Présentation
RÉSUMÉ
Le logiciel Squid possède la faculté de s'interfacer avec des logiciels tiers, décuplant ainsi ses possibilités et offrant des services inhérents à tout relais applicatif digne de ce nom, tels que le filtrage antivirus ou le filtrage d'URL pour bloquer les utilisations abusives ou illégales d'Internet. Par ailleurs, les entreprises disposant d'une authentification centralisée pourront renforcer l'accès Internet par un contrôle d'accès. Enfin, Squid sait aussi offrir des traces, mais peu exploitables. Heureusement, des logiciels tiers permettent de combler cette lacune par la production de rapports plus ou moins granulaires.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Laurent LEVIER : CISSP (Certified Information Systems Security Professional) - CISM (Certified Information Security Manager) - Officier de Sécurité du Réseau Interne, Equant Télécommunications
INTRODUCTION
Nous avons vu, dans l'article sur la mise en place d'un relais applicatif , que le logiciel Squid disposait de nombreux avantages, de par son ancienneté et son large déploiement. Nous avons aussi vu comment paramétrer pour qu'il offre les services de base de relais applicatif HTTP, HTTPS et FTP. Cependant, le logiciel dispose de nombreuses autres fonctionnalités dont certaines méritent d'être utilisées.
Squid possède également la faculté de s'interfacer avec des logiciels tiers, permettant ainsi de décupler ses possibilités et surtout d'offrir des services que tout relais applicatif digne de ce nom doit savoir offrir de nos jours, tels que le filtrage antivirus ou le filtrage d'URL pour bloquer les utilisations abusives ou illégales d'Internet. Par ailleurs, les entreprises disposant d'une authentification centralisée (telles ActiveDirectory ou LDAP) pourront renforcer l'accès Internet par un contrôle d'accès.
Enfin, Squid sait aussi offrir des traces, mais ces données ne sont au final qu'une suite de lignes qui empêche une exploitation facile de cette information. Heureusement, des logiciels tiers permettent également de combler cette lacune par la production de rapports plus ou moins granulaires.
Ce sont tous ces points que nous allons maintenant aborder dans cet article traitant de l'utilisation avancée de Squid.
Cet article est réservé aux abonnés.
Il vous reste 93 % à découvrir.
Déjà abonné ? Se connecter
DOI (Digital Object Identifier)
CET ARTICLE SE TROUVE ÉGALEMENT DANS :
Accueil > Ressources documentaires > Technologies de l'information > Sécurité des systèmes d'information > Cybersécurité : attaques et mesures de protection des SI > Mise en œuvre d'un proxy - Fonctions avancées > Architecture avancée : la redirection transparente
Présentation
Gestion de l'authentificationArticle inclus dans l'offre
"Réseaux Télécommunications"
(141 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
2. Architecture avancée : la redirection transparente
Lors du déploiement d’une solution d’accès à Internet reposant sur l’utilisation de proxy déclarés dans les navigateurs des postes clients, on se heurte rapidement au problème du comportement en cas de perte d’un des points de sortie Internet du site. En effet, le navigateur tente toujours de demander au relais applicatif de faire le travail. Bien sur, on peut imaginer monter une solution où un serveur fournirait un fichier de configuration de navigateur PAC qui serait généré après s’être assuré du bon fonctionnement du relais applicatif. Pourquoi donc faire du bricolage quand le problème des accès redondants d’un réseau à l’autre est déjà géré par des protocoles de routage dynamique tels que OSPF ou BGP, ou même WCCP pour le simple interfaçage avec un relais applicatif ?
2.1 Redirection transparente par Firewall
Nous avons sommairement présenté ce principe dans le premier article sur les relais applicatifs. L’utilisateur envoie vers Internet sa requête, laquelle est interceptée de manière invisible et renvoyée au relais qui la traite et renvoie la réponse. La perte du lien réseau pourrait alors être gérée par des protocoles de routage dynamique. De plus, selon le logiciel de pare-feu, la détection de la perte du relais applicatif est également possible.
Dans cette architecture, la configuration du logiciel Squid doit être modifiée, car il n’y a pas de relation directe entre le client et le proxy. Sur des pare-feu gratuits, tels que IP tables, IPfilter..., la redirection se fait en redirigeant tous les flux du réseau source vers n’importe quelle adresse/réseau cible (en général 0.0.0.0/0), port 80, vers le port du proxy.
Au niveau de Squid, il suffit, pour qu’il devienne adressable de manière transparente, de modifier la configuration du paramètre http_port. Alors qu’auparavant celui-ci indiquait l’adresse IP et le port à écouter, il indiquera en plus que le proxy doit traiter la requête de manière différente. Le nouveau format du paramètre devient :
http_port 192.168.0.254:8080 transparent
Nota : le fait d’ajouter ce mot-clé n’empêche pas Squid de traiter directement (lorsqu’il est paramétré dans le poste client) les requêtes comme avant.
Cet article est réservé aux abonnés.
Il vous reste 93 % à découvrir.
Déjà abonné ? Se connecter
Architecture avancée : la redirection transparente
Article inclus dans l'offre
"Réseaux Télécommunications"
(141 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
Cet article est réservé aux abonnés.
Il vous reste 95 % à découvrir.
Déjà abonné ? Se connecter
Article inclus dans l'offre
"Réseaux Télécommunications"
(141 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
