Mission 4 – Sécurisation des accès Internet

Publié Par Mehdi dans PPE3

gsb

 

Mission 4 : Sécurisation des accès Internet

Mise en place du filtrage et de l’historisation des accès internet

 

Les contraintes suivantes sont définies par la DSI concernant la sécurisation des accès internet:

 

  • Aucun utilisateur de GSB ne pourra accéder à internet sans se soumettre à l’historisation de sa connexion, ni au filtrage précis des sites auxquels il accède.

 

  • La liste des différents sites WEB qualifiés de non autorisés devra être mise à jour automatiquement et quotidiennement à partir d’une base de données de sites non autorisés disponibles sur Internet.

 

  • Pour l’utilisateur, l’accès à Internet ne devra en aucun cas être différent de sa procédure habituelle. Il s’agit donc de mettre en place une solution qui ne l’oblige pas à configurer quoi que ce soit sur son navigateur WEB habituel. Toutes les solutions techniques permettant d’obliger l’utilisateur à utiliser de manière transparente l’historisation et le filtrage WEB devront être étudiées et comparées.

 

  • Néanmoins, pour accéder à Internet, une authentification sera obligatoire par nom et mot de passe afin d’identifier qui est la source de la connexion Internet, et l’historiser correctement.

 

  • Cependant, les noms et mots de passe de connexion à Internet ne seront pas ceux actuellement stockés dans l’Active Directory de GSB.

 

  • Le serveur mandataire (actuellement en version 2.7) installé sur proxsilab devra impérativement être basculé en version 3.x afin d’anticiper un futur passage des adresses IP internes en IPv6.

 

Rapport de choix de solutions

 

Nous avons déjà sur le site l’application Squid mais malheureusement elle ne propose pas de solution de filtrage. C’est pourquoi nous allons aussi utiliser SquidGuard pour combler cette fonctionnalités.

 

Rapport d’étude préalable présentant pour chaque lot de la solution technique retenue.

 

Squidguard est un outil permettant de filtrer les pages web en se servant des URI (Uniform Resource Identifier) et, éventuellement, des noms d’utilisateurs, si l’on fait de l’authentification de ces derniers.

SquidGuard utilise lors du filtrage des urls regroupées en listes blanches et listes noires. Une liste noire est une liste de sites interdits. On va donc filtrer l’accès à Internet via cette liste noire. Si l’utilisateur essaie de se connecter à l’un des sites contenus dans cette liste , il sera redirigé vers une page choisie.

Une liste blanche permet d’accéder aux adresses qu’elle contient, qui sont considérées comme valide . L’inconvénient de ce genre de filtrage repose sur des défauts dans la mise-à-jour de ces listes , puisque des urls non valides se créent chaque jour ,et que SquidGuard peut difficilement les prendre en compte . De même on peut passer par un proxy HTTP et contourner de ce fait le filtrage mis en place par SquidGuard.

 

Cette solution correspond parfaitement au cahier des charges c’est pourquoi nous allons l’utiliser.

 

Rapport d’étude détaillée présentant la mise en place de la solution technique

 

I ) Mise à jour et modifications du serveur mandataire :

On commence tout d’abord par passer le serveur mandataire en version 3.x à l’aide de la commande : “apt-get install squid3”.

 

Puis on déplace le fichier squid.conf dans squid3

 

Ensuite on commente les lignes qui causes des  “ERROR” lors du redémarage.

Squid3 peut maintenant se lancer sans problèmes.

 

II) Authentification obligatoires :

Pour qu’aucun utilisateur ne puisse se connecter  à internet sans se soumettre à l’historisation de sa connexion on commence par aller dans le fichier :  “squid.conf” puis on y ajoute les lignes ci-dessous pour mettre en place l’authentification des utilisateurs :

 

Par la suite on force les utilisateurs à s’authentifier en ajoutant une acl tout en bas des ACL déjà présente dans squid.conf pour que l’acl s’applique à tout le monde

  • ( Une Access Control List permet de filtrer les paquets IP, c’est à dire les paquets du niveau 3. Elle permet de définir les actions possibles des utilisateurs du réseau. Ainsi, une ACL va indiquer au routeur les paquets qu’il doit accepter et ceux qu’il doit refuser, notamment en fonction de leur adresse IP de provenance, leur IP destination et les ports source et destination ) :

Puis on autorise que les utilisateurs authentifié à passer le proxy :

 

Ensuite on va créer un utilisateurs squid pour qu’il puisse accéder à internet:

On supprime l’ancien squid maintenant que squid3 est fonctionnel avec la commande :

“apt-get remove –purge squid”

III) Filtrages avec squidGuard :

 

Dans squidGuard.conf on indique la base de données avec “dbhome” qui contient les domaines interdit. Dans la partie acl on redirige les utilisateurs qui essaye de se connecter au site interdit sur une page web du serveur intralab.

Dans les fichiers domains et urls on indique les 3 sites que l’on veut bloqué :

On peut tester en allant sur un des sites filtrer, on tombe sur la page suivantes:

 

  1. IV) Historisation des connexions :

 

L’historisation des connexions se fait automatiquement, lorsqu’on installe squid pour les voirs, il faut aller dans le fichier suivant :” /var/log/squid3/acces.log”

 

  1. V) Mise à jour automatique d’une blacklist.

 

La solution a été mit en place à l’aide d’un script mais ne peut être tester suite à des problèmes de bande passante, la mise à jour automatique ne peut pas se faire en journée.

 

  1. VI) Authentification automatique du proxy

 

Ne fonctionne pas.

Publié par Mehdi

Laisser un commentaire