BTS Services Informatiques aux Organisations … SIO 2èmeannée Portefeuille de compétences Lycée...

BTS SIO 2èmeannée Portefeuille de compétences Lycée Louise Michel - Grenoble

BERNARD Sébastien 1 sur 16

BTS Services Informatiques aux Organisations Session 2017

Parcours SLAM

Parcours SISR

Description d'une situation professionnelle

NOM et prénom du candidat : BERNARD Sébastien

Contexte de la situation professionnelle : Comment mettre en place un proxy sur pfSense ?

Intitulé de la situation professionnelle : Mise en place du proxy SQUID et de SQUIDGUARD sur pfSense

Période de réalisation : 2ème année

Réalisation :

Cours de formation PPE Stage

Modalité : Individuelle

En équipe

Situations obligatoires : Productions relatives à la mise en place d’un dispositif de veille technologique et à l’étude d’une technologie, d’un composant, d’un outil ou d’une méthode.

Elaboration de documents relatifs à la production et à la fourniture de services

Compétences : A1.3.4 A2.3.2 A3.1.3 A5.1.1

A5.1.2 A5.1.3 A5.2.4

Conditions de réalisation

Ressources fournies : - Machine virtuelle Window s 7 + Serveur pfSense

Résultats attendus :

- ¨Proxy squid fonctionnelle, mise en place de f iltre avec SquidGuard .

Environnement technologique : Window s, Virtual Box, FreeBSD

Productions associées :



I- Contexte :

Qu’est ce qu’un serveur Proxy ? Les serveurs proxy permettent de sécuriser et d'améliorer l'accès à certaines pages Web en les stockant en cache (ou copie). Ainsi, lorsqu’un navigateur envoie une requête sur la demande d'une page Web qui a été précédemment stockée, la réponse et le temps d'affichage en sont améliorés. L'utilisateur accède plus rapidement au site et ne sature pas le proxy pour sortir. Les serveurs proxy renforcent également la sécurité en filtrant certains contenus Web et les logiciels malveillants.

Filtrage

Le filtrage est appliqué en fonction de la politique de sécurité en place sur le réseau. Ceci permet de bloquer selon une liste noire, les sites considérés comme malveillants et/ou inutiles au contexte de travail de l'entreprise (pornographie ... etc)

Authentification

Afin de limiter l'accès au réseau extérieur, et de renforcer ainsi la sécurité du réseau local, il peut être nécessaire de mettre en place un système d'authentification pour accéder aux ressources extérieures. Ceci est assez dissuasif pour les utilisateurs souhaitant visiter des sites contraires à la charte de leur système d'information. Ils se sentent suivis et restent "sages" dans leurs recherches.

Stockage des Logs

Le stockage, des logs des sites visités et des pages vues, permet à l'administrateur du réseau de redéfinir la politique de sécurité du réseau et/ou d'intervenir auprès d'un utilisateur qui visite fréquemment des sites

malveillants ou sans rapport avec l'activité de l'entreprise.

Squid, c'est quoi ?

Squid est un serveur proxy-cache, c’est à dire, qu’il stocke les données fréquemment consultées sur les pages Web (notamment les images) sur un serveur cache du réseau local pour éviter de les télécharger à

chaque connexion. De même, il peut mettre en mémoire cache les requêtes DNS. Il permet ainsi de réduire et d’optimiser l'usage de la bande passante vers Internet et du réseau en général, d’ouvrir Internet aux

machines situées derrière un pare feu, de restreindre les ressources web utilisables, de contrôler l'utilisation.

Squid et Squidguard (filtre) est disponible sous forme de package sur pfSense .



II- Utilisation : Mise en place de SQUID : - Tous d’abord, il faut installer le package de Squid sur pfsense , pour cela ,cliquez sur l’onglet System ->

Package Manager :



- Puis dans « Available Packages », cherchez Squid cliquez sur « Install » :

- Une fois que l’installation est terminée vous devriez avoir la fenêtre suivante :



- Avant d’utiliser Squid il faut ouvrir le port 3128 (port utilisé par Squid) dans les règles sur pfSense:

- Pour configurer Squid , cliquez sur l’onglet Services -> Squid Proxy Server:



- Une fois sur l’interface de Squid , configurez comme ci-dessous :

- Plus bas cochez la case « Enable Access Logging » :



- Avant d’appliquer la configuration il faut configurer le cache pour cela , cliquez sur l’onglet « Local Cache» , choisissez « Heap LFUDA » dans caches Replacement Policy et laissez le reste par défaut puis cliquez sur « Save » plus bas pour appliquer la configuration :

- Rendez vous maintenant dans le navigateur d’un poste client( ici google chrome ) , puis dans les paramètres cliquez sur « Modifier les paramètres du proxy » :



- Puis cliquez sur « Paramètres réseau » :

- Dans la partie « Serveur proxy », cochez la case « Utiliser un serveur proxy … », puis rentrez l’adresse de

votre serveur proxy ( de votre pfSense) dans mon cas 10.0.0.254 et le port 3128 et cliquez sur « Ok » pour valider :



- Vous pouvez vérifier dans l’onglet « Real Time », l’hôte que vous avez configuré utilise bien le serveur proxy (ici 10.0.0.1 ) :

- Squid intègre le mode proxy transparent , c’est un proxy avec une configuration totalement transparente c’est-à-dire qu’il n’y a pas besoin d’aller sur chaque client et configurer le proxy comme toute à l’heure ,l’objectif est de pouvoir d’intercepter le trafic à l’insu des utilisateurs mais en contrepartie pas d’anonymat car l’adresse ip reste visible . Pour activé le mode transparent , il suffit d’a ller dans l’onglet « General » , puis cochez la case « Transparent HTTP Proxy » et sauvegardez la configuration .



- Désactivez l’utilisation d’un serveur proxy sur votre poste client pour tester le fonctionnement du proxy transparent :

- Vérifiez le fonctionnement en vous rendant sur le site : http://www.monip.org/ , vous pouvez constater qu’il détecte le proxy transparent :

http://www.monip.org/



Mise en place d’un filtrage avec SquidGuard : - SquidGuard est l’outil de filtrage de Squid , pour l’installer , rendez-vous dans « Package Manager » et installez SquidGuard :



- Allez ensuite dans l’onglet « Services » -> « SquidGuard Proxy Filter » :

- Dans l’onglet « General settings », cochez la case « Enable » et cliquez sur « Apply » pour activer

SquidGuard :



- Plus bas , dans « Blacklist URL » rentrez ceci http://squidguard.mesd.k12.or.us/blacklists.tgz , cela va nous permettre de générer une liste de mot-clés pour le filtrage, cliquez ensuite sur « Save » :

- Puis allez dans l’onglet « Blacklist » et cliquez sur « Download » pour télécharger la liste que l’on a spécifié ci-dessus :

http://squidguard.mesd.k12.or.us/blacklists.tgz



- Vous devriez avoir ce message une fois le téléchargement terminé :

- Rendez-vous maintenant dans l’onglet « Common ACL », cliquez sur le « + » pour dérouler la liste , c’est ici que vous pourrez définir le filtrage des différentes catégorie de site , dans mon cas je vais refuser l’accès au site possèdant du contenu adulte et je sauvegarde la configuration en cliquant sur « Save » :



- Testez le bon fonctionnement en allant sur un site à contenu adulte ,vous pouvez constater que l’accès est refusé et donc bloqué par Squid :



III- Conclusion :

Squid sur pfSense est un serveur proxy fonctionnel apportant un contrôle d'accès efficace pour les utilisateurs et assez souple pour pouvoir l'adapter facilement en fonction des besoins puis proposant des fonctionnalités nombreuses et configurables dans leurs moindres détails puis très simple d’utilisation avec l’interface de pfSense.

De plus l’utilisation d’un proxy possède des avantages qui sont nombreux:

le surf anonyme : Ce n’est pas votre adresse qui est vue sur les sites, mais l’adresse du proxy. Vous êtes ainsi « quasiment anonyme » ou « complètement anonyme » (voir un peu plus bas).

la protection de votre ordinateur : Ce n’est pas vous qui êtes en première ligne sur Internet, vous

êtes donc mieux protégé.

le masquage de votre lieu de connexion : Le proxy peut être dans un pays différent du votre. Lorsqu’il se connecte à un site, c’est la géolocalisation du proxy qui est vu, pas la vôtre. Cela peut être utile sur certains sites qui filtrent les connexions suivants les lieux d’où elles proviennent.

le cache

le filtrage : comme toutes les requêtes et les réponses passent par le proxy, il est possible de filtrer

ce que l’on autorise à sortir ou à entrer, c’est le cas dans de nombreuses entreprises

BTS Services Informatiques aux Organisations … SIO 2èmeannée Portefeuille de compétences Lycée...

Documents

Transcript of BTS Services Informatiques aux Organisations … SIO 2èmeannée Portefeuille de compétences Lycée...