourront renforcer l'accès Internet par un contrôle d'accès. Enfin, Squid sait aussi offrir des traces, mais peu exploitables. Heureusement, des logiciels tiers permettent de combler cette lacune par la production de rapports plus ou moins granulaires.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Laurent LEVIER : CISSP (Certified Information Systems Security Professional) - CISM (Certified Information Security Manager) - Officier de Sécurité du Réseau Interne, Equant Télécommunications
INTRODUCTION
Nous avons vu, dans l'article sur la mise en place d'un relais applicatif , que le logiciel Squid disposait de nombreux avantages, de par son ancienneté et son large déploiement. Nous avons aussi vu comment paramétrer pour qu'il offre les services de base de relais applicatif HTTP, HTTPS et FTP. Cependant, le logiciel dispose de nombreuses autres fonctionnalités dont certaines méritent d'être utilisées.
Squid possède également la faculté de s'interfacer avec des logiciels tiers, permettant ainsi de décupler ses possibilités et surtout d'offrir des services que tout relais applicatif digne de ce nom doit savoir offrir de nos jours, tels que le filtrage antivirus ou le filtrage d'URL pour bloquer les utilisations abusives ou illégales d'Internet. Par ailleurs, les entreprises disposant d'une authentification centralisée (telles ActiveDirectory ou LDAP) pourront renforcer l'accès Internet par un contrôle d'accès.
Enfin, Squid sait aussi offrir des traces, mais ces données ne sont au final qu'une suite de lignes qui empêche une exploitation facile de cette information. Heureusement, des logiciels tiers permettent également de combler cette lacune par la production de rapports plus ou moins granulaires.
Ce sont tous ces points que nous allons maintenant aborder dans cet article traitant de l'utilisation avancée de Squid.
DOI (Digital Object Identifier)
CET ARTICLE SE TROUVE ÉGALEMENT DANS :
Accueil > Ressources documentaires > Technologies de l'information > Réseaux Télécommunications > Administration de réseaux, applications et mise en oeuvre > Mise en œuvre d'un proxy - Fonctions avancées > Gestion de l'authentification
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(77 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
3. Gestion de l'authentification
On rencontre de plus en plus fréquemment dans l'entreprise un serveur ActiveDirectory ou un annuaire LDAP qui sont utilisés afin d'authentifier les utilisateurs de manière centralisée. Ainsi, la gestion des utilisateurs est grandement facilitée. Mais couplé avec un relais applicatif, il devient alors possible de pouvoir placer des autorisations (ou non) d'accéder à Internet pour telle ou telle personne. Pour Squid, il ne s'agira que de la mise en place d'une « ACL externe ».
3.1 ACL externes
Squid sait s'appuyer sur des logiciels externes, appelés alors helpers, pour assurer un certain nombre de contrôles d'accès. Le principe d'interface entre Squid et son helper est très simple : un paramètre définit le helper et les arguments dont il a besoin. Celui-ci sera exécuté au moment opportun et pourra retourner deux valeurs. En cas de succès, donc acceptation, le helper retournera OK et Squid considérera alors le test comme passé avec succès. Dans le cas contraire, le helper retourner ERR et Squid refusera alors de valider le passage de la requête. Le helper peut également renvoyer une information complémentaire au résultat par l'intermédiaire des mots-clés user, password, message (d'erreur) et log (trace qui sera inscrite dans access_log). Ceux-ci contiendront (mot-clé = valeur) le message associé. La déclaration d'un helper s'effectue par le paramètre :
external_acl_type nom [options] FORMAT.. /chemin/du/helper [arguments..]
Le nom de l'ACL est laissé à la discrétion de l'administrateur. Il n'y a aucune contrainte à ce niveau.
Il existe plusieurs options comme ttl, negative_ttl, children, concurrency, cache, grace et protocol qui permettent de définir le cadre du fonctionnement du helper. Par exemple, children fournit le nombre d'instances maximum du helper, concurrency le nombre de requêtes simultanées que peut traiter un helper... La documentation de Squid fournit le détail de ces options.
Le FORMAT permet de préciser des informations supplémentaires pour le helper. Celles-ci pourront être le nom de login d'un utilisateur authentifié sur le proxy, l'adresse IP du client, vers où il désire se connecter... Cette information est alors précisée sous la forme d'un mot-clé %LOGIN, %SRC, %SRCPORT, %DST, %PATH... Le lecteur peut se référer à la documentation de Squid pour les innombrables mots-clé disponibles.
Enfin, le programme ainsi que ses arguments finira...
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(77 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Gestion de l'authentification
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(77 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive