SOLUTION OLFEO V6

SOLUTION OLFEO V6.2Guide d'exploitation

Informations légales

Solution Olfeo v6.2 - Guide d'exploitation | 2

INFORMATIONS LÉGALES

Copyright

© Copyright 2018 Olfeo. Tous droits réservés. Cette documentation ne peut être utilisée que dans le cadre d'un contrat delicence logiciel avec la société Olfeo.

Aucune partie de cette publication ne doit être reproduite, transmise, transcrite, conservée dans un système d'archivage ouconvertie en un quelconque langage machine, sous quelque forme ou quelque moyen que ce soit sans autorisation écriteantérieure d'Olfeo. Olfeo vous accorde des droits limités vous autorisant à imprimer ou à effectuer d'autres reproductions detoute documentation informatique pour votre propre utilisation, dans la mesure où ces reproductions comportent la mentionde copyright d'Olfeo. Nul autre droit sous copyright n'est accordé sans autorisation écrite antérieure d'Olfeo.

Les sujets traités dans cette documentation sont sujets au changement sans avertissement préalable.

Marques déposées

Olfeo est une marque déposée internationalement par la société Olfeo.

Ce document contient des noms, des logos, des composants logiciels ou matériels qui sont la propriété d'éditeurs ou defabricants tiers :• JavaScript et son logo sont des marques déposées de Oracle Corporation.• SSH est une marque déposée de Communications Security Corp CORPORATION FINLAND.• Linux est une marque déposée de Linus Torvalds.• Windows Media Player, Microsoft, Windows, Active Directory, Hyper-V, Internet Explorer et leurs logos respectifs sont

des marques déposées de Microsoft Corporation.• Check Point, FireWall-1, SmartDashboard, SmartCenter, OPSEC et leurs logos respectifs sont des marques déposées ou

des marques commerciales de Check Point Software Technologies Limited.• eDirectory est une marque commerciale de Novell, Inc.• OpenLDAP est une marque commerciale de OpenLDAP Foundation.• ClamAV est une marque déposée de Sourcefire, Inc.• Websense est une marque déposée de Websense, Inc.• WISP est le protocole développé par la société Websense, Inc.• Cisco, Pix, ASA sont des marques commerciales ou des marques déposées de Cisco Technology, Inc.• Firefox est une marque déposée de la Fondation Mozilla.• HTML, XML, XHTML et W3C sont des marques commerciales ou des marques déposées de W3C, World Wide Web

Consortium, Massachusetts Institute of Technology.• Squid est le logiciel proxy distribué selon les termes de la licence GPL (GNU General Public License).• ICAP est le protocole documenté dans la RFC 3507.

Tous les autres noms de marque mentionnés dans ce manuel ou dans toute autre documentation fournie avec les produitsOlfeo sont des marques commerciales ou des marques déposées de leurs propriétaires respectifs.


SOMMAIRE

Configuration de base et mise à jour......................................................................8Se connecter à l'interface d'administration................................................................................................................................. 9Voir votre version d'Olfeo.............................................................................................................................................................9Voir vos licences actives et les renouveler..................................................................................................................................9Changer de licence........................................................................................................................................................................10Mises à jour.................................................................................................................................................................................... 10

Mettre à jour la solution Olfeo.................................................................................................................................... 10Mettre à jour la base d'URLs Olfeo............................................................................................................................ 10

Gérer les remontées d'information vers Olfeo....................................................................................................................... 11Modifier la configuration de la machine Olfeo.......................................................................................................................11

Utiliser un proxy HTTP pour les mises à jour Olfeo.............................................................................................. 11Configurer l'envoi d'e-mails........................................................................................................................................... 12Définir le ou les serveurs DNS à utiliser................................................................................................................... 13Tester la configuration réseau....................................................................................................................................... 13Renommer une machine Olfeo.................................................................................................................................... 14Passer l'interface d'administration en HTTPS............................................................................................................15Gestion du temps dans Olfeo...................................................................................................................................... 15

Documentation et version du produit...................................................................................................................................... 17Contacts...........................................................................................................................................................................................17

Gérer les administrateurs de la solution................................................................19Créer un administrateur............................................................................................................................................................... 20Droits des administrateurs...........................................................................................................................................................20

Attribuer des droits sur les populations et sur l'interface........................................................................................ 20Droits sur les objets créés par les autres administrateurs........................................................................................ 21

Gérer vos utilisateurs............................................................................................. 24Types d'utilisateurs........................................................................................................................................................................ 25Comprendre la liste des utilisateurs, groupes et UO..............................................................................................................25Rechercher un utilisateur............................................................................................................................................................. 27Créer des utilisateurs.....................................................................................................................................................................27

Synchroniser des annuaires............................................................................................................................................27Créer des utilisateurs automatiquement...................................................................................................................... 33Créer un utilisateur manuellement............................................................................................................................... 34

Paramétrer UOs, groupes et utilisateurs................................................................................................................................... 34Supprimer un utilisateur, groupe ou UO................................................................................................................................. 37

Authentification et identification...........................................................................38Identification et authentification : définitions..........................................................................................................................39Choix de la méthode d'authentification/identification...........................................................................................................39

Critères de choix..............................................................................................................................................................39Authentification et type d'intégration.......................................................................................................................... 42Populations et méthodes d'authentification multiples.............................................................................................. 44

Identification, gérée par le moteur de filtrage......................................................................................................................... 45Portail captif..................................................................................................................................................................... 45Mécanisme SSO Novell..................................................................................................................................................47

Authentification auprès du proxy HTTP..................................................................................................................................48Authentification NTLM................................................................................................................................................. 49Authentification Kerberos AD..................................................................................................................................... 51Authentification Kerberos natif.................................................................................................................................... 53


Authentification LDAP basique....................................................................................................................................54Créer une zone d'authentification.............................................................................................................................................. 55Stocker les correspondances identifiant/adresse IP............................................................................................................... 56

Configurer le proxy HTTP....................................................................................58Configurer le proxy HTTP..........................................................................................................................................................59Gérer le chaînage de proxys....................................................................................................................................................... 61Configurer l'authentification........................................................................................................................................................62Gérer le FTP sur HTTP..............................................................................................................................................................62Gérer les flux HTTPS..................................................................................................................................................................63

Activer le déchiffrement SSL........................................................................................................................................ 63Gérer le niveau de sécurité lors des échanges SSL................................................................................................... 65Gérer le déchiffrement et les erreurs.......................................................................................................................... 65Requêtes HTTP/HTTPS............................................................................................................................................... 67

Configurer le cache du proxy HTTP........................................................................................................................................ 68Ajouter des règles de mise en cache............................................................................................................................69Configurer la durée de vie en cache............................................................................................................................71

Consulter les statistiques du cache.............................................................................................................................................72

Règles et politiques................................................................................................74Moteur de règles............................................................................................................................................................................75

Onglets du moteur de règles.........................................................................................................................................75Politiques utilisateur...................................................................................................................................................................... 76

Politiques par défaut....................................................................................................................................................... 78Créer une règle.............................................................................................................................................................................. 78Traitement des règles et politiques par le moteur...................................................................................................................80Créer une définition de plage horaire....................................................................................................................................... 81

Faire du filtrage d'URL......................................................................................... 82Catégories et listes d'URLs..........................................................................................................................................................83

Thèmes et catégories...................................................................................................................................................... 83Listes.................................................................................................................................................................................. 85

Gérer les politiques de filtrage................................................................................................................................................... 87Créer une politique de filtrage d'URLs....................................................................................................................... 87Appliquer une politique de filtrage d'URLs............................................................................................................... 88Permettre aux utilisateurs d'outrepasser un blocage................................................................................................. 89Fixer des quotas...............................................................................................................................................................90

Réécrire des URLs........................................................................................................................................................................ 92Faire une simulation de filtrage (mode audit)..........................................................................................................................93Gérer les requêtes vers des adresses IP....................................................................................................................................94

Faire de l'analyse de contenu................................................................................95Analyse des contenus à partir de leur aperçu..........................................................................................................................96Analyse des contenus reçus.........................................................................................................................................................97Gestion de la taille des fichiers reçus........................................................................................................................................97

Gérer le débit (bande passante)............................................................................ 99Limiter le débit (QoS)................................................................................................................................................................100

Faire du filtrage applicatif....................................................................................103Activer le filtrage applicatif....................................................................................................................................................... 105Liste des protocoles....................................................................................................................................................................105Créer une politique protocolaire.............................................................................................................................................. 105Appliquer une politique de filtrage applicatif........................................................................................................................ 106


Utiliser l'antivirus................................................................................................. 108Paramétrer l'antivirus.................................................................................................................................................................. 109Activer l'antivirus.........................................................................................................................................................................110Voir les menaces détectées........................................................................................................................................................111

Gérer des portails publics.................................................................................... 113Créer une définition de portail public.................................................................................................................................... 115Tickets et types de tickets......................................................................................................................................................... 116

Créer un type de ticket.................................................................................................................................................117Ajouter un opérateur à un portail public............................................................................................................................... 118Personnaliser les pages envoyées aux utilisateurs..................................................................................................................119

Personnaliser ou traduire les libellés (portail public).............................................................................................. 119Personnaliser les pages (portail public)..................................................................................................................... 121

Configurer l'envoi de tickets par SMS.................................................................................................................................... 123Envoyer un SMS de test.............................................................................................................................................. 124

Mettre en place un portail public............................................................................................................................................ 124Utiliser le portail opérateur....................................................................................................................................................... 125

Créer un ticket pour un utilisateur.............................................................................................................................126Voir la liste des comptes et tickets............................................................................................................................ 126Modifier les informations d'un compte existant..................................................................................................... 127Désactiver un ticket...................................................................................................................................................... 127

Exploiter les statistiques...................................................................................... 128Accéder à l'interface des statistiques....................................................................................................................................... 129Comprendre les données présentées dans les statistiques................................................................................................... 129

Axes disponibles dans les statistiques........................................................................................................................130Mesures............................................................................................................................................................................132

Construire un graphique............................................................................................................................................................133Exporter une analyse au format CSV.....................................................................................................................................134Filtrer les données.......................................................................................................................................................................135Top n : limiter le nombre d'items........................................................................................................................................... 136Enregistrer une analyse.............................................................................................................................................................. 138Supprimer une analyse............................................................................................................................................................... 140Diffuser les analyses................................................................................................................................................................... 140

Communiquer avec vos utilisateurs..................................................................... 142Personnaliser les pages envoyées à l'utilisateur......................................................................................................................143

Personnaliser ou traduire les libellés..........................................................................................................................143Personnaliser les pages................................................................................................................................................. 148Servir les pages de blocage......................................................................................................................................... 149

Proxys non HTTP................................................................................................ 152Proxy FTP.................................................................................................................................................................................... 153

Configurer le proxy FTP............................................................................................................................................. 153Configurer une authentification pour le proxy FTP...............................................................................................153

Proxy TCP.................................................................................................................................................................................... 154Créer une définition de proxy TCP...........................................................................................................................155

Proxy RTSP..................................................................................................................................................................................155Configurer le proxy RTSP...........................................................................................................................................156

Proxy SOCKS.............................................................................................................................................................................. 156Configurer le proxy SOCKS....................................................................................................................................... 156Configurer une authentification pour le proxy SOCKS.........................................................................................157


Gérer des chartes internet....................................................................................158Créer une page de validation de charte internet................................................................................................................... 159Mettre en place une charte internet........................................................................................................................................ 159Voir l'historique de validation d'une charte............................................................................................................................160

Fournir des logs juridiques.................................................................................. 161Extraire des données d'historique au format CSV............................................................................................................... 162Extraire des données d'historique au format NCSA............................................................................................................166

Superviser votre Olfeo.......................................................................................... 167Journal d'évènements..................................................................................................................................................................168Envoyer les notifications vers un serveur syslog.................................................................................................................. 168Voir l'état de la machine............................................................................................................................................................169Superviser Olfeo via un outil SNMP......................................................................................................................................170Tâches planifiées..........................................................................................................................................................................170Arrêter ou démarrer un service............................................................................................................................................... 171Voir le trafic réseau en temps réel...........................................................................................................................................172

Sauvegarder votre configuration.......................................................................... 176Restaurer une sauvegarde.......................................................................................................................................................... 177

Intégrer l'Olfeo à votre architecture.................................................................... 178Critères de choix......................................................................................................................................................................... 179Positionner l'Olfeo dans l'infrastructure................................................................................................................................. 181Types d'intégration et fonctionnalités compatibles...............................................................................................................182Intégration proxy.........................................................................................................................................................................182

Intégration proxy explicite...........................................................................................................................................182Intégration proxy en interception.............................................................................................................................. 185

Intégration couplage/connecteur............................................................................................................................................. 186Créer un connecteur de couplage.............................................................................................................................. 188Options des connecteurs ICAP..................................................................................................................................189Couplage avec un proxy Squid externe.....................................................................................................................194

Intégrations réseau...................................................................................................................................................................... 195Intégration coupure.......................................................................................................................................................196Intégration en miroir de port..................................................................................................................................... 197Créer un connecteur de capture.................................................................................................................................199

Liste des connecteurs................................................................................................................................................................. 201Diriger le trafic vers l'Olfeo......................................................................................................................................................201Résolution DNS.......................................................................................................................................................................... 201

Gérer un domaine Olfeo...................................................................................... 203Déclarer des esclaves dans un domaine..................................................................................................................................206Éléments configurables des machines esclaves..................................................................................................................... 207Déclarer un maître de secours dans un domaine................................................................................................................. 207Supprimer une machine du domaine...................................................................................................................................... 209

Spécificités des Olfeo box.................................................................................... 211Se connecter à une Olfeo box................................................................................................................................................. 212Configurer les interfaces d'une Olfeo box............................................................................................................................. 212Configurer les bridges d'une Olfeo box................................................................................................................................. 213Arrêter ou redémarrer une Olfeo box....................................................................................................................................214


Support technique Olfeo...................................................................................... 215Ouvrir un tunnel support..........................................................................................................................................................216

Référence.............................................................................................................. 217ICAP.............................................................................................................................................................................................. 218Structure d'une URL.................................................................................................................................................................. 223

Configuration de base et mise à jour


CONFIGURATION DE BASE ET MISE À JOUR

Dans ce chapitre :

• Se connecter à l'interface d'administration• Voir votre version d'Olfeo• Voir vos licences actives et les renouveler• Changer de licence• Mises à jour• Gérer les remontées d'information vers Olfeo• Modifier la configuration de la machine Olfeo• Documentation et version du produit• Contacts



Se connecter à l'interface d'administration

L'interface d'administration est disponible aux adresses suivantes (différentes suivant que l'interface est en HTTP ou HTTPS) :

HTTP HTTPS

Interfaced'administration

http://{adresse IP de

l'Olfeo}:8081

https://{adresse IP de

l'Olfeo}:8443

Portail opérateur http://{adresse IP de

l'Olfeo}:8082


l'Olfeo}:8444

Portsupplémentaire

http://{adresse IP de

l'Olfeo}:8083


l'Olfeo}:8445

Voir votre version d'Olfeo

La version d'Olfeo installée sur votre machine est indiquée aux endroits suivants :• En bas à droite de l'interface d'administration• À la page Paramétrage > Mise à jour > Logiciel, dans la section Informations sur le paquet Olfeo.

Voir aussi...Mettre à jour la solution Olfeo à la page 10

Voir vos licences actives et les renouvelerPour voir les licences actuellement actives sur votre Olfeo, rendez-vous à la page Paramétrage > Mise à jour > Abonnement.

À cette page, vous pouvez faire une demande de renouvellement de licences.

Section : Logiciel

1. Cliquez sur l'un des liens Renouveler de la colonne Action.

2. Remplissez l'e-mail à destination du service relation client Olfeo en saisissant votre besoin :

Dans le cas d'un renouvellement concernant un composant logiciel :

Nom du client:Noms des composants souhaités dans la licence:Date de début souhaitée:Date de fin souhaitée:Nombre de licences souhaitées:Nombre total d'utilisateurs:

Dans le cas d'un renouvellement concernant le support éditeur :

Date de début souhaitée:Date de fin souhaitée:Nombre de licences dont vous disposez:

Dans le cas d'une garantie :

Date de début souhaitée:Date de fin souhaitée:



Modèle de l'Olfeo Box:Éventuellement numéro de série:

Changer de licenceSi vous avez changé d'identifiant (par exemple parce que le nom de votre organisation a changé), vous devez entrer votrenouvel identifiant dans la solution Olfeo.

1. Rendez-vous à la page Paramétrage > Mise à jour > Identifiants.

2. Dans les champs Identifiant et Mot de passe rentrez les identifiants qui vous ont été fournis par Olfeo.

3. Cliquez sur le bouton Valider.

4. Pour activer les licences correspondant à ces identifiants, rendez-vous à la page Paramétrage > Mise à jour >Abonnement et cliquez sur Mettre à jour la licence.

Mises à jour

Mettre à jour la solution OlfeoAvant de mettre à jour votre Olfeo, il est conseillé de sauvegarder votre configuration. Si votre Olfeo est installé sur une VM,vous pouvez prendre un snapshot de la VM.

L'Olfeo vérifie chaque jour à minuit si une mise à jour est disponible (tâche apt_update_cron), mais n'installe pasautomatiquement les mises à jour. Pour vérifier manuellement la disponibilité d'une mise à jour, à la page Paramétrage >Mise à jour > Logiciel, cliquez sur Rafraîchir.

Dans un domaine Olfeo, la machine maître doit être mise à jour avant les machines esclaves.

Mettre à jour l'Olfeo

1. Rendez-vous à la page Paramétrage > Mise à jour > Logiciel.

2. Cliquez sur le bouton Installer. Un écran d'attente s'affiche jusqu'à ce que la mise à jour soit terminée. Une fois la miseà jour effectuée, la page de connexion apparaît.

3. Connectez-vous, puis vérifiez que l'interface d'administration affiche le nouveau numéro de version.

Mettre à jour la base d'URLs Olfeo

L'Olfeo met à jour sa base d'URLs automatiquement (tâches dbsynchro) :• Toutes les 15 minutes : ces mises à jour incrémentales téléchargent les modifications apportées à la base depuis minuit. Si

la mise à jour échoue plusieurs fois de suite, une mise à jour complète est lancée automatiquement.• Chaque jour à l'heure spécifiée dans le champ Utiliser la synchronisation automatique : il s'agit de toutes les

modifications apportées à la base depuis les 7 derniers jours.

Vous pouvez également mettre à jour la base manuellement.

Paramétrage

L'heure de dernière mise à jour de la base est indiquée en UTC.

1. Rendez-vous à la page Paramétrage > Mise à jour > Base de données.



2. Cliquez sur le lien Olfeo - URL base dans la colonne Libellé. La page de mise à jour de la base d'URLs s'ouvre.

Faire une mise à jour manuelle • Pour télécharger entièrement la dernière version de la base d'URLs, cliquezsur Mise à jour complète.

• Pour ne télécharger que les modifications réalisées depuis minuit, cliquezsur Mise à jour incrémentale.

La mise à jour se déroulera alors en tâche de fond. Une fois la mise à jourterminée, le champ Version de la base se met à jour.

Changer l'heure de la mise à jourquotidienne (mises à jour de ladernière semaine)

Dans le champ Utiliser la synchronisation automatique, saisissez l'heurevoulue.

Si la case est décochée, plus aucune mise à jour automatique de la base d'URLsn'est faite.

Activer/désactiver la transmissiondes URLs inconnues à Olfeo

Utilisez la case Autoriser la remontée d'information vers Olfeo.

Gérer les remontées d'information vers Olfeo

Afin de nous aider à améliorer notre qualité de service, vous pouvez activer l'envoi automatique d'informations vers les équipesOlfeo. Ces informations sont les suivantes :

• les URLs inconnues : le domaine, le nombre de hits sur ce domaine, ainsi que 5 URLs d'exemple. Ces informations sontanonymes : aucune information concernant l'utilisateur ayant consulté ce site n'est incluse.

• le nombre total de hits• la version logicielle de l'Olfeo• le nombre d'utilisateurs filtrés sur les 30 derniers jours glissants (cela n'inclut pas les utilisateurs de portails publics)• le nombre d'UOs, de groupes et d'utilisateurs présents dans la liste des utilisateurs (onglets Annuaires et Portails publics,

tous types d'utilisateurs confondus).

L'envoi de données se fait chaque jour à 1h du matin (tâche upload_feedback_files).

Tous les serveurs de la société Olfeo sont basés en France. À ce titre nos clients bénéficient de toutes les lois françaises surla protection des données, qui sont très sécurisantes.

Activer/désactiver l'envoi d'informations

1. À la page Paramétrage > Mise à jour > Base de données, cliquez sur la base de données Olfeo (Olfeo - URL base).L'écran de synchronisation de la base s'ouvre.

2. Dans la section Paramétrage, cochez ou décochez Autoriser la remontée d'information vers Olfeo.

Modifier la configuration de la machine Olfeo

Utiliser un proxy HTTP pour les mises à jour Olfeo

Le proxy HTTP à utiliser pour router les mises à jour de la solution Olfeo (mise à jour logicielle, mises à jour de la based'URLs et de la base antivirus, remontées d'URLs inconnues) est paramétré lors de l'installation. Pour le modifier, allez à lapage Paramétrage > Réseau > HTTP.

Seules les mises à jour de l'Olfeo passeront par ce proxy (le trafic des utilisateurs n'est pas concerné).



Définir le proxy pour les mises à jour

1. À la page Paramétrage > Réseau > HTTP, cochez Utiliser un proxy.

2. Dans le champ Serveur, saisissez l'adresse IP du proxy désiré.

3. Dans le champ Port, saisissez le port TCP du proxy sur lequel l'Olfeo se connectera.

4. Si votre proxy est paramétré pour demander une authentification, cochez S'authentifier, puis entrez l'identifiant et le motde passe du compte à utiliser pour l'authentification auprès du proxy.

5. Cliquez sur Valider pour enregistrer les changements.

Configurer l'envoi d'e-mailsIl est nécessaire de définir un serveur SMTP pour que la solution puisse envoyer des e-mails aux administrateurs (notificationssystème, alertes antivirus...), ou envoyer des tickets aux utilisateurs des portails publics.

Configurer un serveur SMTP

1. À la page Paramétrage > Réseau > STMP, entrez le FQDN du serveur SMTP ou son adresse IP dans le champ Nomdu serveur.

2. Dans le champ Port, entrez le port TCP du serveur SMTP auquel l'Olfeo se connectera.

3. Saisissez l'adresse e-mail que la solution Olfeo utilisera en tant qu'expéditeur dans le champ Expéditeur. Cette adressesera la même pour tous les e-mails envoyés par la solution.

4. Si le serveur SMTP demande une authentification, cochez S'authentifier et entrez les identifiants du compte à utiliser.


Vous pouvez tester que le serveur SMTP peut envoyer des e-mails à la page Paramétrage > Réseau > Tests.



Définir le ou les serveurs DNS à utiliser

L'Olfeo fait appel à un serveur DNS dans les cas suivants : pour télécharger les mises à jour de la base ou de la solution, pourtraiter toutes les requêtes reçues par l'Olfeo en intégration proxy explicite, pour traiter les expressions régulières dans les règlesd'authentification auprès du proxy HTTP, et lorsque la résolution DNS inverse est activée.

Le serveur DNS utilisé par votre Olfeo peut dépendre de votre annuaire ou être défini à la page Paramétrage > Réseau >DNS :

Votre Olfeo est synchronisé avec unannuaire Active Directory

Vous pouvez :• utiliser le serveur DNS de l'annuaire : dans la page de paramétrage de l'annuaire,

si vous ne cochez pas la case Utiliser un serveur DNS distinct, lors de lajonction au domaine Windows, l'adresse de l'annuaire Active Directory seraautomatiquement copiée à la page DNS.

• utiliser un autre serveur DNS : dans la page de paramétrage de l'annuaire,cochez la case Utiliser un serveur DNS distinct. Lors de la jonction audomaine Windows, l'adresse de l'annuaire ne sera pas copiée à la page DNS.

AvertissementAttention, si vous renseignez un serveur DNS autre que celui de l'AD àla page DNS après avoir joint l'Olfeo au domaine Windows, n'oubliezpas de cocher la case Utiliser un serveur DNS distinct dans la pagede paramétrage de l'annuaire. Si vous ne cochez pas la case et que vousjoignez à nouveau le domaine Windows (par exemple en cas de miseà jour), l'adresse de l'annuaire écrasera l'adresse de votre serveur à lapage DNS.

Votre Olfeo est synchronisé avec unannuaire autre qu'Active Directory

Il n'est pas possible d'utiliser un serveur DNS propre à l'annuaire. Utilisez la pageDNS pour vous synchroniser avec le serveur DNS de votre choix. La case Utiliserun serveur DNS distinct dans la page de paramétrage de l'annuaire n'a aucuneffet.

Définir le serveur DNS à utiliser

1. Rendez-vous à la page Paramétrage > Réseau > DNS.

2. Saisissez les adresses IP de vos serveurs DNS par ordre de priorité dans le champ Serveurs DNS, séparés par des virgules.Olfeo tentera de se connecter au premier serveur, et si cette connexion échoue, il tentera de se connecter au suivant. Sivous avez renseigné 2 annuaires AD au sein d'une même définition d'annuaire, afin d'assurer la disponibilité, et que voussouhaitez utilisez les serveurs DNS des AD, saisissez les DNS dans le bon ordre : voir Haute disponibilité annuaires ADet DNS à la page 31.

3. Saisissez la Liste de recherche à utiliser pour la résolution des noms courts.


Vous pouvez tester que les serveurs DNS sont accessibles et répondent à la page Paramétrage > Réseau > Tests.Voir aussi...Résolution DNS à la page 201

Tester la configuration réseau

Pour tester la configuration réseau de votre Olfeo :

1. Rendez-vous à la page Paramétrage > Réseau > Tests.



2. Entrez la valeur désirée dans la colonne Paramétrage puis cliquez sur le lien Lancer le test.

Nom But du test Paramètre à saisir

Ping Vérifier que la destination saisie est atteignable depuis l'Olfeo. Adresse IP ou nom d'un serveur àpinguer

DNS Vérifier que les serveurs DNS définis à la page Paramétrage >Réseau > DNS sont accessibles et répondent.

FQDN à résoudre

HTTP Vérifier que l'Olfeo peut accéder à un site. Cela permetnotamment de vérifier que le pare-feu ne bloque pas la requête.

URL à tester

E-mail Vérifier que l'Olfeo peut envoyer des e-mails. Adresse e-mail à laquelle envoyer un e-mail de test

Le résultat du test s'affiche dans la colonne Résultat : une infobulle sur le résultat donne des informations complémentaires.

Renommer une machine Olfeo

Le nommage d'une machine doit normalement être fait lors de son installation.

Lors de l'installation de plusieurs machines Olfeo, il est nécessaire de leur donner des noms différents.

Changer le nom de votre Olfeo se fait différemment suivant le type d'installation.

Olfeo Box

Pour une Olfeo box, vous pouvez modifier le nom de la machine via l'interface d'administration, à la page Paramétrage >Réseau > Serveur.

Logiciel

Dans le cas d'une installation logicielle, le nom indiqué à la page Paramétrage > Réseau > Serveur est le hostname de lamachine hébergeant la solution Olfeo.

Pour changer le nom de la machine hôte :

1. Connectez-vous en ligne de commande sur votre machine. N'exécutez pas la commande chroot.

2. Éditez les fichiers de configuration suivants et remplacez toutes les occurrences du nom de la machine par son nouveaunom.• /etc/hostname

• /etc/hosts

3. Exécutez la commande suivante pour appliquer la modification du nom de la machine :

hostname nouveau_nom_de_la_machine

4. Renommez la machine à l'intérieur du chroot.



Passer l'interface d'administration en HTTPS

Ce paramétrage s'applique à l'interface d'administration et au portail opérateur. Attention, il modifie le numéro de port surlequel les interfaces sont accessibles.

Passer les interfaces Olfeo en HTTPS

Rendez-vous à la page Paramétrage > Système > Console.

• Recommandé : pour utiliser un autre certificat que celui fourni par défaut par la solution Olfeo, sélectionnez votre certificatserveur et votre clé SSL dans les champs correspondants, puis cliquez sur le bouton Valider en haut de la page. Le certificatdoit être au format ASCII (.pem, .cer, .crt).

• Non recommandé : pour basculer l'interface en HTTPS en utilisant le certificat autosigné pré-généré de la solution Olfeo,cliquez sur le bouton Passer en mode HTTPS avec le certificat par défaut.

Si vous souhaitez revenir en HTTP, cliquez sur le bouton Passer en mode HTTP normal.

Gestion du temps dans Olfeo

Vous constaterez un décalage de 1 à 2 heures (en fonction de l'heure d'été ou de l'heure d'hiver) entre l'heure utilisée par lasolution Olfeo et l'heure locale. Ceci est normal! Pour offrir à nos clients une gestion locale des objets Olfeo (plages horaires,analyses, etc...) la solution Olfeo doit utiliser l'heure internationale UTC. Seule la page du trafic temps réel utilise le fuseauhoraire par défaut de l'Olfeo défini dans l'assistant de configuration.

Ne modifiez pas manuellement l'heure de la solution Olfeo à l'heure de "Paris" : dans ce cas, si vous définissez une règle surune plage horaire 9h-18h, la règle serait en réalité appliquée sur une plage 11h-20h.

Pour éviter les dérives de temps, connectez votre Olfeo à un serveur NTP.



Connecter votre Olfeo à un serveur NTP

Pour éviter les dérives de temps, connectez votre Olfeo à un serveur NTP. La synchronisation NTP est obligatoire pour garantirun horodatage fiable dans les logs.

Pour qu'une authentification forte (NTLM ou Kerberos) fonctionne, l'Olfeo doit être synchronisé avec le serveur NTP interneà l'AD ou avec le même serveur NTP que l'AD.

L'heure de votre Olfeo peut dépendre de votre annuaire, d'un serveur NTP défini à la page Paramétrage > Système > Dateou de la machine hôte de l'Olfeo.

Votre Olfeo est synchronisé avec unannuaire Active Directory

Vous pouvez :• utiliser le serveur NTP interne à l'annuaire : dans la page de paramétrage de

l'annuaire, si vous ne cochez pas la case Utiliser un serveur NTP distinct, lorsde la jonction au domaine Windows, l'adresse de l'annuaire Active Directorysera automatiquement copiée à la page Date et votre Olfeo se synchroniseraavec l'heure de l'annuaire.

• utiliser un autre serveur NTP : dans la page de paramétrage de l'annuaire, cochezla case Utiliser un serveur NTP distinct. Lors de la jonction au domaineWindows, l'adresse de l'annuaire ne sera pas copiée à la page Date.

AvertissementAttention, si vous renseignez un serveur NTP autre que celui de l'AD àla page Date après avoir joint l'Olfeo au domaine Windows, n'oubliezpas de cocher la case Utiliser un serveur NTP distinct dans la pagede paramétrage de l'annuaire. Si vous ne cochez pas la case et que vousjoignez à nouveau le domaine Windows (par exemple en cas de miseà jour), l'adresse de l'annuaire écrasera l'adresse de votre serveur à lapage Date.

Votre Olfeo est synchronisé avec unannuaire autre qu'Active Directory

Il n'est pas possible d'utiliser un serveur NTP propre à l'annuaire. Utilisez la pageDate pour vous synchroniser avec le serveur NTP de votre choix. La case Utiliserun serveur NTP distinct dans la page de paramétrage de l'annuaire n'a aucuneffet.

Aucune synchronisation NTP n'estfaite via un annuaire et aucun serveurn'est renseigné à la page Date (àproscrire)

L'Olfeo utilisera l'heure de la machine hôte. Dans ce cas, les heures indiquées dansles logs ne sont pas fiables.

Se synchroniser avec un serveur NTP

1. Rendez-vous à la page Paramétrage > Système > Date.

2. Cochez la case Activer la synchronisation d'horloge.

3. Dans le champ Serveurs NTP, saisissez les adresses IP ou les FQDNs des serveurs NTP avec lesquels l'Olfeo sesynchronisera. Séparez les valeurs par des virgules.Olfeo tentera de se connecter au premier serveur, et si cette connexion échoue, il tentera de se connecter au suivant.

4. Cliquez sur le bouton Valider pour enregistrer les changements.



Documentation et version du produit

Certaines fonctionnalités décrites dans cette documentation peuvent ne pas être accessibles dans votre version d'Olfeo :• Si vous n'avez pas la licence correspondant à l'un des modules.• Si vous n'avez pas les droits d'accès à certaines zones de l'interface.• Sur une machine esclave d'un domaine Olfeo.

En fonction des licences actives et de vos droits, certaines des icônes correspondant aux modules Olfeo peuvent être différentesou ne pas apparaître.

Illustration 1: Icônes montrant tous les modules activés

Contacts

Siège social

Olfeo4 rue de Ventadour75001 ParisFrance



Services

Support technique +33 (0)1 78 09 68 01

[email protected]

Le support technique d'Olfeo estdédié :• Aux clients ayant souscrit le

support direct éditeur.

Pour voir si vous bénéficiezactuellement du support direct,rendez-vous à la pageParamétrage > Mise à jour >Abonnement, section Supportdirect Olfeo.

• Aux ingénieurs techniques denos partenaires ayant suivi lacertification technique Olfeo etayant souscrit à l'assistancepartenaire Olfeo.

Olfeo Connect [email protected] Retour sur utilisation du produit Olfeoet partage de demandes de nouvellesfonctionnalités.

Service relation client +33 (0)1 78 09 68 07

[email protected]

Pour toute demande de test, dedémonstration, de devis, d'audit detrafic, de prestation sur mesure, etc.

Service classification d’URL [email protected] Demandes de reclassement d'URL.

Service documentation [email protected] Envoyer des commentaires ou desdemandes de correction concernant ladocumentation technique Olfeo.

Service conseil et formation [email protected]

[email protected]

Envoyer des commentaires ou desdemandes concernant le serviceconseil et formation Olfeo.

mailto:[email protected]

http://www.olfeo.com/produits-et-services/services/le-support-olfeo








GÉRER LES ADMINISTRATEURS DE LA SOLUTION

Dans la solution Olfeo, les administrateurs sont hiérarchisés selon l'administrateur à l'origine de leur création. Dansl'illustration ci-dessous :• L'administrateur général dispose de tous les droits. Il a été créé lors de l'installation de l'Olfeo.• L'administrateur admin1a et admin1b ont été créés par l'administrateur admin1 qui lui-même a été créé par

l'administrateur admin général.• L'administrateur admin2a et admin2b ont été créés par l'administrateur admin2 qui lui-même a été créé par

l'administrateur admin général.

Pour pouvoir créer un administrateur, vous devez disposer du droit Administration.

admin1a admin1b admin2b

admin général

admin2admin1

admin2a

Illustration 2: Exemple de hiérarchie d'administrateurs

Danger

• Ne jamais supprimer l'administrateur général car il est à l'origine de l'ensemble de la hiérarchie.• Ne jamais supprimer un administrateur nœud dans une hiérarchie. Une fois celui-ci supprimé, ses

administrateurs fils deviennent orphelins et ne peuvent plus être rattachés à la hiérarchie principale.

Dans ce chapitre :

• Créer un administrateur• Droits des administrateurs

Gérer les administrateurs de la solution


Créer un administrateur

Pour pouvoir créer un administrateur, vous devez disposer du droit Administration.

Il n'est pas nécessaire que les administrateurs existent dans l'un des annuaires avec lesquels votre Olfeo est synchronisé. Siun administrateur existe également dans un annuaire, son compte administrateur Olfeo n'a aucun lien avec son compte dansl'annuaire.

Créer un administrateur

1. À la page Paramétrage > Administrateurs > Administrateurs, cliquez sur le lien Ajouter un administrateur. L'écrande création d'administrateur s'ouvre.

2. Entrez les informations désirées :• Identifiant : attention, une fois créé, l'identifiant n'est plus modifiable.• Langue : langue dans laquelle l'interface s'affichera pour cet administrateur s'il se connecte avec la langue Défaut. La

langue Défaut dans l'écran de connexion correspond à la dernière langue sélectionnée par l'administrateur : la valeurde ce champ se met automatiquement à jour si l'utilisateur choisit une autre langue au moment de la connexion.

• Page par défaut : la page qui s'affichera lorsque l'administrateur se connectera à l'interface d'administration. Assurez-vous par la suite de donner à cet utilisateur un droit d'accès à cette page.

• Mode de partage des objets : cochez cette case si vous souhaitez que l'administrateur ait accès aux objets créés par lesautres administrateurs que vous avez vous-même créés (c'est-à-dire ses administrateurs "frères"). Voir une explicationplus complète à la page Droits sur les objets créés par les autres administrateurs à la page 21.

3. Dans le tableau en bas de la page, attribuez des droits à l'administrateur : définissez à quelles sections de l'interface celui-ciaura accès, quels utilisateurs, groupes ou UOs il pourra voir, et s'il pourra créer d'autres administrateurs.

4. Cliquez sur le bouton Valider. Le nouvel administrateur apparaît dans la liste des administrateurs.

Droits des administrateurs

Les administrateurs ont plusieurs types de droits, définis de manières différentes :

• Droits sur l'interface d'administration : accès aux différents écrans, droit de faire des actions dans ces écrans.• Droits sur les populations : voir les populations dans l'interface d'administration, modifier leurs options, leur affecter des

politiques...• Droit de voir, utiliser ou modifier des objets créés par d’autres administrateurs.• Droit de créer un administrateur ou de modifier un compte administrateur : ce droit est réservé aux administrateurs

disposant du droit Administration.

Attribuer des droits sur les populations et sur l'interface

1. À la page Paramétrage > Administrateurs > Administrateurs, cliquez sur l'administrateur de votre choix.

2. Cliquez sur le bouton vert en bas à gauche du tableau pour ajouter un droit. La fenêtre Type s'ouvre.

3. Suivant le type d'administrateur que vous voulez créer, sélectionnez l'action à effectuer :• Pour définir l'administrateur comme "superadministrateur", sélectionnez Administration :

• Celui-ci aura tous les droits, sur toutes les populations et tous les menus.• Seuls les administrateurs disposant du droit Administration peuvent créer des administrateurs.

• Pour un administrateur "normal", vous devrez donner des droits sur les menus, puis sur les populations, dans deuxlignes différentes du tableau. Il vous appartient de vous assurer que ces droits sont cohérents entre eux. Par exemple,si vous donnez un droit Statistiques sur une population, assurez-vous que vous donnez également un droit sur lemenu Statistiques.



• Groupes : définir quels UOs et/ou groupes l'administrateur pourra voir.• Menus : définir à quelles sections de l'interface celui-ci aura accès.

4. Sélectionnez les populations ou les menus désirés, puis appliquez les droits correspondants (voir ci-dessous, Droits sur lespopulations (UOs, groupes, utilisateurs) à la page 21 et Droits sur les menus à la page 21). La fenêtre se fermeet le droit apparaît dans le tableau.

Droits sur les menus

• Lecture : l'administrateur pourra accéder aux écrans, voir les objets dans les listes d'objets (quotas, plages horaires, etc)• Modification : l'administrateur pourra accéder à ces écrans, et y faire des actions : créer, modifier ou supprimer des objets.

Droits sur les populations (UOs, groupes, utilisateurs)

Tous lesdroits

Lectureseule

Modification Statistiques Attribuer unepolitique

• Voir une population dans laliste des utilisateurs

• Voir la population dans lesrègles du moteur de règles,dans la colonne "Source"

• Voir les politiques affectées àces utilisateurs

• Voir les options définiespour ces utilisateurs (dans lapopup Configuration de laliste d'utilisateurs)

oui oui oui oui oui

Modifier les options dans lapopup Configuration de laliste d'utilisateurs

oui non oui non non

Attribuer une politique oui non oui non oui

Consulter les statistiques oui non non oui non

Droits sur les objets créés par les autres administrateurs

Dans son travail quotidien, un administrateur manipule un ensemble "d'objets" : politiques de filtrage, quotas, plages horaires,listes d'URLs, listes de catégories, messages, chartes internet, portails publics et leurs éléments de paramétrage... Chaque objet"appartient" à l'administrateur qui l'a créé. Les droits sur ces objets ne sont pas définis via le tableau des droits dans le compteadministrateur : ils suivent un modèle hiérarchique, complété ou non par l’option "partage des objets".

Attention, les droits décrits ici concernent uniquement la possibilité de voir/modifier ou non un objet dans la liste d'objetsassociée (par exemple, voir une plage horaire à la page Plages horaires, ou une politique à la page Politiques). La notionde droits n'est plus pertinente à partir du moment où l’objet est utilisé, car l'objet appartient alors au paramétrage global del'Olfeo. Par exemple, si admin1a crée une politique et l’applique à un utilisateur, admin2b ne verra pas la politique dans laliste des politiques, mais il la verra dans la liste des utilisateurs, là où elle a été appliquée.



Droits par défaut

Par défaut, un administrateur ne peut voir que les objets qu'il a créés, et ceux créés par des administrateurs situés directementau-dessus de lui dans l'arborescence. Ce modèle "remontant" implique par exemple que tous les administrateurs peuvent voirles objets créés par l’administrateur global.

Par exemple dans l'illustration ci-dessous admin1a ne peut visualiser que ses objets, ceux de admin1 et ceux de l'admingénéral. Par contre admin1a ne peut pas visualiser les objets de admin1b ni ceux de la branche à laquelle appartient admin2.


admin général

admin2admin1

admin2a

Illustration 3: Objets visibles par défaut par admin1a

Option "Mode de partage des objets" : partage d'objets entre administrateurs frères

Dans le profil d'un administrateur, l'option Mode de partage des objets permet à un administrateur de faire en sorte que sesenfants puissent voir (et utiliser) les objets créés par leurs administrateurs "frères".

• Dans l'exemple ci-dessous, admin1 coche l'option dans son propre compte : admin1a et admin1b peuvent chacun voirles objets de l'autre. admin1a peut créer une politique et y utiliser un quota créé par admin1b.




admin général

admin2admin1

admin2a

Mode partage activé

Devient visible

• Si l'administrateur frère a le droit Modification sur le menu correspondant, celui-ci pourra modifier ou supprimer un objetcréé par un administrateur frère.

• Même si le mode de partage des objets est activé, un administrateur ne verra jamais les objets créés par ses "cousins" (parexemple, admin1a ne pourra jamais voir les objets créés par les administrateurs appartenant à la branche d'admin2).

• L'option ne concerne pas les analyses : tous les administrateurs peuvent voir toutes les analyses créées par tous les autresadministrateurs.

Gérer vos utilisateurs


GÉRER VOS UTILISATEURS

Ce chapitre traite des utilisateurs filtrés par la solution Olfeo. Il décrit :

• La notion d'utilisateur dans Olfeo.• Comment créer des utilisateurs, c'est-à-dire peupler la liste des utilisateurs à filtrer dans l'Olfeo, notamment via des

annuaires.• Comment appliquer des paramétrages personnalisés à certains utilisateurs (pages de blocage personnalisées, mode

audit...), et comment ces options sont traitées par le moteur de filtrage.

Pour savoir comment faire en sorte que la solution Olfeo reconnaisse les utilisateurs en provenance desquels elle reçoitdes flux, voir Authentification et identification à la page 38.

Dans ce chapitre :

• Types d'utilisateurs• Comprendre la liste des utilisateurs, groupes et UO• Rechercher un utilisateur• Créer des utilisateurs• Paramétrer UOs, groupes et utilisateurs• Supprimer un utilisateur, groupe ou UO



Types d'utilisateurs

Un utilisateur au sens Olfeo est une entité qui existe dans la liste des utilisateurs. Ses champs Identifiant et/ou Nom communsont renseignés.

Il s'agit des utilisateurs filtrés par la solution Olfeo, et non des administrateurs manipulant la solution Olfeo elle-même.

On peut appliquer à un utilisateur des politiques (politiques de filtrage d'URL ou de filtrage applicatif), des quotas, autoriserl'outrepassement... Un utilisateur apparaît individuellement dans les statistiques.

Un utilisateur peut être :

• Un identifiant provenant d'un annuaire.• Un utilisateur avec un nom commun, créé manuellement. Celui-ci sera identifié via son adresse IP ou son adresse MAC.• Une adresse IP ayant été "transformée" en identifiant lors d'une autocréation.• Une plage d'adresses IP "transformée" en un utilisateur unique avec un nom commun via la liste des utilisateurs (voir ci-

dessous).• Un utilisateur de portail public.

Utilisateur de type plage d'adresses IP

Vous pouvez transformer une plage d'adresses IP en un utilisateur unique.

• Ce type d'utilisateur est utile par exemple pour représenter un groupe de serveurs auxquels on veut appliquer les mêmesrègles.

• Vous pouvez également l'utiliser pour gérer un sous-réseau hors annuaire sur lequel vous ne souhaitez pas faired'authentification mais à qui vous voulez appliquer des règles de QoS.

Par contre, appliquer des quotas ou une charte internet sur un utilisateur de type "plage d'IPs" n'est pas pertinent : si unutilisateur valide la charte, celle-ci sera considérée comme validée pour toutes les IPs de la plage. De même, si un quota estappliqué, il est appliqué globalement à toute la plage et non pas par IP appartenant à cette plage.

Attention, pour utiliser un utilisateur de type plage d'IPs dans une règle du moteur de règles, dans la colonne Source,sélectionnez Utilisateur et non Plage d'IPs (qui correspond à une plage d'IPs définie dans la règle elle-même).

L'utilisateur inconnu

Lorsqu'un flux arrive en provenance d'un utilisateur qui n'existe pas dans la liste des utilisateurs, et que ce flux n'a pas étébloqué par une règle, Olfeo applique la politique par défaut. Par exemple la requête ne fournit que l'adresse IP, mais aucunidentifiant n'est associé à cette adresse IP dans la table de correspondance IP/identifiant. Toutes les actions effectuées par desutilisateurs non identifiés seront regroupées sous le libellé Utilisateur inconnu dans les statistiques.

Les quotas et les règles d'outrepassement ne sont pas pris en compte pour les utilisateurs inconnus. En effet, le moteur nepeut pas appliquer de telles règles individuellement à chaque utilisateur inconnu. Si des flux concernés par de telles règles sontrencontrés, les utilisateurs inconnus seront simplement bloqués.

Si vous activez l'autocréation, vous n'aurez aucun utilisateur inconnu.

Voir aussi l'article de base de connaissances Utilisateurs inconnus dans les statistiques.

Comprendre la liste des utilisateurs, groupes et UO

La liste des utilisateurs connus de la solution Olfeo est affichée dans la partie inférieure de l'onglet Administration >Utilisateurs (onglets Annuaires et Portails publics).

http://support.olfeo.com/kb/article/2626



Contenu et structure de la liste

La liste des utilisateurs est organisée en une arborescence qui peut dicter l'application de politiques et d'options.

• Configuration par défaut : définit les règles à appliquer pour les utilisateurs inconnus de la solution• UO (unité organisationnelle) : contient des groupes. Pour les UOs synchronisées depuis un annuaire, passez la souris sur

leur nom pour afficher la date de la dernière synchronisation de l'annuaire avec l'Olfeo.• Groupe : contient des utilisateurs• Utilisateurs au sens Olfeo.

Icônes à côté du nom d'un élément

Des icônes peuvent apparaître à côté d'un élément de la liste, dans la colonne Nom : celles-ci montrent quelles options sontactivées pour cet élément. Si une même option a des valeurs différentes au niveau du groupe et au niveau de l'utilisateur, c'estcelle de l'utilisateur qui prime.

Politiques appliquées aux éléments

Dans les colonnes Filtrage web ou Filtrage Protocolaire, les icônes suivantes indiquent qu'une politique est appliquée àl'élément :

• La politique est une politique "terminale" : son champ Pour le reste a la valeur Autoriser ou Bloquer. Si le flux n'estpas concerné par les règles contenues dans cette politique, il est soit bloqué soit autorisé.

• La politique est de type héritée : son champ Pour le reste a la valeur Politique supérieure. Cela signifie que pourtous les flux qui ne correspondent pas aux règles contenues dans la politique, l'Olfeo doit appliquer la politique du niveausupérieur dans l'arborescence (par exemple, pour un groupe, "politique supérieure" correspondra à la politique de son UO).

Attention, les politiques appliquées à la Configuration par défaut ne doivent pas être de ce type.



Actions possibles

Dans la liste des utilisateurs, vous pouvez :

• Créer des UO, groupes et utilisateurs manuellement. Vous ne pouvez pas déplacer un utilisateur d'un groupe à l'autre viala liste, même si vous avez créé celui-ci manuellement.

• Appliquer des politiques de filtrage (Filtrage web ou protocolaire) aux utilisateurs, groupes et UOs, et définir les politiquespar défaut.

• Paramétrer les éléments de la liste (par exemple définir un jeu de messages personnalisé...).

Rechercher un utilisateur

Pour filtrer la liste des utilisateurs, saisissez un nom dans le champ Filtrer par nom au-dessus de la liste, puis cliquez surl'icône "filtre" à droite de la zone de saisie. Vous pouvez utiliser les caractères spéciaux * _ % (syntaxe PostgreSQL). Lesexpressions rationnelles ne sont pas utilisables ici.

Pour supprimer le filtre, cliquez sur le bouton .

Créer des utilisateurs

On peut "créer" des utilisateurs de différentes façons :

• En les synchronisant depuis un annuaire.• En les créant manuellement dans l'interface d'administration Olfeo.• Automatiquement, en activant l'autocréation. Utilisez cette fonctionnalité quand l'Olfeo n'a pas accès à un annuaire (par

exemple pour des raisons de sécurité) et que vous ne souhaitez pas créer les utilisateurs à la main.• En les créant manuellement ou automatiquement dans un portail public, dans le cas des utilisateurs auxquels vous souhaitez

fournir un accès temporaire à vos réseaux.

Synchroniser des annuaires

Olfeo est capable de synchroniser tout annuaire LDAP.

Méthodes d'authentification

Différentes méthodes d'authentification/identification seront disponibles suivant le type d'annuaire dans lequel sont stockésvos utilisateurs.

• Annuaire Active Directory :• Authentification forte, transparente pour l'utilisateur : Kerberos, NTLM• Authentification avec envoi d'une page ou d'une pop-up à l'utilisateur : LDAP basique ou portail captif

• Annuaire Novell :• Identification transparente pour l'utilisateur : avec mécanisme SSO• Authentification avec envoi d'une page ou d'une fenêtre pop-up à l'utilisateur : LDAP basique ou portail captif

• Autre annuaire LDAP :• Authentification avec envoi d'une page ou d'une pop-up à l'utilisateur : LDAP basique ou portail captif.



Annuaires multiples

Si vous synchronisez plusieurs annuaires dans un même Olfeo :• Si ceux-ci correspondent à des domaines différents, il est fortement conseillé de les distinguer par des passerelles afin

d'éviter des conflits entre utilisateurs ayant le même identifiant.• S'ils correspondent au même domaine, il peut être pertinent d'utiliser des méthodes d'authentification différentes. Par

exemple, dans un établissement scolaire, le poste fixe d'un enseignant pourra utiliser une authentification forte, et les postesmis à disposition des élèves un portail captif.

Vous pouvez également renseigner 2 annuaires au sein d'une même définition d'annuaire, afin d'assurer la disponibilité : pourle paramétrage propre aux annuaires AD, voir Haute disponibilité annuaires AD et DNS à la page 31.

Créer une définition d'annuaire

Paramétrer la connexion à l'annuaire

1. Rendez-vous à la page Paramétrage > Authentification > Annuaires.

2. Cliquez sur Ajouter un annuaire. L'écran de création d'annuaire apparaît.

3. Saisissez un nom dans le champ Libellé de l'annuaire : ce nom sera celui de l'UO dans la liste des utilisateurs. Attention,ce libellé ne sera pas modifiable une fois l'écran validé.

4. Dans la liste Type LDAP, choisissez le type de l'annuaire que vous voulez synchroniser avec l'Olfeo. Pour un annuaireOpenLDAP, choisissez Autre annuaire.

5. Dans le champ Hôtes, saisissez l'adresse IPv4 du ou des contrôleurs de domaine désirés. Pour un annuaire Active Directory,pour gérer les authentifications fortes, il est recommandé d'utiliser 2 adresses afin de garantir la haute disponibilité duservice. Entrez plusieurs adresses d’annuaires séparées par une virgule : Olfeo tentera de se connecter au premier serveur,et si cette connexion échoue, il tentera de se connecter au suivant. (Attention à paramétrer les DNS correspondants enconséquence.)

6. Si l'annuaire demande une connexion sécurisée, cochez LDAPS (protocole LDAP sur une connexion SSL). Attention, ceparamètre ne concerne que la synchronisation des utilisateurs et l'authentification basique. Pour l’authentification NTLMou Kerberos, la communication se fait obligatoirement en LDAP.

7. Si votre serveur LDAP ne supporte pas la pagination des résultats, cochez Désactiver la pagination.

Par défaut Olfeo utilise un mode de réponse paginée pour la synchronisation des utilisateurs et des groupes. Olfeorecommande de garder le mode de pagination activé, ce mode étant plus approprié pour la synchronisation avec de grosannuaires d'entreprise.

8. Saisissez le port auquel l'Olfeo se connectera sur le serveur d'annuaires. Le port par défaut pour les annuaires LDAP est389 (636 si vous vous connectez en LDAPS).

9. Remplissez le champ Base DN :• Pour un annuaire Active Directory, cliquez sur Tester et récupérer la base DN. La connexion à l'annuaire est testée et

le champ Base DN est rempli automatiquement. Si la connexion échoue, vérifiez que l'adresse et le port sont corrects,et vérifiez votre configuration réseau.

• Pour les autres types d'annuaires, référez-vous au manuel de l'annuaire concerné. Olfeo est compatible avec la RFC2253. Un exemple de syntaxe LDAP valide est : DC=olfeo-test,DC=net.

10. Dans les champs Bind DN et Mot de passe, entrez les informations de connexion du compte qui effectuera lasynchronisation de l'annuaire (et, le cas échéant, une authentification LDAP basique). Ce compte doit avoir un droit delecture et de parcours sur la sous-arborescence contenant les groupes et les utilisateurs à synchroniser.

http://www.ietf.org/rfc/rfc2253.txt?number=2253

http://www.ietf.org/rfc/rfc2253.txt?number=2253



• Syntaxe Active Directory : identifiant@royaume (par exemple: [email protected]).

11. Cliquez sur Terminer pour enregistrer le paramétrage de la connexion à l'annuaire. Attention, une fois cette étape passée,le nom de l'annuaire n’est plus modifiable.• La page de paramétrage de l'annuaire apparaît : définissez les paramètres nécessaires à la synchronisation des utilisateurs.• La définition d'annuaire apparaît dans la liste des annuaires à la page Paramétrage > Authentification > Annuaires,

mais l'annuaire n'apparaîtra dans la liste des utilisateurs que lorsque des utilisateurs auront été synchronisés.

Paramétrer un annuaire

Planifier la synchronisation

Section : Connexion

• Temporisation : Si vous souhaitez spécifier un timeout pour l'attente de la réponse de l'annuaire saisissez en secondes letemps maximum d'attente dans le champ Temporisation. Par exemple : 60 secondes.

• Planification : Pour que l'Olfeo synchronise l'annuaire automatiquement, cochez la case Planification. Saisissez une heureprécise (UTC), ou un intervalle en utilisant la syntaxe cron pour spécifier séparément les heures puis les minutes.• Exemple de synchronisation chaque nuit à 01h05 : 01 : 05• Exemple de synchronisation toutes les 15 minutes entre 01h00 et 02h00 : 01 : */15• Exemple de synchronisation toutes les 30 minutes pour toutes les heures : * : */30

Options propres aux annuaires Active Directory

Section : Domaine

Cette section est spécifique aux annuaires Microsoft Active Directory ou assimilés. Renseignez les champs Domaine etWorkgroup si vous souhaitez faire de l'authentification Kerberos ou NTLM (ils sont obligatoires pour pouvoir joindre votresolution Olfeo à votre domaine Active Directory).

Domaine Le nom de royaume Kerberos de votre annuaire. Par exemple : olfeodoc.com

Workgroup Le nom Netbios de votre domaine, en majuscules. Par exemple : OLFEODOC

Utiliser un serveurNTP distinct

Cochez cette case si vous souhaitez utiliser le serveur NTP défini à la page Paramétrage >Système > Date plutôt que celui du serveur Active Directory. Voir Connecter votre Olfeo à unserveur NTP à la page 16.

Utiliser un serveurDNS distinct

Cochez cette case si vous souhaitez utiliser le serveur DNS défini à la page Paramétrage >Réseau > DNS plutôt que celui du serveur Active Directory. Voir Définir le ou les serveurs DNSà utiliser à la page 13 et Haute disponibilité annuaires AD et DNS à la page 31.

Définir quel sous-arbre du DIT synchroniser dans l'Olfeo

Section : Options avancées des groupes

http://man7.org/linux/man-pages/man5/crontab.5.html



Base DN desgroupes

Restreindre à une base DN spécifique l'arborescence de l'annuaire sur laquelle la synchronisationdes groupes sera effectuée (le sous-arbre du DIT qui contient les groupes).

Par exemple: cn=filtering_group, ou=siege, o=MaSociete, c=FR

Classe des groupes Spécifier quel objectclass LDAP est utilisé pour représenter les groupes dans l'annuaire. Parexemple : posixgroup

Attribut LDAPpour le libellé

Spécifier l'attribut LDAP contenant le libellé des groupes. Il peut être nécessaire de spécifiercet attribut si le libellé des groupes dans les objets groupes n'est pas l'attribut standard CN. Parexemple : name

Les groupes sontdes conteneurs

Cochez cette case si vos groupes sont aussi des unités organisationnelles. Les groupes synchronisésseront donc des objets ayant cette propriété.

Les groupes sontun attribut del'utilisateur

Cochez cette case si les groupes d'appartenance d'un utilisateur sont définis comme un attribut desutilisateurs. Bien que disponible cette option est très rarement utilisée car il est plus normal de sereposer sur une arborescence classique des utilisateurs et de leurs groupes d'appartenance.

Attribut LDAPpour le libellé dansles statistiques

Spécifier un attribut des objets groupes à utiliser dans les statistiques Olfeo

Section : Options avancées des utilisateurs

Base DN desutilisateurs

Restreindre à une base DN spécifique l'arborescence de l'annuaire sur laquelle la synchronisationdes utilisateurs sera effectuée

Attribut del'identifiant depolitique

Nom de l'attribut contenant l'ID de la politique Olfeo à appliquer (si votre annuaire contient untel attribut) - dans un attribut de l'objet utilisateur

Classed'utilisateurs

Utiliser une classe d'objet pour spécifier les utilisateurs à synchroniser dans l'annuaire

Attribut LDAPpour la clé primaire

Utiliser un attribut LDAP comme clé primaire afin d'assurer que les utilisateurs soient identifiésde manière unique dans l'Olfeo

Attribut LDAPpour l'identifiant

Utiliser un attribut LDAP spécifique pour renseigner l'identifiant des utilisateurs

Attribut LDAPpour le libellé

Attribut utilisateur à utiliser pour renseigner le libellé de l'utilisateur (champ Nom Commun dansl'Olfeo)

Effectuer la synchronisation

Sections : Groupes, Liste d'utilisateurs

1. Cliquez sur le bouton Synchroniser les groupes disponibles pour obtenir la liste des groupes disponibles dans votreannuaire en fonction des critères définis dans les cadres précédents. La liste Groupes disponibles comprend tous lesnœuds de l'arborescence de l'annuaire, au même niveau.

2. Dans la liste Groupes disponibles, sélectionnez les groupes à synchroniser.

3. Utilisez les flèches horizontales entre les deux listes pour faire basculer les groupes sélectionnés dans la liste Groupessynchronisés.



4. Définissez la priorité de synchronisation des groupes. L'ordre de synchronisation des groupes est important car unutilisateur peut appartenir à plusieurs groupes de l'annuaire. Si un utilisateur appartient à plusieurs groupes :• l'utilisateur n'apparaît qu'une fois dans la liste des utilisateurs : dans le groupe situé le plus en haut de la liste Groupes

synchronisés.• ses groupes secondaires sont indiqués dans ses options.• seules les options ou les politiques définies sur le groupe principal peuvent s'appliquer à l'utilisateur.• ses statistiques apparaîtront dans les statistiques de tous les groupes.

Pour faire monter ou descendre un groupe dans la liste, sélectionnez-le puis utilisez les flèches à droite de la liste Groupessynchronisés.

5. Dans la section Liste d'utilisateurs, cliquez sur Synchroniser les utilisateurs afin de synchroniser les utilisateurs dansl'Olfeo.

Une fois la synchronisation terminée, un message vous indique le nombre total d'utilisateurs synchronisés.


Vos UOs, groupes et utilisateurs apparaissent maintenant dans l'onglet Annuaires de la liste des utilisateurs (à la pageAdministration > Utilisateurs). Vous pouvez paramétrer leurs options, leur appliquer des politiques...

Pour connaître la date de la dernière synchronisation de votre annuaire avec l'Olfeo, passez la souris sur le nom des UO :la date de dernière synchronisation s'affiche dans une infobulle.

7. S'il s'agit d'un annuaire Active Directory et que vous souhaitez faire de l'authentification NTLM ou Kerberos, joignez votreOlfeo au domaine Windows.

Haute disponibilité annuaires AD et DNS

Si votre proxy fait de l'authentification forte (NTLM ou Kerberos, qui utilisent des annuaires AD), il est recommandé demettre en place un mécanisme de haute disponibilité du service d'annuaire. Spécifiez 2 annuaires dans une même définitiond'annuaire, par exemple, "AD1, AD2" : l'Olfeo tentera de se connecter à AD1, et si cette connexion échoue, il tentera de seconnecter à AD2.

Pour que le mécanisme de haute disponibilité fonctionne, il est obligatoire de paramétrer les serveurs DNS à la pageParamétrage > Réseau > DNS. En effet, par défaut, lorsque vous créez une définition d'annuaire AD, l'Olfeo utilise leserveur DNS propre à cet annuaire : l'Olfeo utilisera donc les serveurs DNS d'AD1 et AD2, dans le même ordre (DNS_AD1,DNS_AD2). Cela signifie que si AD1 ne répond plus, son serveur DNS ne répondra pas non plus, et l'Olfeo ne pourra pastrouver AD2.

Vous pouvez donc :• inverser l'ordre des DNS : si la résolution DNS est faite par DNS d'AD2, celle-ci ne sera pas affectée en cas de panne d'AD1• utiliser un serveur DNS indépendant des 2 annuaires.

Paramétrage

• Dans les paramètres de l'annuaire, section Connexion, champ Hôtes : AD1, AD2.• Dans les paramètres de l'annuaire, section Domaine : cochez Utiliser un serveur DNS distinct.• À la page Paramétrage > Réseau > DNS, dans le champ Serveurs DNS, au choix :

• AD2, AD1

• serveur DNS distinct des annuaires.



Joindre un Olfeo au domaine Windows

RemarqueCette page ne s'applique que si vous synchronisez un annuaire Active Directory et que vous souhaitez faire del'authentification NTLM ou Kerberos.

• Pour joindre un Olfeo à un domaine Windows vous devez posséder un compte utilisateur dans ce domaine. Ce comptedoit disposer des droits nécessaires pour joindre l'Olfeo au domaine.

• Un Olfeo ne peut faire partie que d'un seul domaine Windows à un instant T. Assurez-vous donc de mettre en placeles bonnes relations d'approbation entre domaines si vous devez authentifier des utilisateurs appartenant à des domainesdifférents.

• Attention si vous devez intégrer deux machines Olfeo au domaine Windows comme c'est par exemple le cas dans undomaine Olfeo : vérifiez que vos deux machines ont des noms différents. Voir Renommer une machine Olfeo à la page 14.

• Pour plus d'informations sur la jonction au domaine Windows de machines appartenant à un domaine Olfeo, voir Jonctionau domaine Windows à la page 204.

• Vous devez refaire la jonction au domaine si vous modifiez les champs suivants dans la définition de votre annuaire : Hôtes,Bind DN/Mot de passe, Domaine et Workgroup.

Section : Authentification

1. Assurez-vous que les champs Domaine et Workgroup sont remplis, dans la section Domaine de la page de paramétragede l'annuaire.

2. Rendez-vous à la page Paramétrage > Authentification > Joindre le domaine Windows.

3. Sélectionnez l'annuaire Active Directory à joindre dans la liste Serveurs Active Directory.

4. Dans les champs Identifiant (pour joindre le domaine) et Mot de passe, saisissez les identifiants du compte ActiveDirectory possédant les privilèges nécessaires pour ajouter l'Olfeo au domaine. Il est recommandé de ne pas utiliser lemême compte que pour la synchronisation.

5. Cliquez sur le bouton Joindre le domaine et patientez quelques instants.

Dans le champ Statut, un message indique le serveur LDAP auquel l'Olfeo est joint.

Distinguer vos utilisateurs par leur passerelle

Dans une architecture distribuée avec des clients sur des sites distants et un filtrage centralisé, il convient de pouvoir définirune politique de filtrage d'URL par site distant.

Le sous-menu Paramétrage > Avancé > Passerelles permet de définir les différentes passerelles utilisées pour joindre lessites distants et d'appliquer des politiques de filtrage ainsi que de redirection de pages de blocage spécifiques à chaque passerelle.

Ici, "passerelle" désigne la source des requêtes qui parviennent à l'Olfeo :• Dans un domaine Olfeo, le Squid ID de l'Olfeo qui transmet la requête• Dans une intégration réseau, le tag VLAN correspondant• L'adresse IP de la machine qui transmet la requête.

Définir une passerelle

1. Rendez-vous à la page de création de passerelles à l'aide du menu Paramétrage > Avancé > Passerelles.



2. Cliquez sur le lien Ajouter une passerelle.

Section : Passerelle

Cette section s'applique uniquement aux intégrations utilisant des connecteurs qui sont l'intégration couplage oul'intégration capture.

Dans le cas de l'intégration couplage, la machine tierce peut utiliser différents protocoles tels que ICAP, OPSEC,WISP ou encore le protocole Olfeo. En communiquant avec la solution Olfeo la machine tierce envoie différentesinformations telles que:• Son IP.• L'identifiant utilisé par la machine tierce (dans le cas du connecteur Olfeo).

Dans le cas de l'intégration capture la solution Olfeo reçoit le VLAN du trafic.

3. Saisissez un nom dans le champ Libellé.

4. Saisissez l'adresse IP, l'identifiant utilisé par la machine tierce ou le VLAN pour constituer votre passerelle dans le champServeur.

Ces informations vous permettront de définir votre passerelle afin de limiter l'accès à vos UOs ou à vos groupes enpositionnant cette passerelle dans la liste des utilisateurs (se référer à Paramétrer UOs, groupes et utilisateurs à la page34 pour plus d'informations).

Par exemple: 192.168.3.4

Section : Configuration

5. Sélectionnez la politique à utiliser pour la passerelle dans la liste Politique d'URL.

6. Si, pour les utilisateurs dont la requête de filtrage parvient à l'Olfeo via cette passerelle, votre page de blocage doit êtreservie sur une IP spécifique, cochez IP de redirection et saisissez l'adresse IP désirée.

7. Cliquez sur Valider pour enregistrer votre passerelle.

8. Positionnez votre passerelle dans la liste des utilisateurs comme expliqué dans Comprendre la liste des utilisateurs, groupeset UO à la page 25.

Créer des utilisateurs automatiquement

Vous pouvez paramétrer l'Olfeo pour créer automatiquement des utilisateurs dans un groupe de la liste des utilisateurs lorsqu'ilreçoit des identifiants ou des adresses IP inconnues.

Cette option est utile si vous ne voulez pas synchroniser de très gros annuaires (le coût de synchronisation pouvant être élevé),ou si vous ne souhaitez pas que l'Olfeo se connecte à votre annuaire.

• Si cette option est activée, vos statistiques ne contiendront aucun utilisateur inconnu.• Tous les utilisateurs autocréés appartiendront à la même UO et au même groupe. Vous ne pourrez donc appliquer qu'une

seule politique pour l'ensemble de ces utilisateurs.• Les utilisateurs seront identifiés grâce à leur adresse IP ou leur identifiant.

Paramétrage

1. Rendez-vous à la page Paramétrage > Avancé > Auto création.

2. En fonction des informations reçues par votre Olfeo (qui varient selon son mode d'intégration), choisissez comment lesutilisateurs doivent être créés : soit par identifiant, soit par adresse IP. L'identifiant ou l'adresse IP renseigneront égalementle nom commun de l'utilisateur.



3. Saisissez l'UO et le groupe dans lesquels les utilisateurs seront créés. Si l'UO et le groupe n'existent pas dans la liste desutilisateurs, ils seront créés automatiquement.


Créer un utilisateur manuellement

Il est possible d'ajouter manuellement des objets dans la liste des utilisateurs.

Attention, des utilisateurs créés manuellement ne pourront pas être authentifiés puisqu'aucun mot de passe ne peut leur êtreassocié. Si vous avez demandé au proxy HTTP d'authentifier les utilisateurs, il faudra définir une exception à l'authentificationpour ces utilisateurs à la page Proxy avancé > HTTP > Authentification.

Créer des utilisateurs manuellement

Pour créer un utilisateur (utilisateur "normal" ou utilisateur de type plage d'adresses IP) :

1. Cliquez sur le groupe dans lequel vous voulez créer les utilisateurs. La fenêtre Configuration de la liste des utilisateurss'ouvre et affiche les options du groupe.

2. En haut de la fenêtre, cliquez sur Ajouter un utilisateur ou Ajouter une plage IP. L'écran de création s'ouvre.

3. Entrez un nom commun ou un identifiant et paramétrez les options désirées. Pour un utilisateur unique, vous devezrenseigner une adresse IP pour que celui-ci puisse être identifié.

4. Cliquez sur Créer. La fenêtre affiche à nouveau les options du groupe.

5. Cliquez sur Valider.

6. Rafraîchissez l'affichage pour voir apparaître l'objet créé : refermez et redéveloppez l'objet conteneur à l'aide de l'icône .Les listes ne sont pas rafraîchies automatiquement afin d'éviter des délais de plusieurs secondes après chaque création pourles clients ayant plusieurs milliers d'utilisateurs dans un même groupe.

Créer des UOs ou des groupes manuellement

• Pour créer une UO, cliquez sur Configuration par défaut.• Pour créer un groupe, cliquez sur l'UO qui contiendra le groupe.

Paramétrer UOs, groupes et utilisateurs

À la page Administration > Utilisateurs, dans l'onglet Annuaires, cliquez sur une UO, un groupe ou un utilisateur. Dans lafenêtre Configuration de la liste d'utilisateurs, faites les modifications désirées puis cliquez sur Valider.

Dans la liste des utilisateurs, quand certains paramètres sont activés, une icône s'affiche à côté du nom de l'élément concerné(indiquée dans la 2è colonne du tableau ci-dessous).

Traitement des options par le moteur

• Si pour une option aucune valeur n'est définie pour un élément, le moteur regarde si une valeur est définie pour son élémentparent. Le moteur peut donc potentiellement examiner la valeur de l'option à tous les niveaux de l'arborescence, dans lesens Utilisateur > Groupe > UO > Configuration par défaut.



• Si, pour une même option, deux valeurs différentes sont définies sur un élément parent et un élément fils, c'est la valeurde l'élément fils qui sera prise en compte. Par exemple, si une langue est définie au niveau d'un groupe et qu'on définit uneautre langue pour un utilisateur, c'est la langue de l'utilisateur qui sera prise en compte.

• Si vous avez activé une option pour un groupe mais que vous ne souhaitez pas que l'option s'applique à un utilisateur dugroupe, dans la fiche de l'utilisateur, sélectionnez Désactivé pour l'option en question. L'icône de l'option apparaît griséeà côté du nom de l'utilisateur.



Référence des champs

Champ Signalépar

Description

Nom Commun n/a Si l'utilisateur a un nom commun ET un identifiant, il apparaîtra dans les statistiques etle trafic temps réel sous son nom commun.

Identifiant n/a Identifiant qui sera utilisé pour identifier ou authentifier l'utilisateur.

E-mail n/a

Téléphone n/a Le numéro de téléphone est utilisé par l'Olfeo pour envoyer des tickets de portail public,lorsqu'une passerelle SMS a été définie.

IP n/a Utilisé uniquement pour les utilisateurs créés à la main.

Adresse MAC n/a Utilisée uniquement pour les utilisateurs créés à la main, l'adresse MAC peut servir àidentifier les utilisateurs. Les adresses MAC sont récupérées dans les intégrations réseau.

Passerelle (UOuniquement)

n/a Définir la passerelle derrière laquelle est située l'UO. Utilisez ce paramètre pour distinguerdes UOs situées sur des réseaux différents. Une politique de filtrage d'URLs peut êtredéfinie sur cette passerelle.

URL deredirection

n/a Définir une URL personnalisée pour les pages de blocage envoyées à cet utilisateur,groupe ou UO. Cette URL surchargera les paramètres définis à la page Paramétrage >Avancé > Redirection. Pour une UO, cette URL surcharge également le paramétragede la passerelle.

Ne pasjournaliser lesaccès

Si cette option est activée, l'utilisateur est filtré normalement, mais :• son historique n'est pas enregistré dans les logs et les fichiers NCSA• son surf n’apparaît pas dans les statistiques, ni dans la page du trafic temps réel.

L'icône apparaît grisée lorsque la valeur de l'option Ne pas journaliser les accès est"Désactivé".

Audit Activer le mode Audit afin de simuler le filtrage pour cet utilisateur, groupe ou UO :ceux-ci ne sont jamais bloqués mais la solution montre quels flux auraient été bloquéssi le filtrage avait été effectif.

L'icône apparaît grisée lorsque la valeur de l'option Audit est "Désactivé".

Langue Choisir la langue des pages qui seront envoyées aux utilisateurs. Attention, le jeude messages (jeu de messages par défaut ou jeu de messages personnalisé) doit êtredisponible dans cette langue.

Messages Utiliser un jeu de messages personnalisé dans les pages envoyées aux utilisateurs.

Modèles Utiliser un jeu de modèles personnalisé pour les pages envoyées aux utilisateurs.

Charte Internet Définir une charte internet à appliquer à cet utilisateur, groupe ou UO. Pour que la charteinternet soit envoyée aux utilisateurs, il faut l'activer via une règle globale dans le moteurde règles : voir Mettre en place une charte internet à la page 159.

L'icône apparaît grisée lorsque l'option Pas de charte internet est sélectionnée.



Champ Signalépar

Description

Date devalidation de lacharte

n/a Indique à quelle date cet utilisateur a validé la charte internet.

Réinitialiser lesquotas

n/a Permet de remettre les quotas de l'utilisateur à 0.

Ne pasauthentifier(utilisateurs detype plage d'IP)

Cocher cette case pour désactiver l'authentification auprès du proxy HTTP sur cetteplage d'IPs. Cette action équivaut à ajouter une exception à l'authentification à la pageParamétrage > Authentification.

Supprimer un utilisateur, groupe ou UO

Supprimer un utilisateur, un groupe ou une UO ne supprime pas l'historique de navigation qui lui est associé. Attention, sivous supprimez un élément puis que vous créez un élément de même nom, l'Olfeo considérera qu'il s'agit de deux élémentsdifférents : les statistiques ne seront pas agrégées.

Utilisateur, UO ou groupeissu d'un annuaire

• Groupe ou UO : désynchronisez le groupe. Dans la définition d'annuaire, dans la sectionGroupes, basculez le groupe dans le tableau de gauche (Groupes disponibles).

• Utilisateur : dans l'annuaire, retirez l'utilisateur du groupe synchronisé avec l'Olfeo.

Attention, n'utilisez pas la commande Supprimer dans la fenêtre Configuration de la listedes utilisateurs. L'élément réapparaîtrait à la prochaine synchronisation de l'annuaire.

Utilisateur, UO ou groupecréé manuellement ouautocréé

Cliquez sur l'utilisateur, le groupe ou l'UO. Dans la fenêtre Configuration de la liste desutilisateurs, cliquez sur Supprimer, puis confirmez la suppression.

Supprimer un groupe ou une UO supprime tous les utilisateurs associés.

Authentification et identification


AUTHENTIFICATION ET IDENTIFICATION

Ce chapitre décrit comment faire en sorte que la solution Olfeo reconnaisse les utilisateurs en provenance desquelselle reçoit des flux.

Dans ce chapitre :

• Identification et authentification : définitions• Choix de la méthode d'authentification/identification• Identification, gérée par le moteur de filtrage• Authentification auprès du proxy HTTP• Créer une zone d'authentification• Stocker les correspondances identifiant/adresse IP



Identification et authentification : définitions

Authentifier/identifier : pour quoi faire?

Pour que les règles de filtrage spécifiques à l'utilisateur puissent être appliquées, ainsi que les règles de quotas oud'outrepassement, l'Olfeo doit savoir précisément à quel utilisateur il a à faire. Pour que l'Olfeo connaisse un utilisateur, ilfaut que les utilisateurs à filtrer existent dans la liste des utilisateurs. Tout utilisateur n'apparaissant pas dans cette liste est unutilisateur inconnu.

Si aucune méthode d'authentification ni d'identification n'est mise en place, tous les utilisateurs filtrés seront des utilisateursinconnus : l'Olfeo leur appliquera à tous la politique par défaut. Cela peut être un choix légitime (il n'est pas obligatoired'authentifier ou d'identifier des utilisateurs). Cependant, avoir un log nominatif suppose d'avoir une méthode d'authentificationou d'identification en place. Sans cela, seules les adresses IP seront loguées.

Identification

Identifier un utilisateur ou une machine signifie récupérer une information le concernant (adresse IP, identifiant, adresse MAC)et trouver une correspondance entre cette information et un utilisateur figurant dans la liste des utilisateurs.

Les informations permettant d'identifier un utilisateur pouvant être récupérées varient suivant le type d'intégration. Ellespourront également être récupérées par divers éléments en fonction du type d'intégration (l'Olfeo, un équipement tiers).

Authentification

Une authentification est un mécanisme de validation de l'identité. Des informations d'identification sont demandées àl'utilisateur ou au navigateur (couple identifiant/mot de passe, échange de jetons sécurisés), et ces informations sont ensuitevérifiées auprès d'un tiers de confiance (un annuaire). En authentifiant, on vérifie que l'utilisateur est bien celui qu'il prétend être.

Il existe plusieurs mécanismes d'authentification, plus ou moins forts, c'est-à-dire avec un niveau de fiabilité plus ou moinsélevé : un mécanisme fort réalise une authentification pour chaque requête, tandis qu'un mécanisme faible réalise une seuleaction d'authentification suivie d'actions d'identification.

Olfeo propose différentes méthodes d'identification et d'authentification, certaines réalisées par le proxy HTTP, certaines parle moteur de filtrage : choisissez celle qui convient le mieux à vos besoins.

Choix de la méthode d'authentification/identification

Critères de choix

Choisissez votre ou vos méthodes d'authentification dans Olfeo selon les critères ci-dessous, en fonction de vos populationsd'utilisateurs et en fonction de vos besoins réels.

Infrastructure existante et mode d'intégration

Quels critères de choix votre infrastructure impose-t-elle?

Le choix de la méthode d'authentification doit prendre en compte les contraintes liées au mode d'intégration choisi, et les deuxsont étroitement liés à votre infrastructure.

• Selon le mode d'intégration, l'Olfeo ne recevra pas les mêmes informations : IP, identifiant...



• Suivant votre infrastructure, l'authentification peut être réalisée par l'Olfeo lui-même, ou bien l'Olfeo peut récupérer desinformations d’authentification d'un équipement tiers.

Tenez compte :

• Des mécanismes d'authentification utilisés dans votre infrastructure (par exemple, si vous utilisez déjà NTLM).• Des types d'annuaires utilisés. Les méthodes supportées sont les suivantes :

• LDAP : authentification LDAP basique, portail captif• Active Directory : Kerberos, NTLM, authentification LDAP basique, portail captif• Novell : authentification LDAP basique, portail captif ou identification via le mécanisme SSO Novell.

• Des types de machines que vous gérez. Par exemple, avec des architectures client léger (serveurs TSE ou Citrix), utilisezuniquement des authentifications fortes.

Interaction avec l'utilisateur

Souhaitez-vous que vos utilisateurs aient à entrer leur mot de passe ?

• Oui : portail captif sans NTLM, LDAP basique.• Non : NTLM, Kerberos, portail captif transparent pour l'utilisateur avec NTLM.

On parle parfois d'authentification transparente : l'expression "authentification transparente" s'entend au sens de"transparente pour l'utilisateur". On ne demande jamais à l'utilisateur de saisir son identifiant/mot de passe à la main,l'authentification se fait de façon automatique. Mais par nature une authentification n'est pas transparente pour l'applicationcliente (le proxy demande toujours explicitement au client de s'authentifier).

Sécurité

Quel niveau de sécurité est nécessaire pour votre organisation?

Il existe plusieurs mécanismes d'authentification, plus ou moins forts, c'est-à-dire avec un niveau de fiabilité plus ou moins élevé.

• Mécanisme fort : l'utilisateur est authentifié pour chaque requête. Attention, ce mécanisme a de fortes contraintes : voirci-dessous, Contraintes liées à la force de l'authentification à la page 41.

Mécanismes d'authentification forts proposés par Olfeo : Kerberos, NTLM.• Mécanisme faible : à la première requête, la solution réalise une action d'authentification. Une fois l'authentification faite,

la solution stocke la correspondance entre l'identifiant de l'utilisateur et son adresse IP, et par la suite elle fait simplementune identification en se basant sur l'adresse IP. La fiabilité de cette méthode diminue au cours du temps car l'adresse IPet l'identifiant sont susceptibles de ne plus se correspondre.

Mécanismes d'authentification faibles proposés par Olfeo : portail captif, authentification LDAP basique, portail public.

Fiabilité des différentes méthodes

Dans tous les cas, gardez à l'esprit qu'aucune méthode ne garantit de façon absolue l'identité de la personne physique ayanteffectué la navigation.



Identification, baséesur l'adresse IP

Une adresse IP identifie une machine et non un utilisateur. L'adresse IP n'est pas un critère fiablepour identifier un utilisateur :

• dans certaines architectures, une même adresse IP peut correspondre à plusieurs utilisateurs :clients légers (ISO, Citrix, TSE) où une adresse IP est commune à plusieurs utilisateurs.Si plusieurs utilisateurs utilisent la même machine en même temps, l'Olfeo ne reçoit quel'adresse IP du serveur mais les identifiants de n personnes.

• pour les utilisateurs situés derrière un NAT, l'adresse IP reçue par l'Olfeo n'est pas celle dela machine à l'origine de la requête.

• Une adresse IP peut être dynamique (attribuée par le serveur DHCP) : un même utilisateurpourra changer fréquemment d'IP, et une même adresse IP pourra être attribuée à plusieurspersonnes successivement au cours du temps.

• L'adresse IP reçue par l'Olfeo peut aussi être celle du proxy positionné avant l'Olfeo.• Une adresse IP peut être modifiée.

Authentificationutilisant directementou indirectement lecouple identifiant/motde passe

Lorsqu'une authentification est faite ou que l'Olfeo reçoit un identifiant, il voit qu'une personnea utilisé un certain compte utilisateur pour surfer sur tel ou tel site internet, mais cela ne garantitpas que la personne physique ayant utilisé le navigateur est bien la personne titulaire de cetidentifiant. Par exemple :• un utilisateur peut avoir communiqué son mot de passe à un collègue• un utilisateur peut avoir vu le mot de passe d'un collègue et avoir utilisé ce mot de passe

pour utiliser sa machine• un utilisateur peut avoir laissé sa machine déverrouillée et quelqu'un d'autre l'a utilisée.

Contraintes liées à la force de l'authentification

Quel niveau de contrainte êtes-vous prêts à gérer?

Une authentification forte est contraignante. Avec des méthodes fortes, chaque requête est authentifiée :• Vous devrez définir des exceptions pour toutes les applications ne sachant pas s'authentifier, et le nombre d'exceptions

peut être conséquent.• En outre, il sera nécessaire d'utiliser un Active Directory comme contrôleur de domaine, et il sera obligatoire de joindre

la machine Olfeo au domaine Windows.

NTLM • Certains services web ne sont pas tolérants à une authentification NTLM via un proxy, par exempleWindows update ou les applets Java. Vous devrez définir des exceptions dans le paramétrage del'authentification NTLM.

• Cette méthode présente un coût réseau élevé, chaque requête entraînant une authentification.

Kerberos • Utiliser la méthode Kerberos implique un coût cryptographique (et donc de ressources CPU). Cetteméthode est cependant moins coûteuse que NTLM au niveau réseau car moins d'aller-retours sont faitspour établir l'authentification.

• Pour le Kerberos natif, vous devez pouvoir extraire le fichier keytab de l'infrastructure d'authentification.• Pour Kerberos AD, la jonction au domaine Windows est obligatoire. (Elle ne l'est pas pour Kerberos natif).

Recommandation

Si vous êtes dans un environnement contrôlé (typiquement : postes fixes, dont les adresses IP sont attribuées au moment del'ouverture matinale de la session utilisateur), et que votre besoin est d'appliquer des politiques de filtrage par identifiant, utilisezun portail captif. (Avec NTLM si vous souhaitez que l'utilisateur n'ait pas à entrer son mot de passe.) Cette solution vous permetde vous affranchir des contraintes imposées par les méthodes d'authentification fortes : coût réseau et/ou cryptographique,nombreuses exceptions à gérer au quotidien...



Résumé

Méthode Annuaire utilisé pourauthentifier/identifier

Transparent pourl’utilisateur ?

Authentification/identification réaliséepar ?

NTLM AD Oui (avec fallback explicite) Proxy

Kerberos AD AD Oui Proxy

Kerberos natif n/a (la méthode ne s'appuiepas sur un annuaire)

Oui Proxy

LDAP basique LDAP, AD, Novell Non (fenêtre pop-up) Proxy

Portail captif LDAP, AD, Novell Non (page HTML) Moteur de filtrage

Portail captif NTLM AD Oui Moteur de filtrage

SSO Novell Novell Oui Moteur de filtrage

Authentification et type d'intégration

Suivant le type d'intégration, l'Olfeo ne récupère pas les mêmes informations.



Typed'intégration

Informations récupérées

Intégration proxy • Proxy explicite : l'intégration en mode proxy explicite permet d'utiliser une méthoded'authentification forte (NTLM ou Kerberos).

Si le proxy ne demande pas d'authentification, il récupère les adresses IP.• Proxy en interception : l'Olfeo récupère les adresses IP.

Il n'est pas possible de faire de l'authentification forte avec un proxy en interception : le navigateurn'échange pas d'informations avec le proxy, celui-ci ne peut donc pas demander d'authentificationau navigateur. L'authentification est automatiquement désactivée sur un proxy en interception.

Intégrationcouplage/connecteur

Dans une intégration en mode couplage, si l'équipement tiers (proxy, UTM) réalise uneauthentification, l'identifiant de l'utilisateur sera transmis au moteur de filtrage.• protocole ICAP : pour transmettre les identifiants, l'équipement tiers doit être paramétré

pour fournir l'en-tête ICAP X-Client-Username ou l'en-tête HTTP X-Forwarded-User (pourles équipements transmettant les identifiants)/X-Authenticated-User (pour les équipementsréalisant eux-mêmes l'authentification).

• Les équipements utilisant le protocole WISP (Cisco et Juniper) ne font pas d'authentification. Ilsne transmettront que l'adresse IP.

Intégrationréseau

• En coupure : l'Olfeo reçoit les adresses IP.

Si la coupure est faite devant un proxy réalisant une authentification NTLM ou basique, l'Olfeopeut récupérer les identifiants des utilisateurs.

• En miroir de port :• L'Olfeo peut récupérer les identifiants si on copie le trafic à destination d'un proxy explicite

qui réalise de l'authentification NTLM.• Si on copie le trafic à destination de la passerelle, seules les adresses IP sont récupérées.

Dans tous les cas, si un équipement situé avant l'Olfeo dans votre architecture réalise une authentification, l'Olfeo pourrarecevoir l'identifiant de l'utilisateur (si l'équipement transmet cette information).

Traitement des adresses IP récupérées

Si l'Olfeo reçoit uniquement des adresses IP (et pas d'identifiants), il ne peut pas identifier les utilisateurs, l'adresse IP ne luipermettant pas de faire le lien avec la liste des utilisateurs (sauf pour les utilisateurs créés à la main pour lesquels on a renseignéune adresse IP). Pour résoudre ce problème, vous pouvez :

• Utiliser un portail captif ou un mécanisme SSO Novell afin d'associer les adresses IP récupérées aux identifiants desutilisateurs. Vous pourrez ainsi appliquer une politique à n'importe quel niveau (utilisateur, groupe ou UO).

• Créer les utilisateurs automatiquement à partir de leur adresse IP (autocréation par IP), et donc appliquer une politiquesur le groupe ou l'UO.

• Créer manuellement un utilisateur de type plage d'IPs et lui appliquer une politique.

Identifiant (et adresse IP)

Si l'Olfeo reçoit l'identifiant de l'utilisateur (si une authentification a été faite par un autre équipement avant que le flux n'arriveà l'Olfeo), il retrouve celui-ci dans la liste des utilisateurs et applique la politique correspondante.



Compatibilité entre méthodes d'authentification/identification et modesd'intégration

Proxy explicite Proxyinterception

Couplage/connecteur

Coupure Miroir de port

NTLM Oui Non Non Non Non

Kerberos AD Oui Non Non Non Non

Kerberos natif Oui Non Non Non Non

LDAP basique Oui Non Non Non Non

Portail captif Oui Oui Oui Oui Oui

Portail captif avecNTLM

Oui Oui Oui Oui Oui

SSO Novell Oui Oui Oui Oui Oui

Voir aussi...Types d'intégration et fonctionnalités compatibles à la page 182

Populations et méthodes d'authentification multiples

Il est possible que vous deviez gérer plusieurs populations différentes : issues de différents annuaires, situées sur des réseauxséparés ou sur des sites différents. Vous pouvez utiliser des méthodes d'authentification ou d'identification différentes suivantles populations. Dans ce cas, faites attention à l'interaction entre les différentes méthodes mises en place (suivant quel'authentification/identification est faite par le proxy ou par le moteur de filtrage), afin que l'une n'empêche pas l'autre defonctionner.

Interaction entre les différentes méthodes

Le proxy HTTP ne peut attendre qu'une seule méthode d'authentification à la fois. Par contre, vous pouvez définir plusieursméthodes d'identification au niveau du moteur de filtrage.

Il est possible de configurer à la fois une authentification au proxy HTTP et des règles du moteur, à condition d'ajouterdes exceptions à l'authentification proxy. En effet, si le proxy HTTP est configuré pour demander une authentification, c'estl'authentification auprès du proxy qui est réalisée en premier, avant que les règles du moteur de règles ne soient traitées.

• Conflits proxy HTTP/moteur de filtrage :

Si le proxy HTTP est paramétré pour demander une authentification, vous devez définir des exceptions pour toutes lespopulations concernées par une méthode d'identification gérée par le moteur de filtrage.

Exemple : on veut envoyer le portail public à certains utilisateurs : il faut définir une exception à l'authentification au proxyHTTP pour ces utilisateurs. Sans cela, ils ne pourront pas recevoir la page de connexion au portail public (l'authentificationsera considérée comme échouée).

Pour exclure des populations de l’authentification au proxy HTTP, dans les règles d'authentification, définissez des plagesd'IPs (colonne Source), ou des ports d'écoute du proxy (colonne Ports du proxy).

• Priorités entre plusieurs types d'identifications gérées par le moteur de filtrage :



Exemple : Votre organisation utilise un annuaire Novell et un annuaire AD, dont les utilisateurs sont situés sur le mêmeréseau. Les utilisateurs Novell sont identifiés par un mécanisme SSO Novell, les utilisateurs de l'AD par un portail captif.Vous devez créer 2 règles dans le moteur de filtrage, et le mécanisme SSO Novell doit être positionné en premier. Eneffet, si l'identification par mécanisme SSO Novell échoue, le moteur passe à la règle suivante et envoie une page de portailcaptif à l’utilisateur. Si l'on positionnait le portail captif en premier, dans le cas où l'authentification échouerait, le moteurde filtrage renverrait indéfiniment la page de connexion au portail et ne passerait jamais au mécanisme SSO Novell.

Définissez les règles sur les plages d'IPs correspondant à vos populations d'utilisateurs (que ceux-ci soient situés sur lemême réseau ou sur des 2 réseaux différents).

Élément authentifiant

Quel élément de l'Olfeo gère quelle méthode d'authentification?

Proxy HTTP (intégrationen mode proxy expliciteuniquement)

• Kerberos• NTLM• LDAP basique

Moteur de filtrage (tous modesd'intégration)

• Portail captif : LDAP basique• Portail public : base SQL locale• Agent SSO Novell

Identification, gérée par le moteur de filtrage

Portail captif

L'authentification par portail captif consiste à envoyer à l'utilisateur une page de connexion : l'utilisateur doit entrer sonidentifiant et son mot de passe, et ceux-ci sont vérifiés dans l'annuaire avant que l'utilisateur puisse accéder à internet.

• Vous pouvez personnaliser la page de connexion au portail captif envoyée par l'Olfeo afin de l'adapter à la charte graphiquede votre organisation.

• Une fois l'utilisateur connecté au portail captif, l'authentification reste valable pour toute requête émanant de la machine.Toutes les applications qui ne savent pas s'authentifier fonctionneront tant que l'utilisateur restera connecté. Il n'est doncpas nécessaire de définir d'exceptions au portail captif.

La solution Olfeo propose également un type de portail captif destiné à gérer les utilisateurs invités, appelé portail public.Pour le portail public, les identifiants et mots de passe des utilisateurs sont créés et gérés par l'Olfeo et non via un annuaire.Cette fonctionnalité est différente du portail captif décrit dans cette section. Elle est traitée dans le chapitre suivant : Gérerdes portails publics à la page 113.



Portail captif transparent pour l'utilisateur avec NTLM

Si vous utilisez un annuaire Active Directory, vous pouvez coupler la fonctionnalité de portail captif avec NTLM pour mettre enplace une authentification faible transparente pour l'utilisateur. Une seule action d'authentification est réalisée avant de passerà l'identification, mais cette authentification est faite directement par NTLM et l'utilisateur ne reçoit pas de page de connexionau portail captif. La page de connexion n'est envoyée que dans le cas où l'authentification NTLM échouerait.

Cette fonctionnalité est une très bonne alternative au mécanisme d'authentification forte NTLM géré par le proxy. D'une part,elle permet d'avoir un mécanisme transparent pour l'utilisateur avec une intégration connecteur où les flux ne passent pas parun proxy Olfeo. Plus généralement, la solution "portail captif avec NTLM" permet de ne pas avoir d’exceptions à gérer, et faitbaisser le coût réseau de l'authentification. Il faut cependant tenir compte des limitations suivantes :• Vous devez utiliser un annuaire Active Directory et l'Olfeo doit être joint au domaine Windows.• L'Olfeo doit être déclaré comme membre de la zone locale du navigateur.

• Configuration dans Firefox : à la page about:config, entrez l'adresse IP du proxy dans le paramètrenetwork.automatic-ntlm-auth.trusted-uris.

• Configuration dans Chrome et Internet Explorer : dans les Options Internet, dans l'onglet Sécurité, cliquez surIntranet local. Cliquez sur Sites, puis sur Avancé. Ajoutez l'adresse IP de l'Olfeo à la liste.

Modes d'intégration compatibles

Le portail captif peut être utilisé avec tous les types d'intégration.

Contraintes et limitations

• Le portail captif est un mécanisme d'authentification faible (LDAP basique) dont la fiabilité diminue au cours du temps.• L'authentification par portail captif est réalisée par le moteur de filtrage. Elle est indépendante de toute authentification

faite au niveau du proxy HTTP, et n'est pas compatible avec elle. Si vous avez configuré le proxy HTTP pourdemander une authentification, définissez une exception pour les utilisateurs du portail captif. Sans cela, les utilisateurs nerecevraient jamais la page de portail captif : si l'authentification proxy échouait, le proxy utiliserait la méthode de fallbackcorrespondante.

• L'authentification par portail captif n'est pas pertinente pour gérer des serveurs TSE ou Citrix (car l'adresse IP du serveurest la seule récupérée par l'Olfeo) : utilisez plutôt un mécanisme d'authentification forte (NTLM, Kerberos AD ou Kerberosnatif).

• Le portail captif ne peut authentifier que des utilisateurs synchronisés dans l'Olfeo.

Fonctionnement

Le portail captif fonctionne selon 2 phases : pour la première requête reçue, l'Olfeo réalise une action d'authentification, puispour toutes les autres ne fait plus que des actions d'identification.

1. Lorsque l'utilisateur tente d'accéder à internet, le moteur de filtrage lui envoie une page demandant son identifiant et sonmot de passe (la page de connexion au portail captif).

2. L'utilisateur entre son identifiant et son mot de passe : l'Olfeo vérifie que l'identifiant existe dans la liste des utilisateurs,puis vérifie les informations dans l'annuaire.• Si l'authentification échoue, l'Olfeo renvoie la page de connexion, sauf si un compte invité a été défini dans la zone

d'authentification (dans ce cas, l'utilisateur est authentifié sur le compte invité).• Si l'authentification est validée, la requête est envoyée au moteur de filtrage, qui applique les règles et politiques

correspondant à l'utilisateur.



3. Une fois l'authentification faite, l'Olfeo stocke en interne la correspondance entre l'identifiant de l'utilisateur et son adresseIP.

4. Pour toutes les autres requêtes : une fois les informations d'authentification stockées, et tant que le stockage dure, lorsqu’unerequête est reçue, l'Olfeo se base sur l'adresse IP pour identifier l'utilisateur.

Déconnexion :

• Lorsque l'utilisateur se connecte au portail captif, une fenêtre popup contenant un lien de déconnexion s'ouvre. Si lenavigateur bloque les popups, on affiche pendant quelques secondes une page d'information à ce sujet avant de redirigervers la page demandée.

• Si l'utilisateur n'a pas la popup de déconnexion (si celle-ci a été bloquée ou il s'il l'a fermée), il peut se déconnecter en serendant à la page http://keyword.olfeo.com/logout.

• L'utilisateur est automatiquement déconnecté du portail captif au bout de 10 minutes d'inactivité.

Mettre en place une authentification par portail captif

1. Synchronisez le ou les annuaires contenant vos utilisateurs.

2. Créez une zone d'authentification contenant le ou les annuaires désirés.

3. Rendez-vous à la page du moteur de règles en suivant les menus Administration > Utilisateurs.

4. Dans l'onglet Accès du tableau du haut, ajoutez une règle grâce au bouton "ajouter" en bas à gauche du tableau.

5. Dans la colonne Source, définissez à quels utilisateurs le portail captif sera fourni.

6. Dans la colonne Action, cliquez sur l'icône . La fenêtre Action s'ouvre.

a. Dans le menu Sélectionner, choisissez Portail captif.

b. Dans le menu Portail, sélectionnez la zone d'authentification désirée.

c. Si vous souhaitez que l'authentification soit transparente pour l'utilisateur, cochez la case Utiliser NTLM. Voir lasection ci-dessus, Portail captif transparent pour l'utilisateur avec NTLM à la page 46.

d. Cliquez sur Valider pour enregistrer les changements. La fenêtre Action se ferme.

7. Cliquez sur Valider en bas à droite du tableau pour enregistrer les changements.

8. Si le déchiffrement SSL n'est pas activé, activez les pages de blocage en HTTPS : en effet, si la première requête del'utilisateur est une requête HTTPS, son navigateur attendra une réponse en HTTPS (il faut donc lui fournir la page deconnexion au portail captif en HTTPS). Si le déchiffrement SSL est activé, aucun paramétrage n'est nécessaire.

Mécanisme SSO Novell

RemarqueCette page ne concerne que des utilisateurs synchronisés dans un annuaire Novell eDirectory.

Si vous souhaitez que des utilisateurs issus d'un annuaire Novell soient identifiés de façon transparente (c'est-à-dire sans avoirà saisir leur identifiant et mot de passe), activez l'identification via le mécanisme SSO Novell.

Celui-ci permet d'identifier les utilisateurs via une association entre l'adresse IP et la propriété Network Address issue del'annuaire. Si cette option n'est pas activée, il faudra authentifier les utilisateurs de l'annuaire Novell avec la méthode LDAPbasique ou un portail captif (l'utilisateur devra saisir son identifiant et son mot de passe).




L'identification par mécanisme SSO Novell peut être utilisée avec tous les types d'intégration.


Le mécanisme SSO Novell est un mécanisme d'identification. Son niveau de sécurité est limité.

L'identification SSO Novell ne doit pas être utilisée avec des architectures client léger car seule l'adresse IP du serveur serareçue par l'Olfeo.

Fonctionnement

1. Lorsque l'utilisateur ouvre sa session, l'annuaire Novell stocke son adresse IP dans un champ Network Address.

2. Toutes les 3 minutes, le moteur de filtrage interroge l'annuaire Novell et établit une correspondance entre l'identifiant etl'adresse IP de l'utilisateur récupérée dans le champ Network Address.

3. Lorsque l'utilisateur tente d'accéder à internet, l'adresse IP est recherchée dans la table d'association afin de récupérerl'identifiant.

4. Le moteur de filtrage regarde l'identifiant et applique la politique correspondante. S'il ne trouve pas d'identifiantcorrespondant à l'adresse IP, il passe à la règle suivante dans le moteur de règles.

Mettre en place le mécanisme SSO pour Novell

1. Dans l'annuaire Novell, mappez le champ Network Address vers le service LDAP. (Celui-ci n'est pas présenté en LDAPpar défaut.)

2. Synchronisez l'annuaire Novell contenant vos utilisateurs.


4. Dans l'onglet Accès du tableau du haut, ajoutez une règle grâce au bouton "ajouter" en bas à gauche du tableau.

5. Dans la colonne Source, sélectionnez l'UO correspondant à l'annuaire Novell.


a. Dans le menu Sélectionner, choisissez SSO LDAP.

b. Cliquez sur Valider pour enregistrer les changements. La fenêtre Action se ferme.


Authentification auprès du proxy HTTP

La page Proxy avancé > HTTP > Authentification vous permet de définir dans quels cas le proxy HTTP demandera uneauthentification ou non, et quelle méthode d'authentification utiliser. Par exemple, vous pouvez :• Désactiver l'authentification pour les mises à jour automatiques d'un serveur qui n'accède à l'extérieur que pour des tâches

connues et planifiées.



• Mettre en place une authentification forte pour les utilisateurs connectés à un serveur TSE (ceux-ci ne peuvent pas êtreidentifiés via leur adresse IP car seule celle du serveur TSE est reçue par le proxy).

• Désactiver l'authentification pour les utilisateurs identifiés via le moteur de filtrage (portail captif, SSO Novell).• Désactiver l'authentification pour les applications clientes ne supportant pas la méthode authentification sélectionnée.• Appliquer l'authentification à seulement certaines populations (plages d'IP, ou certains ports du proxy, afin que seules les

populations qui envoient les flux sur ce port de l'Olfeo soient authentifiées).

Une seule méthode d'authentification peut être appliquée à un même proxy. Pouvoir s'authentifier auprès du proxy HTTPexige que le mode d'intégration soit en proxy explicite (car il y a échange direct d’informations entre le client et le proxy).

• Si le proxy HTTP est configuré pour demander une authentification, c'est l'authentification auprès du proxy qui sera réaliséeen premier, avant que les règles du moteur de règles ne soient traitées.

• Pour l'authentification NTLM, si vous avez plusieurs annuaires AD, un seul annuaire peut être joint au domaine : vous devezmettre en place les relations d'approbation appropriées pour que l'authentification puisse se faire sur tous les annuaires AD.

Méthodes disponibles

Les méthodes d'authentification au proxy HTTP disponibles sont les suivantes :• NTLM (Active Directory)• Kerberos (pour AD 2003 et inférieur)• Kerberos 2008 (pour AD 2008 et supérieur)• Kerberos (natif)• Basique - {nom de la zone d'authentification} : authentification LDAP basique. La liste proposera toutes les zones

d'authentification créées à la page Paramétrage > Authentification > Modes.

À la page Proxy avancé > HTTP > Authentification, les choix présents dans la liste Méthode d'authentification dépendentdes types d'annuaires avec lesquels votre Olfeo est synchronisé (NTLM et Kerberos Windows : annuaire Active Directory,LDAP basique : tous types d'annuaires (LDAP, AD, Novell). Kerberos natif ne nécessite pas d'annuaire).

Authentification NTLM

NTLM permet d'authentifier des utilisateurs issus d'un annuaire Active Directory. NTLM réalise :• Une authentification NTLM SSP, transparente pour l’utilisateur, pour les utilisateurs utilisant un poste client membre du

domaine ou ayant ouvert une session Windows avec leur compte de domaine. L'utilisateur est authentifié à chaque requête.• En solution de secours, une authentification NTLM basique, explicite pour l'utilisateur, pour les utilisateurs dont le

poste n'est pas joint à l'AD. Une fenêtre pop-up s'affichera et l'utilisateur devra saisir son identifiant et son mot de passe.

NTLM authentifiera tout utilisateur de l'annuaire, cependant, pour que les politiques (ainsi que les quotas, l'outrepassement,etc) puissent être appliquées, il faut que les utilisateurs soient synchronisés dans l'Olfeo. Les utilisateurs non synchronisésseront authentifiés et pourront accéder à internet, mais ils seront considérés comme des utilisateurs inconnus et le moteurleur appliquera la politique par défaut.


L'authentification NTLM peut uniquement être utilisée en mode proxy explicite. En effet, dans les autres modes d'intégration,le navigateur ne communique pas directement avec le proxy.


• L'authentification NTLM est un mécanisme fort, qui présente de fortes contraintes : voir Contraintes liées à la force del'authentification à la page 41. De plus, son coût réseau est élevé : d'une part, chaque requête doit être authentifiée,



d'autre part l'authentification demande plusieurs allers-retours entre le client, le proxy et l'annuaire (il est normal que vousconstatiez un grand nombre de codes 407 dans vos logs).

• Une infrastructure Active Directory est nécessaire, et l'Olfeo doit être joint au domaine Windows.• Si vous avez des utilisateurs gérés via un annuaire autre qu'Active Directory, vous devrez utiliser une autre méthode

d'authentification pour ceux-ci, et ajouter une exception à l'authentification NTLM pour ces utilisateurs.• Pour que l'authentification NTLM fonctionne, l'Olfeo doit être synchronisé avec le serveur NTP interne à l'AD ou avec le

même serveur NTP que l'AD. Voir Connecter votre Olfeo à un serveur NTP à la page 16.• Le hostname de la machine ne peut excéder 15 caractères.

Fonctionnement

Principe : La machine cliente et l'AD stockent tous les deux une représentation du mot de passe de l'utilisateur. Chacunva utiliser le mot de passe comme clé de chiffrement pour chiffrer une même chaîne. Si les résultats correspondent,l'authentification est validée.

Étapes du mécanisme :

1. L'utilisateur ouvre une session Windows sur sa machine, sur un domaine Active Directory. La machine stocke unereprésentation du mot de passe de l'utilisateur.

2. L'utilisateur tente d'accéder à une page web : le proxy reçoit sa requête.

3. Le proxy envoie une demande d'authentification au navigateur (code 407). Celle-ci inclut l'en-tête Proxy-Authenticate:NTLM pour indiquer au navigateur qu'il attend une authentification NTLM (et Proxy-Authenticate: Basicrealm="Squid Olfeo" pour indiquer la méthode de fallback).

4. Le navigateur envoie à nouveau la requête au proxy, en incluant un en-tête Proxy-Authorization contenant l'identifiantde l'utilisateur, le hostname de la machine et son domaine.

5. Le proxy envoie ces informations à l'annuaire AD, qui les stocke. L'annuaire sait donc que l'utilisateur cherche às'authentifier.

6. Afin de traiter la demande d'authentification, l'annuaire génère un "challenge", c'est-à-dire une chaîne aléatoire sur 16 octets,et l'envoie au proxy. Le proxy transmet le challenge au client dans une nouvelle demande d'authentification (407).

7. Le client fait un hash du challenge avec son mot de passe et l'envoie au proxy, dans une nouvelle requête. Le proxy transmetce hash à l'AD.• Authentification validée : L'AD identifie l'utilisateur grâce au informations précédemment stockées. Il fait lui-même

un hash du challenge avec le mot de passe de l'utilisateur et compare celui-ci avec le hash réalisé par le client : si lesdeux correspondent, cela veut dire que c'est le même mot de passe qui a chiffré le challenge, l'authentification est doncvalidée. L'AD informe le proxy que l'authentification est validée, et le proxy envoie le flux au moteur de filtrage. Lemoteur de filtrage applique les règles et politiques concernant cet utilisateur : le cas échéant, l'utilisateur peut accéderà la page demandée.

L'utilisateur est ré-authentifié à chaque requête.• Authentification échouée : L'AD tente d'identifier l'utilisateur grâce aux informations précédemment stockées. Si

toutes les informations ne correspondent pas (par exemple, si la machine n'est pas membre du domaine), l'AD informele proxy que l'authentification a échoué. Le proxy envoie au client une demande d'authentification explicite (code 407) :le navigateur ouvre une fenêtre pop-up pour que l'utilisateur saisisse son identifiant et son mot de passe.

Mettre en place une authentification NTLM

1. Synchronisez le ou les annuaires Active Directory contenant vos utilisateurs. Dans la page de configuration de l'annuaire,remplissez la section Domaine. Si vous synchronisez plusieurs AD, relations d'approbation.

2. Joignez l'Olfeo au domaine Windows.



3. À la page Proxy avancé > HTTP > Authentification, sélectionnez NTLM (Active Directory) dans la liste Méthoded'authentification. La page affiche les options correspondantes. Le champ Statut indique le domaine Windows auquell'Olfeo est joint.

4. Si besoin, modifiez le nombre de processus d'authentification instanciés dans le champ Nombre d'instances. Le nombred'instances correspond au nombre de demandes d'authentification qui peuvent être traitées en parallèle à un instant donné.

(Si vous entrez 30, l'Olfeo lance 30 processus NTLM SSP et 30 NTLM basiques.)

5. Dans la section Règles, définissez les cas dans lesquels une authentification sera demandée ou non.• Ajoutez une règle grâce au bouton .• Définissez des critères :

• Sources : définissez les plages d'adresses IP concernées par la règle.• User-Agent : utilisez ce paramètre pour désactiver l'authentification auprès du proxy HTTP pour certains types

d'applications clientes incapables de s'authentifier (lecteur audio/vidéo...). Définissez une expression rationnelle surl'en-tête User-agent de la requête. Attention, toutes les requêtes n'incluent pas cet en-tête (le navigateur peut avoirété paramétré pour l'omettre). Pour ajouter un user-agent, utilisez la dernière ligne du tableau.

• Ports du proxy : la règle ne s'appliquera qu'aux flux reçus sur le port spécifié. La liste propose tous les ports quine sont pas en interception (en effet, l'interception ne tolère pas l'authentification).

• Destination : la règle s'appliquera uniquement aux requêtes à destination de ces domaines. Vous pouvez indiquerdes URLs spécifiques grâce à une expression rationnelle, ou bien utiliser des listes d'URL ou des listes de domainesexistantes.

• Authentification : définissez si dans le cas décrit par la règle, le proxy doit demander une authentification ou non.

• Si besoin, modifiez l'ordre des règles grâce aux flèches et . Le proxy évaluera les règles une par une de haut en bas :assurez-vous qu'aucune règle n'en bloque une autre. Par exemple, positionnez une règle désactivant l'authentificationpour la mise à jour d'un serveur applicatif avant une règle demandant l'authentification des utilisateurs du serveur, sinonles mises à jour seront bloquées.

6. Sous la liste de règles, dans la liste Par défaut, définissez le comportement à adopter pour les requêtes ne correspondantà aucune des règles. (Pas d'authentification, ou Authentification).


Authentification Kerberos AD

Kerberos AD permet d'authentifier des utilisateurs issus d'un annuaire Active Directory. Cette méthode réalise uneauthentification transparente pour l’utilisateur, pour les utilisateurs utilisant un poste client membre du domaine et ayant ouvertune session Windows avec leur compte de domaine. L'utilisateur est authentifié à chaque requête.

Kerberos AD authentifiera tout utilisateur de l'annuaire, cependant, pour que les politiques (ainsi que les quotas,l'outrepassement, etc) puissent être appliquées, il faut que les utilisateurs soient synchronisés dans l'Olfeo. Les utilisateurs nonsynchronisés seront authentifiés et pourront accéder à internet, mais ils seront considérés comme des utilisateurs inconnus etle moteur leur appliquera la politique par défaut.

Le proxy HTTP gère 2 versions de Kerberos AD : pour AD 2003 et antérieures, et 2008 et supérieures.


L'authentification Kerberos AD peut uniquement être utilisée en mode proxy explicite. En effet, dans les autres modesd'intégration, le navigateur ne communique pas directement avec le proxy.


L'authentification Kerberos est un mécanisme fort, qui présente de fortes contraintes :



• Une infrastructure Active Directory est nécessaire, et l'Olfeo doit être joint au domaine Windows.• Si vous avez des utilisateurs gérés via un annuaire autre qu'Active Directory, vous devrez utiliser une autre méthode

d'authentification pour ceux-ci, et ajouter une exception à l'authentification Kerberos pour ces utilisateurs.• L'authentification Kerberos présente un coût cryptographique important (ressources CPU). Un épuisement des ressources

CPU se traduit par un grand nombre d'échecs d'authentification, ainsi que de gros ralentissements de surf pour lesutilisateurs authentifiés.

• Pour assurer une bonne performance, les serveurs DNS utilisés doivent être très réactifs.• L'authentification Kerberos n'est compatible avec Internet Explorer qu'à partir de la version 7.• Au niveau des postes client, c'est le FQDN du proxy qui doit être renseigné, et non son adresse IP.• Pour que l'authentification Kerberos AD fonctionne, l'Olfeo doit être synchronisé avec le serveur NTP interne à l'AD ou

avec le même serveur NTP que l'AD. Voir Connecter votre Olfeo à un serveur NTP à la page 16.• Kerberos est incompatible avec les "clusters" Olfeo. Pour faire de la répartition de charge entre des machines Olfeo

demandant une authentification Kerberos, utilisez un proxy.pac. Vous pouvez également définir un SPN identique pourles 2 machines (le SPN de la machine est défini dans l'AD).

• Le hostname de la machine ne peut excéder 15 caractères.

Mettre en place une authentification Kerberos AD

1. Synchronisez le ou les annuaires Active Directory contenant vos utilisateurs. Dans la page de configuration de l'annuaire,remplissez la section Domaine. Si vous synchronisez plusieurs AD, établissez les relations d'approbation appropriées pourque l'authentification prenne en compte tous les AD.

2. À la page Proxy avancé > HTTP > Authentification, dans la liste Méthode d'authentification, sélectionnez Kerberosou Kerberos 2008 (selon la version de votre annuaire : voir ci-dessus). La page affiche les options correspondantes et lechamp Statut indique le domaine Windows auquel l'Olfeo est joint.

3. Joignez l'Olfeo au domaine Windows.













Authentification Kerberos natif

Kerberos natif réalise une authentification transparente pour l’utilisateur, pour tout utilisateur ou service utilisant une machinemembre d'un royaume Kerberos. L'utilisateur est authentifié à chaque requête.

Tout utilisateur connu du royaume Kerberos sera authentifié, cependant, pour que les politiques (ainsi que les quotas,l'outrepassement, etc) puissent être appliquées, il faut que les utilisateurs soient synchronisés dans l'Olfeo. Les utilisateurs nonsynchronisés seront authentifiés et pourront accéder à internet, mais ils seront considérés comme des utilisateurs inconnus etle moteur leur appliquera la politique par défaut.

Kerberos natif ne nécessite pas d'annuaire, seulement une infrastructure Kerberos indépendante. Vous pouvez par exemplel'utiliser pour offrir un service de proxy identifiant, pour des utilisateurs appartenant à un royaume qui ne fait pas partie deleur réseau, par exemple, une plateforme hébergée.


L'authentification Kerberos peut uniquement être utilisée en mode proxy explicite. En effet, dans les autres modes d'intégration,le navigateur ne communique pas directement avec le proxy.


L'authentification Kerberos est un mécanisme fort, qui présente de fortes contraintes :

• L'authentification Kerberos présente un coût cryptographique important (ressources CPU). Un épuisement des ressourcesCPU se traduit par un grand nombre d'échecs d'authentification, ainsi que de gros ralentissements de surf pour lesutilisateurs authentifiés.

• Un royaume Kerberos est nécessaire (implémentation MIT ou Heimdal).• L'authentification Kerberos n'est compatible avec Internet Explorer qu'à partir de la version 7.• Au niveau des postes client, c'est le FQDN du proxy qui doit être renseigné, et non son adresse IP.• Pour que l'authentification Kerberos fonctionne, l'Olfeo doit être synchronisé avec le même serveur NTP que l'ensemble

du royaume Kerberos (utilisateurs, éléments d'infrastructure Kerberos : KDC, AS...). Voir Connecter votre Olfeo à unserveur NTP à la page 16.

• Pour faire de la répartition de charge entre des machines Olfeo demandant une authentification Kerberos, utilisez unproxy.pac.

Mettre en place une authentification Kerberos natif

1. À la page Proxy avancé > HTTP > Authentification, dans la liste Méthode d'authentification, sélectionnez Kerberos(natif). La page affiche les options correspondantes.

2. Renseignez le fichier keytab, le nom du royaume Kerberos, et le serveur associé (hostname ou adresse IP du KDC de votreroyaume Kerberos). Pour plus d'informations, référez-vous à la documentation de votre implémentation de Kerberos.




d'applications clientes incapables de s'authentifier (lecteur audio/vidéo...). Définissez une expression rationnelle sur



l'en-tête User-agent de la requête. Attention, toutes les requêtes n'incluent pas cet en-tête (le navigateur peut avoirété paramétré pour l'omettre). Pour ajouter un user-agent, utilisez la dernière ligne du tableau.







Authentification LDAP basique

L'authentification LDAP basique est une méthode d'authentification explicite : le navigateur ouvre une fenêtre pop-updemandant à l'utilisateur de saisir son identifiant et son mot de passe.

Une authentification LDAP basique peut authentifier des utilisateurs issus de n'importe quel type d'annuaire supporté parOlfeo. Attention, même s'ils sont authentifiés par le proxy, les utilisateurs non synchronisés dans l'Olfeo seront considéréscomme des utilisateurs inconnus.


L'authentification LDAP basique auprès du proxy HTTP peut uniquement être utilisée en mode proxy explicite. En effet, dansles autres modes d'intégration, le navigateur ne communique pas directement avec le proxy.


L'authentification LDAP basique est un mécanisme d'authentification faible : sa fiabilité diminue au cours du temps. Elle estpeu sécurisée car les identifiants et mots de passe circulent en clair sur le réseau.

Fonctionnement

1. L'utilisateur tente d'accéder à internet.

2. Le proxy envoie une demande d'authentification au navigateur (code 407).

3. Le navigateur ouvre une fenêtre pop-up demandant à l'utilisateur de saisir son identifiant et son mot de passe.



4. L’utilisateur saisit son identifiant et son mot de passe et clique sur OK.

5. Ces informations arrivent au proxy : celui-ci tente une authentification auprès de l'annuaire correspondant (il vérifie le motde passe dans l'annuaire).• Si l'authentification réussit, le moteur de filtrage applique les règles et politiques concernant cet utilisateur : le cas

échéant, l'utilisateur peut accéder au site demandé. L'utilisateur reste identifié auprès du proxy pendant 2h. L'associationIP/identifiant est également utilisée pour le filtrage applicatif ou les proxys autres qu'HTTP.

• Si l'authentification échoue, le navigateur renvoie la pop-up d'authentification indéfiniment, sauf si un compte invité aété défini dans la zone d'authentification (dans ce cas, l'utilisateur est authentifié sur le compte invité).

Mettre en place une authentification LDAP basique

1. Synchronisez le ou les annuaires contenant vos utilisateurs.

2. Créez une zone d'authentification contenant le ou les annuaires désirés.

3. À la page Proxy avancé > HTTP > Authentification, sélectionnez cette zone d'authentification dans la liste. La pageaffiche les options correspondantes.











Créer une zone d'authentification

Une zone d'authentification est une liste de moyens d'authentification (annuaires LDAP ou identifiant par défaut) qui sert àgérer :

• l'authentification par portail captif• l'authentification LDAP basique.



Fonctionnement

Pour ces deux types d'authentification, lorsqu'un utilisateur essaye de se connecter à internet, il reçoit :• dans le cas du portail captif, une page de connexion envoyée par l'Olfeo• dans le cas de l'authentification LDAP basique, une fenêtre d'authentification ouverte par le navigateur.

Une fois que l'utilisateur a saisi son identifiant/mot de passe, l'Olfeo vérifie ces informations : il tente une authentificationauprès de l'annuaire correspondant (il vérifie le mot de passe dans l'annuaire). Pour le portail captif, il vérifie d'abord quel'identifiant existe dans la liste des utilisateurs : le portail captif ne peut donc authentifier que des utilisateurs synchronisésdans l'Olfeo.

Identifiant par défaut : compte invité

Pour gérer les cas où l'authentification a échoué, vous pouvez ajouter en fin de liste un compte invité servant d'identifiant pardéfaut. Tous les utilisateurs dont l'authentification a échoué seront connectés avec ce compte (utilisateur sans compte, erreurde mot de passe, aucune information saisie). Utiliser un compte invité permet de définir des politiques par défaut pour ceportail captif différentes de celles de l'élément Configuration par défaut de la liste des utilisateurs. Le compte invité doitexister dans la liste des utilisateurs. Sans compte invité, si l'authentification échoue, le navigateur affichera à nouveau la pageou la popup de connexion.

Créer une zone d'authentification

Rendez-vous à la page Paramétrage > Authentification > Zones d'authentification.

1. Cliquez sur Ajouter une zone d'authentification. La page de création s'ouvre.

2. Saisissez un nom et une description.

3. Ajoutez un moyen d'authentification à l'aide du bouton "ajouter" .

4. Dans la ligne nouvellement créée, cliquez sur le lien "---" de la colonne Type de module. La fenêtre Type de modules'ouvre.• LDAP : sélectionnez l'annuaire souhaité dans la liste.• Invité : dans le champ Identifiant de l'utilisateur, saisissez l'identifiant du compte invité qui servira d'identifiant par

défaut (voir la section Fonctionnement ci-dessus). Ce compte doit exister dans la liste des utilisateurs. Le compteinvité doit être le dernier moyen d'authentification dans la liste.

5. Cliquez sur Valider. La fenêtre se ferme.

6. Si besoin, changez l'ordre des moyens d'authentification grâce aux flèches et . L'ordre est important : si par exemplele même identifiant existe dans 2 annuaires différents (par exemple, Administrateur), l'Olfeo authentifiera l'utilisateur avecle premier compte trouvé.


Stocker les correspondances identifiant/adresse IP

Mécanisme ip2login

À chaque authentification, la solution Olfeo stocke en interne la correspondance entre identifiant et adresse IP. Cela permet,dans les cas où l'Olfeo ne récupère que l'adresse IP de l'utilisateur (par exemple, pour le filtrage applicatif), de pouvoir appliquerla politique qui concerne cet utilisateur.



À la page Paramétrage > Avancé > Association IP/identifiant, dans le champ TTL d'une entrée, définissez la duréependant laquelle chaque correspondance doit être conservée. La valeur optimale de ce paramètre dépend de votre architecture.

Ne pas stocker la correspondance pour certaines adresses IP

Dans certains cas, faire une association entre adresse IP et identifiant n'est pas pertinent. Par exemple, pour des serveurs TSEou Citrix : l'Olfeo récupère l'adresse IP serveur, mais aussi les identifiants de tous les utilisateurs connectés au même momentà la machine. Pour gérer ces cas, définissez les serveurs à ignorer dans la section Adresses IP à exclure.

Configurer le proxy HTTP


CONFIGURER LE PROXY HTTP

Le proxy HTTP est utilisé dans les intégrations proxy : proxy explicite et proxy en interception. L'intégration proxy eninterception peut être combinée à l'intégration en coupure.

Les fonctionnalités suivantes ne sont disponibles que lorsque les flux HTTP/HTTPS passent par le proxy :• Cache• QoS• Déchiffrement SSL• Statistiques en volume et quotas en volume.

Dans ce chapitre :

• Configurer le proxy HTTP• Gérer le chaînage de proxys• Configurer l'authentification• Gérer le FTP sur HTTP• Gérer les flux HTTPS• Configurer le cache du proxy HTTP• Consulter les statistiques du cache




Page Proxy avancé > HTTP > Configuration.

Ports en écoute

La section Ports en écoute vous permet de définir les sockets (adresse IP + port) sur lesquelles l'Olfeo pourra recevoir dutrafic, et le comportement des ports associés.

Vous pouvez utiliser plusieurs ports et/ou plusieurs adresses :

• Pour segmenter les points d'accès par réseau et rendre accessible l'Olfeo à des utilisateurs situés dans des réseaux différents.• Pour appliquer des règles d'authentification différentes à des populations distinctes (voir Authentification auprès du proxy

HTTP à la page 48).• Pour n'activer le déchiffrement SSL que pour certaines populations.

Ajoutez un port en écoute grâce au bouton .

• Saisissez l'adresse IP et le port de l'interface sur laquelle le proxy doit écouter, au format adresseIP:portTCP. Si voussouhaitez écouter sur toutes les adresses IP/interfaces de la machine locale saisissez l'adresse IP : 0.0.0.0. Exemple :avec 0.0.0.0:3129, l'Olfeo écoutera sur le port 3129 de chaque interface.

• Si vous êtes en train de configurer une machine maître dans un domaine Olfeo, renseignez tous les ports de toutes lesmachines esclaves.

• Pour que le proxy fonctionne en interception sur ce port, cochez Interception. (Cette option correspond à l'option"Transparent" dans la v5 d'Olfeo.) Assurez-vous de mettre en place les redirections nécessaires (suivant votre intégration,au niveau du firewall, du routeur ou de la box Olfeo).

• Pour activer le déchiffrement des flux HTTPS reçus sur ce port, cochez la case Option SSL. La case n'est cochable quesi un certificat d'autorité a été défini à la page Proxy avancé > HTTP > Options globales SSL. Vous pouvez choisir dene pas activer le déchiffrement sur certains ports, par exemple pour des ports ne recevant que des mises à jour provenantd'URLs de confiance.

Utiliser l'en-tête HTTP "Via" : Si la case est cochée, le proxy ajoute à la requête un en-tête Via contenant une chaîneidentifiant le proxy (protocole, Squid_ID, version). Il peut être nécessaire de désactiver les en-têtes Via dans le cas où desserveurs distants refusent de servir des pages lorsque la requête provient d'un proxy. Si vous avez plusieurs Olfeo, l'en-tête Viapermet de savoir par lequel la requête a transité.

Types de requêtes autorisées par port de destination

Cette section vous permet de définir les ports vers lesquels le proxy est autorisé à transmettre des requêtes, ainsi que lesméthodes autorisées sur ces ports. Vous pouvez ainsi bloquer les connexions vers certains ports.

La configuration par défaut permet de gérer la plupart des cas.

Types de requêtes :• Navigation : Autorise la navigation HTTP standard, plus précisément les méthodes suivantes :

GET HEAD POST DELETE TRACE RPC_OUT_DATA RPC_IN_DATA

• FTP sur HTTP : Voir Gérer le FTP sur HTTP à la page 62.



• WebDAV : Extension du protocole HTTP permettant la gestion de fichiers partagés et stockés sur un serveur Web. Autoriseles méthodes suivantes :

PUT OPTIONS PROPFIND TUNNEL PROPFIND PROPPATCH MKCOL COPY MOVE LOCK UNLOCK MKDIR INDEX RMDIR LINK UNLINK PATCH BCOPY BDELETE BMOVE BPROPPATCH MKCO POLL SEARCH SUBSCRIBE

• CONNECT : Autorise la méthode CONNECT de HTTP 1.1 (utilisée notamment pour l'établissement de connexionsSSL).

Règles :

1. Ajoutez une règle à l'aide de l'icône .

2. Saisissez un port destination dans le champ de la colonne Port.• Pour saisir une plage de ports, séparez le port de début et le port de fin par un tiret. Exemple : 1025-65535.• Pour saisir plusieurs ports dans une même ligne, séparez-les par une espace. Exemple : 70 210 280.

3. Cochez les protocoles et/ou méthodes que vous souhaitez autoriser sur ces ports destination.

Si vous avez activé le déchiffrement SSL, cochez la case Navigation pour les ports correspondants (typiquement, 443).

Utiliser le mode passif étendu pour le FTP sur HTTP : Ce mode permet au proxy Olfeo d'utiliser la commande EPSVà la place de PASV et ainsi d'effectuer des requêtes FTP compatibles avec IPv6. L'option permet d'utiliser un serveurFTP qui n'implémenterait que la commande EPSV. Référez-vous à la RFC FTP Extensions for IPv6 and NATs pour plusd'informations.

Chaînage proxy

Voir Gérer le chaînage de proxys à la page 61.

Filtrage web

• Filtrer des URLs : Décochez cette case si cet Olfeo utilise le moteur de filtrage d'un autre Olfeo, ou si vous n'avez pasde licence pour le filtrage web.

• Ne pas mémoriser les autorisations : Pour des questions de performance, la solution Olfeo met en cache le résultatde l'évaluation des URLs par le moteur de règles. Cela permet de ne pas avoir à traiter des URLs appartenant à des sitesinternet déjà rencontrés.

http://tools.ietf.org/html/rfc2428



Forcez l'évaluation systématique de chaque URL si des règles du moteur de règles définissent des regex sur des URLs oudes extensions de fichier.

• Nombre maximum de redirecteurs : Le nombre de processus internes de la solution Olfeo communicant entre leproxy HTTP et le moteur de filtrage (processus squid_wrapper). La valeur par défaut (70) convient pour la majorité desinstallations de la solution Olfeo.

• Nombre de redirecteurs au démarrage• Nombre minimum de redirecteurs inutilisés : Détermine à quel moment un nouveau redirecteur doit être créé.• Parallélisme : Le nombre de threads par redirecteur (c'est-à-dire par instance de squid_wrapper).• Si le service de filtrage n'est pas disponible : Ce que doit faire le proxy HTTP si le service de filtrage ne répond pas

(par exemple, s'il est trop occupé).• Bloquer : Le proxy renvoie une erreur 403 au navigateur.• Outrepasser : Le proxy laisse passer le flux jusqu'à l'utilisateur. Aucune règle du moteur de filtrage n'est appliquée.

• Délai avant une autre connexion après une erreur : Temps d'attente avant une nouvelle tentative de connexion, en casd'erreur de connexion entre le moteur de filtrage et le redirecteur (squid_wrapper). La valeur par défaut (30 secondes)convient dans la majorité des cas.

Options du client ICAP

Cette section concerne le paramétrage du client ICAP inclus dans le proxy. Celui-ci communique avec le serveur ICAP inclusdans le moteur de filtrage (dans le Connecteur ICAP interne pour analyse de contenu), en RESPMOD, lorsque l'Olfeo doitréaliser de l'analyse de contenu et/ou transmettre ces contenus à l'antivirus (onglets Aperçu et Contenu du moteur de règles).

• En cas d'échec du service : Ce que doit faire le client ICAP si le service ICAP n'est pas disponible :• Bloquer : Le proxy envoie une page d'erreur ERR_ICAP_FAILURE au navigateur.• Outrepasser : Le proxy envoie directement la réponse à l'utilisateur, sans la transmettre au serveur ICAP. Les règles

des onglets Aperçu et Contenu du moteur de filtrage ne sont pas appliquées.

• En cas de surcharge : Ce que doit faire le client ICAP s'il reçoit plus de requêtes (en nombre de requêtes ou en volumede données) qu'il n'est capable d'en traiter :• Outrepasser : Le proxy envoie directement la réponse à l'utilisateur, sans la transmettre au serveur ICAP. Les règles

des onglets Aperçu et Contenu du moteur de filtrage ne sont pas appliquées.• Attendre : Le proxy envoie la requête à un buffer. La requête sera traitée lorsque le serveur ICAP sera à nouveau

disponible.• Forcer : Le proxy envoie quand même la requête au serveur ICAP.

• Nombre maximum de connexions : Nombre maximum de connexions simultanées entre le client et le serveur. Si la casen'est pas cochée, le client ICAP prendra la valeur indiquée par le serveur dans la requête OPTIONS.

Gérer le chaînage de proxys

Plusieurs proxys peuvent être situés les uns à la suite des autres : un proxy parent est un proxy situé plus près d'internet que leproxy enfant. Un proxy peut être à la fois proxy parent et proxy enfant, s'il est situé entre 2 proxys.

• Un Olfeo ne peut avoir qu'un seul proxy parent (cependant, ce proxy parent peut lui-même avoir un proxy parent).



• Un Olfeo faisant du déchiffrement SSL ne peut pas avoir de proxy parent.

Diriger le trafic HTTP reçu par l'Olfeo vers un proxy parent

À la page Proxy avancé > HTTP > Configuration, dans la section Chaînage proxy, cochez Utiliser un proxy parent.

• Entrez l'adresse IPv4 et le port TCP du proxy parent vers lequel diriger les requêtes reçues.• Si vous avez configuré le proxy parent pour demander une authentification, entrez l'identifiant et le mot de passe du compte

à utiliser. Il s'agit ici de l'authentification du proxy fils auprès du proxy parent : l'authentification des utilisateurs n'est pasconcernée.

Gestion des adresses IP

L'adresse IP du poste client à l'origine de la requête peut être stockée dans un en-tête X-Forwarded-For, ajouté à la requêtepar un proxy (si celui-ci est configuré pour l'ajouter). Un proxy peut également ajouter sa propre adresse IP à l'en-tête. L'en-tête peut donc indiquer le chemin suivi par la requête, depuis le poste client émetteur et en traversant différents proxys.

Indiquez comment le proxy doit traiter cet en-tête, pour les requêtes transmises vers l'extérieur et pour les requêtes reçues.

• Masquer l'adresse IP du client à un parent : si la requête contient des en-têtes X-Forwarded-For insérés par un autreproxy enfant, le proxy les supprime. Il n'ajoute pas sa propre adresse IP dans l'en-tête. Les équipements situés après leproxy ne connaissent donc pas l'adresse IP du client à l'origine de la requête. Ce paramètre s'applique dans tous les cas,que le proxy soit proxy parent ou enfant d'un autre proxy, ou non.

• Utiliser l'en-tête HTTP "X-Forwarded-For" : le proxy que vous êtes en train de configurer est en position de proxyparent. Si la case est cochée, le proxy lit l'en-tête X-Forwarded-For : c'est l'adresse IP contenue dans cet en-tête qui est priseen compte pour appliquer les règles de filtrage ou la QoS, et qui apparaîtra dans les logs (et non l'adresse du proxy enfant).

Configurer l'authentification

L'authentification auprès du proxy HTTP est traitée dans le chapitre "Authentification et identification" : Authentificationauprès du proxy HTTP à la page 48.

Gérer le FTP sur HTTP

Vous pouvez permettre au trafic FTP de passer par le proxy HTTP.

• Dans votre client FTP, renseignez le proxy HTTP à utiliser : adresse IP de l'Olfeo et port utilisé pour le filtrage d'URL(défini à la page Proxy avancé > HTTP > Configuration, section Ports en écoute).

• À la page Proxy avancé > HTTP > Configuration, dans la section Types de requêtes autorisées par port dedestination, cochez la case CONNECT :• pour le port 21, pour autoriser la connexion au serveur FTP. (Pour le SFTP : port 22, pour le FTPS : port 990.)• pour la plage de ports 1025-65535, pour autoriser la connexion de données.

• Si le déchiffrement SSL est activé, ajoutez une règle Pas de déchiffrement pour les flux FTP (et FTPS/SFTP) à lapage Proxy avancé > HTTP > Règles de déchiffrement, section Règles de déchiffrement. En effet, lorsque ledéchiffrement est activé, le proxy tente de déchiffrer toutes les requêtes utilisant la méthode CONNECT (sur laquelles'appuie SSL/TLS). Les flux FTP utilisent cette méthode mais ne sont pas chiffrés : si le proxy tente de les déchiffrer, laconnexion au serveur FTP échouera.• Pour autoriser un serveur FTP précis, ajoutez une regex correspondant à celui-ci dans la colonne Destination.• Pour gérer tout le trafic FTP d'un coup, dirigez les flux FTP vers un port spécifique du proxy et ajoutez une exception

concernant ce port.



Voir aussi

Vous pouvez également gérer votre trafic FTP via le proxy FTP ou le proxy SOCKS.

Gérer les flux HTTPS

L'option SSL vous permet de :• faire de l'analyse de contenu sur des pages HTTPS (appliquer des règles sur les tailles et types de fichiers, analyse antivirus).• appliquer, pour des pages HTTPS, des règles sur des URLs précises plutôt que sur des domaines. En effet, sans

déchiffrement, les règles ne peuvent s'appliquer qu'à des domaines car seul le nom du domaine apparaît en clair dans unerequête HTTPS.

Le déchiffrement HTTPS est coûteux en termes de performance. Vous pouvez paramétrer l'Olfeo pour ne pas déchiffrercertains flux.

Contraintes d'intégration

L'option ne fonctionne que pour des intégrations en mode proxy (explicite ou en interception). En effet, le déchiffrementnécessite que les flux passent par le proxy : cela exclut donc les intégrations en mode couplage et miroir de port.

AvertissementPour l'analyse de contenu, les flux sont fournis en clair au service ICAP : dans les architectures où l'analyse de contenun'est pas faite par le même Olfeo que celui qui héberge le proxy, faites en sorte que ces flux soient cloisonnés/sécurisés.

Un Olfeo faisant du déchiffrement SSL ne peut pas avoir de proxy parent. En effet, l'analyse de contenu doit être faite par leproxy situé à la fin de la chaîne de proxys (performance, non mise en cache de code malicieux, protection des proxys enfants,stripping des en-têtes...).

Comportement de l'Olfeo sans l'option SSL, ou avec un flux pour lequel ledéchiffrement est désactivé

Sans l'option SSL :

• Le filtrage par catégorie ou liste de domaines fonctionne, mais le filtrage sur une URL spécifique ne fonctionne pas (car seulle nom de domaine est transmis en clair dans la requête). Le blocage s'effectue sur le nom de domaine, pas sur la page exacte.

• L'antivirus ne peut pas analyser les contenus chiffrés.• Pour que vos utilisateurs puissent recevoir des pages de blocage et utiliser les quotas, l'outrepassement, un portail captif

(avec ou sans NTLM), un portail public ou la charte internet, vous devez activer les pages de blocage en HTTPS. Sans cela,l'utilisateur obtiendra une page d'erreur (ERR_DNS_FAIL).

• Avec un proxy en interception, sans déchiffrement SSL, le filtrage d'URL n'est possible que si la résolution DNS inverseest activée. En effet, par défaut l'Olfeo ne voit que les adresses IP de destination des requêtes et non les noms de domaine(car il ne voit que l'établissement de la session TLS et non le contenu de la session elle-même). Cela est visible dans lesstatistiques et à la page du trafic temps réel, dans la colonne Domaine.

Activer le déchiffrement SSL

Pour que la gestion des pages HTTPS soit opérationnelle, réalisez les opérations suivantes :

1. À la page Proxy avancé > HTTP > Options globales SSL, entrez le certificat d'autorité qui servira à générer les certificatslors du chiffrement de la réponse (fichiers .crt et .key/.pem).



2. Une fois le certificat défini, à la page Proxy avancé > HTTP > Configuration :• Cochez la case Option SSL pour le ou les ports d'écoute désirés. Vous pouvez choisir de ne pas activer le déchiffrement

sur certains ports, par exemple pour des ports ne recevant que des mises à jour provenant d'URLs de confiance.• Dans la section Types de requêtes autorisées par port de destination, assurez-vous que la case Navigation est

cochée pour le port 443.• Pour les intégrations proxy en interception, les flux HTTP et HTTPS doivent arriver sur des ports différents.

3. Paramétrez le comportement de l'option. Définissez :• Quels flux ne doivent pas être déchiffrés : voir Gérer le déchiffrement et les erreurs > Règles de déchiffrement à

la page 65.• Le niveau de sécurité accepté des serveurs distants : voir Gérer le niveau de sécurité lors des échanges SSL >

Personnaliser les options SSL à la page 65.• Le niveau de sécurité utilisé pour l’établissement des sessions TLS avec les serveurs distants : voir Gérer le niveau de

sécurité lors des échanges SSL > Options avancées à la page 65.• Comment gérer les erreurs SSL liées aux certificats des serveurs distants : certificats expirés, invalides... Voir Gérer le

déchiffrement et les erreurs > Règles de gestion des erreurs SSL à la page 66.

4. Déployez votre certificat d'autorité sur les postes clients (par exemple, par GPO, ou en liant le certificat à la charte internet).

Vérifier que le déchiffrement fonctionne

Pour vérifier que le déchiffrement fonctionne correctement, vérifiez le certificat d'une page HTTPS filtrée par votre Olfeo.Celui-ci doit afficher les informations issues de votre certificat d'autorité.

Pour les intégrations en mode proxy explicite, dans le trafic temps réel, les flux déchiffrés montrent l'URL complète de laressource (URL commençant par https://).



Gérer le niveau de sécurité lors des échanges SSL

Page Proxy avancé > HTTP > Options globales SSL.

Service de gestion des certificats

Définissez le certificat d'autorité qui créera des signatures pour chiffrer les flux entre le proxy et le client (fichiers .crt et .key).Utilisez un certificat généré par votre PKI ou par un outil de gestion de certificats. Ce certificat devra être déployé sur lespostes clients. Attention, les certificats protégés par mot de passe ou passphrase ne sont pas supportés.

Taille de la base : taille du cache qui stocke les empreintes des certificats générés par l'Olfeo. Le coût de génération decertificats est élevé.

Personnaliser les options SSL

• Choisissez les versions du protocole utilisées pour communiquer avec les serveurs distants : vous pouvez choisir de refuserd'établir la connexion à des serveurs utilisant des versions trop vulnérables de SSL/TLS. Il est recommandé de désactiverSSL v2, SSL v3 et TLS v1.0.

• Créer une nouvelle clé pour chaque requête : il est recommandé de cocher cette option. Si la case est décochée, l'Olfeoutilisera toujours la même clé (pour la négociation SSL) pour chaque domaine, ce qui est moins bon en termes de sécurité.

• Activer divers contournements de bugs : correspond à l'option SSL_OP_ALL d'OpenSSL. Cette option peut permettrede gérer certains problèmes entre d'anciens navigateurs et certains sites. Il est recommandé de la laisser décochée.

Options avancées

Définissez les suites cryptographiques à utiliser pour établir des sessions TLS avec des serveurs distants. L'option Suitescryptographiques recommandées cochée par défaut correspond aux suites recommandées par l'ANSSI.

Gérer le déchiffrement et les erreurs

Page Proxy avancé > HTTP > Règles de déchiffrement SSL.

Règles de déchiffrement

Dans cette section, définissez quels flux ne doivent pas être déchiffrés, et, pour les flux déchiffrés, la méthode à utiliser.

http://fr.manpages.org/ssl_ctx_set_options/3

http://www.ssi.gouv.fr/uploads/IMG/pdf/NP_TLS_NoteTech.pdf



Colonne Description

Ports du proxy La règle ne s'applique que si le flux est reçu sur le port spécifié ici. La liste propose tous les ports pourlesquels l’option SSL est activée (à la page Proxy avancé > HTTP > Configuration).

Destination La règle ne s'applique que si le flux est à destination d'une URL spécifiée ici.• Si vous utilisez une regex, n'incluez pas le préfixe https://. La regex ne doit référencer que des

URI au format FQDN:port.• Utilisez des listes de domaines et non des listes d'URLs. En effet, seuls les noms de domaines sont

reçus en clair dans une requête HTTPS.

Action L'action à effectuer si le flux correspond à toutes les conditions définies dans les autres colonnes.• Client d'abord : les flux correspondant aux critères définis dans la règle sont déchiffrés.

Lorsque le client envoie une requête HTTPS au proxy, le proxy lui renvoie directement un certificatde substitution, avant de contacter le serveur distant. Le certificat de substitution est généré à partirdes informations fournies par le navigateur qui tente de se connecter. Dans ce cas, il peut arriverqu'un certificat soit généré pour un site qui n'existe pas, ou que le certificat généré ne correspondepas au site d'arrivée (par exemple en cas de redirection). Dans ce dernier cas, l'utilisateur obtiendraune page d'erreur.

• Serveur d'abord (recommandé) : les flux correspondant aux critères définis dans la règle sontdéchiffrés.

Lorsque le client envoie une requête HTTPS au proxy, le proxy contacte directement le serveurdistant. Il ne génère un certificat de substitution que lorsqu'il transmet la réponse du serveur distantau client. Le certificat est généré à partir des informations fournies par le serveur distant : celapermet de minimiser le risque d'erreurs au niveau des certificats générés. Cette option est obligatoireen interception.

• Pas de déchiffrement : les flux correspondant aux critères définis dans la règle ne sont pasdéchiffrés. Utilisez cette option :• pour les flux de nature privée tels que des sites de banques ou d'assurances.• pour les flux autres que SSL utilisant la méthode CONNECT. En effet, lorsque le déchiffrement

est activé, le proxy tente de déchiffrer toutes les requêtes utilisant la méthode CONNECT (surlaquelle s'appuie SSL/TLS). Si un flux utilise cette méthode mais n'est pas chiffré, et que leproxy tente de le déchiffrer, la connexion échouera.• Pour autoriser la connexion à un serveur précis, ajoutez une regex correspondant à celui-

ci dans la colonne Destination.• Pour gérer toutes ces exceptions d'un coup, dirigez tous les flux concernés vers un port

spécifique du proxy et ajoutez une exception concernant ce port.

Si vous ne déchiffrez pas certains flux, n'oubliez pas d'activer les pages de blocage HTTPS.

Règles de gestion des erreurs SSL

Dans cette section, créez des règles pour dire à l'Olfeo que faire si par exemple le serveur distant lui envoie un certificat expiré,ou s'il détecte des problèmes dans la chaîne de certificats.

• Ajoutez une règle. Dans la colonne Cas d'erreur, sélectionnez les erreurs désirées. Dans la colonne Action, cliquez surl'icône pour sélectionner Bloquer ou Autoriser :• Bloquer : l'utilisateur recevra une page de blocage générée par le proxy• Autoriser : la page sera déchiffrée malgré l'erreur SSL et sera envoyée à l'utilisateur.

• Dans la liste Pour le reste, définissez l'action à effectuer pour toutes les erreurs SSL non concernées par les règles quevous avez créées.



Pour plus d'informations sur les erreurs dans la liste, voir https://www.openssl.org/docs/manmaster/man1/verify.html#DIAGNOSTICS (en anglais).

Requêtes HTTP/HTTPS

Requête vers www.gnu.org/help/help.html, vue par un proxy explicite, en HTTP et en HTTPS : en HTTPS, seul le domaineest indiqué en clair.

HTTP GET http://www.gnu.org/help/help.html HTTP/1.1 Host: www.gnu.org User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:43.0) Gecko/20100101 Firefox/43.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: fr-FR,fr;q=0.8,en-US;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate Connection: keep-alive Cache-Control: max-age=0

HTTPS CONNECT www.gnu.org:443 HTTP/1.1 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:43.0) Gecko/20100101 Firefox/43.0 Proxy-Connection: keep-alive Connection: keep-alive Host: www.gnu.org:443 ...........o.p:@..X.O...2.8T0.o....5Cy_/..; .a.\8+NY~")........1.....(.....X...+./. .......3.9./.5. .............www.gnu.org...... .................#..+..?t..S...R..a..$..".-.%........6;<f.L.42O.1gk.4..DS. ....b..8....#....W!.Q...u.!`II.f..T.'..=...K.......S.J...Ib.>.a...d.n9...29. ..&F.(...LDU.|. ..I...v...n.eU..V>..vx........e.......r.....9^iOJK........I|.3t........ .h2.spdy/3.1.http/1.1.......... ...........................X........................................... .......................................................(...........rW.B t..H..{7.x....+.b.....a......u.........>sq.....5..^..D.K.H...Th5.#k.U7.p @Io.s.(...`Jl..u.!.].M.....\.1...(...Nu2.6......Z.W4Q. .t.H..O=.......N.XB.6~#4.7+..o....w,...Fh.j&..,....0.A<n.5.+.Nb.M...) .........*..T..+...].O..W&U.C.vD>'j.8......a3.G..=vd...V.JC.z.{....."'.mI a_.....B..e...."0....iJLk.8.......)....;Z.=J....i.G..~.Qp#...]sc.C..Jt... M,..m..G...K.}OG.7.J!.C. ;. Yh........q.0J...(.......]0.}.J.....p........?.5.W.?.^.lrd[......|........ ;..Z.r[.uL.k.Cl..?.....N0...B{....r.... ....X..8. t....~.F........_t&jv...Z,.E/..3.O...a>m...e.I..2..<..N......"j.......qm)...O 9E*%..k^.....L........n.A,....b...9...nP....:H......< ..5..1.R......!...9...x.#..g.;.....3.k.M...y.V^....J..t.!.:....E.......... Zz.;J..4.>..c..[..4P ...&..........}.t.U...H....p..e..."..,...lHB.N...M.T.^y..............g.. Q...........E... .... [email protected]$(6.^.'....F:... ...m`.......;....n1pZ...C...{..l.C.gc..G....E....E.k.....n...F.<'..d....b.. ~..1.M.s......+.W.......{.:.N.[.L.S.L...w....Y...r.#..........f........m:..... ..U..5=.....MRkB..zS....`..z;........x9]......./.?4..R..Z....&........@...... ....X.y.[............A.....%..q].([0Z.._....).E'R..............H....&!...G.~Z Z.#..zY.$...`..zB.......rm\

https://www.openssl.org/docs/manmaster/man1/verify.html#DIAGNOSTICS

https://www.openssl.org/docs/manmaster/man1/verify.html#DIAGNOSTICS



Configurer le cache du proxy HTTP

Le cache du proxy permet d'optimiser les requêtes en fournissant directement à l'utilisateur le contenu mémorisé lors deprécédentes requêtes.

1. Rendez-vous à la page de configuration du proxy HTTP en suivant les menus Proxy avancé > HTTP > Cache.

Section : Cache mémoire

Le cache mémoire correspond au cache maintenu dans la mémoire RAM.

2. Saisissez la taille totale du cache mémoire que vous souhaitez allouer dans le champ Taille du cache.

La taille par défaut est: 512 Mo.

AvertissementUn sur-dimensionnement du cache peut entraîner une dégradation de performances. Il convient donc dedimensionner le cache par étapes successives en incrémentant sa taille afin de trouver un compromis acceptableentre le fonctionnement de la solution Olfeo et la taille mémoire allouée au cache.

3. Saisissez la taille maximum des objets qui peuvent être mis en mémoire cache dans le champ Taille maximum des objets.

Le cache mémoire est impérativement à réserver aux objets de taille modeste. En effet il est souvent plus intéressant deremplir le cache avec beaucoup d'objets de petite taille que de le remplir avec peu d'objets de grande taille. Un nombremaximum d'objets en cache entraîne en général un bénéfice pour un maximum d'utilisateurs.

La taille par défaut est: 2048 ko.

4. Choisissez l'algorithme de remplacement des objets mis en cache dans le champ Mode de remplacement.• Least recently used: Lorsque le cache est plein le remplacement des objets dans le cache mémoire se fait en fonction

de la dernière utilisation de chaque objet. Les objets les moins récemment utilisés seront ceux qui seront remplacés. Cemode de remplacement traditionnel n'est pas des plus performants considérant qu'il ne tient compte que de la date de ladernière utilisation et ne prend pas en compte d'autres paramètres comme la taille des objets, la fréquence d'utilisation,le coût de téléchargement de l'objet etc.

• LRU Policy implemented using a heap: Cet algorithme de remplacement fonctionne comme l'algorithme LeastRecently Used mais son système de gestion de données utilise un arbre ordonné (un tas). Cet algorithme permetune gestion de cache plus efficace permettant des remplacements, des ajouts et des suppressions rapides d'objets. Enrevanche ce mode de remplacement lui aussi ne prend en compte que la date de dernière utilisation de chaque objetignorant d'autres caractéristiques.

• Least frequently used with dynamic aging: Cet algorithme de remplacement utilise la fréquence d'accès aux objetspour gérer les objets dans le cache mémoire. Une politique de gestion de cache de type LFU a tendance à maximiserle ratio de hits en octets. Cependant cet algorithme peut conduire à une pollution du cache par des objets très ancienscar il prend uniquement en compte la fréquence d'accès. L'algorithme Least frequently used with dynamic agingest une évolution par rapport à LFU car il gère aussi l'age des objets dans le cache afin d'éviter une pollution du cachepar les objets les plus populaires. Ce mode de remplacement présente généralement de bons résultats en termes deratio de hits en octets.

• Greedy-Dual Size Frequency:Cet algorithme est une évolution des algorithmes de gestion de cache. Il prend enconsidération plusieurs paramètres tels que le coût de téléchargement d'un objet, la taille de l'objet, l'age et la fréquenced'utilisation. Ce mode de remplacement atteint généralement les meilleures performances en ratio de hits cachecomparés aux autres modes disponibles.

Section : Cache disque.



L'utilisation du cache disque permet aux objets non éligibles pour le cache mémoire de résider en cache sur ledisque dur. Notons que le cache disque est plus lent que le cache mémoire.

5. Dans la section Cache disque saisissez la taille en Mo du cache que vous souhaitez utiliser sur votre disque dans le champTaille du cache.

La taille par défaut est: 5 000 Mo

6. Saisissez la taille minimum des objets à mettre en cache disque dans le champ Taille minimum des objets.

La taille par défaut: est 1 ko

7. Saisissez la taille maximum des objets à mettre en cache disque dans le champ Taille maximum des objets. Valeur pardéfaut : 32768 ko.

8. Choisissez l'algorithme de remplacement des objets mis en cache disque dans le champ Mode de remplacement.Pour rappel:• Least recenly used: Lorsque le cache est plein le remplacement des objets dans le cache mémoire se fait en fonction

de la dernière utilisation de chaque objet. Les objets les moins récemment utilisés seront ceux qui seront remplacés. Cemode de remplacement traditionnel n'est pas des plus performants considérant qu'il ne tient compte que de la date de ladernière utilisation et ne prend pas en compte d'autres paramètres comme la taille des objets, la fréquence d'utilisation,le coût de téléchargement de l'objet etc.

• LRU Policy implemented using a heap: Cet algorithme de remplacement fonctionne comme l'algorithme LeastRecently Used mais son système de gestion de données utilise un arbre ordonné (un tas). Cet algorithme permetune gestion de cache plus efficace permettant des remplacements, des ajouts et des suppressions rapides d'objets. Enrevanche ce mode de remplacement lui aussi ne prend en compte que la date de dernière utilisation de chaque objetignorant d'autres caractéristiques.

• Least frequently used with dynamic aging: Cet algorithme de remplacement utilise la fréquence d'accès aux objetspour gérer les objets dans le cache mémoire. Une politique de gestion de cache de type LFU a tendance à maximiserle ratio de hits en octets. Cependant cet algorithme peut conduire à une pollution du cache par des objets très ancienscar il prend uniquement en compte la fréquence d'accès. L'algorithme Least frequently used with dynamic agingest une évolution par rapport à LFU car il gère aussi l'age des objets dans le cache afin d'éviter une pollution du cachepar les objets les plus populaires. Ce mode de remplacement présente généralement de bons résultats en termes deratio de hits en octets.

• Greedy-Dual Size Frequency:Cet algorithme est une évolution des algorithmes de gestion de cache. Il prend enconsidération plusieurs paramètres tels que le coût de téléchargement d'un objet, la taille de l'objet, l'age et la fréquenced'utilisation. Ce mode de remplacement atteint généralement les meilleures performances en ratio de hits cache comparéaux autres modes disponibles.


Si vous souhaitez ajouter des règles de cache rendez-vous au chapitre Ajouter des règles de mise en cache à la page 69.

Ajouter des règles de mise en cache



1. Rendez-vous à la page de configuration du proxy HTTP en suivant les menus Proxy avancé > HTTP > Cache.

Section : Mise en cache

2. Dans la section Mise en cache ajoutez une règle de mise en cache grâce au bouton .

3. Dans la règle nouvellement créée, cliquez sur l'icône de la colonne Cache pour définir s'il s'agit d'une règle visant à incluredans le cache (icône ) ou visant à exclure du cache (icône ).

4. Dans la règle nouvellement créée, cliquez sur le lien de la colonne Destination pour définir la condition qui permettrala mise en cache (ou l'exclusion du cache).

a) Si vous ne souhaitez pas spécifier de condition particulière cliquez sur Toutes.

b) Si vous souhaitez spécifier comme condition particulière une expression rationnelle regex cliquez sur URL (regex)puis saisissez l'expression rationnelle dans le champ Url. Pour finir cliquez sur Valider.

c) Si vous souhaitez spécifier comme condition particulière des listes d'URLs cliquez sur Listes d'URLs puis validez leslistes d'URLs souhaitées à l'aide des cases à cocher de la colonne Libellé. Pour finir cliquez sur Valider.

RemarqueSi vous souhaitez créer une liste d'URLs rendez-vous ici: Créer une liste d'URLs à la page 87.

d) Si vous souhaitez spécifier comme condition particulière des listes de catégories cliquez sur Listes de catégories puisvalidez les listes de catégories souhaitées à l'aide des cases à cocher de la colonne Libellé. Pour finir cliquez sur Valider.

RemarqueSi vous souhaitez créer une liste de catégories rendez-vous ici: Créer une liste de catégories à la page 85.

e) Si vous souhaitez spécifier comme condition particulière des catégories cliquez sur Catégories puis validez lescatégories souhaitées à l'aide des cases à cocher de la colonne Libellé. Pour finir cliquez sur Valider.

RemarqueSi vous souhaitez créer une catégorie personnalisée rendez-vous ici: Créer une catégorie personnalisée à la page84.

5. Dans la règle nouvellement créée, cliquez sur le lien de la colonne Type MIME.

Un type MIME est un identifiant définissant un standard de format de données sur internet. À l'aide des types MIME vouspouvez choisir les types de médias auxquels vous voulez attribuer votre règle de mise en cache.

a) Dans la colonne Libellé déployez l'arborescence des types MIME souhaités à l'aide de l'icône .

b) Dans l'arborescence validez les types MIME que vous souhaitez à l'aide des cases à cocher de la colonne Libellé.

c) Cliquez sur le bouton Valider pour enregistrer les changements.

6. Positionnez l'ordre de priorité dans lequel vous souhaitez que votre règle soit exécutée grâce aux flèches et .

7. A la suite de la dernière ligne de règle et grâce au menu Pour le reste choisissez si le comportement à adopter pour le restedes cas rencontrés est de Mettre en cache ou de Ne pas mettre en cache.




Configurer la durée de vie en cache

La durée de vie en cache permet de définir le temps maximal de présence en cache avant expiration.

1. Rendez-vous à la page de configuration de la durée de vie en cache en suivant les menus Proxy avancé > HTTP > Cache.

Section : Durée de vie

2. Dans la section Durée de vie ajoutez une règle de durée de vie grâce au bouton .

3. Dans la règle nouvellement créée, cliquez sur le lien de la colonne Type MIME.

Un type MIME est un identifiant définissant un standard de format de données sur internet. À l'aide des types MIME vouspouvez choisir les types de médias auxquels attribuer une durée de vie en cache.

a) Dans la colonne Libellé déployez l'arborescence des types MIME souhaités à l'aide de l'icône .

b) Dans l'arborescence validez les types MIME que vous souhaitez à l'aide des cases à cocher de la colonne Libellé.

c) Cliquez sur le bouton Valider pour enregistrer les changements.

4. Dans la règle nouvellement créée, saisissez la durée de vie maximale avant expiration dans le champ Durée de vie (enminutes).

5. Pour finir saisissez la durée de vie maximale par défaut dans le champ Pour le reste.



Consulter les statistiques du cache

Dans le sous-menu Proxy avancé > HTTP > Statistiques du cache se trouvent trois sections:

1. Nombre de requêtes: Cette section fournit des informations sur le nombre de requêtes utilisateurs pour plusieurs périodesprédéterminées.

Pour chaque période prédéterminée vous pouvez obtenir les statistiques de cache suivantes:• Total: Le nombre total de requêtes reçues.• En cache: Le nombre total de requêtes écrites ou lues dans le cache.• Erreurs: Le taux d'échec de mise cache ou de lecture du cache (aussi appelé cache miss). Rappelez-vous que vos règles

de mise en cache ont une influence directe sur ce taux d'erreurs.• Efficacité: Le taux d'efficacité de votre cache en fonction des paramètres supérieurs.

2. Trafic réseau: Cette section permet de mesurer l'efficacité du cache du proxy HTTP en termes de volumes de données.

Pour chaque période prédéterminée vous pouvez obtenir les statistiques de trafic réseau suivantes:• Aval: Volume de données téléchargées depuis le cache.• Amont: Volume de données téléchargées depuis les sites distants.• Efficacité: Taux d'efficacité du rapport entre les données téléchargées depuis le cache et celles téléchargées depuis

les sites distants.

RemarqueLes volumes sont exprimés en kibioctet, soit 1024 octets.

3. Latence: Ce tableau permet de mesurer l'efficacité du temps d'accès au cache du proxy HTTP.

Pour chaque période prédéterminée vous pouvez obtenir les statistiques de temps de latence suivantes:• En cache: Temps moyen d'accès aux données contenues dans le cache du proxy HTTP.• Transmis: Temps moyen d'accès aux données de serveurs distants.



• Efficacité: Taux d'efficacité du rapport entre le temps moyen d'accès aux données du cache et le temps moyen d'accèsaux données sur de serveurs distants.

RemarqueLes données sont exprimées en millisecondes.

Règles et politiques


RÈGLES ET POLITIQUES

Dans ce chapitre :

• Moteur de règles• Politiques utilisateur• Créer une règle• Traitement des règles et politiques par le moteur• Créer une définition de plage horaire



Moteur de règles

La page Administration > Utilisateurs contient le moteur de règles. Le moteur de règles se compose de deux parties distinctes:

1. La partie globale du moteur de règles qui permet d'appliquer des règles générales : règles de filtrage d'URLs applicablesà tous les utilisateurs, certaines règles d'authentification (portail captif ou public), activation des chartes internet ou del'antivirus...

2. La liste des utilisateurs. Cette partie permet d'appliquer des politiques de filtrage d'URL ou de filtrage applicatif (c'est-à-dire des listes de règles que vous aurez créées via les écrans dédiés) à une unité organisationnelle, un groupe d'utilisateurs,un utilisateur particulier ou à une adresse IP. Vous pouvez également y paramétrer les options des éléments de la liste.

Onglets du moteur de règles

Les onglets Connexion et Accès permettent de traiter les requêtes, et les onglets Aperçu et Contenu permettent de traiterles réponses.



Onglet Description

Connexion L'onglet Connexion correspond au droit de se connecter à des serveurs distants pour les instances deproxys TCP, FTP ou SOCKS créées via les écrans dédiés.

Cet onglet ne s'applique pas dans le cas de requêtes HTTP/HTTPS ou RTSP, car pour ces protocolesl'établissement de la connexion au serveur et l'accès aux ressources se font en une même étape : ces règlessont définies dans l'onglet Accès.

Accès L'onglet Accès correspond au droit d'accéder à des ressources distantes (pages html, fichiers téléchargéspar FTP, vidéos, etc), une fois la connexion avec le serveur établie, et à certaines modalités d'accès à cesressources. Pour le FTP, les règles sont traitées uniquement si la connexion au serveur distant n'a pas étébloquée par les règles définies dans l'onglet Connexion.

Vous pouvez :

• Appliquer des restrictions sur les accès HTTP, HTTPS, FTP et RTSP (c'est-à-dire faire du filtraged'URL).

• Mettre en place une authentification par portail captif, par portail public ou à l'aide d'un mécanismeSSO pour les annuaires Novell.

• Activer les chartes internet. Si les chartes internet sont activées, Olfeo enverra la charte aux utilisateursne l'ayant pas déjà signée (et pour lesquels une charte internet a été définie). Une fois la charte signée,le moteur passe à la règle suivante.

• Réaffecter une URL à une catégorie pour certains utilisateurs.• Réécrire des URLs.

Une fois toutes les règles de l'onglet parcourues, si le champ Pour le reste a pour valeur Politiqueutilisateur, Olfeo parcourt la liste des utilisateurs (tableau du bas de l'écran) afin d'appliquer la politiqueappropriée.

Aperçu L'onglet Aperçu permet de définir des actions d'analyse de contenu à effectuer sur les contenus audébut de leur téléchargement (éventuellement depuis un proxy externe), avant qu'ils n'aient été reçusentièrement.

Contenu L'onglet Contenu permet de définir des règles d'analyse de contenu à effectuer sur les contenus aprèsqu'ils aient été reçus entièrement par les proxys HTTP et FTP (donc s'ils n'ont pas été bloqués par unerègle de l'onglet Aperçu).

Politiques utilisateur

Une politique est une liste de règles que vous pouvez appliquer à un utilisateur particulier, un groupe d'utilisateurs, une unitéorganisationnelle (éventuellement via sa passerelle, pour les politiques de filtrage d'URLs), ou à la Configuration par défaut.Vous ne pouvez appliquer qu'une seule politique à un élément de la liste des utilisateurs. Dans le cas où le flux reçu n'est pasconcerné par la politique, vous pouvez choisir d'appliquer la politique définie sur l'élément parent.

Créer une politique

• Les politiques de filtrage d'URLs sont créées à la page Filtrage web > Politiques.• Les politiques de filtrage applicatif sont créées à la page Filtrage applicatif > Politiques.



Appliquer une politique à un élément de la liste des utilisateurs

Les politiques sont mises en place dans la partie inférieure du moteur de règles, c'est-à-dire la liste des utilisateurs (menuAdministration > Utilisateurs, onglets Annuaires et Portails publics), dans les colonnes Filtrage web et FiltrageApplicatif.

Pour appliquer une politique, cliquez sur le lien dans la colonne désirée, puis sélectionnez une politique dans la liste despolitiques existantes. Le nom de la politique s'affiche dans la colonne, ainsi qu'une icône indiquant si la politique est terminaleou non :• Politique terminale : son champ Pour le reste a la valeur Autoriser ou Bloquer. Si le flux n'est pas concerné par les

règles contenues dans cette politique, il est soit bloqué soit autorisé.• Politique non terminale : son champ Pour le reste a la valeur Politique supérieure. Cela signifie que pour tous les

flux qui ne correspondent pas aux règles contenues dans la politique, l'Olfeo doit appliquer la politique du niveau supérieurdans l'arborescence (par exemple, pour un groupe, "politique supérieure" correspondra à la politique de son UO).

Attention, les politiques appliquées à la Configuration par défaut ne peuvent pas être de ce type.

Pour accéder à la définition de la politique, cliquez sur l'icône à gauche de celle-ci.

Pour les politiques de filtrage web, il est également possible de définir une politique sur la passerelle d'une UO.

Traitement des politiques

Quand les politiques sont-elles appliquées?

• Les politiques de filtrage d'URL ne sont appliquées que si, dans l'onglet Accès du moteur de règles général, le champ Pourle reste a pour valeur Appliquer la politique utilisateur et qu'aucune règle de l'onglet n'a bloqué le flux.

• Les politiques de filtrage applicatif sont toujours appliquées, indépendamment des règles définies dans le moteur de règlesglobal.

Quelle politique est appliquée?

Le moteur vérifie d'abord si une politique est définie au niveau de l'utilisateur. Si aucune politique n'est définie à ce niveau, lemoteur vérifie si une politique est définie sur le groupe, et ainsi de suite. Le moteur pourra potentiellement examiner tous lesniveaux de l'arborescence, dans le sens Utilisateur > Groupe > UO/passerelle de l'UO (pour les politiques de filtraged'URLs) > Configuration par défaut.

Lorsque le moteur a trouvé une politique à appliquer, il évalue celle-ci.

Attention à la cohérence des règles du moteur global et celles des politiques : vous ne pouvez pas bloquer un flux dans unepolitique si une règle du moteur global l'a déjà autorisé.

Évaluation des règles à l'intérieur d'une politique

À l'intérieur d'une politique, le moteur parcourt les règles de haut en bas, de la même façon que dans le moteur de règles global.Si le flux ne correspond à aucune des règles, le moteur effectue l'action définie dans le champ Pour le reste :• Autoriser : les ressources commencent à être téléchargées : le moteur applique les règles définies dans l'onglet Aperçu.• Bloquer : une page de blocage est envoyée à l'utilisateur.• Politique supérieure : le moteur évalue la politique appliquée à l'élément parent. Si de nouveau le flux ne correspond

à aucune des règles et que le champ Pour le reste de cette politique contient Politique supérieure, le moteur passe àla politique de l'élément parent. Le moteur pourra potentiellement examiner les politiques appliquées à tous les niveauxde l'arborescence, dans le sens Utilisateur > Groupe > UO/passerelle de l'UO (pour les politiques de filtraged'URLs) > Configuration par défaut.

Voir aussi...Créer une politique de filtrage d'URLs à la page 87



Créer une politique protocolaire à la page 105

Politiques par défaut

Dans la liste des utilisateurs, l'élément Configuration par défaut permet de définir les politiques qui s'appliqueront :• à tout utilisateur qui, pour une destination, un type de flux ou une plage horaire donnée, n'a pas de politique contenant une

règle correspondant au flux : ni sur son identifiant, et, si les politiques ont Politique supérieure dans leur champ Pour lereste, ni sur son groupe, ni sur son UO, ni sur la passerelle par laquelle passe son UO.

• aux utilisateurs inconnus.

Vous ne pouvez appliquer à l'élément Configuration par défaut que des politiques terminales (celles dont le champ Pourle reste a la valeur Autoriser ou Bloquer).

Attention, si une politique définie sur la Configuration par défaut contient une règle de quota ou d'outrepassement, cesrègles ne sont pas appliquées pour les utilisateurs inconnus (l'utilisateur est simplement bloqué). En effet, le moteur ne peutpas appliquer la règle individuellement à chaque utilisateur inconnu.

Si aucune politique par défaut n'est définie, l'Olfeo laissera passer le flux.

Créer une règle

Une règle peut être définie dans le moteur de règles ou appartenir à une politique.

Attention, dans le moteur de règles, n'oubliez pas de cliquer sur le bouton Valider en-dessous du tableau pour que la règlesoit sauvegardée.



Colonne Description

Actif Activer ou désactiver la règle.

Priorité Utilisez les flèches pour changer l'ordre des règles : le moteur évalue les règles une à une de haut en bas.Si le flux rencontré correspond aux critères définis dans la règle, l'action correspondante sera effectuée.Assurez-vous que la suite de règles que vous avez définie est cohérente et qu'une règle mal positionnée nerisquerait pas de bloquer ou d'autoriser un flux à mauvais escient.

Plagehoraire

La règle ne s'applique que pendant la plage horaire spécifiée.

Pour pouvoir définir une plage horaire dans une règle, vous devez avoir créé la plage horaire à la pageAdministration > Plages horaires. Si l'Olfeo reçoit le flux en dehors de cette plage horaire, la règle estignorée et le moteur passe à la règle suivante.

Source La règle ne s'applique que si le flux provient d'un des utilisateurs définis ici.• Toutes : la règle concerne tous les utilisateurs de la liste des utilisateurs (onglets Annuaires et Portails

publics). Elle ne concerne pas les utilisateurs inconnus de la solution.• Plages d'IPs : saisissez une plage d'adresses IP. Attention à ne pas confondre une plage définie ici

avec un utilisateur représentant une plage d'IPs.• Utilisateurs : sélectionnez une UO, un groupe ou des utilisateurs de l'onglet Annuaires de la liste

des utilisateurs.

Flux La règle ne concerne que les protocoles spécifiés (HTTP, FTP...).

Destination La règle ne s'applique que si le flux est à destination d'une URL spécifiée ici.• URL (regex) : toute URL correspondant à l'expression rationnelle définie ici.• Des listes d'URLs, de domaines ou de catégories, préalablement créées via les écrans dédiés.• Une catégorie Olfeo (y compris les catégories personnalisées, classées dans le thème Mes catégories).

Contenu Cette colonne est présente dans les onglets Aperçu et Contenu du moteur de règles et permet de fairede l'analyse de contenu.



Colonne Description

Action L'action à effectuer si le flux correspond à toutes les conditions définies dans les autres colonnes. Lesactions disponibles dans les règles diffèrent suivant que la règle appartient au moteur de règles ou à unepolitique, et suivant l'onglet du moteur de règles.• Autoriser : si le flux est autorisé, l'Olfeo passe à l'onglet suivant et évalue les règles contenues dans cet

onglet. Si la règle appartient à l'onglet Contenu, le flux est envoyé à l'utilisateur.• Bloquer : l'utilisateur à l'origine du flux reçoit une page de blocage. Pour les règles à l'intérieur des

politiques, il est possible de permettre à l'utilisateur d'outrepasser le blocage.

Options propres à l'onglet Accès du moteur

• Portail captif : mettre en place une authentification par portail captif ou mettre en place un portailpublic.

• Charte internet : permet d'activer toutes les chartes internet appliquées via la liste des utilisateurs.• SSO LDAP : permet d'identifier les utilisateurs d'un annuaire Novell de façon transparente pour eux

(ils n'ont pas à saisir de couple identifiant/mot de passe).• Attribuer une catégorie : permet de réaffecter une URL à une catégorie en fonction des critères

définis.• Réécriture d'URL : permet de forcer la redirection d'une URL vers une autre ou de réécrire une

partie d'une URL.

Options propres à l'onglet Aperçu du moteur

• Limiter et Transfert des données : voir Analyse des contenus à partir de leur aperçu à la page 96.

Options propres aux politiques de filtrage d'URL

• Quota en temps et Quota en volume : permet d'appliquer un quota à une catégorie, une URL...

Traitement des règles et politiques par le moteur

Le moteur de règles peut réaliser des actions à toutes les étapes de traitement du flux (les 4 onglets du moteur global : connexionau serveur distant, accès aux ressources, début du téléchargement, ressource téléchargée).

Étapes de traitement

1. Lorsqu'un flux est reçu, l'Olfeo parcourt le moteur global (tableau du haut) de haut en bas. Pour chaque règle, l'Olfeoregarde si celle-ci s'applique, c'est-à-dire si le flux correspond aux critères définis dans la règle. Par exemple :• Plage horaire : se trouve-t-on dans la plage horaire spécifiée dans la règle?• Source : l'utilisateur dont émane la requête/le flux fait-il partie des utilisateurs concernés par la règle?• Flux : le type du flux reçu est-il concerné par la règle?• Destination : est-ce que l'URL demandée figure dans la catégorie/liste ou correspond à l'expression rationnelle

spécifiée?

2. Si le flux n'est pas concerné par la règle, le moteur ignore celle-ci et passe à la règle suivante. Si le flux est concerné parla règle :• Si l'action définie dans la colonne Action est terminale (Autoriser ou Bloquer), l'Olfeo exécute celle-ci :

• Autoriser : le moteur passe à l'onglet suivant. Si la règle appartient à l'onglet Contenu, la page est envoyée àl'utilisateur.

• Bloquer : l'utilisateur reçoit une page de blocage.



• Si l'action définie dans la colonne Action est non terminale (par exemple, activer les chartes internet), l'Olfeo exécutecelle-ci et passe à la règle suivante.

3. Lorsque dans un onglet, toutes les règles ont été évaluées et que le flux n'a pas été bloqué, l'Olfeo applique la règle définiedans le champ Pour le reste.

Dans l'onglet Accès, si la valeur du champ Pour le reste est Appliquer la politique utilisateur, l'Olfeo applique lapolitique de filtrage d'URL correspondante avant de passer à l'onglet Aperçu. La politique qui sera appliquée peut être lapolitique définie au niveau de l'utilisateur, du groupe, de l'UO (ou de sa passerelle), ou de la Configuration par défaut :voir Politiques utilisateur > Traitement des politiques à la page 77.

AvertissementIl vous appartient de vérifier que les règles que vous définissez sont cohérentes entre elles et que tous les cas sont prévus.Par exemple, si dans une règle vous autorisez l'accès à une catégorie pendant une certaine plage horaire, il ne va pas desoi que cette même catégorie sera bloquée hors de cette plage horaire.

Créer une définition de plage horaire

Une plage horaire vous permet de définir les heures ou les jours pendant lesquels vous souhaitez qu'une règle soit appliquée.

Les plages horaires vous permettent d'ajuster vos politiques ou vos règles dans le moteur de filtrage : il est par exemple possibled'être exigeant pendant les heures de travail tout en permettant aux utilisateurs d'avoir accès à plus de sites pendant l'heuredu déjeuner.

Créer une plage horaire

1. Rendez-vous à la page Administration > Plages horaires.

2. Cliquez sur le lien Ajouter une plage horaire.

3. Saisissez un nom et une description. Cette description apparaîtra uniquement dans la liste des plages horaires.

4. Saisissez une plage horaire dans le ou les jours désirés. La syntaxe est celle de l'exemple suivant : 8:00-12:00, 14:00-18:00.

5. Cliquez sur le bouton Valider pour enregistrer les changements. La plage apparaît dans la liste des plages horaires.

Utiliser une plage horaire

Les plages horaires peuvent être utilisées dans une règle du moteur de règles ou dans une règle appartenant à une politique,dans la colonne Plage horaire.

Faire du filtrage d'URL


FAIRE DU FILTRAGE D'URL

Dans ce chapitre :

• Catégories et listes d'URLs• Gérer les politiques de filtrage• Réécrire des URLs• Faire une simulation de filtrage (mode audit)• Gérer les requêtes vers des adresses IP



Catégories et listes d'URLs

Thèmes et catégories

La page Filtrage web > Catégories contient la liste des thèmes et catégories Olfeo.

Une catégorie est un groupe de domaines classés dans la base de données Olfeo. Les catégories sont organisées par thèmeset actualisées quotidiennement. En effet tous les jours l'ensemble des solutions Olfeo paramétrées pour le faire remontentles URLs inconnues qu'elles ont rencontrées à un site central et une équipe multilingue les classe. Les catégories sont ensuiterenvoyées aux solutions Olfeo par mise à jour de leur base de données interne.

Dans cette page, vous pouvez :

• consulter la liste des thèmes et catégories Olfeo et leur description• rechercher la catégorie dans laquelle est classée une URL donnée• définir un alias pour une catégorie, qui apparaîtra dans les pages de blocage à la place de son libellé Olfeo. Dans les

statistiques, ce sont les libellés Olfeo qui apparaîtront.• changer la catégorie d'une URL :

• en ajoutant des URLs à des catégories existantes : cliquez sur une catégorie. L'écran d'édition de catégorie s'affiche.Ajoutez des URLs dans le champ Liste, ou bien importez-les via un fichier texte.

• en créant des catégories personnalisées.

Les catégories peuvent être utilisées soit dans une politique, soit dans une règle du moteur de règles.

Vous pouvez télécharger une version PDF de la liste des thèmes et catégories à l'adresse suivante : http://www.olfeo.com/sites/olfeo/files/pdf/guide-categories-olfeo.pdf.

Trouver à quelle catégorie appartient une URL

1. Rendez-vous à la page Filtrage web > Catégories.

2. Dans le champ Rechercher une URL, saisissez le domaine pleinement qualifié de l'URL dont vous voulez connaître lacatégorie (par exemple : www.google.fr).

3. Cliquez sur le bouton Rechercher. Le thème et la catégorie s'affichent dans le champ Résultat.• Une URL inconnue aura comme résultat : Autres > URL Non Classée.• La recherche prend en compte les catégories personnalisées et les URLs ajoutées manuellement à une catégorie. Elle

ne prend pas en compte les règles de réaffectation à une catégorie (car celles-ci ne concernent pas tous les utilisateurs).

http://www.olfeo.com/sites/olfeo/files/pdf/guide-categories-olfeo.pdf

http://www.olfeo.com/sites/olfeo/files/pdf/guide-categories-olfeo.pdf



Changer la catégorie d'une URL

Dans certains cas, il peut arriver que la catégorie dans laquelle est classée une URL ne vous convienne pas. Cependant, l'URLest classée dans cette catégorie à bon escient et ne peut faire l'objet d'une demande de reclassement dans la base Olfeo.

Vous pouvez changer la catégorie d'une URL de plusieurs manières :

• En ajoutant une URL manuellement à une catégorie existante. Cette option affecte tous les utilisateurs filtrés par la solution.Par exemple, si vous utilisez en interne un logiciel en offre hébergée, vous pouvez ajouter l'URL correspondante à lacatégorie Site interne.

• En créant une catégorie personnalisée si aucune catégorie Olfeo ne vous convient. Cette option affecte tous les utilisateursfiltrés par la solution. Le thème correspondant est Mes catégories.

• En créant une règle dans le moteur de règles qui réaffecte l'URL à la catégorie désirée. Utilisez cette option si vous voulezque la réaffectation concerne uniquement certains groupes d'utilisateurs. Par exemple, il peut être pertinent de réaffecterles réseaux sociaux à la catégorie "services aux entreprises" pour l'équipe communication.

Vous pouvez vérifier que l'URL a bien "changé" de catégorie dans l'écran du trafic temps réel.

Créer une catégorie personnalisée

1. Rendez-vous à la page contenant les catégories en suivant les menus Filtrage web > Catégories.

Section : Liste

2. Dans la section liste des catégories déployez l'arbre Mes catégories à l'aide de l'icône .

3. Cliquez sur le lien Ajouter une catégorie.

Section : Catégorie


5. Saisissez une description dans le champ Description.

6. Saisissez éventuellement un alias dans le champ Alias. Lors de l'affichage d'une page de blocage, c'est le contenu du champAlias qui sera affiché. Imaginons que vous positionniez un alias "Site interdit" à la catégorie "Sexe - Pornographie". Lorsde l'affichage de la page de blocage il sera notifié à l'utilisateur: Ce site est classé dans la catégorie: "Siteinterdit". Dans les statistiques, c'est le nom de la catégorie qui sera affiché et non l'alias.

Section : URLs ajoutées

7. Pour ajouter des URLs dans la catégorie que vous cherchez à constituer vous disposez de deux possibilités:• Vous pouvez ajouter une liste d'URLs contenue dans un fichier texte en le sélectionnant à l'aide du bouton Parcourir

puis en cliquant sur:• le bouton Ajouter pour importer le contenu du fichier dans le champ URLs ajoutées.• le bouton Remplacer pour remplacer le contenu du champ URLs ajoutées.

• Vous pouvez saisir manuellement des URLs dans le champ URLs ajoutées.

Chaque ligne de votre catégorie doit contenir une seule URL et donc se terminer par un retour à la ligne. Vous pouvezconstituer des URLs utilisant la syntaxe REGEX.Voici un exemple de liste d'URLs:

http://www.facebook.fr.*youtube\.fr.*google\.fr.*http://www.dailymotion.fr.*yahoo\.fr.*

8. Cliquez sur le bouton Créer pour créer votre catégorie.



Réaffecter une URL à une catégorie

Vous pouvez réaffecter une URL ou une catégorie toute entière à une autre catégorie via une règle dans le moteur de règles.Utilisez cette méthode si vous souhaitez que le changement de catégorie concerne uniquement certains groupes d'utilisateurs.

Vous pouvez par exemple réaffecter le site de la banque qui gère les comptes de votre organisation à la catégorie Services auxentreprises pour les membres de l'équipe comptabilité.

Réaffecter une URL ou une catégorie

À la page Administration > Utilisateurs :• Dans la colonne Source, définissez les utilisateurs à qui appliquer la réaffectation de catégorie.• Dans la colonne Destination, définissez l'URL ou la catégorie à réaffecter.• Dans la colonne Action, sélectionnez Attribuer une catégorie, puis sélectionnez la catégorie à laquelle vous voulez

réaffecter l'URL ou la catégorie.

Demander le reclassement d'une URL

Si une URL vous semble appartenir à la mauvaise catégorie et qu'il ne vous semble pas pertinent de changer la catégorie de cetteURL dans votre Olfeo, vous pouvez demander une étude de recatégorisation à l'adresse suivante : [email protected].

Vous pouvez également demander qu'une URL non classée soit traitée en priorité.

Gérer les URLs non classées

Certaines URLs ne figurent pas encore dans la base d'URLs Olfeo : vous pouvez choisir d'envoyer automatiquement ces URLsaux équipes Olfeo afin qu'elles soient classées. Vous pouvez également faire une demande spécifique de classification pourqu'une URL non classée soit traitée en priorité.

Catégorie URL non classée

Pour vous permettre de gérer ces URLs inconnues, il existe une catégorie URL Non Classée (dans le thème Autres). Vouspouvez ainsi créer une politique spéciale concernant les URLs non classées. Attention, bloquer les URLs non classées estgénéralement mal perçu par les utilisateurs : un bon compromis consiste à mettre en place un blocage avec outrepassementpar domaine.

Listes

Créer une liste de catégories

La page Filtrage web > Liste de catégories vous permet de regrouper les catégories de votre choix. Vous pouvez utiliserune liste de catégories soit dans une politique, soit dans le moteur de règles.

1. Rendez-vous à la page Filtrage web > Liste de catégories.

2. Cliquez sur Ajouter une liste de catégories.

Section : Liste de catégories

3. Saisissez un nom pour la nouvelle liste de catégories dans le champ Libellé.





Section : Catégories

5. Sélectionnez une ou plusieurs catégories dans la liste Catégories pour constituer votre liste.Pour sélectionner plusieurs catégories, utilisez la touche CTRL.

6. Cliquez sur le bouton Créer pour créer votre liste des catégories.

Créer une liste de domaines

Une liste de domaines permet de regrouper un ensemble de FQDNs auxquels vous voulez pouvoir appliquer une mêmerègle, et dont vous ne souhaitez pas changer la catégorie. Cette liste pourra être utilisée dans une règle du moteur de règles,dans une politique, ou bien pour définir des exceptions à l'authentification auprès du proxy HTTP, ou des exceptions audéchiffrement SSL.

Utilisez une liste de domaines :• pour créer une règle sur des domaines ou sous-domaines entiers. (Pour créer des règles sur certaines URLs spécifiques,

utilisez des listes d'URLs.)• pour faire des règles concernant des flux chiffrés (HTTPS). Vous devez utiliser des domaines pour que les règles

fonctionnent correctement : en effet, pour les requêtes HTTPS, le proxy ne reçoit en clair que le nom de domaine (l'URLexacte demandée par le client est chiffrée).

Procédure

1. Rendez-vous à la page Administration > Liste d'URLs > Liste de domaines.

2. Cliquez sur le lien Ajouter une liste de domaines.


4. Ajoutez des FQDNs (domaines et/ou sous-domaines) à la liste. N'utilisez pas d'expressions régulières ou de wildcards.Utilisez un point pour représenter les sous-domaines d'un domaine ou d'un sous-domaine :

Exemple Résultat

www.olfeo.com Inclut uniquement le sous-domaine www.olfeo.com

.olfeo.com Inclut l'ensemble du domaine olfeo.com, avec tous ses sous-domaines (www.olfeo.com,support.olfeo.com...)

olfeo.com Syntaxe invalide (le FQDN olfeo.com n'existe pas)

support.olfeo.com Inclut uniquement le sous-domaine support.olfeo.com

.support.olfeo.com Inclut le sous-domaine support.olfeo.com et tous ses sous-domaines

Vous pouvez :• saisir manuellement des domaines dans le champ Domaines.• importer une liste de domaines contenue dans un fichier texte. Chaque ligne de votre liste doit contenir un seul domaine

et donc se terminer par un retour à la ligne. Sélectionnez le fichier à l'aide du bouton Parcourir puis cliquez sur :• le bouton Ajouter pour ajouter le contenu du fichier à la suite des domaines contenus dans le champ Domaines.• le bouton Remplacer pour remplacer le contenu du champ Domaines.

Pour exporter votre liste de domaines au format .txt, cliquez sur le bouton Exporter. Le bouton Exporter est disponible aprèsavoir ajouté les domaines. Le fichier s'ouvre dans votre navigateur. Faites un clic droit dessus puis cliquez sur Enregistrer sous.



Créer une liste d'URLs

Une liste d'URLs permet de regrouper un ensemble d'URLs auxquelles vous voulez pouvoir appliquer une même règle etdont vous ne souhaitez pas changer la catégorie. Cette liste pourra être utilisée dans une règle du moteur de règles ou dansune politique.

Utilisez une liste d'URLs pour créer une règle sur certaines URLs spécifiques dans un domaine. Pour gérer des domaines ousous-domaines entiers, utilisez des liste de domaines, qui sont moins coûteuses en termes de traitement.

1. Rendez-vous à la page Administration > Liste d'URLs > Liste d'URLs.

2. Cliquez sur le lien Ajouter une liste d'URLs.

Section : Liste d'URLs




5. Pour ajouter des URLs dans la liste que vous cherchez à constituer vous disposez de deux possibilités:• Vous pouvez ajouter une liste d'URLs contenue dans un fichier texte en le sélectionnant à l'aide du bouton Parcourir

puis en cliquant sur:• le bouton Ajouter pour importer le contenu du fichier dans le champ URLs.• le bouton Remplacer pour remplacer le contenu du champ URLs.

• Vous pouvez saisir manuellement des URLs dans le champ URLs .

Chaque ligne de votre liste d'URLs doit contenir une seule URL et donc se terminer par un retour à la ligne. Vous pouvezconstituer des URLs utilisant la syntaxe REGEX.

6. Si vous souhaitez exporter votre liste d'URLs en fichier texte cliquez sur le bouton Exporter. Le bouton Exporter estaccessible après avoir ajouté ou remplacé les URLs. Une fois la liste affichée dans votre navigateur cliquez sur Fichier >Enregistrer sous et sauvegardez votre fichier en tant que fichier texte.

7. Cliquez sur le bouton Créer pour enregistrer les changements.

Gérer les politiques de filtrage

Créer une politique de filtrage d'URLs

Le fonctionnement global des politiques et leur traitement par le moteur est expliqué à la page Politiques utilisateur à la page 76.

Créer une politique de filtrage d'URL



1. Rendez-vous à la page Filtrage web > Politiques.

2. Cliquez sur Ajouter une politique. L'écran de création apparaît.

3. Saisissez un nom et une description pour la nouvelle politique. Assurez-vous que le nom soit suffisamment parlant : celui-ci apparaîtra dans la fenêtre permettant d'appliquer une politique aux éléments de la liste de utilisateurs, ainsi qu'à la pagedu trafic temps réel.

4. Dans la section Règles, ajoutez une règle grâce au bouton .

5. Dans les colonnes Plage horaire, Flux et Destination, définissez les conditions dans lesquelles la règle doit être appliquée.Pour plus d'informations, voir Créer une règle à la page 78.

6. Cliquez sur l'image dans la colonne Action puis sélectionnez l'action à effectuer lorsque le flux remplit toutes lesconditions définies précédemment. Pour plus d'informations, voir Créer une règle, section Action.

7. Une fois toutes vos règles créées, définissez l'ordre de priorité dans lequel vous souhaitez que celles-ci soient exécutéesgrâce aux flèches et . À l'intérieur d'une politique, le moteur parcourt les règles de haut en bas : assurez-vous de lacohérence des règles entre elles.

8. Dans la liste Pour le reste, définissez l'action à effectuer si le flux ne correspond à aucune des règles contenues dans lapolitique. Si la valeur est Politique supérieure, le moteur appliquera la politique définie sur l'élément parent dans la listedes utilisateurs : voir Politiques utilisateur > Traitement des politiques à la page 77.

9. Cliquez sur le bouton Valider. La politique apparaît dans la liste des politiques.

Appliquer une politique de filtrage d'URLs

Les politiques de filtrage d'URL sont appliquées via la liste des utilisateurs.



1. Rendez-vous à la page Administration > Utilisateurs.

2. Dans l'onglet Annuaire ou Annuaire déployez l'arborescence des utilisateurs dans la colonne Nom pour faire apparaîtreles unités organisationnelles, les groupes ou les utilisateurs sur lesquels vous voulez appliquer votre politique à l'aide del'icône .

3. Cliquez sur le lien de la colonne Filtrage web correspondant puis sélectionnez la politique de filtrage d'URL voulue.

Permettre aux utilisateurs d'outrepasser un blocage

L'outrepassement consiste à donner le droit à l'utilisateur de débloquer une page bloquée. Il est possible d'autoriserl'outrepassement :• pour une règle contenue dans une politique de filtrage d'URLs dont la valeur est Bloquer• dans les cas où la page est bloquée parce que le quota correspondant à la page est expiré.

Avoir la possibilité d'outrepasser un blocage "aide" l'utilisateur à mieux accepter le contrôle mis en place, et responsabilisel'utilisateur (c'est son choix s'il outrepasse ou non). Cela permet aussi de limiter l'impact sur l'utilisateur dans le cas où unerègle de filtrage ne serait pas adaptée à son travail.

Illustration 4: Bouton d'outrepassement sur une page de blocage reçue pour cause de quota expiré

Limitations

L'outrepassement n'est pris en compte que pour les utilisateurs identifiés ou authentifiés. En effet, le moteur ne peut pasappliquer la règle individuellement à chaque utilisateur inconnu. Si vous définissez une politique avec outrepassement sur laConfiguration par défaut, les utilisateurs inconnus n'auront pas l'option d'outrepasser le blocage : ils recevront une pagede blocage "brute".

Fonctionnement

L'outrepassement est défini dans la colonne Action d'une règle contenue dans une politique de filtrage d'URLs (définie à lapage Filtrage web > Politiques > Politiques).

Vous pouvez définir un mot de passe à demander lors de l'outrepassement : seuls les utilisateurs disposant du mot de passepourront débloquer la page. Ce mot de passe est propre à la règle d'outrepassement et sera donc commun à tous les utilisateurs.Par exemple, dans une école, vous pouvez interdire l'accès à des sites permettant de télécharger des ressources : seuls lesenseignants disposeront du mot de passe pour autoriser les téléchargements au cas par cas.

Il existe 2 types d'outrepassement :• par règle : on outrepasse 1 fois et tous les sites concernés par la règle sont débloqués• par domaine : à chaque nouveau site concerné par la règle, l'utilisateur recevra la page de blocage avec la possibilité

d'outrepasser le site.



Une fois le domaine ou la règle outrepassée, l'utilisateur peut surfer pendant les 10 prochaines minutes avant d'être à nouveaubloqué (cette durée est la même quel que soit le type de blocage outrepassé). Si cette durée ne convient pas à vos besoins,contactez le support Olfeo pour en changer (si vous avez un contrat avec support).

Interprétation de l'outrepassement fait par vos utilisateurs

Si vous donnez la possibilité à vos utilisateurs d'outrepasser un blocage, il est recommandé de regarder comment ceux-ci seservent de la fonctionnalité. En effet, dans certains cas, l'outrepassement sera justifié et pourra vous amener à ajuster votrefiltrage, voire même à réaffecter une URL à une catégorie pour certains utilisateurs.

Dans les statistiques, vous pouvez voir quand l'outrepassement a été utilisé en triant par action : les items concernés sontOutrepassé et Outrepassé avec mot de passe.

Vous pouvez aussi par exemple trier par domaine et par utilisateur : si, pour un même site, un grand nombre de vos utilisateursa outrepassé le blocage, il est possible que le blocage soit inopportun.

Fixer des quotas

Un quota sert à limiter l'accès à des sites en volume ou en temps. Vous pouvez autoriser l'utilisateur à consulter un site ouune catégorie pendant un certain temps ou pour un certain volume de données, chaque jour, semaine ou mois. Un quota estmieux accepté par les utilisateurs qu'un blocage pur et simple.

Dans l'extracteur de données, le champ quota_id indique l'identifiant interne du quota s'appliquant à la requête.

Fonctionnement

Lorsqu'un utilisateur tente d'accéder à un site soumis à un quota, celui-ci reçoit une page de blocage lui permettant d'ouvrirle quota.

Illustration 5: Exemple de page d'ouverture de quota (quota en temps)

Une fois que l'utilisateur a cliqué sur Ouvrir le quota, il peut surfer jusqu'à ce que son quota soit épuisé. Une fois le quotaépuisé, l’utilisateur reçoit une page de blocage l'informant que le quota est épuisé (et, le cas échéant, lui propose d'outrepasserle blocage).

Vous pouvez remettre à 0 les quotas concernant un utilisateur : dans la fenêtre Configuration de la liste d'utilisateurs,cliquez sur Réinitialisation des quotas. La prochaine fois que l'utilisateur tentera d'accéder à un site concerné par ce quota,il recevra une page d'ouverture de quota.



Limitations

• Les quotas ne sont pris en compte que pour les utilisateurs identifiés ou authentifiés. En effet, le moteur ne peut pasappliquer un quota individuellement à chaque utilisateur inconnu. Si vous définissez une politique contenant un quota sur laConfiguration par défaut, les utilisateurs inconnus ne recevront pas de message de quota : ils seront simplement bloqués.

• N'appliquez pas un quota à des utilisateurs de type plage d'IPs : il serait appliqué globalement à toute la plage et non paspar IP appartenant à cette plage.

• Si vous ne déchiffrez pas certains flux sur lesquels s'appliquent des quotas, activez les pages de blocage en HTTPS pourque les utilisateurs puissent recevoir les pages d'ouverture de quota ou de quota expiré, si la page à laquelle ils essaientd'accéder est une page HTTPS.

Appliquer un quota

Pour appliquer un quota :

1. Créez une définition de quota en temps ou de quota en volume.

2. Créez une politique de filtrage d'URLs : dans la règle désirée, cliquez dans la colonne Action.

3. Dans la fenêtre Action, sélectionnez Quota en temps ou Quota en volume, puis, dans la liste Quota, sélectionnez lequota désiré.

4. Si besoin, activez l'outrepassement par règle ou par domaine. Dans tous les cas, l'outrepassement dure 10 minutes : pourles quotas en volume, il n'est pas lié au volume de données téléchargé.

5. Une fois la politique créée, appliquez celle-ci à un utilisateur, groupe ou UO (voir section Limitations à la page 91).

Créer un quota en temps

Les quotas en temps peuvent être découpés en sessions. Utiliser des sessions permet, en plus de limiter le temps passé sur unsite ou une catégorie, de limiter le nombre d'accès (par exemple, un quota de 30mn avec une durée de session définie de 15min ne permet que 2 accès dans la journée).• Sans session : une fois le quota ouvert, le quota est décompté minute par minute. Attention, le quota décompte l'activité

du navigateur et non de l'utilisateur (le navigateur peut rafraîchir des pages automatiquement et consommer le quota alorsque l'utilisateur ne fait rien). Si l’utilisateur ferme son navigateur, le décompte est stoppé : si plus tard il relance le navigateur,il obtient une nouvelle page de blocage lui proposant de réouvrir le quota, pour la durée restante.

• Avec session : lorsque l'utilisateur ouvre une session de quota, l'heure de fin de session est calculée (heure d'ouverture de lasession + durée de la session). À l'heure de fin de session, la session est considérée comme expirée même si l'utilisateur n'apas surfé. Lorsque la session de quota expire, si la durée totale du quota n'a pas été utilisée, l'utilisateur reçoit une nouvellepage d'ouverture de session.

Créer une définition de quota

1. Rendez-vous à la page Administration > Quotas > Quotas en temps.

2. Cliquez sur le lien Ajouter un quota.

3. Saisissez un nom et une description. Le nom servira à sélectionner le quota dans une politique, mais pourra également êtreaffiché dans une page de blocage concernant le quota.

4. Choisissez la période à laquelle le quota est renouvelé dans le champ Période.

5. Saisissez la durée totale en minutes du quota dans le champ Durée.



6. Si vous souhaitez que l'utilisateur reçoive une page d'ouverture de quota, cochez Confirmer l'ouverture. Si la case estdécochée, le quota sera ouvert automatiquement : l'utilisateur ne recevra pas de page d'ouverture de quota et accéderadirectement au site demandé. Il recevra cependant une page "quota expiré" une fois son quota utilisé.

7. Si besoin, cochez Utiliser une session puis renseignez la durée en minutes de la session (voir description du mécanismede sessions ci-dessus).

8. Cliquez sur le bouton Créer pour enregistrer les changements. Le nouveau quota apparaît dans la liste des quotas. Vouspouvez l'appliquer à un utilisateur, groupe ou UO via une politique.

Créer un quota en volume

Les quotas en volume sont compatibles avec les modes d’intégration suivants : proxy explicite et en interception, intégration encoupure si celle-ci est combinée avec un proxy en interception. En effet, la taille des contenus reçus est déterminée par le proxy.

Pour les flux chiffrés, sans déchiffrement SSL, le volume est la taille de la réponse chiffrée reçue par le proxy.

Créer une définition de quota

1. Rendez-vous à la page Administration > Quotas > Quotas en volume.

2. Cliquez sur le lien Ajouter un quota en volume.

3. Saisissez un nom et une description. Le nom servira à sélectionner le quota dans une politique, mais pourra également êtreaffiché dans une page de blocage concernant le quota.

4. Choisissez la période à laquelle le quota sera renouvelé dans le champ Période.

5. Saisissez le volume en Mo du quota dans le champ Volume.

6. Cliquez sur le bouton Créer pour enregistrer les changements. Le nouveau quota apparaît dans la liste des quotas. Vouspouvez l'appliquer à un utilisateur, groupe ou UO via une politique.

Réécrire des URLs

Vous pouvez forcer la réécriture de tout ou partie d'une URL grâce à une règle du moteur de règles.

Par exemple, pour pouvez forcer l'option SafeSearch de Google à être activée en permanence (vos utilisateurs ne pourrontpas la désactiver via leur navigateur).

Contraintes

La réécriture d'URL fonctionne en intégration proxy (explicite ou en interception) et avec un connecteur ICAP. Elle nefonctionne pas avec des connecteurs WISP ou OPSEC, et en intégration coupure ou miroir de port.

Paramétrage

1. Créez une règle dans le moteur de règles.

2. Dans la colonne Destination, définissez quelles URLs doivent faire l'objet de la réécriture.

3. Dans la colonne Action, sélectionnez Réécriture d'URL.

4. Définissez la substitution à effectuer :



• Motif : la partie de l'URL à remplacer• Remplacer par : par quoi remplacer cette partie d'URL• Expression rationnelle : cochez la case si vous avez utilisé des regex dans les champs précédents. Si la case est décochée,

seuls les caractères de substitution * et ? seront valides.

Exemple

Pour forcer l'option SafeSearch de Google, le paramétrage sera le suivant :

Motif : google\..*/search?.*q=.*)

Remplacer par : \1&safe=active

Faire une simulation de filtrage (mode audit)

Le mode Audit permet de simuler les actions de filtrage :

• les utilisateurs ne sont jamais bloqués• l'Olfeo montre quels flux auraient été bloqués si le filtrage avait été effectif.

Vous pouvez ainsi voir l'impact de vos règles et politiques de filtrage et évaluer si celles-ci sont pertinentes, sans contrarier lesutilisateurs ou troubler le fonctionnement de votre entité. Vous pouvez aussi tester rapidement la pertinence d'une règle oud'une politique de filtrage en appliquant une règle à un utilisateur en mode audit afin de vérifier le résultat.

Une phase d'audit est une étape indispensable avant la mise en place effective du filtrage dans une organisation.

RemarqueEn mode audit, l'Olfeo n'envoie aucune page aux utilisateurs. Toutes les fonctionnalités nécessitant d'envoyer des pagesaux utilisateurs sont inactives : portail captif et portail public, quotas, alerte antivirus, signature de la charte internet...

Activer le mode Audit pour un utilisateur, un groupe ou une UO

1. À la page Administration > Utilisateurs, dans la liste des utilisateurs, cliquez sur l'utilisateur, le groupe ou l'UO désirée.La fenêtre Configuration de la liste des utilisateurs s'ouvre.

2. Dans le champ Audit, sélectionnez Activé.


Dans la liste des utilisateurs, à côté du nom de l'utilisateur, du groupe ou de l'UO, une icône indique que le modeAudit est activé.

Voir le résultat de l'audit

• À la page du trafic temps réel, l'action (Autorisé ou Bloqué) qui aurait résulté des règles et politiques de filtrage apparaîtbarrée.



• Dans les statistiques, les flux qui auraient été bloqués apparaissent dans Action = Bloqué (même s'ils n'ont pas réellementété bloqués).

• Dans l'extracteur de données d'historique, l'audit est représenté par l'attribut Audit (f = désactivé, t = activé).

Gérer les requêtes vers des adresses IP

RemarqueCette page ne concerne que le filtrage d'URLs. Elle ne concerne pas le filtrage applicatif.

Il se peut qu'une requête reçue par le moteur de filtrage pointe vers une adresse IP et non un nom de domaine.

• Si l'adresse IP est connue de la base Olfeo, le moteur applique la règle appropriée (suivant le cas, règle du moteur, politiqueutilisateur ou politique par défaut).

• Si l'adresse IP est inconnue de la base Olfeo, celle-ci est classée dans la catégorie IP Non Classée. (Cette catégorie estdifférente de la catégorie URL Non Classée). Vous pouvez choisir de définir une règle sur cette catégorie ou bien demanderau moteur de faire une requête DNS inverse afin d'associer une catégorie au site.

La résolution DNS inverse n'est possible que si les propriétaires du site distant ont renseigné l’enregistrement PTR sur leurserveur. Sans enregistrement PTR, l'IP restera dans la catégorie IP non classée.

Résoudre les adresses IP en noms de domaines

À la page Paramétrage > Avancé > DNS inverse :

• Si la case Faire une requête DNS inverse est cochée, le moteur tente de résoudre l'IP inconnue en nom de domaine.• S'il obtient un nom de domaine, il applique les règles concernant ce domaine. Par exemple, si l'adresse IP correspond à

un site classé dans la catégorie Services aux entreprises, le moteur applique la règle concernant la catégorie Serviceaux entreprises pour cet utilisateur (suivant le cas, règle du moteur, politique utilisateur ou politique par défaut). Sile domaine est inconnu de la base Olfeo, le moteur applique une éventuelle règle concernant la catégorie URL NonClassée, ou la politique par défaut.

• Si la résolution inverse échoue, le moteur effectue l'action définie dans la liste Quand l'adresse IP est inconnue. Sila valeur Utiliser l'action par défaut est sélectionnée, le moteur applique les règles concernant la catégorie IP NonClassée.

• Si la case Faire une requête DNS inverse n'est pas cochée, le moteur applique les règles concernant la catégorie IPNon Classée.


FAIRE DE L'ANALYSE DE CONTENU

L'analyse de contenu est faite dans les onglets Aperçu et Contenu du moteur de règles. Vous pouvez :• définir des règles portant sur la taille ou le type MIME des fichiers, avant qu'ils soient reçus, ou après leur réception

par le moteur de filtrage• définir une stratégie d'attente pour le téléchargement de fichiers volumineux• activer l'antivirus.

Contraintes

Analyser les réponses reçues des serveurs distants demande de télécharger les contenus sur l'Olfeo. L'analyse de contenu n'estdonc disponible que pour les intégrations qui transmettent les contenus réels des réponses à l'Olfeo :• Intégrations proxy explicite et en interception.• Intégration couplage/connecteur avec un équipement tiers utilisant le protocole ICAP.• Intégration en coupure, si celle-ci est combinée à une intégration proxy en interception (c'est le proxy en interception

qui se charge de l'analyse de contenu).

De plus, pour les flux HTTPS, seuls les contenus déchiffrés peuvent être analysés.

Connecteurs ICAP

Les données sont transmises au moteur de filtrage via le protocole ICAP, en RESPMOD. Le comportement des ongletsAperçu et Contenu dépend donc des options ICAP du connecteur qui amène les données jusqu'au moteur de filtrage :• intégrations proxy : le Connecteur ICAP interne pour analyse de contenu installé par défaut• intégrations connecteur/couplage : le connecteur de couplage que vous avez créé.

Les connecteurs sont visibles à la page Paramétrage > Architecture > Intégration.

Dans ce chapitre :

• Analyse des contenus à partir de leur aperçu• Analyse des contenus reçus• Gestion de la taille des fichiers reçus

Faire de l'analyse de contenu


Analyse des contenus à partir de leur aperçu

L'onglet Aperçu du moteur de règles permet de définir des actions à effectuer sur les contenus au début de leur téléchargement,avant qu'ils n'aient été reçus entièrement. Plus précisément, il s'agit de l'utilisation de l'option Preview du protocole ICAP.

Vous pouvez définir des restrictions sur les tailles de fichier ou sur leur type MIME (texte, images, vidéos, etc). Par exemple,vous pouvez bloquer le téléchargement de fichiers de plus de 500 Mo, ou le téléchargement de fichiers exécutables.

Contraintes

• L'option Preview doit être activée : dans les options de votre connecteur ICAP, la case Prévisualiser en RESPMODdoit être cochée. Si celle-ci est décochée, toutes les règles de l'onglet sont ignorées et le moteur passe directement à l'ongletContenu.

• Toutes les règles de l'onglet sont terminales : si le flux correspond à une règle, cette règle est appliquée et le moteur passeà l'onglet Contenu.

Règles

• Plage horaire, Source, Destination : Voir Créer une règle à la page 78.• Contenu : La règle ne s'applique que si le fichier correspond au critère de taille ou au type MIME spécifié ici.

• Taille attendue : Taille annoncée dans l'en-tête HTTP Content-length de la réponse du serveur distant. Attention,il est possible que l'en-tête soit absent ou que sa valeur soit fausse. Si l'en-tête est absent, la règle est ignorée : utilisezl'action Limiter pour définir un blocage pour les contenus n'ayant pas de taille annoncée. Voir aussi Gestion de la tailledes fichiers reçus à la page 97.

• Type MIME : Le type du fichier. Le moteur de filtrage détermine le type MIME à partir de la signature du fichier(c'est-à-dire un identifiant situé en début de fichier).

• Action : L'action à effectuer si le fichier correspond à toutes les conditions définies dans les autres colonnes.• Autoriser : Le moteur passe à l'onglet Contenu du moteur.• Bloquer : Suivant le cas, une page de blocage peut être envoyée à l'utilisateur, ou bien le contenu ne s'affiche pas (voir

Remarque ci-dessous).• Limiter : Bloque le téléchargement d'un fichier si sa taille dépasse la valeur spécifiée. Cette action est similaire à une

règle Bloquer basée sur la Taille attendue, cependant à la différence de l'option Taille attendue, l'option Limiter sebase sur la taille réelle du fichier reçu, déterminée au fur et à mesure que le fichier est reçu.

RemarquePour les actions Bloquer et Limiter :• L'utilisateur ne recevra pas de page de blocage si le fichier est un élément d'une autre page : l'élément ne

s'affichera simplement pas. Par contre, il recevra une page de blocage si le fichier était l'élément "principal"demandé par le navigateur (par exemple, un document PDF devant être affiché directement dans lenavigateur). Il s'agit d'une page de blocage standard ("accès restreint"), qui ne mentionne pas la limite de taille.

• Le fichier est bloqué par la règle de l'onglet Aperçu, mais avant cela, l'URL correspondant au fichier a étéautorisée par l'onglet Accès du moteur de règles. 2 lignes apparaissent à la page du trafic temps réel : uneligne de type URL en Autorisé, et une ligne de type File en Bloqué.

• Transfert des données : Permet de définir le comportement de l'Olfeo pour les gros fichiers qui mettront du temps àêtre transmis à l'utilisateur. La valeur définie ici surcharge le comportement par défaut défini dans le paramètre Transfertdes données par défaut du connecteur ICAP.

Une règle Action : Transfert des données n'est appliquée que si la taille du fichier est inférieure à la Taille maximumspécifiée dans le connecteur, et supérieure à 1024 ko. Pour les fichiers annonçant une taille, si vous définissez un critèrede taille dans la colonne Contenu, celle-ci surchargera la limite de taille par défaut de 1024 ko minimum.



• Attendre la fin de l'analyse : L'Olfeo attend d'avoir reçu les données et de les avoir analysées avant de transmettre.L'utilisateur voit le téléchargement démarrer une fois le contenu téléchargé en entier sur l'Olfeo.

• Page de patience : Pendant l'attente des données et de l'analyse, l'Olfeo envoie une page de patience à l'utilisateur.Cette page informe l'utilisateur que le fichier est en cours de téléchargement.

• Écoulement de données (data trickling) : L'Olfeo transfère de petites quantités de données vers l'utilisateur aufur et à mesure que les données arrivent, afin d'éviter que le navigateur n'envoie une erreur de type timeout. Lesrègles de l'onglet Contenu seront cependant appliquées avant que la totalité du fichier ne soit envoyée à l'utilisateur.L'utilisateur voit le téléchargement démarrer immédiatement. Cependant, en cas de blocage, l'utilisateur ne reçoit pasde page de blocage (il reçoit uniquement les parties de la ressource envoyées par l'Olfeo avant l'action de blocage).

Analyse des contenus reçus

L'onglet Contenu du moteur de règles permet de définir des actions à effectuer sur les contenus après qu'ils aient été reçusentièrement par les proxys HTTP et FTP.

Contraintes

Les règles de cet onglet sont évaluées :• si le fichier n'a pas été bloqué par une règle de l'onglet Aperçu• si la taille du fichier est inférieure aux paramètres Taille maximum ou Bufferisation de la réponse du connecteur ICAP

qui apporte les données jusqu'au moteur de filtrage.

Règles

Dans cet onglet, vous pouvez :• bloquer des contenus selon leur taille ou leur type MIME (texte, images, vidéos, etc). Il est cependant préférable de bloquer

le téléchargement dans l'onglet Aperçu afin d'éviter de devoir recevoir le fichier complet avant de pouvoir prendre unedécision. Créez des règles de blocage dans l'onglet Contenu si l'onglet Aperçu n'est pas évalué.

• exécuter l'antivirus sur les contenus reçus, éventuellement en fonction de leur taille ou de leur type MIME. Attention, unerègle antivirus n'est pas terminale : le moteur évaluera les règles suivantes. Par contre, l'option Antivirus dans le champPour le reste est terminale.

Pour appliquer l'antivirus en permanence à tous les fichiers et pour tous les utilisateurs, sans aucune condition, n'ajoutezpas de règle mais sélectionnez Antivirus dans le champ Pour le reste.

Gestion de la taille des fichiers reçus

La gestion de la taille des fichiers reçus dépend :



• pour les réponses ayant un en-tête Content-Length, du paramètre Taille maximum du connecteur ICAP• pour les réponses sans en-tête Content-Length, du paramètre Bufferisation de la réponse du connecteur ICAP• dans tous les cas, d'une éventuelle règle définissant une limite de taille dans le moteur de règles : règle combinant Taille

annoncée et action Bloquer, ou règle utilisant l'action Limiter.

Ces paramètres permettent de ne pas faire transiter sur le réseau de trop gros contenus afin de limiter l'impact sur lesperformances. Vous pouvez faire prendre en charge les gros fichiers par un équipement dédié ou par l'antivirus de poste.

Les règles sur les types MIME sont évaluéesPas d'analyse antivirus

Pas d'action Transfert des données

En-tête Content-Length présent?

OUI

NON

<

>

Applique toutes les règles normalement

Bufferisation de la réponse

Limite de taille dans l'onglet Aperçu?

Contenu=Taille annoncée + Action=Bloquerou

Action=Limiter

OUI

NON Autorise

<

> Bloque

Autorise

ParamètreTaille maximum


GÉRER LE DÉBIT (BANDE PASSANTE)

Dans ce chapitre :

• Limiter le débit (QoS)

Gérer le débit (bande passante)


Limiter le débit (QoS)

1. Rendez-vous à la page de configuration du proxy HTTP en suivant les menus Proxy avancé > HTTP > QOS.

Section : Général

2. Saisissez dans le champ Bande passante maximum disponible la bande passante maximum en ko/s à laquelle est reliéevotre solution Olfeo.

Par exemple:

1. Vous disposez d'une connexion 10 Mbit/s.

2. 10 mbps = 10 000 kbit/s.

3. 10 000 kbit/s = 1250 ko/s (car 1 octet = 8 bits)

Vous pouvez donc saisir dans le champ Bande passante maximum disponible la vitesse maximum théorique de 1250ko/s.

Section : Règles

3. Ajoutez une règle de QoS grâce au bouton .

4. Dans la règle nouvellement créée, si vous souhaitez réaliser de la QoS à des horaires prédéfinis cliquez sur le lien de lacolonne Plage horaire puis cliquez sur l'une des plages horaires de la colonne Libellé.

RemarqueSi vous souhaitez créer une plage horaire rendez-vous ici: Créer une définition de plage horaire à la page 81.

5. Dans la règle nouvellement créée, si vous souhaitez spécifier une source spécifique sur laquelle réaliser la QoS cliquez surle lien de la colonne Source. Sélectionnez ensuite le type de source sur lequel vous voulez effectuer le filtrage grâce aumenu Sélectionner.

a) Si vous voulez spécifier un ensemble d'utilisateurs sélectionnez Utilisateurs. Déployez l'arborescence des utilisateurs àl'aide de l'icône puis sélectionnez les utilisateurs en activant les cases à cocher de la colonne Nom. Pour finir cliquezsur Valider.



6. Dans la règle nouvellement créée, si vous souhaitez spécifier une destination spécifique sur laquelle réaliser la QoS cliquezsur le lien de la colonne Destination puis cliquez sur le type de destination sur lequel vous appliquerez votre règle grâceau menu Sélectionner.

a) Si vous souhaitez spécifier la destination par le bais d'une expression rationnelle regex cliquez sur URL (regex) puissaisissez l'expression rationnelle dans le champ Url. Pour finir cliquez sur Valider.

b) Si vous souhaitez spécifier la destination par le biais de listes d'URLs cliquez sur Listes d'URLs puis validez les listesd'URLs souhaitées à l'aide des cases à cocher de la colonne Libellé. Pour finir cliquez sur Valider.


c) Si vous souhaitez spécifier la destination par le biais de listes de catégories cliquez sur Listes de catégories puis validezles listes de catégories souhaitées à l'aide des cases à cocher de la colonne Libellé. Pour finir cliquez sur Valider.


d) Si vous souhaitez filtrer des URLs par le biais de catégories cliquez sur Catégories puis validez les catégories souhaitéesà l'aide des cases à cocher de la colonne Libellé. Pour finir cliquez sur Valider.


7. Dans la règle nouvellement créée cliquez sur le lien de la colonne Bande passante pour définir les paramètres de la bandepassante.

Pour information, la solution Olfeo utilise la syntaxe x / y dans la liste des règles pour vous rappeler la Limite globale(ko/s) et la limite par utilisateur (ko/s) de chaque règle.

a) Saisissez la bande passante maximum en ko/s que vous souhaitez attribuer à cette règle dans le champ Limite globale(ko/s).

RemarqueCette limite doit être inférieure ou égale à la Bande passante maximum disponible définie à l'étape 2 à lapage 100.

b) Si vous souhaitez définir une bande passante maximum par utilisateur, validez la case à cocher Activer la limite parutilisateurs puis saisissez la bande passante maximum par utilisateur dans le champ limite par utilisateur (ko/s).

RemarqueCette limite doit être une fraction de la bande passante du champ Limite globale (ko/s) définie à l'étapeprécédente.



c) Cliquez sur Valider pour enregistrer les changements.

8. Dans la règle nouvellement créée, si vous préférez définir la bande passante allouée spécifiquement à cette règle comme unpourcentage de la Bande passante maximum disponible définie à l'étape 2 à la page 100, saisissez la valeur vouluedans le champ de la colonne %.

AvertissementUne fois le pourcentage de Bande passante maximum disponible modifié, la solution Olfeo recalcule le champLimite globale (ko/s) défini à l'étape 7 à la page 101. En effet la Limite globale (ko/s) et le pourcentage dela Bande passante maximum disponible sont deux manières d'exprimer la même valeur de bande passanteque vous souhaitez allouer à votre règle.

Par exemple: Si vous souhaitez allouer à votre règle la moitié de votre Bande passante maximum disponible, saisissezla valeur 50 dans le champ de la colonne %.



FAIRE DU FILTRAGE APPLICATIF

Le filtrage applicatif permet de connaître les protocoles utilisés sur votre réseau, et d'en bloquer certains (par exempleFTP, messagerie instantanée...). Le blocage peut être défini par utilisateurs ou groupes d'utilisateurs, ce qui est plusintéressant que de mettre en place une restriction globale au niveau du réseau, par exemple via un firewall.

• Les protocoles sont reconnus via leurs signatures. Cela permet de reconnaître des protocoles n'utilisant pas leurport standard.

• L'Olfeo peut bloquer des protocoles TCP ou UDP.• Le blocage est fait par un reset TCP, ou par l'envoi de datagrammes vides en UDP.• Les protocoles non IP ne sont ni reconnus ni bloquables (par exemple, certains protocoles de routage, de contrôle

ou de signalisation).• Une connexion déjà initialisée au moment où la politique est appliquée ne sera pas coupée (par exemple, si une

politique sur une plage horaire bloque le protocole FTP à 10h et qu'un ficher est en cours de transfert à 10h, lefichier sera transféré intégralement. La prochaine tentative de connexion FTP sera, elle, bloquée).

• Le filtrage applicatif est appliqué aux utilisateurs via des politiques.• Si l'Olfeo réalise et du filtrage d'URLs et du filtrage applicatif, les règles et politiques de filtrage d'URLs et les

politiques applicatifs seront toutes évaluées. Un flux autorisé par le filtrage d'URLs pourra être bloqué par le filtrageapplicatif.

Prérequis techniques

Pour pouvoir faire du filtrage applicatif, l'interface qui reçoit les flux doit supporter le mode promiscuous (dans ce mode,l'interface écoute tous les paquets passant par elle et non seulement ceux destinés spécifiquement à la machine).

Types d'intégration compatibles et fonctionnement

Les types d'intégration permettant le filtrage applicatif sont :• les intégrations réseau (coupure ou miroir de port). Celles-ci permettent d'analyser tous les flux transitant sur le réseau.• les intégrations proxy (explicite ou en interception). Dans ce cas, l'analyse applicatif n'est faite que sur les flux émis par

le proxy à destination du monde extérieur : flux HTTP/HTTPS, flux non HTTP (DNS, SMB, Kerberos...), protocolessitués au-dessus d'HTTP (OCSP...). Renforcer le filtrage d'URLs par du filtrage applicatif sur le proxy permet d'empêcherles utilisateurs d'utiliser le proxy pour encapsuler des protocoles dans HTTP et ainsi contourner les règles de sécuritémises en place au niveau du firewall.

Identification des utilisateurs

• Intégrations réseau : Par défaut, le trafic protocolaire ne voit que des adresses IP. Cependant, si une authentification ouidentification a été faite (via le proxy HTTP, le moteur de filtrage ou un équipement tiers), l'Olfeo fera la correspondanceentre l'adresse IP et l'utilisateur authentifié/identifié (mécanisme ip2login).

• Intégrations proxy : L'Olfeo ne verra que l'adresse IP du proxy, car les flux sont capturés à la sortie de celui-ci.

Filtrage applicatif dans le trafic temps réel

À la page du trafic temps réel, pour les flux concernant le filtrage applicatif, la colonne Type indique Proto.

Faire du filtrage applicatif


Filtrage applicatif dans l'extracteur de données

Dans l'extracteur de données, les données correspondant au filtrage applicatif contiennent la valeur Req-Type-Proto dansle champ req_type.

Données spécifiques au filtrage applicatif recueillies par l'Olfeo

• Une entrée de log par connexion TCP (connexion ayant abouti ou échoué), ou par datagramme UDP (reçu ou bloqué).• Adresse IP et port de destination de la requête, port source, protocole identifié.• Volume entrant et sortant (c'est-à-dire volume de données téléchargées ou uploadées).

Dans ce chapitre :

• Activer le filtrage applicatif• Liste des protocoles• Créer une politique protocolaire• Appliquer une politique de filtrage applicatif



Activer le filtrage applicatif

1. Réalisez l'intégration choisie.

2. Pour les intégrations proxy, créez un connecteur de capture. Pour les intégrations réseau, vous aurez déjà créé le connecteurlors de la réalisation de l'intégration.

3. Dans le connecteur de capture, définir les interfaces :• Interface de capture : interface sur laquelle l'Olfeo recevra les flux à analyser.• Interface pour l'injection : interface qui servira à envoyer les paquets ou les datagrammes pour effectuer le blocage.

S'il s'agit d'un bridge, l'interface doit être celle située côté LAN.

4. Si besoin, dans le connecteur, cochez Ignorer le trafic d'URL (HTTP/HTTPS) :• Si le connecteur de capture est dédié au filtrage applicatif.• Pour les intégrations mixtes, pour s'assurer que les flux ne passent pas 2 fois par le filtrage d'URLs. Par exemple, dans

une intégration mixte proxy + coupure : le moteur de filtrage d'URLs est appelé 2 fois, 1 fois par le proxy et une foispar le connecteur de capture.

Si vous ne souhaitez pas désactiver la totalité du filtrage d'URLs sur le connecteur, utilisez plutôt un filtre BPF (parexemple, pour exclure de l'analyse d'URLs les flux en provenance du proxy).

5. Créez les politiques désirées et appliquez-les à vos utilisateurs, groupes ou UOs, ou à la Configuration par défaut.

Vous pouvez constater que le filtrage applicatif fonctionne à la page du trafic temps réel : des lignes de type Protoapparaissent.

Liste des protocoles

À la page Filtrage applicatif > Applications, vous pouvez consulter la liste des protocoles pouvant être filtrés par la solutionOlfeo.

• La liste contient des protocoles TCP et des protocoles UDP. Certains protocoles peuvent aussi bien fonctionner en TCPqu'en UDP (par exemple, le protocole DNS).

• Les protocoles encapsulés dans HTTP seront reconnus comme eux-mêmes et non comme HTTP.

Rechercher un protocole

Pour rechercher un protocole particulier, entrez son nom dans le champ Filtre et cliquez sur le bouton . La recherche porteuniquement sur le champ Libellé. Elle n'est pas sensible à la casse.

Pour supprimer le filtre, cliquez sur le bouton .

Créer une politique protocolaire

Le fonctionnement global des politiques et leur traitement par le moteur est expliqué à la page Politiques utilisateur à la page 76.

Créer une politique protocolaire

1. Rendez-vous à la page Filtrage applicatif > Politiques.

2. Cliquez sur Ajouter une politique. L'écran de création apparaît.



3. Saisissez un nom et une description pour la nouvelle politique. Assurez-vous que le nom soit suffisamment parlant : celui-ci apparaîtra dans la fenêtre permettant d'appliquer une politique aux éléments de la liste de utilisateurs, ainsi qu'à la pagedu trafic temps réel.

4. Dans la section Règles, ajoutez une règle grâce au bouton .

5. Dans les colonnes Plage horaire et Destination, définissez les conditions dans lesquelles la règle doit être appliquée.• Plage horaire : La règle ne s'applique que pendant la plage horaire spécifiée.

Pour pouvoir définir une plage horaire dans une règle, vous devez avoir créé la plage horaire à la page Administration >Plages horaires. Si l'Olfeo reçoit le flux en dehors de cette plage horaire, la règle est ignorée et le moteur passe à larègle suivante.

• Destination : Définir quels protocoles sont concernés par la règle.

6. Cliquez sur l'image dans la colonne Action puis sélectionnez l'action à effectuer lorsque le flux remplit toutes lesconditions définies précédemment.• Autoriser : l'utilisateur accèdera au service demandé.• Bloquer : l'Olfeo enverra un reset TCP, ou un datagramme vide pour les protocoles UDP. La connexion de l'utilisateur

au service demandé échouera.

7. Une fois toutes vos règles créées, définissez l'ordre de priorité dans lequel vous souhaitez que celles-ci soient exécutéesgrâce aux flèches et . À l'intérieur d'une politique, le moteur parcourt les règles de haut en bas : assurez-vous de lacohérence des règles entre elles.

8. Dans la liste Pour le reste, définissez l'action à effectuer si le flux ne correspond à aucune des règles contenues dans lapolitique. Si la valeur est Politique supérieure, le moteur appliquera la politique définie sur l'élément parent dans la listedes utilisateurs : voir Politiques utilisateur > Traitement des politiques à la page 77.

9. Cliquez sur le bouton Valider. La politique apparaît dans la liste des politiques.

Appliquer une politique de filtrage applicatif

Les politiques de filtrage applicatif sont appliquées via la liste des utilisateurs.

1. Rendez-vous à la page Administration > Utilisateurs.

2. Dans l'onglet Annuaire ou Portail public déployez l'arborescence des utilisateurs dans la colonne Nom pour faireapparaître les unités organisationnelles, les groupes ou les utilisateurs sur lesquels vous voulez appliquer votre politiqueà l'aide de l'icône .

3. Cliquez sur le lien de la colonne Filtrage applicatif puis sélectionnez la politique de filtrage applicatif voulue. La politiqueest appliquée.



Dans la liste des utilisateurs, cliquez sur le bouton ou pour éditer la politique correspondante.

Utiliser l'antivirus


UTILISER L'ANTIVIRUS

L'antivirus de flux permet d'analyser les ressources demandées par les machines des utilisateurs avant de les leurtransmettre.

• Avoir un antivirus de flux ne permet pas de se passer d'un antivirus de poste : les deux sont complémentaires. Parexemple, si un utilisateur branche une clé USB infectée sur sa machine, seul un antivirus de poste peut agir.

• On active l'antivirus en créant une règle antivirus dans l'onglet Contenu du moteur de règles. La règle n'est appliquéeque si le contenu n'a pas été bloqué par une règle de l'onglet Aperçu, et si la taille du fichier est inférieure à la Taillemaximum spécifiée dans les options du connecteur ICAP qui amène les contenus jusqu'au moteur de filtrage.

La base antivirus est mise à jour toutes les heures (tâche freshclam).

Contraintes

Pouvoir passer un contenu à l'antivirus demande de télécharger ce contenu entièrement sur l'Olfeo. L'antivirus n'est doncdisponible qu'avec les intégrations qui transmettent les contenus réels des réponses à l'Olfeo (via le protocole ICAP) :• Intégrations proxy explicite et en interception : les contenus sont envoyés du proxy à l'antivirus (via le moteur de filtrage)

par le Connecteur ICAP interne pour analyse de contenu. Celui-ci est installé par défaut et est visible à la pageParamétrage > Architecture > Intégration.

• Intégration couplage/connecteur avec un équipement tiers utilisant le protocole ICAP.• Intégration en coupure, si celle-ci est combinée à une intégration proxy en interception.

De plus, pour les flux HTTPS, seuls les contenus déchiffrés peuvent être analysés.

Dans ce chapitre :

• Paramétrer l'antivirus• Activer l'antivirus• Voir les menaces détectées



Paramétrer l'antivirus

1. Rendez-vous à la page de paramétrage de l'antivirus en suivant les menus Antivirus web > Paramétrage.


2. Si vous souhaitez que les administrateurs de l'Olfeo soient contactés par e-mail lors de la détection d'une menace parl'antivirus, validez la case à cocher Activer l'alerte menaces par e-mail.

Pour définir les administrateurs de l'Olfeo, rendez-vous à la page Paramétrage > Administrateurs.

Section : Performance

3. Saisissez la taille maximum de la file contenant les demandes de traitements pouvant être envoyées à l'antivirus dans lechamp Longueur de la file de connexions entrantes.

Ce paramètre contrôle le nombre maximum de demandes de connexions concurrentes (TCP ou locales) pouvant êtreenvoyées à l'antivirus Olfeo. Attention, une file de connexions entrante de taille peu élevée peut conduire à un refus detraitement lorsque la file est pleine (une erreur apparaît alors dans le log de l'Olfeo).

Valeur par défaut: 15

4. Saisissez le nombre maximum de threads pouvant exécuter en parallèle un traitement antiviral dans le champ Nombremaximum de threads.

Ce paramètre permet de gérer la taille du pool de threads disponibles pour les analyses virales des différentes connexionsdes postes clients. Si vous observez des ralentissements au niveau de votre navigation et que votre antivirus est activévous pouvez essayer d'augmenter la valeur de ce paramètre, noter le changement de comportement et répéter l'opérationsi nécessaire. Attention, un nombre trop élevé peut remplir la mémoire de threads inactifs. Assurez-vous bien de faire deschangements incrémentaux afin d'observer les effets de ce paramètre dans votre environnement.


5. Saisissez la taille maximum que l'antivirus peut analyser lors de l'analyse de fichiers de grande taille dans le champ Quantitéde donnée maximum à analyser dans un fichier.

Valeur par défaut: 10 Mo

Section : Analyse

6. Si vous souhaitez que les archives chiffrés soient traitées comme des virus, validez la case à cocher Traiter les archiveschiffrées comme des virus.

Valeur par défaut: Désactivée

7. Si vous souhaitez que l'antivirus analyse les exécutables et traite les exécutables corrompus comme non conformes, validezla case à cocher Traiter les exécutables corrompus (PE ou ELF) comme des virus.

PE (Portable Executable) et ELF sont des formats définissant la structure d'un exécutable. PE est un type de format utilisésous Microsoft Windows. ELF est un type de format utilisé sous Unix/Linux. Vous pouvez obtenir un descriptif du formatELF à l'aide de la commande Unix/Linux man elf.

Valeur par défaut: Désactivée

Section : Traitement des archives

8. Saisissez le niveau maximum d'archive à analyser quand une archive contient d'autres archives dans le champ Niveaumaximum de récursion.

Ce paramètre limite la récursivité de l'antivirus Olfeo nécessaire lors de l'analyse de fichiers archives imbriquant d'autresarchives. Pour des questions de performances il peut être nécessaire de limiter ce niveau de récursivité.




9. Saisissez la taille maximum des fichiers à analyser dans des archives dans le champ Taille maximum par fichier.Valeur par défaut: 25 Mo

10. Saisissez le nombre maximum de fichiers à scanner dans une archive dans le champ Nombre maximum de fichiers àscanner dans une archive. Si nécessaire vous pouvez redéfinir la valeur par défaut qui devrait couvrir la majorité desarchives échangées par Internet.Valeur par défaut: 10000

Activer l'antivirus


2. Sélectionnez l'onglet Contenu.

3. Ajoutez une règle grâce au bouton .

4. Dans la règle nouvellement créée, cliquez sur le lien de la colonne Plage horaire puis cliquez sur l'une des plages horairesde la colonne Libellé.


5. Dans la règle nouvellement créée, si vous souhaitez spécifier une source cliquez sur le lien de la colonne Source.Sélectionnez ensuite le type de source sur lequel vous voulez effectuer le filtrage grâce au menu déroulant Sélectionner.

a) Si vous voulez spécifier une plage d'adresse IP sélectionnez Plage d'IPs. Saisissez ensuite une adresse IP de début,une adresse IP de fin ainsi qu'une Description de la plage IP. Notez que vous pouvez ajouter une ou plusieurs autresplages d'adresses IP grâce au bouton . Pour finir cliquez sur Valider.

b) Si vous voulez spécifier un ensemble d'utilisateurs sélectionnez Utilisateurs. Sélectionnez ensuite les utilisateurs enactivant les cases à cocher de la colonne Nom. Pour finir cliquez sur Valider.

6. Dans la règle nouvellement créée, si vous souhaitez spécifier un type de protocole sur lequel l'antivirus devra réaliser sonanalyse cliquez sur le lien de la colonne Flux. Sélectionnez ensuite le ou les protocoles sur lesquels vous voulez effectuerle filtrage en activant les cases à cocher de la colonne Libellé.

Les choix possibles sont:• FTP• HTTP• Tous ces protocoles.

7. Dans la règle nouvellement créée, cliquez sur le lien de la colonne Destination puis cliquez sur le type de destination surlequel vous appliquerez votre règle antivirus grâce au menu déroulant Sélectionner.

a) Si vous souhaitez spécifier des URLs par le biais d'une expression rationnelle regex cliquez sur URL (regex) puissaisissez l'expression rationnelle dans le champ URL. Pour finir cliquez sur Valider.

b) Si vous souhaitez spécifier des URLs par le biais de listes d'URLs cliquez sur Listes d'URLs puis validez les listesd'URLs souhaitées à l'aide des cases à cocher de la colonne Libellé. Pour finir cliquez sur Valider.




c) Si vous souhaitez spécifier des URLs par le biais de listes de catégories cliquez sur Listes de catégories puis validezles listes de catégories souhaitées à l'aide des cases à cocher de la colonne Libellé. Pour finir cliquez sur Valider.


d) Si vous souhaitez spécifier des URLs par le biais de catégories cliquez sur Catégories puis validez les catégoriessouhaitées à l'aide des cases à cocher de la colonne Libellé. Pour finir cliquez sur Valider.


8. Dans la règle nouvellement créée, cliquez sur le lien de la colonne Contenu pour spécifier la taille ou le type de contenusur laquelle la règle antivirus doit s'appliquer.

a) Si vous souhaitez appliquer votre règle sur une taille de contenu spécifique choisissez Taille dans le menu déroulantSélectionner. Choisissez ensuite l'Opérateur et l'unité sur laquelle se portera votre règle. Puis saisissez la taille ducontenu dans le champ Taille. Pour finir cliquez sur Valider pour enregistrer les changements.

Par exemple: > 2 Mo

b) Si vous souhaitez appliquer votre règle sur un format de données spécifique choisissez Type MIME dans le menudéroulant Sélectionner. Dans la colonne Libellé déployez l'arborescence des types MIME souhaités à l'aide de l'icône. Validez ensuite les types MIME que vous souhaitez à l'aide des cases à cocher de la colonne Libellé. Pour finir

cliquez sur Valider pour enregistrer les changements.

RemarqueUn type MIME est un identifiant définissant un standard de format de données sur internet. À l'aide des typesMIME vous pouvez choisir les types de médias auxquels vous voulez attribuer votre règle de mise en cache.

9. Spécifiez qu'il s'agit d'une règle antivirus en cliquant sur le lien de la colonne Action.

a) Sélectionnez ensuite Antivirus dans le menu déroulant Sélectionner.

b) Cliquez sur Valider pour enregistrer les changements.


Voir les menaces détectées

Le sous-menu Antivirus web > Journal vous permet de visualiser le journal des menaces détectées par l'antivirus intégré àla solution Olfeo.



• Date : Cette colonne vous permet de connaître le moment où la menace a été détectée.• Utilisateur : Identifiant ou nom commun de l'utilisateur, ou bien adresse IP de la machine à l'origine de l'accès à cette

menace.• URL : L'URL où se trouve la menace détectée.• Menaces : Type de menace détecté : virus dans un fichier ou URL classée comme dangereuse dans la base de réputation

Olfeo.

Exporter un historique des menaces

Pour exporter un historique des menaces détectées, cliquer sur le lien Télécharger tout en bas à gauche de la page. L'historiqueest exporté au format .txt.


GÉRER DES PORTAILS PUBLICS

Le portail public Olfeo est un portail captif qui sert à donner un accès internet temporaire à des invités. Vos utilisateurspeuvent par exemple être des prestataires travaillant dans vos locaux, des clients invités lors d'évènements marketing...Ils peuvent utiliser des postes fixes ou des appareils mobiles.

Ces accès sont gérés par un système de tickets. Le portail public vous permet d'appliquer à vos utilisateurs invités desrègles de filtrage spécifiques, des quotas, une charte internet "invité". L'historique de leur navigation est enregistré. Lesurf des utilisateurs du portail public apparaît également dans le trafic temps réel.

Création des comptes invité

Par définition, les invités n'existent pas dans votre annuaire. Les comptes invités peuvent être créés de 2 manières :• Un opérateur crée manuellement un ticket via un portail opérateur• L'utilisateur s'auto-enregistre par e-mail ou par SMS.

Connexion et déconnection des utilisateurs invités

Lorsque l'utilisateur invité voudra se connecter à internet sur vos réseaux (par exemple sur le wifi invité), il recevra une page luidemandant de saisir son identifiant et son mot de passe (ou de les créer). L'authentification des invités lors de leur connexionest gérée par la solution Olfeo elle-même. Une fois l'utilisateur authentifié, la reconnaissance de l'utilisateur se fait via sonadresse IP.

• Lorsqu'un utilisateur se connecte au portail public, une fenêtre pop-up contenant un lien de déconnexion s'ouvre :prévenez vos utilisateurs invités que leur navigateur doit autoriser les fenêtres pop-ups. Si le navigateur bloque les popups,on affiche pendant quelques secondes une page d'information à ce sujet avant de rediriger vers la page demandée.

• Si l'utilisateur n'a pas la popup de déconnexion (si celle-ci a été bloquée ou il s'il l'a fermée), il peut se déconnecter en serendant à la page http://keyword.olfeo.com/logout.

• L'utilisateur est automatiquement déconnecté du portail public au bout de 10 minutes d'inactivité.

Gérer des portails publics


Étapes pour obtenir un portail public opérationnel

Portail public géré par unopérateur

1. Créez une définition de portail public. N'activez pas l'auto-enregistrement.

2. Si besoin, créez le type de ticket que vous voulez fournir à vos utilisateurs invités.

3. Désignez des opérateurs pour ce portail public.

4. Si besoin, personnalisez les pages que vos utilisateurs invités recevront.

5. Mettez en place le portail public dans le moteur de règles.

Vos opérateurs peuvent alors se connecter au portail opérateur afin de créer des tickets.

Portail public avec ticketsautogénérés par e-mail

1. Créez une définition de portail public dans laquelle l'auto-enregistrement par e-mailest activé.



4. Si ce n'est pas déjà fait, définissez un serveur SMTP afin que la solution puisse envoyerles tickets à vos utilisateurs par e-mail.


Vos utilisateurs peuvent alors s'auto-enregistrer par e-mail.

Portail public avec ticketsautogénérés par SMS

1. Créez une définition de portail public dans laquelle l'auto-enregistrement par SMS estactivé.



4. Définissez une passerelle Mail to SMS afin que la solution puisse envoyer des ticketsà vos utilisateurs par SMS.


Vos utilisateurs peuvent alors s'auto-enregistrer par SMS.

Dans ce chapitre :

• Créer une définition de portail public• Tickets et types de tickets• Ajouter un opérateur à un portail public• Personnaliser les pages envoyées aux utilisateurs• Configurer l'envoi de tickets par SMS• Mettre en place un portail public• Utiliser le portail opérateur



Créer une définition de portail public

1. Rendez-vous à la page Portail public > Portails.

2. Cliquez sur le lien Ajouter un portail pour créer un nouveau portail public. L'écran d'édition du portail s'ouvre.

Section : Portail

3. Saisissez un nom et une description. La description apparaîtra uniquement dans la liste des portails publics.

4. Si vous avez personnalisé les pages à envoyer à vos utilisateurs, sélectionnez un jeu de messages et/ou un jeu de modèlesde pages personnalisées. La langue dans laquelle vos utilisateurs recevront les pages sera la langue définie dans leur ticket.

Section : Auto-enregistrement

L'auto-enregistrement permet à l'utilisateur de générer lui-même un ticket lorsque la page du portail public s'affichedans son navigateur. Ce système vous permet de fournir des accès à des utilisateurs même lorsqu'aucun opérateurn'est présent sur le site concerné.

L'auto-enregistrement peut se faire par e-mail ou par SMS :• Par e-mail : gardez à l'esprit que certains de vos utilisateurs n'auront aucun accès internet. Vous pouvez par

exemple utiliser un quota de quelques minutes vers la catégorie webmail afin de leur permettre de récupérerleurs identifiants.

• Par SMS : cette option nécessite de connecter votre Olfeo à une passerelle "Mail to SMS" (non incluse dansOlfeo).

Illustration 6: Page de connexion à un portail public dans le navigateur d'un poste client

Comme le montre la capture d'écran ci-dessus l'utilisateur peut cliquer sur le lien Recevoir mes informationsd'authentification par e-mail ou Recevoir mes informations d'authentification par SMS pour générerautomatiquement un ticket.

Pour activer l'autogénération, sélectionnez un type de ticket dans le champ Par e-mail ou Par SMS. L'autogénérationne peut être activée que pour un seul type de ticket pour une méthode donnée.• Par SMS : le numéro de téléphone entré par l'utilisateur sera utilisé comme identifiant de connexion. Vous devez

d'abord sélectionner la passerelle SMS à utiliser dans la liste Passerelle SMS. Celle-ci doit avoir été préalablementcréée dans la section Paramétrage > Réseau > SMS.



• Par e-mail : l'adresse e-mail entrée par l'utilisateur sera utilisée comme identifiant de connexion. L'utilisateurrecevra son couple identifiant/mot de passe par e-mail.

5. Définissez la période de réutilisation permettant à l'utilisateur de régénérer des tickets dans le menu Période deréutilisation. La période de réutilisation définit la durée pendant laquelle l'utilisateur est autorisé à regénérer des ticketsautomatiquement. Pendant cette période les tickets générés seront associés au compte existant (même e-mail ou au mêmenuméro de téléphone), ce qui vous permet d'obtenir des statistiques pour cet utilisateur sur ses différents tickets. Passé cedélai, un nouveau compte utilisateur sera créé.

Section : Champs

Dans cette section vous pouvez définir les champs qui apparaîtront dans les tickets rattachés à ce portail. Ces champss'appliqueront à tous les types de tickets.

6. Si vous souhaitez ajouter un champ au ticket, ajoutez-le à l'aide du bouton puis saisissez un titre dans la colonne Libellé.

7. Modifiez les caractéristiques des champs créés comme suit :

• Choisissez le type de champ à utiliser à l'aide de la colonne Type de champ. Le type de champ Autogénéré permetde générer des identifiants aléatoires.

• Si vous souhaitez que le champ soit modifiable validez la case à cocher de la colonne Modifiable.

• Si vous souhaitez que le type de champ soit obligatoirement saisi par l'opérateur (ou par l'utilisateur en casd'autogénération), validez la case à cocher de la colonne Obligatoire.

• Dans la colonne Identifiant, cochez les champs pouvant servir d'identifiant. Si le ticket est créé par l'opérateur, celui-ci pourra choisir lequel de ces champs servira d'identifiant. Par contre, si le ticket est autogénéré, l'identifiant seraobligatoirement l'e-mail ou le numéro de téléphone (selon la méthode de génération).

• Vous pouvez changer l'ordre dans lequel les champs apparaîtront dans le ticket grâce aux flèches et . Cet ordreconcerne uniquement l'affichage du ticket ouvert via le portail opérateur : il n'a pas d'impact sur les pages envoyéesaux utilisateurs.

8. Cliquez sur le bouton Créer pour créer la définition de portail. Celle-ci apparaît dans la liste des portails.

Une fois la définition de portail créée et tous les paramétrages effectués (selon vos besoins, opérateurs affectés au portail,nouveaux types de ticket créés), vous pouvez mettre le portail public à disposition de vos invités via une règle dans le moteurde règles.

Tickets et types de tickets

Un ticket est un droit à consommer donné à un utilisateur du portail public.• Il contient un couple identifiant/mot de passe.• Il possède une durée de validité. Celle-ci est définie dans le type du ticket.• Il définit les droits de l'utilisateur, via des politiques : filtrage web ou applicatif, quotas, plages horaires autorisées...



Un opérateur peut fournir des tickets à ses utilisateurs invités en version imprimée ou bien par e-mail. Les administrateurspeuvent également donner la possibilité aux utilisateurs d'autogénérer des tickets par e-mail ou par SMS (via la définition duportail).

Types de tickets

Les types de tickets sont créés par les administrateurs dans la solution Olfeo et non par les opérateurs de portail public. Unefois un type de ticket créé, celui-ci est disponible dans tous les portails opérateur.

Créer un type de ticket

1. À la page Portail public > Type de tickets, cliquez sur le lien Ajouter un type de ticket.

Section : Libellé



Section : Validité du ticket

4. Dans la sous-section Début, définissez le moment à partir duquel le ticket deviendra valide.• À la création: Dans ce cas la durée de validité du ticket commence dès la création du ticket.• À la première connexion: Dans ce cas la durée de validité du ticket commence dès la première connexion de

l'utilisateur.• À partir de: Dans ce cas la durée de validité du ticket commence à une date et une heure ultérieure que vous saisirez.

5. Dans la sous-section Validité, sélectionnez la durée de validité du ticket dans la section Validité.• Illimitée: Dans ce cas la durée de validité du ticket sera illimitée.• Pendant x jours y heures: Dans ce cas la durée de validité du ticket correspond à la durée saisie.• Jusqu'au jour j à y heures: Dans ce cas la durée de validité s'arrêtera à la date saisie.

Section : Politique de filtrage

6. Sélectionnez la politique de filtrage web qui devra être liée au type de ticket à l'aide du menu Politique URL par défaut.

Deux possibilités s'offrent à vous:• Soit choisir une politique d'URL que vous aurez créée au préalable. Si vous voulez créer une politique rendez-vous ici:

Créer une politique de filtrage d'URLs à la page 87.• Soit choisir une politique d'URL de type Politique héritée. Dans ce cas les tickets hériteront de la politique supérieure

que vous aurez positionnée dans le moteur de règles (Administration > Utilisateurs onglet Portail Public colonneFiltrage web).

Dans l'exemple suivant l'ensemble des tickets du portail public bibliothèque hériteront de la politique "Politiquebibliothèque".



Illustration 7: Exemple de positionnement de politique de Filtrage web

7. Sélectionnez la politique de filtrage applicatif qui devra être liée au type de ticket à l'aide du menu Politique applicatifpar défaut.

Deux possibilités s'offrent à vous:• Soit choisir une politique de filtrage applicatif que vous aurez créée et qui devra être liée au type de ticket à l'aide du

menu Politique URL par défaut.• Soit choisir une politique d'URL de type Politique héritée. Dans ce cas les tickets hériteront de la politique supérieure

que vous aurez positionné dans le moteur de règles (Administration > Utilisateurs onglet Portail Public colonneFiltrage Applicatif).

Ajouter un opérateur à un portail public

RemarqueCette page ne s'applique pas aux portails gérés exclusivement par auto-enregistrement via e-mail ou SMS.

Le sous-menu Portail public > Droits d'accès permet de définir les opérateurs d'un portail public et les droits qui leurs sontassociés. Ces droits sont gérés par "profils", c’est-à-dire par groupes d'opérateurs ayant des droits identiques sur les mêmesportails.

Pour pouvoir être défini en tant qu'opérateur, une personne doit exister dans un annuaire synchronisé avec Olfeo. Vous pouvezdonner à un opérateur des droits sur un ou plusieurs portails, mais il n'est pas obligatoire que celui-ci ait des droits d'accèssur la solution Olfeo elle-même.

Ajouter un opérateur à un portail

1. À la page Portail public > Droits d'accès, cliquez sur le lien Ajouter un profil d'opérateur. La page de création deprofils opérateurs s'ouvre.

2. Dans la section Opérateur, saisissez un nom et une description.

3. Dans la section Sélection des droits, cliquez sur le bouton . La fenêtre Portails s'ouvre.

4. Sélectionnez le ou les portails que ce profil opérateur sera autorisé à administrer. Cochez Tous si vous voulez que cesopérateurs aient automatiquement accès à tous les portails que vous créerez par la suite.

5. Cliquez sur le bouton Valider. La fenêtre Droit s'ouvre.

6. Dans la fenêtre Droit, sélectionnez les droits que vous voulez attribuer à l'opérateur.• Informations utilisateur



• Voir les mots de passe : Permet à l'opérateur de voir les mots de passe des utilisateurs.• Éditer un utilisateur : Permet à l'opérateur de modifier la partie Résumé du ticket d'un ticket existant. Si cette

case est décochée, l'opérateur pourra quand même créer un nouveau ticket sur le même compte.

• Création de tickets : Permet de définir quels types de tickets l'opérateur pourra créer pour ses utilisateurs. La listepropose tous les types de tickets ayant été créés à la page Types de tickets.

• Politiques de filtrage d'URL/de filtrage applicatif supplémentaires : Ces listes proposent toutes les politiques defiltrage d'URL ou de filtrage applicatif préalablement créées. La valeur par défaut est Politique héritée : l'opérateurpeut attribuer à un ticket l'héritage des politiques supérieures positionnées dans le moteur de règles (Administration >Utilisateurs, onglet Portail Public, colonne Filtrage d'URL).

• Émission de notifications : Permet à l'opérateur d'imprimer un ticket, de l'envoyer par e-mail ou par SMS.

7. Cliquez sur le bouton Valider pour enregistrer les changements. La fenêtre Droit se ferme.

8. Dans la section Sélection des utilisateurs, sélectionnez les utilisateurs désirés.

9. Cliquez sur le bouton Créer en haut à gauche de la page pour enregistrer les changements.

Une fois les opérateurs du portail public créés, ceux-ci peuvent se connecter sur le portail opérateur.

Si vous modifiez les droits d'un opérateur alors que celui-ci est connecté sur le portail opérateur, il devra se déconnecter puisse reconnecter pour que les changements soient pris en compte.

Personnaliser les pages envoyées aux utilisateurs

Le sous menu Portail public > Messages permet de définir les textes, le design et l'organisation des pages qui seront envoyéesaux utilisateurs du portail public :• Le formulaire de connexion.• La page d'impression du ticket.• La page d'auto-enregistrement.• Le formulaire de récupération des mots de passe.• Le contenu de l'e-mail d'envoi de ticket.

Au fur et à mesure que vous personnalisez vos pages et messages, vous pouvez prévisualiser le résultat dans l'ongletPrévisualisation.

Personnaliser ou traduire les libellés (portail public)Les jeux de messages contiennent les libellés des pages envoyées aux utilisateurs du portail public (page de connexion, ticketà imprimer...). Vous pouvez en créer de nouveaux afin de :• personnaliser les libellés par défaut fournis par Olfeo (en français, anglais et allemand)• traduire les libellés dans une autre langue.

La langue dans laquelle les pages s'afficheront pour un utilisateur sera celle définie dans leur ticket.

Personnaliser ou traduire les libellés

1. Rendez-vous à la page Portail public > Messages > Messages.

2. Effectuez l'une des actions suivantes :

• Pour créer un nouveau jeu de messages, cliquez sur le lien Ajouter un jeu de messages. La page du jeu de messagess'ouvre.

• Pour éditer un jeu de messages existant, cliquer sur son libellé. La page du jeu de messages s'ouvre.



3. Saisissez un nom et une description. Cette description apparaîtra uniquement dans la liste des jeux de messages dans l'ongletMessages.

4. Cliquez sur le bouton Créer pour enregistrer le nouveau jeu de messages. La section Langues apparaît.

5. Dans la colonne Défaut, sélectionnez la langue qui sera proposée par défaut lors de la création d'un ticket. (La languesera modifiable dans le ticket.)

6. Effectuez l'une des actions suivantes :

• Pour éditer les messages dans une langue, cliquez sur le libellé de cette langue. Éditez les messages désirés.

• Pour ajouter une nouvelle langue, cliquez sur le bouton .

1. Dans la fenêtre qui s'ouvre, décochez anglais et choisissez la langue du nouveau jeu de messages.

2. Cliquez sur Valider. La page d'édition du jeu de messages s'affiche.

3. Éditez les messages désirés.

Vous pouvez utiliser les variables suivantes dans vos messages :



%ticket.total_minutes_duration% Durée totale du ticket en minutes

%ticket.total_hours_duration% Durée totale du ticket en heures

%ticket.total_days_duration% Durée totale du ticket en jours

%ticket.left_minutes_duration% Durée restante du ticket en minutes (minutes entières, arrondies au chiffreinférieur)

%ticket.left_hours_duration% Durée restante du ticket en heures (heures entières, arrondies au chiffreinférieur)

%ticket.left_days_duration% Durée restante du ticket en jours (jours entiers, arrondis au chiffre inférieur)

%ticket.begin_date% Date de début de validité du ticket (par exemple, 2016-05-09 11:34:29 UTC),ou libellé Première connexion

%ticket.end_date% Date de fin de validité du ticket. Exemple : 2016-05-09 13:34:29 UTC. Si leticket devient actif à la première connexion, la date exacte de fin n'est pasconnue. La variable retourne alors la durée du ticket.

%ticket.first_connect_date% Date de première connexion. Exemple : 2016-05-09 11:34 UTC.

%ticket.first_connect_date_iso% Date de première connexion au format ISO 8601. Exemple :2016-05-09T11:34:29 UTC

%ticket.last_connect_date% Date de dernière connexion établie avec ce ticket (la connexion peut êtretoujours en cours). Exemple : 2016-05-09 12:04 UTC.

%ticket.last_connect_date_iso% Date de dernière connexion au format ISO 8601. Exemple :2016-05-09T12:04:15 UTC.

%ticket.last_deco_date% Date de dernière déconnexion. Exemple : 2016-05-09 12:04 UTC.

%ticket.last_deco_date_iso% Date de dernière déconnexion au format ISO 8601. Exemple :2016-05-09T12:04:55 UTC.

%ticket.operator% Opérateur ayant créé ce ticket. Si le ticket a été créé par auto-enregistrement,la variable retournera "Inconnu".


Personnaliser les pages (portail public)Les jeux de modèles contiennent le design des pages envoyées aux utilisateurs du portail public et vous permettent de lesadapter à la charte graphique de votre organisation.

1. Rendez-vous à la page de création des modèles en suivant les menus Portail public > Messages > Modèles.

2. Cliquez sur le lien Ajouter un jeu de modèles.

Section : Ajouter un jeu de modèles



5. Cliquez sur Créer pour enregistrer les changements.



Modèles

6. Cliquez sur le modèle que vous venez de créer dans la colonne Libellé.

Section : Image 1, 2 ou 3

7. Si vous souhaitez intégrer un nouvelle image cliquez sur le bouton Parcourir puis sélectionnez la nouvelle image.

a) Cliquez sur le bouton Valider pour enregistrer l'ajout de la nouvelle image.

RemarqueVous pourrez référencer la nouvelle image intégrée dans vos modèles à l'aide de la chaîne de caractères :

Image 1

<?cs var:Page.Img.1 ?>

Image 2


Image 3


8. Éditez de nouveau le jeu de modèle que vous avez créé en cliquant dessus dans la colonne Libellé.

Section : Éléments

9. Cliquez sur le lien Pied de page ou Auto-enregistrement ou E-mail d'envoi d'identifiants ou En-tête ou Impressionou Portail public pour modifier le code HTML des pages sélectionnées.

a) Modifier le code HTML présenté.

RemarqueVous pouvez modifier les variables, l'ordonnancement des messages ou le contenu des pages.

Voici ci dessous deux exemples de code que vous pouvez utiliser pour insérer les images que vous avez ajoutéprécédemment.

<img src='<?cs var:Page.Img.1 ?>' /><div style='background-image:url(<?cs var:Page.Img.3 ?>);'> ... </div>

b) Cliquez sur Valider pour enregistrer les changements.




Configurer l'envoi de tickets par SMS

RemarqueCette page s'applique uniquement si vous activez l'auto-enregistrement par SMS dans la définition de votre portail public.

Pour pouvoir envoyer des tickets de portail public par SMS, vous devez utiliser une passerelle Mail To SMS opérée par unfournisseur de service.

La documentation ci-dessous présente un exemple courant de configuration de passerelle Mail To SMS. Pour adapter lesvaleurs à saisir, rapprochez-vous de votre fournisseur de service.

Exemple de configuration

1. À la page Paramétrage > Réseau > SMS, cliquez sur le lien Ajouter une passerelle SMS. L'écran de configurationde passerelle s'ouvre.


3. Saisissez l'adresse e-mail qui servira à envoyer les e-mails vers votre fournisseur de service dans le champ Expéditeur. Sice champ est laissé vide c'est le champ Expéditeur du menu Paramétrage > Réseau > STMP qui sera utilisé par défaut.

Par exemple : [email protected]

4. Saisissez l'adresse e-mail indiquée par votre fournisseur de service dans le champ Destinataire.

Par exemple: [email protected]

5. Saisissez l'objet de l'e-mail en fonction du format demandé par votre fournisseur de service dans le champ Sujet.

Exemple de syntaxe à utiliser :

compteSMS:utilisateurSMS:motDePasse:expediteur:%sms.recipient%

• compteSMS correspond au compte indiqué par votre fournisseur de service.• utilisateurSMS correspond à un des utilisateurs pouvant envoyer des SMS à travers le compte.• motDePasse correspond au mot de passe de l'utilisateur SMS.• expediteur correspond à l'expéditeur qui sera affiché comme émetteur lors de la réception du SMS. Vous pouvez soit

saisir un nom soit un numéro de téléphone.• %sms.recipient% est une variable obligatoire qui contiendra le numéro de téléphone du destinataire lors des envois

de SMS.

Par exemple: sms-oo5555-1:operator:password:OLFEODOC:%sms.recipient%

6. Saisissez l'adresse e-mail à laquelle le fournisseur de service doit envoyer une notification lors d'un échec de livraison duSMS dans le champ Répondre à.

Par exemple: [email protected]

7. Saisissez le contenu du texte du message dans le champ Texte de l'e-mail.

Ce texte doit contenir au minimum :• La variable %sms.message%. Cette variable obligatoire contiendra le contenu du message saisi par l'opérateur.• Du texte fixe que le message contiendra à chaque envoi (une signature par exemple).

8. Cliquez sur Valider pour enregistrer votre passerelle SMS.



Envoyer un SMS de test

AvertissementAttention, les SMS de test vous seront facturés par votre fournisseur de service.

1. À la page Paramétrage > Réseau > SMS, cliquez sur le lien de la passerelle SMS que vous voulez tester dans la colonneLibellé.

Section : Envoyer un SMS de test

2. Saisissez le numéro de téléphone du destinataire dans le champ Destinataire. La syntaxe des numéros de téléphone estau format international.

Par exemple: +33612345678 (où 33 est l'indicatif téléphonique international de la France).

3. Saisissez le contenu de votre message de test dans le champ Message.

4. Cliquez sur le bouton Test pour tester l'envoi du SMS.

5. Vérifiez que le message a été bien envoyé à votre serveur SMTP et que le résultat du test affiche réussi comme le montrela capture d'écran ci-dessus.

AvertissementLe succès de l'émission d'un SMS n'implique pas sa transmission effective. Merci de vérifier sa bonne réceptionavant de valider le test.

Mettre en place un portail public

1. Rendez-vous à la page du moteur de règles en suivant les menus Administration > Utilisateurs, onglet Accès.

2. Ajoutez une règle grâce au bouton "ajouter" en bas à gauche du tableau.

3. Dans la colonne Source, définissez à quels utilisateurs le portail public sera fourni. Par exemple, il peut s'agir de plagesd'IPs correspondant au sous-réseau auquel appartiennent vos bornes wifi ou les machines que vous souhaitez mettre àdisposition de vos invités.

4. Dans la colonne Flux, sélectionnez HTTP et HTTPS.


a) Dans le menu Sélectionner, choisissez Portail captif.

b) Dans le menu Portail, sélectionnez le portail public que vous souhaitez mettre en place.

c) Cliquez sur Valider pour enregistrer les changements. Le fenêtre Action se ferme.




RemarqueSuivant les machines concernées par le portail public, il peut être judicieux de créer une autre règle, positionnéeavant celle définissant le portail public, qui laisse passer le trafic nécessaire aux mises à jour de la machine (misesà jour Windows, antivirus, applications...).

Utiliser le portail opérateur

Pour générer des comptes à destination des utilisateurs de portails publics, l'opérateur dispose d'un portail spécifique : le portailopérateur.

Une solution Olfeo dispose d'une seule adresse de portail opérateur, à partir de laquelle tous les portails publics sont gérés. S'ilssont gérés par des opérateurs distincts, vos différents portails publics peuvent être totalement indépendants bien que situésà la même adresse.

Accéder au portail opérateur :• Le portail opérateur est situé à l'adresse IP de votre Olfeo, sur le port 8082, ou sur le port 8444 si votre interface est en

HTTPS. Si vous souhaitez changer le port sur lequel le portail est disponible, contactez le support technique.• Vous pouvez également cliquer sur Portail public > Portails, puis sur l'onglet Portail opérateur à droite de la page.

Illustration 8: Onglet permettant l'accès au portail public

L'opérateur se connecte avec l'identifiant et le mot de passe définis dans l'annuaire dont il est issu.

Illustration 9: Page de connexion du portail opérateur



Créer un ticket pour un utilisateur

Créer un ticket pour un nouvel utilisateur

1. Dans le portail opérateur, cliquez sur l'onglet Création de compte. La page de sélection du portail s'affiche.

2. Dans la liste, sélectionnez le portail auquel vous souhaitez donner accès.

L'écran de création de ticket s'ouvre : celui-ci contient les champs que l'administrateur a définis pour ce portail. Notez quel'administrateur peut avoir défini certains champs comme obligatoires ou non modifiables.

3. Saisissez les informations nécessaires à la création du ticket.• Si l'administrateur a défini plusieurs champs pouvant servir d'identifiant, sélectionnez-en un.• Dans le champ Langue, choisissez la langue dans laquelle l'utilisateur verra les pages générées par la solution (ticket

imprimé, page de déconnexion...). Les jeux de messages sont fournis par Olfeo en français, anglais et allemand, maisvous pouvez en créer d'autres.

• Pour pouvoir envoyer son ticket à l'utilisateur par e-mail, le champ E-mail doit être renseigné et un serveur SMTPdoit avoir été configuré.

4. Dans la section Attribution de droits, choisissez le type de ticket à créer. La durée de validité et les droits associés auticket s'affichent.

5. Si besoin, modifiez les politiques de filtrage d'URL et/ou de filtrage applicatif à appliquer à cet utilisateur.

6. Cliquez sur le bouton Créer pour créer le ticket.

7. Fournissez le ticket à votre utilisateur : imprimez-le, ou bien envoyez-le lui par e-mail ou par SMS. Pour pouvoir imprimerun ticket, votre navigateur doit autoriser les pop-ups en provenance d'Olfeo.

Créer un ticket pour un utilisateur existant/modifier le type d'un ticket

Vous pouvez créer un nouveau ticket pour un utilisateur existant, même si son dernier ticket a expiré ou a été désactivé.Réutiliser ainsi un compte utilisateur permet de disposer de statistiques sur tout le surf d'un utilisateur.

Vous ne pouvez pas modifier un ticket (c'est-à-dire modifier son type, sa date de début, sa durée de validité, ou bien les politiquesappliquées au ticket) : il vous faut créer un nouveau ticket pour le même compte utilisateur.

1. Dans l'onglet Liste des comptes du portail opérateur, sélectionnez le compte/ticket désiré en cliquant sur l'un des libellésde la ligne. L'écran détaillant le ticket s'ouvre.

Pour afficher les tickets expirés et désactivés dans la liste, entrez un astérisque dans le champ Rechercher par identifiantpuis appuyez sur Entrée.

2. Dans la section Attribution de droits, cliquez sur le bouton Nouveau Ticket.

3. Choisissez le type de ticket à créer. La durée de validité et les droits associés au ticket s'affichent.

4. Si besoin, modifiez les politiques de filtrage d'URL et/ou de filtrage applicatif à appliquer à cet utilisateur.

5. Cliquez sur le bouton Ajouter ce ticket. Le nouveau ticket est créé.

Voir la liste des comptes et tickets

Dans la section Liste des comptes, une ligne correspond à la fois à un compte utilisateur et au ticket le plus récent créé pource compte. L'historique des différents tickets émis pour un même compte n'est pas conservé, par contre, les historiques denavigation correspondant aux anciens tickets le sont.



Dans le portail opérateur, cliquez sur l'onglet Liste des comptes.

Créateur • Si le compte a été créé par un opérateur : le nom de l'opérateur.• S'il s'agit d'un auto-enregistrement réalisé par l'utilisateur : la méthode utilisée pour l'auto-enregistrement.

Portail Nom du portail public auquel appartient le compte.

Identifiant L'identifiant de l'utilisateur peut être :• Un identifiant autogénéré ou saisi par l'opérateur.• Le numéro de téléphone saisi par l'utilisateur lors d'un auto-enregistrement par SMS.• L'e-mail saisi par l'utilisateur lors d'un auto-enregistrement par e-mail.

Création La date de création du compte.

Début Le moment à partir duquel le ticket est valide. Il peut s'agir d'une date, ou de l'indication que le ticketdeviendra valide à la première connexion de l'utilisateur.

Validité La durée de validité du ticket en heures ou en jours, ou bien une date de fin de validité précise.

Actif Précise si le compte est actif ou désactivé : voir Désactiver un ticket à la page 127.

Modifier les informations d'un compte existant

Vous pouvez modifier les informations associées à un compte utilisateur (c'est-à-dire celles stockées dans la section Résumédu ticket).

RemarquePour changer le type de ticket, sa date de début ou sa durée de validité, ou pour modifier les politiques appliquées auticket, il vous faut créer un nouveau ticket pour ce compte.

1. Dans l'onglet Liste des comptes du portail opérateur, sélectionnez le compte que vous souhaitez modifier en cliquant surl'un des libellés de la ligne. L'écran détaillant le ticket s'ouvre.

2. Dans la section Résumé du ticket, modifiez les champs désirés.

3. Cliquez sur le bouton Modifier pour modifier le compte ou Retour à la liste pour annuler la modification.

Désactiver un ticket

Vous pouvez désactiver un ticket, que l'utilisateur invité ait commencé à utiliser celui-ci ou non. Une fois le ticket désactivé,l'utilisateur ne peut plus se connecter avec celui-ci.

Pour désactiver un ticket, dans l'onglet Liste des comptes du portail opérateur, décochez la case Actif correspondant à celui-ci :• Le compte utilisateur/ticket en cours apparaît barré dans la liste des comptes.• Lorsque la page est rafraîchie, le compte inactif est automatiquement masqué.

Pour afficher les comptes inactifs, entrez un astérisque dans le champ Rechercher par identifiant puis appuyez sur Entrée.• Vous pouvez réactiver un ticket qui a été désactivé, s'il n'a pas atteint sa limite de validité.• Vous pouvez réutiliser un compte dont le dernier ticket a expiré afin de lui attribuer un nouveau ticket, et ce même s'il a

été désactivé. Cela vous permet de disposer de statistiques sur tout le surf de cet utilisateur.

Même si un ticket est désactivé, les fichiers de journalisation gardent toute l'activité associée à ce ticket.

Exploiter les statistiques


EXPLOITER LES STATISTIQUES

Les données enregistrées par l'Olfeo (et disponibles dans l'extracteur de données) sont datées à la seconde près, enheure UTC. Cependant, pour des raisons de performance, les données présentées dans l'interface des statistiques sontagrégées à la minute. Cette agrégation est effectuée toutes les 15 minutes, et les données n'apparaissent dans l'interfacequ'une fois l'agrégation faite. Pour disposer des données les plus récentes entre deux agrégations, forcez l'exécution dela tâche hits_aggregate à la page Paramétrage > Supervision > Tâches.

Dans ce chapitre :

• Accéder à l'interface des statistiques• Comprendre les données présentées dans les statistiques• Construire un graphique• Exporter une analyse au format CSV• Filtrer les données• Top n : limiter le nombre d'items• Enregistrer une analyse• Supprimer une analyse• Diffuser les analyses



Accéder à l'interface des statistiques

Pour des raisons techniques, dans la version 6 d'Olfeo, les statistiques sont présentées dans une interface distincte de l'interfaced'administration. Pour accéder à l'interface des statistiques, allez à la page Statistiques > Statistiques, puis cliquez sur lebouton Accéder à l'interface des statistiques.

Vous devez disposer des droits nécessaires pour accéder aux statistiques.

Comprendre les données présentées dans les statistiques

Les données/requêtes peuvent avoir été reçues par le proxy HTTP intégré à l'Olfeo ou par le moteur de filtrage (suivant votretype d'intégration), ou bien par les proxys FTP, RTSP, TCP ou SOCKS.

Types de requêtes

Les données présentées dans les statistiques sont des requêtes de filtrage d'URL : celles-ci correspondent à une règle de l'ongletAccès du moteur de règles ou à une politique de filtrage d'URLs. Chaque ressource demandée par une page produit une requêted'accès et est autorisée individuellement. Dans les données on peut donc voir des requêtes concernnant les connexions : URLou Protoet Fichier pour les contenus.

Interpréter les données

Les données enregistrées par l'Olfeo ne reflètent pas directement le comportement de l'utilisateur, mais celui du navigateur (etde la machine). En d'autres termes, beaucoup de hits ne correspondent pas à des clics réalisés par l'utilisateur.• Un hit sur un domaine ne signifie pas que l'utilisateur a visité lui-même ce domaine : souvent, une page HTML intègre des

éléments hébergés sur des domaines différents de celui auquel appartient la page elle-même (vidéos, images hébergées surun site dédié au stockage d'images, publicité, liens vers Facebook ou Twitter...). Les logs d'un utilisateur peuvent donc parexemple inclure des hits vers Facebook alors que l'utilisateur n'a jamais consulté de page Facebook.

• Certaines pages web s'auto-rafraîchissent en permanence. Si un utilisateur laisse ce type de page ouverte dans son navigateur,l'Olfeo enregistrera de nombreux hits liés à cette page, même si l'utilisateur ne l'a en réalité consultée qu'une fois.

• Il faut extraire le sens des données brutes, notamment en comparant les chiffres en nombre de hits et en volume de données.Exemple : un utilisateur regarde 1 vidéo d'une heure. Il n'a consulté qu'une page, mais le volume de données est élevé.Un autre utilisateur va passer 1 h à discuter sur un forum au format texte (très léger) : le volume de données sera faiblemais le nombre de pages consultées élevé.

• Il convient aussi de s'interroger si le surf constaté est pertinent au vu du poste de l'utilisateur. Au sein de votre organisation,tous les utilisateurs ne sont pas amenés à consulter les mêmes sites dans le cadre de leur travail. Toutes les catégories necorrespondront pas de la même façon à "site professionnel" et "site non professionnel".

• Filtrez les données pour ne regarder par exemple que les usages personnels lors des plages de travail : inclure le surf horsdes horaires de travail pourrait donner une image déformée de la réalité. Utilisez des filtres "exclure".



Axes disponibles dans les statistiques

Axe Description Champ dans l'extracteurde données

Thème,Catégoried'URLs

Thèmes et catégories de la base d'URLs installée. (La liste présentéedans la pop-up des filtres est celle de la page Filtrage web >Catégories.)

Identifiants internes Olfeocorrespondants : theme_id,category_id

Thème,Catégorie defichiers

Domaine FQDN de destination de la requête. domain

Type MIME Type MIME du fichier analysé. Ce champ est continent des données sil'Olfeo réalise de l'analyse de contenu ou de l'analyse antivirus.

mime_type

Action Type d’action effectuée sur le flux :• Autorisé• Bloqué• Quota autorisé : page consultée dans le cadre d'un quota ouvert• Quota expiré : page d'ouverture de quota, quota expiré (page de

blocage, avec ou sans possibilité d'outrepasser)• Plage horaire autorisée : plage horaire autorisée, lorsque

l'autorisation est donnée par une politique. (Si l'autorisation surla plage horaire est donnée par une règle du moteur, l'action estAutorisé.)

• Plage horaire bloquée : plage horaire bloquée, lorsque le blocageest fait par une politique. (Si le blocage sur plage horaire est fait parune règle du moteur, l'action est Bloqué.)

• Charte Internet non validée : charte internet non signée, page designature de charte internet.

• Outrepassé : blocage outrepassé sans mot de passe (politique avecrègle "Bloquer", quota expiré)

• Outrepassé avec mot de passe

Pour le filtrage applicatif, les seules valeurs possibles sont Autorisé etBloqué.

Identifiant interne Olfeocorrespondant :answer_reason

Temps (année,mois, jour,heure, minute)

Date à laquelle la requête a été reçue par l'Olfeo (heure UTC).

Les données enregistrées par l'Olfeo (et disponibles dans l'extracteur dedonnées) sont datées à la seconde près, en heure UTC. Cependant, pourdes raisons de performance, les données présentées dans l'interfacedes statistiques sont agrégées à la minute. Cette agrégation esteffectuée toutes les 15 minutes, et les données n'apparaissent dansl'interface qu'une fois l'agrégation faite. Pour disposer des données lesplus récentes entre deux agrégations, forcez l'exécution de la tâchehits_aggregate à la page Paramétrage > Supervision > Tâches.

Ces axes sont basés sur lechamp timestamp



Axe Description Champ dans l'extracteurde données

UO, groupe UOs et groupes de la liste des utilisateurs. Les utilisateurs de portailspublics sont inclus : le nom du portail public est le nom de l'UO, et letype du ticket est le nom du groupe.

Les utilisateurs inconnus sont représentés dans une UO et un groupeUtilisateur inconnu.

Identifiants internes Olfeocorrespondants : bu_id,group_id

Utilisateur Chaque utilisateur de la liste des utilisateurs possède un identifiantunique interne à l'Olfeo. Dans les statistiques, l'axe Utilisateur est basésur cet identifiant interne. Cependant, le nom affiché dans le graphiqueest celui du champ Nom Commun.

Pour les utilisateurs créés grâce à l'autocréation par IP, le nom communest une adresse IP.

Identifiant interne Olfeocorrespondant : user_id

Adresse IP Adresse IP source de la requête.

Une adresse IP identifie une machine et non un utilisateur. L'adresse IPn'est pas un critère fiable pour identifier un utilisateur :

• dans certaines architectures, une même adresse IP peutcorrespondre à plusieurs utilisateurs : clients légers (ISO, Citrix,TSE) où une adresse IP est commune à plusieurs utilisateurs. Siplusieurs utilisateurs utilisent la même machine en même temps,l'Olfeo ne reçoit que l'adresse IP du serveur mais les identifiants den personnes.

• pour les utilisateurs situés derrière un NAT, l'adresse IP reçue parl'Olfeo n'est pas celle de la machine à l'origine de la requête.

• Une adresse IP peut être dynamique (attribuée par le serveurDHCP) : un même utilisateur pourra changer fréquemment d'IP, etune même adresse IP pourra être attribuée à plusieurs personnessuccessivement au cours du temps.

• L'adresse IP reçue par l'Olfeo peut aussi être celle du proxypositionné avant l'Olfeo.

• Une adresse IP peut être modifiée.

user_ip

Protocole Nom du protocole identifié par le moteur de filtrage applicatif. Identifiant interne Olfeocorrespondant : proto_id

Virus Nom du virus détecté. virus_name



Mesures

Mesures concernant le filtrage d'URLs

Mesure Description

Hits Un hit représente une requête.

Afficher une page dans un navigateur déclenche potentiellement n requêtes, parfois vers des domainesdifférents :• Une page HTML peut appeler de nombreux fichiers (css, javascript, images...) : le navigateur effectue

une requête pour chaque fichier, l'Olfeo enregistrera donc un hit pour chaque fichier.• Les images et les vidéos sont souvent stockées sur des serveurs dédiés à l'hébergement de contenu,

n'appartenant pas au propriétaire du site.

Nombre depages

Cette mesure compte les hits dont l'URL pointe vers un fichier .html ou .htm. Elle permet de ne pas tenircompte des fichiers annexes appelés par ces pages web (css, images...).

Volume Le volume est la taille de la réponse HTTP reçue par le proxy interne à l'Olfeo (en octets).

C'est le proxy lui-même qui mesure la taille des contenus reçus. Les statistiques en volume ne sont donccompatibles qu'avec les modes d’intégration suivants : proxy explicite et en interception, intégration encoupure si celle-ci est combinée avec un proxy en interception.

Pour les flux chiffrés, sans déchiffrement SSL, le volume est la taille de la réponse chiffrée reçue par leproxy.

Dans l'extracteur de données, cette mesure est stockée dans le champ size.

Mesures concernant les fichiers

Mesure Description

Nombre defichiers

Nombre de fichiers reçus.

Taille desfichiers

Taille des fichiers reçus.

Mesures concernant le filtrage applicatif

Mesure Description

Sessions Nombre de sessions TCP et/ou de datagrammes UDP.

Volumeentrant

Volume total de données téléchargées. Dans l'extracteur de données, cette mesure est stockée dans lechamp proto_volume_download.

Volumesortant

Volume total de données envoyées. Dans l'extracteur de données, cette mesure est stockée dans le champproto_volume_upload.



Construire un graphique

Dans l'interface des statistiques :

1. Dans la section Type de graphique, sélectionnez un type de graphique adapté aux données que vous voulez représenter.Les axes que vous pourrez sélectionner par la suite dépendent du type de graphique.

2. Dans la section Axes, cliquez sur le bouton correspondant au type de données URL, Proto ou Fichiers

3. Dans la section Axes, définissez la série primaire, et éventuellement la série secondaire, suivant le type de graphique et lesdonnées que vous voulez représenter (voir Paramétrage des différents types de graphique à la page 134) :• Faites glisser l'axe désiré dans l'encadré Série principale ou Série secondaire. Une fois placé :

• l'axe apparaît grisé dans la liste des axes• une liste déroulante Top apparaît à côté du nom de l'axe dans l'encadré Série principale ou Série secondaire.

Celle-ci vous permet de n'afficher que les items correspondant aux valeurs les plus élevées de la mesure sélectionnée :voir Top n : limiter le nombre d'items à la page 136. Par défaut, un top 10 est appliqué, ce qui rend le graphiqueplus lisible.

•Pour supprimer un axe placé, cliquez sur l'icône située à droite du nom de l'axe.

• Pour inverser la série principale et la série secondaire, cliquez sur les doubles flèches situées entre les zones Sérieprincipale et Série secondaire.

4. Cliquez sur la mesure à représenter. Une fois sélectionnée, la mesure apparaît en surbrillance.

5. Dans la section Filtres, sélectionnez une période de temps relatif ou absolu pour laquelle afficher les données (par défaut,les 7 derniers jours sont sélectionnés). Utilisez la zone de saisie ou l'icône calendrier :

• Pour changer le mois : utilisez les flèches pour faire défiler les mois, ou bien cliquez sur le libellé du mois puissélectionnez un mois dans la liste

•Pour définir l'heure : cliquez sur l'icône horloge .

Lorsque la zone de saisie de l'heure est affichée, vous pouvez cliquer sur l'icône calendrier pour revenir à la sélectiondes jours.



RemarqueSi besoin, créez des filtres afin de restreindre les données affichées dans le graphique. Si votre Olfeo traite une grandequantité de données, il faudra filtrer vos données pour obtenir des résultats lisibles.

Paramétrage des différents types de graphique

Les différents types de graphiques se paramètrent de la façon suivante :• Barres : Placez une série principale et sélectionnez une mesure. La série secondaire est optionnelle.• Barres empilées : Placez une série principale et une série secondaire, et sélectionnez une mesure.• Courbe : Placez un axe temporel en série principale, et sélectionnez une mesure. Une courbe sert à représenter l'évolution

d'une mesure au cours du temps. Elle n'a de sens qu'avec une série temporelle en série principale. Elle ne peut pas avoirde série secondaire.

• Secteurs : Placez une série principale et sélectionnez une mesure. Un graphique en secteurs ne peut pas avoir de sériesecondaire.

• Histogramme : Placez une série principale et sélectionnez une mesure. La série secondaire est optionnelle.• Histogramme empilé : Placez une série principale et une série secondaire, et sélectionnez une mesure.• Tableau : Placez une série principale et sélectionnez une mesure. La série secondaire est optionnelle.

Certains types de graphiques sont grisés, ils deviennent actifs lorsque la ou les séries attendues auront été sélectionnées.

Exporter une analyse au format CSV

Vous pouvez exporter un tableau au format CSV pour pouvoir le réutiliser ensuite dans un tableur.• le type de graphique• les axes et mesures sélectionnés• les filtres appliqués.

1. Lancez l'interface des statistiques : le titre Nouvelle analyse est affiché en haut à gauche de l'écran.



2. Une fois votre graphique construit, cliquez sur le bouton Enregistrer ou Enregistrer sous en haut à droite de la fenêtre.

3. Dans la fenêtre qui s'ouvre, entrez un nom pour votre analyse puis cliquez sur Enregistrer sous. Le nom de l'analyseremplace le libellé Nouvelle analyse en haut à gauche de la fenêtre.

Filtrer les données

Les filtres permettent d'inclure uniquement certaines données dans le graphique, ou d'en exclure d'autres.

"Inclure" des items d'un axe (via un ou plusieurs filtres) exclut tous les autres items. Exemple : un filtre qui inclut le thèmeBande Passante exclura tous les autres thèmes.

Vous pouvez créer plusieurs filtres sur le même axe : le graphique affichera ou exclura les items correspondants à tous les filtres.

RemarqueAttention à ne pas créer de filtres incompatibles

Créer un filtre

1. Dans le tableau de la section Filtres, cliquez sur le bouton Ajouter un filtre, puis dans la liste déroulante, choisissez l'axeque vous souhaitez filtrer (voir Axes disponibles dans les statistiques à la page 130 pour la description des axes). Unefenêtre s'ouvre.

2. Sélectionnez les items ou saisissez-les (pour les axes Thème/Catégorie, Domaine, Plage horaire, Population,AdresseIP, Plage d'IPs ou Action,).

3. Si besoin, cochez Exclure : le graphique affichera tous les items de l'axe, sauf ceux-ci.

4. Cliquez sur Valider. Le résumé du filtre s'affiche dans le tableau des filtres. Le graphique se rafraîchit et affiche uniquementles données filtrées.

Modifier un filtre

1. Dans le tableau de la section Filtres, cliquez sur en fin de ligne pour le filtre à modifier.

2. Modifiez le filtre.

3. Cliquez sur Valider. Le résumé du filtre s'affiche dans le tableau des filtres. Le graphique se rafraîchit et affiche uniquementles données filtrées.



Top n : limiter le nombre d'items

Vous pouvez afficher le "top n" des items d'une série. Vous pouvez appliquer un top indépendamment sur la série principale,sur la série secondaire, ou les deux. Par défaut le top sélectionné est 10.

• Vous pouvez sélectionner une des valeurs prédéfinies ou bien saisir une valeur personnalisée. Voir Appliquer un top à lapage 137.

• Le top est calculé par rapport à la mesure sélectionnée : par exemple, si vous placez Utilisateur en série primaire etsélectionnez la mesure Volume, le graphique affichera le top n des utilisateurs ayant consommé le plus de volume dedonnées.

Illustration 10: Top 10 des utilisateurs les plus consommateurs en volume de données

• Si par exemple vous appliquez un top 10 sur la série principale et un top 10 sur la série secondaire, le graphique pourraafficher jusqu'à 100 items. Il en affichera moins s'il existe moins de 10 items pour une série, ou si un filtre a indirectementrestreint le nombre d'items affichés.

• Avec le paramétrage suivant, le graphique affichera les 50 domaines les plus visités, et, pour chaque domaine, le détail des10 utilisateurs ayant le plus visité ce domaine.



Avec le paramétrage inverse, le graphique affichera les 10 utilisateurs totalisant le plus grand nombre de hits, et, pour chacund'eux, les 50 domaines qu'il a le plus visités.

Appliquer un top

Quand vous placez un axe dans l'encadré Série principale ou Série secondaire, une liste déroulante Top apparaît à côté dunom de l'axe. Par défaut, un top 10 est appliqué. Vous pouvez sélectionner le nombre d'items désiré ou bien sélectionner Autreet entrer le nombre désiré. Le graphique se met à jour automatiquement.

Une valeur personnalisée saisie dans une analyse est propre à celle-ci : elle ne sera pas proposée dans une nouvelle analyse. Parcontre, si une nouvelle analyse est créée par "enregistrer sous", la nouvelle analyse contiendra le top personnalisé.



Supprimer un top

Pour supprimer le top, sélectionnez la valeur - :

Le graphique affiche tous les items de la série. Attention, si la série contient beaucoup d'items, le graphique peut mettre dutemps à s'afficher.

Enregistrer une analyse

Vous pouvez enregistrer une définition de graphique pour pouvoir consulter celui-ci facilement par la suite. Une définition degraphique enregistrée est appelée une analyse. Les éléments enregistrés sont :• le type de graphique• les axes et mesures sélectionnés• les filtres appliqués.

La définition de graphique est sauvegardée, mais pas les données associées : la requête correspondante sera exécutée à chaquechargement de l'analyse.

Tous les administrateurs peuvent voir toutes les analyses créées par tous les autres administrateurs.

Gérer des analyses

Pour pouvoir enregistrer une analyse, vous devez avoir placé une série et sélectionné une mesure.

Créer une analyse :

À partir de rien :

1. Lancez l'interface des statistiques : le titre Nouvelle analyse est affiché en haut à gauche de l'écran.



2. Une fois votre graphique construit, cliquez sur le bouton Enregistrer ou Enregistrer sous en haut à droite de la fenêtre.

3. Dans la fenêtre qui s'ouvre, entrez un nom pour votre analyse puis cliquez sur Enregistrer sous. Le nom de l'analyseremplace le libellé Nouvelle analyse en haut à gauche de la fenêtre.

À partir d'une analyse existante :

1. Chargez l'analyse, faites vos modifications,

2. Utilisez la commande Enregistrer sous. Une fois l'analyse enregistrée, le nom en haut à gauche de la fenêtre est mis à jour.

Lister les analyses

1.Dans l'interface des statistiques, cliquez sur . La liste des analyses enregistrées s'affiche.

A partir de cette liste vous pouvez, afficher une analyse pour la modifier ou la cloner. Vous pouvez également supprimer uneanalyse.

Charger une analyse :

1. Si besoin, assurez-vous que vous avez sauvegardé vos modifications dans l'analyse que vous étiez en train de consulter. (Sivous aviez fait des modifications non sauvegardées avant de charger l'analyse, celles-ci seront perdues.)

2. Cliquez sur le bouton Charger une analyse en haut à droite de la page.

3. Dans la fenêtre qui s'ouvre, sélectionnez l'analyse désirée puis cliquez sur Charger.

Modifier une analyse (sans en changer le titre)

1. Chargez celle-ci.

2. Faites vos modifications. Dès qu'une modification a été faite, le message Modifications non enregistrées s'affiche à côtédu nom de l'analyse :



3. Cliquez sur Enregistrer ou Enregistrer sous pour sauvegarder vos modifications.

Supprimer une analyse

Vous pouvez supprimer une analyse enregistrée. Depuis l'interface statistiques :

1. Cliquez sur le bouton , la liste des analyses enregistrées s'affiche.

2. Cliquez sur la corbeille située à droite du nom de l'analyse à supprimer.

L'analyse est supprimée sans possibilité de la récupérer.

Diffuser les analyses

Vous pouvez diffuser par mails les analyses créées et déjà enregistrées, selon une fréquence que vous décidez. Voir commentCréer une analyse.

Créer une diffusion

1.Depuis la page statistiques, cliquez sur le bouton .

2. Cliquez sur le bouton Créer une diffusion. La page de création de diffusion s'affiche.

/>

3. Saisisez un nom dans le champ Libellé.

4. Saisissez une Description.



5. Définissez la fréquence de diffusion :• une diffusion par jour, seamaine, mois, année,• heure de l'envoi du mail.

6.Dans la partie Analyses à inclure dans la diffusion, cliquez sur . Une fenêtre s'affiche pour vous permettre de choisirles analyses.

7. Cochez les case en face des noms des analyses à inclure, puis cliquez sur Ajouter. La fenêtre se ferme et les analyses sontajoutées à la liste.

8. Dans la partie E-mail de diffusion :• saisissez l'objet de l'e-mail,• saisissez les adresses des destinataires en les séparant par des virgules,•

saisissez votre adresse de test, puis cliquez sur pour recevoir immédiatement un exemple de mail.

9. Cliquez sur Valider pour enregistrer votre diffusion.

Cloner une diffusion

Cloner une diffusion vous permet de pouvoir réutiliser une diffusion existante tout en modifiant certains éléments, comme lafréquence de diffusion, les analyses et/ou changer le groupe de destinataires.

1. Dans la liste des diffusion, cliquez sur la diffusion à cloner. La page de modification s'affiche.

2. Cliquez sur Cloner. La liste des diffusions s'affiche avec la nouvelle diffusion complétée par la mention (clone 1).

Modifier une diffusion

A tout moment il est possible de modifier un diffusion existante.

1. Dans la liste des diffusions, cliquez sur la diffusion à modifier. Elle s'ouvre.

2. Modifiez le nom dans le champ Libellé.

3. Modifiez les données saisies dans le champ Description si nécessaire.

4. Modifiez au besoin les analyses à inclure dans la diffusion, ou l'ordre des priorités.

5. Cliquez sur Valider pour enregistrer votre diffusion.

Supprimer une diffusion

Il est possible de supprimer une diffusion dont vous n'avez plus la nécessité. La suppression d'une diffusion ne supprime pasles analyses enregistrées• Dans la page Liste des diffusions, cliquez sur la corbeille située en fin de ligne de la diffusion à supprimer.• ou, dans la fenêtre de modification d'une diffusion, cliquez sur Supprimer.

.

Communiquer avec vos utilisateurs


COMMUNIQUER AVEC VOS UTILISATEURS

Dans ce chapitre :

• Personnaliser les pages envoyées à l'utilisateur



Personnaliser les pages envoyées à l'utilisateur

Vous pouvez personnaliser certaines pages envoyées par l'Olfeo à vos utilisateurs :

• La page de blocage (qui s'affiche lorsqu'une règle du moteur de règles ou une politique bloque l'accès à une page).• Les pages de quotas (pages donnant la possibilité d'ouvrir un quota en temps ou en volume, page informant l'utilisateur

que son quota a expiré).• Les pages proposant l'outrepassement (cas d'un quota expiré, cas d'un blocage dû à une politique).• La page d'alerte antivirus (l'accès à la page est bloqué car un virus a été détecté).• La page de connexion au portail captif.

Vous pouvez créer plusieurs personnalisations et les appliquer à différentes populations (individuellement, via les options dela liste des utilisateurs). Vous pouvez personnaliser les éléments suivants :

• les textes, dans différentes langues, via des jeux de messages.• l'aspect des pages, pour les adapter à la charte graphique de votre organisation (images, couleurs, ajout ou suppression de

certains textes...), via des modèles de pages.

Pages traitées dans une autre section

Les pages à destination des utilisateurs du portail public sont traitées ici : Personnaliser les pages envoyées aux utilisateurs àla page 119.

Les textes de la page de signature de la charte internet sont personnalisés à la page Administration > Charte internet. Parcontre, c'est le modèle de page défini pour l'utilisateur qui s'appliquera.

Les e-mails d'alerte aux administrateurs (alertes antivirus, notifications système) ne sont pas personnalisables.

Personnaliser ou traduire les libellés

Les jeux de messages contiennent les libellés contenus dans les pages envoyées aux utilisateurs. Vous pouvez créer de nouveauxjeux de messages afin de :

• personnaliser les libellés par défaut fournis par Olfeo (en français, anglais et allemand)• traduire les libellés dans une autre langue.

Créer un jeu de messages

1. Rendez-vous à la page Administration > Messages > Messages.

2. Effectuez l'une des actions suivantes :• Pour créer un nouveau jeu de messages, cliquez sur le lien Ajouter un jeu de messages. La page du jeu de messages

s'ouvre.• Pour éditer un jeu de messages existant, cliquer sur son libellé. La page du jeu de messages s'ouvre.

3. Saisissez un nom et une description. Le nom apparaîtra dans la boîte des options utilisateur. La description apparaîtrauniquement dans la liste des jeux de messages dans l'onglet Messages.

4. Cliquez sur le bouton Créer pour enregistrer le nouveau jeu de messages. La section Langues apparaît.

5. Dans la colonne Défaut, choisissez la langue par défaut pour ce jeu de messages (voir ci-dessus, Gestion des langues).

6. Effectuez l'une des actions suivantes :• Pour éditer les messages dans une langue, cliquez sur le libellé de cette langue. Éditez les messages désirés.



• Pour ajouter une nouvelle langue, cliquez sur le bouton .

1. Dans la fenêtre qui s'ouvre, décochez anglais et choisissez la langue du nouveau jeu de messages.

2. Cliquez sur Valider. La page d'édition du jeu de messages s'affiche.

3. Éditez les messages désirés.

Vous pouvez utiliser les variables listées à la page suivante : Messages personnalisables et variables associées à la page144, en prenant soin de respecter la casse.

Prévisualisez vos changements grâce à l'onglet Prévisualisation.


Appliquer un jeu de messages à un utilisateur, groupe ou UO

Dans la liste des utilisateurs, cliquez sur l'utilisateur, le groupe ou l'UO désirés, ou sur Configuration par défaut. Dans laboîte Configuration de la liste des utilisateurs, sélectionnez le jeu de messages désiré dans la liste Messages, puis validezvos changements. Dans la liste des utilisateurs, une icône apparaît à côté du nom de l'utilisateur, groupe ou UO, indiquantqu'un jeu de messages personnalisé est appliqué.

Gestion de la langue

La langue dans laquelle les pages s'afficheront pour un utilisateur sera celle définie dans le menu Langue de ses options oude celles de son groupe, de son UO ou de la Configuration par défaut : voir Paramétrer UOs, groupes et utilisateurs >Traitement des options par le moteur. Si aucune langue n'est spécifiée nulle part, les messages s’afficheront dans la languedéfinie comme langue par défaut du navigateur.

Messages personnalisables et variables associées

Pages de blocage

Ces messages ne s'appliquent pas à la page de connexion au portail captif.

Info URL Permet d'indiquer à quelle catégorie appartient l'URL. Exemple : Cette URL appartient à la catégorie%Req.Category.LabelOlfeo%.

Laissez ce champ vide si vous ne souhaitez pas que vos utilisateurs voient les catégories des URLsbloquées. Si la page est bloquée par une liste d'URLs, ce message sera remplacé par les messagescorrespondant à ces listes (voir ci-dessous).

Information surles menaces

Affiché lorsque le blocage a lieu car un virus est détecté dans la page demandée.

Évènement Message complémentaire pour les pages de blocage, de quotas ou d'outrepassement.

Message decatégorieinconnue

Message à afficher lorsque l'Olfeo n'a pas pu déterminer la catégorie de l'URL, pour une raisontechnique (il ne s'agit pas du cas où l'URL appartient à la catégorie URL Non Classée).

Liste d'URL N'apparaît que lorsque le blocage résulte d'une règle ou d'une politique portant sur une liste d'URLs.



Quotas et outrepassement

Message principal Apparaît systématiquement pour les 2 types de quota (temps et volume).

Information de temps restant Apparaît uniquement pour les quotas en temps.

Alerte d'ouverture du quota envolume

Apparaît uniquement pour les quotas en volume.

Demande d'ouverture de session Apparaît uniquement pour les quotas en temps pour lesquels une session de temps aété définie.

Demande d'outrepassement S'affiche uniquement quand le blocage résulte d'une règle "Bloquer" dans une politique(et donc non lié à un quota).

Libellé du bouton Libellé commun à tous les types d'outrepassement.

Message d'outrepassement Message proposant l'outrepassement, uniquement pour les quotas en volume.

Exemple : Vous avez épuisé votre quota de <tt>

%Rule.Action.Quota.TotalVolume%<tt> Mo. Voulez-vous continuer à surferquand même?

Message d'erreur d'identifiants Message à afficher si le mot de passe d'outrepassement saisi par l'utilisateur est incorrect(tous types d'outrepassement).

%I18n.Words.Password% (dansla section Divers)

Caractères qui prérempliront le champ mot de passe, pour l'outrepassementuniquement. Le champ affichera des ronds à la place de ces caractères. Attention, sivous entrez ici le vrai mot de passe d'outrepassement, les utilisateurs pourront s'enservir (s'ils cliquent directement sur Envoyer, le blocage sera outrepassé).

Variables à utiliser dans ces messages

• %Rule.Action.Quota.Label% : Libellé du quota concernant l'URL.• %Rule.Action.Quota.RemainingDuration% : Temps de quota restant. La durée est exprimée en minutes.• %Rule.Action.Quota.TotalDuration% : Durée totale initiale du quota concerné, en minutes.• %Rule.Action.Quota.TotalVolume% : Taille totale du quota en volume.• %Rule.Action.Quota.Session% : Durée de la session de quota à ouvrir.

E-mails

E-mail

• En-tête : début du corps de l'e-mail• Pied de page : fin du corps de l'e-mail

Champs personnalisés

Vous pouvez utiliser 3 champs personnalisés pour ajouter à vos modèles de page du texte pouvant être traduit : Champutilisateur 1, 2 et 3. Pour faire apparaître le contenu de Champ utilisateur 1 dans vos pages, insérez la chaîne suivante dansun modèle de page :

<? cs evar:I18n.Custom.1 ?>



Attention, le texte apparaîtra dans tous les types de page (blocage, quota, portail captif...).

Portail captif

Libellé autoriser lespopups

Si le navigateur bloque les popups, la popup de déconnexion ne peut pas s'afficher. On affichependant quelques secondes une page d'information à ce sujet.

%I18n.Form.Login%(dans la section Divers)

Concerne uniquement le portail captif.

%I18n.Form.Password%(dans la section Divers)

Concerne uniquement le portail captif.

Variables



Variable Description

%Req.Category.id% Identifiant interne Olfeo de la catégorie de l'URL.

Exemple : Pour la catégorie "Sciences, Recherches" : 36.

%Req.Category.Label% Alias de la catégorie de l'URL. Chaque catégorie possède un champ alias quipeut être modifié en cliquant sur la catégorie souhaitée du menu Filtrage web >Catégories.

Exemple : Alias personnalisé, tel que "Site interdit".

%Req.Category.LabelOlfeo% Nom de la catégorie Olfeo originale (sans prise en compte de l'alias).

Exemple : Médias, actualités.

%Req.Category.Description% Description Olfeo de la catégorie de l'URL.

Exemple : Pour la catégorie "Cinéma" : "Contenu sur le cinéma, les films, lesacteurs, les DVD, les salles et horaires".

%Req.Category.theme_id% Identifiant interne Olfeo du thème auquel appartient la catégorie de l'URL.

Exemple : Pour le thème "Divertissements et Société" : 6.

%Req.Url% URL complète de la page bloquée.

Exemple :

http://www.olfeo.com/produits-et-services/produits/le-filtrage-durl

%Req.ShortUrl% URL de la page bloquée, tronquée à 50 caractères.

Exemple :

http://www.olfeo.com/produits-et-services/produits

%Req.Virname% Nom du virus détecté (pour les pages d'alerte antivirus).

%Rule.Cond.Whitelist.Label% Libellé de la liste d'URL à l'origine du blocage : cette variable n'est résolue quelorsque la page a été bloquée à cause d'une liste d'URL.

%Req.User% Nom commun de l'utilisateur.

%Req.User.Login% Identifiant de l'utilisateur.

%Req.Ip% Adresse IP source de la requête. Attention, selon votre architecture, celle-ci necorrespond pas nécessairement à l'adresse IP de l'utilisateur (par exemple, ce peutêtre l'adresse IP d'un proxy enfant, si celui-ci ne transmet pas les en-têtes X-Forwarded-For).

%Sys.Hostname% Hostname de la machine Olfeo ayant envoyé la page de blocage.

%Req.Filename% Nom du fichier téléchargé (pour les pages de patience).



Variable Description

%Licence.Company% Identifiant de la licence d'utilisation Olfeo. Votre identifiant est indiqué à la pageParamétrage > Mise à jour > Abonnement.

Personnaliser les pages

Vous pouvez paramétrer certains éléments des pages envoyées à l'utilisateur via un jeu de modèles : aspect, images, textes fixescommuns à toutes les pages.

Illustration 11: Exemple de page de blocage utilisant un modèle personnalisé

Créer un modèle de page

1. Rendez-vous à la page Administration > Messages > Modèles.

2. Cliquez sur le lien Ajouter un jeu de modèles.

3. Saisissez un nom et une description. Le nom apparaîtra dans la fenêtre Configuration de la liste d'utilisateurs. Ladescription apparaîtra uniquement dans la liste des jeux de modèles dans l'onglet Modèles.

4. Cliquez sur Créer pour enregistrer les changements.

5. Cliquez sur le modèle que vous venez de créer dans la colonne Libellé.

6. Cliquez sur les liens Blocage, En-tête ou Pied de page pour modifier les différentes parties du modèle de page HTML.Blocage correspond au corps de la page.



Modifier lestextes

Vous pouvez modifier les textes des parties communes à toutes les pages générées. Par exemple,vous pouvez ajouter du texte au pied de page. Pour que le texte que vous ajoutez puisse être traduit,utilisez des champs personnalisés.

Ne modifiez pas les lignes <?cs linclude:Component.Condition ?> et <?cslinclude:Component.Action ?> : celles-ci génèrent automatiquement les messagesspécifiques aux différents types de pages.

Pour ajouter un lien permettant d'envoyer un e-mail, utilisez la syntaxe suivante : <ahref="mailto:[email protected]">Envoyez-nous un e-mail</a>.

Utiliser desimages/remplacer le logoOlfeo

Vous pouvez définir 3 images à utiliser dans le modèle de page.• Vous pouvez référencer les noms de fichier des images dans vos modèles de la façon suivante :

image 1 : <?cs var:Page.Img.1 ?> image 2 : <?cs var:Page.Img.2 ?> image 3 : <?cs var:Page.Img.3 ?>

• Exemple d'utilisation d'images dans les modèles :

<img src='<?cs var:Page.Img.1 ?>' /> <div style='background-image:url(<?cs var:Page.Img.3 ?>);'> ... </div>

Changer la CSS Vous pouvez faire pointer les pages générées vers un fichier CSS hébergé sur l'un de vos serveurs.Assurez-vous que le fichier est accessible depuis tous les sites de votre organisation et n'est pasbloqué par une règle de filtrage.• Adaptez la CSS par défaut.• Dans la partie En-tête du modèle de page, ajoutez la référence à votre CSS (par

exemple, <link href='http://serveur.samplecompany.tld/css/style.css'

type='text/css' rel='stylesheet' />), à l'intérieur de l'élément <head>.

Prévisualisez vos changements grâce à l'onglet Prévisualisation.

Appliquer un modèle de page à un utilisateur, groupe ou UO

Dans la liste des utilisateurs, cliquez sur l'utilisateur, le groupe ou l'UO désirés, ou sur Configuration par défaut. Dans laboîte Configuration de la liste des utilisateurs, sélectionnez le modèle de page désiré dans la liste Modèles, puis validezvos changements. Dans la liste des utilisateurs, une icône apparaît à côté du nom de l'utilisateur, groupe ou UO, indiquantqu'un modèle personnalisé est appliqué.

Servir les pages de blocage

Lorsqu'une page doit être fournie à l'utilisateur, le moteur de filtrage envoie un code 302 (redirection) au navigateur client pourlui dire de demander la page de blocage à l'Olfeo.

Par défaut, les pages de blocage sont servies par l'Olfeo qui effectue le filtrage, sur le port 9123. Si vous ne souhaitez pas ajouterd’exceptions au niveau du firewall, ou si vous utilisez un équipement tiers qui ne tolère pas qu'une redirection se fasse sur unport différent du port d'origine, redirigez vers les ports standard HTTP/HTTPS. Vous pouvez en effet servir les pages deblocage sur un autre port, un autre Olfeo ou un serveur externe. Pour pouvoir servir les pages de blocage sur un autre Olfeo,les deux Olfeos doivent être membres du même domaine Olfeo.

Dans une intégration en proxy explicite, il est déconseillé de faire passer les pages de blocage par le proxy : configurez lesnavigateurs clients pour ne pas utiliser de proxy pour les ressources locales.

http://support.olfeo.com/sites/olfeo/files/support/v600/dl/style.css



Paramétrage global à l'Olfeo

Le paramétrage suivant s'appliquera à tous les utilisateurs filtrés par cet Olfeo, si aucune surcharge n'est définie au niveau del'UO, du groupe ou de l'utilisateur (voir ci-dessous).

Rendez-vous à la page Paramétrage > Avancé > Redirection. Choisissez l'une des options suivantes :

• Pour servir les pages de blocage sur un Olfeo, utilisez la liste Mode de redirection :• Automatique : les pages de blocage sont servies par la solution Olfeo qui effectue le blocage.• Statique : les pages de blocage peuvent être servies :

• par l'Olfeo qui effectue le blocage, sur une interface réseau différente.• par un autre Olfeo membre du même domaine Olfeo.

Saisissez l'adresse IP (ou le FQDN) et le port TCP désirés. Utiliser un FQDN permet de faire en sorte que différentsclients résolvent le FQDN différemment suivant leur DNS, afin de répartir la charge entre plusieurs Olfeos.

• Pour rediriger l'utilisateur vers une page statique sur un serveur externe à l'Olfeo (par exemple, une page de votre intranet),cochez la case URL de redirection. Attention, une telle page ne pourra effectuer qu'un blocage pur et simple : il n'estpas possible de gérer les quotas, l'outrepassement ou le portail captif avec cette option. N'incluez pas le schème dans votreURL (c'est-à-dire http:// ou https://).

Personnaliser la redirection pour certains utilisateurs

Vous pouvez surcharger le paramétrage défini à la page Redirection aux endroits suivants :

• Au niveau de la passerelle d'une UO, dans le champ IP de redirection.

Exemple : Dans une intégration en coupure, l'Olfeo reçoit des flux de 2 VLANs. L'Olfeo a une interface dans chaqueVLAN. L'Olfeo doit pouvoir servir une page de blocage pour chaque VLAN, en fonction du tag VLAN d'entrée. On créedonc une passerelle pour chaque VLAN, qui redirige vers la bonne interface de l'Olfeo.

• Dans le champ URL de redirection dans les options d'un utilisateur, groupe ou UO, dans la liste des utilisateurs.

Par défaut, Olfeo génère des URLs selon la syntaxe suivante :

http://%Sys.Host%:%Sys.HTTPD.Port%/%Req.Answer.WWWModule%/?SessionID=%Session.SessionID%

Vous pouvez indiquer en dur la valeur des variables %Sys.Host% (adresse IP de l'Olfeo, ou FQDN résolvable par le client)et %Sys.HTTPD.Port% (port TCP).

Exemple : Envoyer une URL de redirection avec une adresse IP différente de l'adresse IP locale de l'Olfeo. Un poste clientcommunique avec la solution Olfeo via un NAT. Si l'URL de redirection envoyée par l'Olfeo contient l'adresse locale del'Olfeo, le client ne trouvera pas l'adresse IP locale de l'Olfeo. Pour que la redirection fonctionne, la solution devra envoyerune URL de redirection contenant l'adresse IP publique permettant au poste client de contacter l'Olfeo. Renseignez lechamp URL de redirection de la manière suivante :

http://192.168.4.1:%Sys.HTTPD.Port%/%Req.Answer.WWWModule%/?SessionID=%Session.SessionID%

Priorités appliquées aux règles de redirection

Si besoin, vous pouvez spécifier le port et l'adresse IP de l'Olfeo à des niveaux différents : l'Olfeo reconstituera une URLcomplète.

Le moteur vérifie d'abord si une IP et un port de redirection sont définis au niveau de l'utilisateur. Si aucune redirectionn'est définie à ce niveau, le moteur vérifie si une redirection est définie sur le groupe, et ainsi de suite. Le moteur pourra



potentiellement examiner les redirections définies à tous les niveaux de l'arborescence, dans le sens Utilisateur (champ URLde redirection) > Groupe (champ URL de redirection) > UO (champ URL de redirection) > passerelle de l'UO(champ IP de redirection) > Page Redirection. Si un même paramètre est défini à plusieurs niveaux, c'est la valeur la plusproche de l’utilisateur qui sera prise en compte.

Pages de blocage en HTTPS

Si vous ne déchiffrez pas certains flux HTTPS, cochez la case HTTPS pour rendre possible l'envoi de pages de blocage enHTTPS : en effet, lorsqu'un client envoie une requête HTTPS, il doit également recevoir une réponse en HTTPS. Dans lasection HTTPS, entrez :• le certificat à utiliser pour chiffrer les pages de blocage HTTPS (fichiers .crt et .key/.pem). Le CN du certificat doit être

l'adresse IP ou le hostname de la machine hôte de l'Olfeo.• le port sur lequel les pages de blocage HTTPS seront servies.

RemarqueLes pages de blocage ne fonctionnent pas avec les sites qui exposent un en-tête HSTS. Le navigateur renverra une erreurde type certificat invalide.

Proxys non HTTP


PROXYS NON HTTP

Dans ce chapitre :

• Proxy FTP• Proxy TCP• Proxy RTSP• Proxy SOCKS

Proxys non HTTP


Proxy FTP

Configurer le proxy FTP

RemarqueLa solution Olfeo supporte uniquement le mode passif du protocole FTP, du fait de la nature non sécurisée du modeactif.

1. Rendez-vous à la page de configuration du proxy FTP en suivant les menus Proxy avancé > FTP > Configuration.

Section : Liste des proxies

2. Ajoutez un proxy FTP en écoute grâce au bouton .

3. Dans le proxy nouvellement créé, saisissez un nom dans le champ de la colonne Libellé.

4. Dans le proxy nouvellement créé, saisissez le port TCP d'écoute dans le champ de la colonne Port.

Par exemple : 9021

5. Dans le proxy nouvellement créé, si vous souhaitez mettre en place des options supplémentaires cliquez sur le lien de lacolonne Options.

a) Si vous souhaitez limiter le nombre maximum de connexions sortantes autorisées par le proxy, saisissez ce nombremaximum de connexions dans le champ Limite de connexions.

b) Si vous souhaitez configurer un proxy parent:• Validez la case à cocher Activé.• Saisissez l'adresse IP du proxy parent dans le champ Hôte.• Saisissez le port du proxy parent dans le champ Port.• Choisissez le type d'authentification du proxy parent à l'aide du menu Authentification :

• *Aucune* : Le proxy parent ne nécessite aucune authentification.• Identique au client : Les identifiants/mots de passe fournis au proxy FTP Olfeo seront transférés au proxy

parent.• Définie ci-dessous : Cette configuration permet de renseigner un identifiant/mot de passe spécifique pour

authentifier le proxy FTP Olfeo auprès de son proxy FTP parent. Si vous choisissez cette option, saisissezl'identifiant dans le champ Identifiant et le mot de passe dans le champ Mot de passe.

• Cliquez sur Valider pour enregistrer les changements.


Voir aussi...Article de base de connaissances : Utiliser un client FTP de type Filezilla avec le proxy FTPGérer le FTP sur HTTP à la page 62

Configurer une authentification pour le proxy FTP

1. Rendez-vous à la page de configuration de l'authentification du proxy FTP en suivant les menus Proxy avancé > FTP >Authentification.

2. Ajoutez une règle d'authentification au proxy FTP grâce au bouton .


Proxys non HTTP


3. Dans la règle nouvellement créée, si vous souhaitez configurer un type d'authentification à des horaires prédéfinis cliquezsur le lien de la colonne Plage horaire puis cliquez sur l'une des plages horaires de la colonne Libellé.


4. Dans la règle nouvellement créée, si vous souhaitez spécifier une source cliquez sur le lien de la colonne Source.Sélectionnez ensuite le type de source sur lequel vous voulez effectuer l'authentification grâce au menu Sélectionner.

a) Si vous voulez spécifier une plage d'adresse IP sélectionnez Plage d'IPs. Saisissez ensuite une adresse IP de début, uneadresse IP de fin ainsi qu'une Description de la plage IP. Notez que vous pouvez ajouter d'autres plages d'adressesIP grâce au bouton . Pour finir cliquez sur Valider.

5. Dans la règle nouvellement créée, si vous souhaitez préciser une zone d'authentification à utiliser cliquez sur le lien de lacolonne Mode, puis sélectionnez la zone d'authentification dans la colonne Libellé.Pour rappel le mode d'authentification permet de configurer une authentification LDAP basique.

RemarqueSi vous souhaitez créer une zone d'authentification rendez-vous à la page Paramétrage > Authentification >Modes.

6. Dans la règle nouvellement créée, si vous souhaitez réaliser une association entre adresse IP et identifiant dès la premièreauthentification pour éviter de nouvelles demandes d'authentification, validez la case à cocher IP2login.


Proxy TCP

Le proxy TCP permet de définir un proxy générique pour tout flux client/serveur utilisant TCP et ne disposant d'aucuneméthode intrinsèque permettant l'utilisation d'un proxy.

AvertissementLes protocoles applicatifs pouvant être propriétaires et non documentés, le proxy TCP Olfeo ne peut donc identifier lesadresses IP de destination. L'utilisation du proxy TCP Olfeo nécessite donc un fonctionnement en proxy transparenten configurant un pare-feu pour rediriger les ports applicatifs vers le proxy TCP Olfeo.

L'architecture à construire doit cependant respecter les limitations suivantes:• Nombre d'instances de proxy TCP: Une instance de proxy TCP Olfeo doit être configuré pour chaque application

que vous souhaitez proxyfier. En effet, chaque proxy TCP redirige son flux d'entrée vers une adresse IP et un port TCPspécifique.

• Ports de sortie TCP: Il n'est pas possible de renseigner les ports de sortie TCP utilisés par le proxy TCP Olfeo.• Interprétation protocolaire: Le proxy TCP Olfeo ne fournit aucune interprétation protocolaire et ne fournit donc aucun

service associé.• Identification utilisateur: Le proxy TCP Olfeo ne dispose d'aucun mécanisme d'authentification ou d'identification de

l'utilisateur.

Voici un exemple d'utilisation du proxy TCP : Un ensemble de postes clients souhaitent accéder à un serveur situé surInternet. Ces postes ne sont pas routés sur Internet mais peuvent accéder à la solution Olfeo. Dans ce cas configurez la solutionOlfeo avec un proxy TCP pointant vers le serveur final sur Internet et configurez vos applications clientes pour accéder auproxy TCP Olfeo comme s'il s'agissait du serveur destination.

Proxys non HTTP


Créer une définition de proxy TCPLe proxy TCP est fourni avec la licence Proxy avancé.

1. Rendez-vous à la page Proxy avancé > TCP.


2. Ajoutez un proxy TCP grâce au bouton .



Par exemple: 30554

5. Cliquez sur le lien de la colonne Options puis saisissez l'adresse IP et le port TCP du serveur destination que le proxyTCP contactera.

Par exemple: 192.168.4.3:37141


Proxy RTSP

Le proxy RTSP est fourni avec la licence Proxy avancé.

RTSP (Real Time Streaming Protocol) est un protocole de communication destiné aux systèmes de streaming média. Il permetde recevoir un flux et de contrôler un serveur de média à distance avec les fonctionnalités typiques d'un lecteur vidéo ou audiotelles que "lecture", "stop", "pause" ou encore "se déplacer dans le média à l'instant t".

RTSP ne transporte pas les données elles-mêmes mais fournit le contrôle de flux. L'utilisation d'un lecteur RTSP est associéeà un protocole de transport comme RTP (Realtime Transport Protocol) ou RDT (Real Data Transport) protocole propriétairede RealNetworks pour le transport des données de streaming.

Avec la solution Olfeo vous pouvez configurer un proxy RTSP permettant de contrôler et de recevoir des flux de serveurs demédias. L'architecture à construire doit cependant respecter les limitations suivantes:• RTSP sur UDP: Pour le transport des données, seule la couche de transport UDP est aujourd'hui supportée. En revanche

le protocole RTSP lui-même utilise TCP.• RTP Transport de Données: Le proxy RTSP Olfeo ne supporte que le protocole RTP comme protocole de transport

de données associé à RTSP.• Intégrations: Le proxy RTSP Olfeo supporte la proxyfication de flux RTSP soit:

• En configuration proxy transparent par redirection de flux à travers un pare-feu vers le proxy RTSP Olfeo.• En configuration proxy explicite nécessitant une configuration spécifique sur les applications clientes RTSP.

• Lecteurs RTSP supportés: Le proxy RTSP Olfeo en configuration explicite n'a été certifié qu'avec Windows MédiaPlayer et RealPlayer. L'utilisation de ces lecteurs nécessite une configuration spécifique en proxy explicite forçantl'utilisation du proxy RTSP Olfeo et du protocole UDP comme protocole de transport de données. De même, touteapplication propriétaire utilisant RTSP, pour pouvoir utiliser le proxy RTSP Olfeo, doit supporter la configuration d'unproxy RTSP explicite avec UDP comme protocole de transport de données.

• Ports de sortie TCP utilisés par le proxy RTSP: Comme pour le proxy FTP Olfeo, il n'est pas possible de renseignerles ports de sortie TCP utilisés par le proxy RTSP Olfeo.

Proxys non HTTP


RemarqueVous pouvez créer des règles concernant les flux RTSP dans le moteur de règles à l'aide de l'onglet Accès menuAdministration > Utilisateurs.

Configurer le proxy RTSP

1. Rendez-vous à la page de configuration du proxy RTSP en suivant les menus Proxy avancé > RTSP.


2. Ajoutez un proxy RTSP grâce au bouton .



Par exemple: 30554


AvertissementLe proxy RTSP de la solution Olfeo est un service séparé qui doit être démarré à l'aide du menu Paramétrage >Système > Services.

Proxy SOCKS

Le proxy SOCKS est fourni avec la licence Proxy avancé.

SOCKS est un protocole réseau permettant à des applications intégrant le support de ce protocole d'utiliser de manièretransparente les services d'un proxy.

Le support du protocole SOCKS dans les applications clientes est impératif pour pouvoir utiliser un proxy SOCKS. Veuillezconsulter la documentation de vos applications pour connaître la version et les fonctionnalités de SOCKS supportées afin depouvoir configurer au mieux vos proxys SOCKS Olfeo.

Limitations• Versions de SOCKS supportées: Le proxy SOCKS Olfeo supporte les versions 4 et 5 du protocole SOCKS.• Authentification des clients SOCKS V4: Le proxy SOCKS Olfeo ne supporte pas d'authentification utilisateur pour les

clients SOCKS V4. Cette limitation est inhérente au protocole SOCKS V4 qui ne gère pas d'authentification utilisateur.• Authentification des clients SOCKS V5: Le protocole SOCKS V5 supporte l'authentification lors d'une connexion à

un proxy SOCKS.• Ports TCP utilisés: Il n'est pas possible de spécifier les ports de sortie TCP utilisés par le proxy SOCKS Olfeo.

Configurer le proxy SOCKS

1. Rendez-vous à la page de configuration du proxy SOCKS en suivant les menus Proxy avancé > SOCKS > Configuration.

Proxys non HTTP



2. Ajoutez un proxy SOCKS grâce au bouton .



Par exemple: 1038


Configurer une authentification pour le proxy SOCKS

1. Rendez-vous à la page de configuration de l'authentification du proxy SOCKS en suivant les menus Proxy avancé >SOCKS > Authentification.

2. Ajoutez une règle d'authentification au proxy SOCKS grâce au bouton .

3. Dans la règle nouvellement créée, si vous souhaitez configurer un type d'authentification à des horaires prédéfinis cliquezsur le lien de la colonne Plage horaire puis cliquez sur l'une des plages horaires de la colonne Libellé.


4. Dans la règle nouvellement créée, si vous souhaitez spécifier une source cliquez sur le lien de la colonne Source.Sélectionnez ensuite le type de source sur lequel vous voulez effectuer l'authentification grâce au menu Sélectionner.

a) Si vous voulez spécifier une plage d'adresse IP sélectionnez Plage d'IPs. Saisissez ensuite une adresse IP de début, uneadresse IP de fin ainsi qu'une Description de la plage IP. Notez que vous pouvez ajouter d'autres plages d'adressesIP grâce au bouton . Pour finir cliquez sur Valider.

5. Dans la règle nouvellement créée, si vous souhaitez préciser une zone d'authentification à utiliser cliquez sur le lien de lacolonne Mode, puis sélectionnez la zone d'authentification dans la colonne Libellé.Pour rappel le mode d'authentification permet de configurer une authentification LDAP basique.

RemarqueSi vous souhaitez créer une zone d'authentification rendez-vous à la page Paramétrage > Authentification >Modes.

6. Dans la règle nouvellement créée, si vous souhaitez réaliser une association entre adresse IP et identification dès la premièreauthentification pour éviter de nouvelles demandes d'authentification, validez la case à cocher IP2login.


Gérer des chartes internet


GÉRER DES CHARTES INTERNET

Une charte internet est un document définissant les règles concernant tous les usages liés à internet au sein del'entreprise. La charte internet recense les droits et obligations des salariés ainsi que leurs responsabilités. Sa mise enplace permet d'encadrer l'usage des outils informatiques et fournit une référence en cas de litige. Pour en savoir plus,consultez notre guide de la charte informatique.

La solution Olfeo vous permet de faire signer une charte internet aux utilisateurs. Lorsqu'une charte internet est activée,l'utilisateur qui tente de se connecter à internet reçoit une page lui donnant accès au texte de la charte et lui permettant dela signer. L'utilisateur ne peut pas surfer tant qu'il n'a pas signé la charte. Une fois la charte signée, la page n'apparaît plus.

Illustration 12: Exemple de page demandant la signature d'une charte internet

Vous pouvez créer plusieurs chartes afin de vous adapter à différents profils d'utilisateurs. Par exemple, vous pouvezcréer une charte spéciale pour les administrateurs, leur rappelant leurs obligations de confidentialité.

Limitations

• Si vous souhaitez apporter des changements à une charte internet, il vous faudra créer une nouvelle charte. En effet, ilest impossible de modifier une charte ayant été acceptée par au moins un utilisateur.

• La charte internet ne peut pas être appliquée individuellement à des personnes appartenant à une plage d'IPs. En effet,une fois qu'un utilisateur correspondant à cette plage IP a accepté la charte, celle-ci sera considérée comme validée pourtoutes les personnes appartenant à cette plage d'IPs.

• Les chartes internet ne sont compatibles qu'avec les utilisateurs identifiés ou authentifiés. En effet, le moteur ne peut pasenvoyer individuellement une charte internet à chaque utilisateur inconnu. Si vous définissez une charte internet sur laConfiguration par défaut, les utilisateurs inconnus ne recevront pas de page leur demandant de signer la charte : ilsseront simplement bloqués.

• Si vous ne déchiffrez pas certains flux, activez les pages de blocage en HTTPS pour que les utilisateurs puissent recevoirla page de signature de charte internet, si la 1è page à laquelle ils essaient d'accéder est une page HTTPS.

Dans ce chapitre :

• Créer une page de validation de charte internet• Mettre en place une charte internet• Voir l'historique de validation d'une charte

http://www.olfeo.com/sites/olfeo/files/pdf/guide-charte-informatique-olfeo.pdf



Créer une page de validation de charte internet

1. Rendez-vous à la page Administration > Chartes Internet > Chartes Internet.

2. Cliquez sur le lien Ajouter une charte internet. La page de création s'ouvre.

3. Saisissez un nom et une description. Le nom apparaîtra dans la liste des chartes internet disponibles, dans la fenêtreConfiguration de la liste d'utilisateurs.

4. Enregistrez la nouvelle charte afin d'avoir accès à la prévisualisation : cliquez sur Créer. La charte apparaît dans la listedes chartes.

5. Cliquez sur la charte pour l'éditer.• Dans les sections Messages et Lien vers la charte, définissez les textes qui seront affichés sur la page qui sera envoyée

à l'utilisateur afin qu'il signe la charte. Attention, si tous les champs sont laissés vides, la page n'affichera rien (il n'y apas de texte par défaut pour cette page).

• Mettez votre charte à disposition de vos utilisateurs :• Lien hypertexte : renseignez l'adresse à laquelle la charte sera consultable.• Fichier : la charte sera stockée sur l'Olfeo et sera téléchargeable par l'utilisateur.

• Cliquez sur le bouton Prévisualisation pour voir le résultat de vos modifications dans une fenêtre séparée. Attention,l'aspect de la page que verra l'utilisateur dépend du jeu de modèles activé pour cet utilisateur (au niveau de l'utilisateurlui-même, de son groupe ou de son UO).

6. Cliquez sur Valider pour enregistrer les changements. Vous pouvez appliquer la charte à des utilisateurs, et l'activer.

Mettre en place une charte internet

La mise en place d'une charte internet se fait en 2 temps :• Dans la liste des utilisateurs, on applique la charte voulue au groupe, à l'unité organisationnelle ou à l'utilisateur concerné.



• Dans le moteur de règles, on ajoute une règle globale qui rend toutes les chartes internet actives.

Appliquer une charte à des utilisateurs, et l'activer

1. Rendez-vous à la page du moteur de règles (Administration > Utilisateurs).

2. Dans la liste des utilisateurs, cliquez sur l'UO, le groupe ou l'utilisateur auquel vous voulez appliquer la charte internet. Lafenêtre Configuration de la liste d'utilisateurs s'ouvre.

3. Dans la liste Charte Internet, sélectionnez la charte désirée.

4. Cliquez sur Valider pour enregistrer les changements. Une icône apparaît à droite de l'UO, du groupe ou de l'utilisateur,indiquant la mise en place d'une charte internet.

5. Dans l'onglet Accès du moteur de règles, ajoutez une règle grâce au bouton .

6. Dans cette règle, dans la colonne Action, sélectionnez Charte Internet.

7. Cliquez sur le bouton Valider en-dessous à droite de l'onglet Accès pour enregistrer la nouvelle règle.

Voir l'historique de validation d'une charte

Vous pouvez connaître la liste des utilisateurs ayant ou n'ayant pas validé une charte internet.

Pour visualiser l'historique de signature d'une charte, rendez-vous à la page Administration > Chartes Internet > ChartesInternet. Cliquez ensuite sur la charte voulue et rendez-vous à la section Historique de signature de la charte internet.

Illustration 13: Exemple d'historique de signature de la charte internet

Exporter un fichier contenant la liste des signataires

Pour exporter un fichier contenant la liste des signataires d'une charte, dans la section Historique de signature de la charteinternet, cliquez sur le lien Liste des signataires à côté d'une unité organisationnelle, d'un groupe, ou à côté de Configurationpar défaut pour obtenir une liste globale de tous les signataires de la charte. Dans l'écran qui apparaît, cliquer sur Export CSV.


FOURNIR DES LOGS JURIDIQUES

Pour fournir des historiques de navigation (parfois appelés "logs juridiques" ou "logs pénaux"), vous pouvez extrairedes données en fonction des critères que vous souhaitez. Pour extraire certaines données de façon ponctuelle, utilisezla page Statistiques > Extraction > Extraction de hits.

Dans ce chapitre :

• Extraire des données d'historique au format CSV• Extraire des données d'historique au format NCSA

Fournir des logs juridiques


Extraire des données d'historique au format CSV

Le sous-menu Statistiques > Extraction de hits permet d'extraire de façon ponctuelle des historiques de surf sous forme defichier CSV. Toutes les requêtes reçues par l'Olfeo sont disponibles pour l'extraction, ainsi que leurs propriétés (par exemple,les logs indiquent si la requête a été bloquée ou non).

RemarqueL'extracteur permet d'obtenir des données concernant tous les utilisateurs. Il est recommandé de ne pas donner accèsà cette page aux administrateurs ne gérant qu'un groupe ou une UO.

Dans un domaine Olfeo, les historiques des requêtes reçues par toutes les machines du domaine sont stockées sur la machinemaître (et sur celle-ci uniquement).

1. Rendez-vous à la page Statistiques > Extraction des hits.

2. Définissez la période de temps pour laquelle extraire les données. Dans la section Paramètres d'extraction, utilisez leschamps Date de début et Date de fin :• Pour définir une date spécifique, utilisez le format suivant : aaaa-mm-jj hh:mm:ss (par exemple, 2011-05-16 15:06:20). Une

date entrée au format aaaa-mm-jj sera interprétée comme signifiant aaaa-mm-jj 00:00:00.• Vous pouvez également utiliser les valeurs spéciales de temps PostgreSQL : today, yesterday, now, -infinity (date la plus

ancienne trouvée dans les données), infinity (date la plus récente trouvée dans les données).

3. Définissez les caractéristiques du fichier CSV à générer :• Nom du fichier généré : saisissez le nom du fichier qui sera prérempli lors du téléchargement.• Format : sélectionnez CSV.• Dans la section Paramètres du fichier CSV, dans le champ Séparateur, saisissez le caractère ou la suite de caractères

à utiliser comme séparateur de champs. L'espace n'est pas un séparateur valide.



4. Dans la section Paramètres du fichier CSV, définissez les données à extraire. Le tableau propose tous les champs de latable, cependant, seuls certains champs sont pertinents pour chaque type de données :• Définissez les champs à extraire :

• Cliquez sur le bouton pour ajouter un champ à extraire, puis sélectionnez le champ désiré dans la colonneAttribut. Voir la section ci-dessous, Référence des champs à la page 164.

• Si besoin, supprimez les champs que vous ne souhaitez pas extraire à l'aide du bouton .• Utilisez le champ Valeur pour filtrer les données extraites.

Par exemple, pour le champ user_mac, si vous saisissez 00:50:56:01:05:d4 dans la colonne Valeur, seuls lesenregistrements correspondant à cette adresse MAC seront extraits.

5. Cliquez sur le bouton Prévisualisation pour visualiser un échantillon du résultat final dans la section Prévisualisation.

6. Cliquez sur le bouton Téléchargement pour télécharger le fichier CSV.



Référence des champs

Attribut Description

answer_reason Code correspondant au type d’action effectuée :• 200 : autorisé• 201 : page consultée dans le cadre d'un quota ouvert• 202 : plage horaire autorisée, lorsque l'autorisation est donnée par une politique.

(Si l'autorisation sur la plage horaire est donnée par une règle du moteur, le champretourne 200.)

• 203 : blocage outrepassé sans mot de passe (politique avec règle "Bloquer", quotaexpiré)

• 204 : outrepassé avec mot de passe• 401 : page d'ouverture de quota, quota expiré (page de blocage, avec ou sans

possibilité d'outrepasser)• 402 : plage horaire bloquée, lorsque le blocage est fait par une politique. (Si le blocage

sur plage horaire est fait par une règle du moteur, le champ retourne 403.)• 403 : bloqué• 405 : charte internet non signée, page de signature de charte internet

audit Booléen indiquant si le mode Audit était activé ou non pour cet utilisateur lorsque larequête a été reçue.• audit désactivé : f• audit activé : t

domain FQDN de destination de la requête.

group_id Identifiant interne à l'Olfeo du groupe auquel appartient l’utilisateur identifié. Pour lesutilisateurs inconnus, ce champ retourne 0.

hit_id Identifiant interne à l'Olfeo du hit.

matched_policy_id Identifiant permettant de connaître quel élément a déterminé la décision de filtrage. Ilpeut s'agir de :• l'identifiant interne à l'Olfeo d'une politique de filtrage d'URLs ou d'une politique de

filtrage applicatif. Cet identifiant correspond à la politique indiquée dans la colonnePolitique à la page Temps réel.

• l'identifiant de l'onglet du moteur de règles contenant la règle ayant déterminé ladécision de filtrage. Cet identifiant correspond à la mention Connexion/Accès/Aperçu/Contenu (ACL) dans la colonne Politique à la page Temps réel :• onglet Connexion : -2• onglet Accès : -3• onglet Aperçu : -5• onglet Contenu : -4

name Valeur du champ Nom commun pour l'utilisateur identifié.

Pour les utilisateurs inconnus, ce champ retourne un tiret.

proxy_id Squid_id du proxy ayant effectué le filtrage. Cet identifiant n'est récupéré que dans undomaine Olfeo et lorsque l'Olfeo est couplé avec un Squid externe via squid_wrapper.Dans tous les autres cas, le champ retourne un tiret.



Attribut Description

proxy_username Identifiant reçu par le proxy interne à l'Olfeo ou par le moteur de filtrage. Le champest rempli dans les cas suivants :• lorsqu'une authentification auprès du proxy HTTP interne à l'Olfeo a été faite.• lorsque le moteur de filtrage reçoit un identifiant fourni par un équipement tiers

ayant réalisé l'authentification.

Lorsqu'aucun identifiant n'a été reçu, ce champ retourne un tiret.

quota_id Identifiant interne Olfeo du quota s'appliquant à la requête. Concerne les pagesd'ouverture de quota, toute page consultée dans le cadre d'un quota ouvert, et les pagesde blocage "quota expiré" (mais non les pages où un quota expiré a été outrepassé).

Retourne 0 si aucun quota ne s'applique.

size Taille de la réponse HTTP. Ce champ n’est renseigné que dans les intégrations proxy(explicite ou en interception). Les statistiques en volume et les quotas en volume sontbasés sur ce champ.

Pour les flux chiffrés, sans déchiffrement SSL, le volume est la taille de la réponsechiffrée reçue par le proxy.

theme_id Identifiant du thème Olfeo de la catégorie correspondant au FQDN vers lequel pointela requête. Cet identifiant dépend de la base d'URLs installée.

timestamp_at_tz Date au Fuseau horaire par défaut des utilisateurs. Celui-ci est défini lors del'installation (à l'écran Paramètres régionaux de l'Assistant de configuration) etégalement utilisé à la page du trafic temps réel. Le format de la date est 2016-06-2113:09:41.

timestamp Date UTC, au format 2016-06-21 11:09:41.

upload_as_unknown Booléen indiquant si l'URL appartient à la catégorie Catégorie inconnue. Suivant votreparamétrage, l'URL et le domaine pourront avoir été remontés à Olfeo comme étantinconnus de la base.

• URL inconnue : f• URL connue : t

url URL vers laquelle pointe la requête.

user_agent User agent à partir duquel la requête a été émise.

Exemple : Mozilla/5.0 (X11; Linux x86_64; rv:45.0) Gecko/20100101 Firefox/45.0.

user_id Identifiant interne à l'Olfeo de l’utilisateur ayant émis la requête.

Pour les utilisateurs inconnus, ce champ retourne 0.

user_ip Adresse IP source de la requête.

user_mac Adresse MAC source contenue dans la requête. Les adresses MAC sont récupéréesdans les intégrations réseau (cas d'intégration typiquement utilisé pour faire du filtrageapplicatif).



Extraire des données d'historique au format NCSA

Le sous-menu Statistiques > Extraction de hits permet d'extraire de façon ponctuelle des historiques de surf sous formede fichier NCSA. Les logs NCSA sont des fichiers textes (à la différence des logs RAW qui sont des fichiers binaires). Les logsNCSA respectent le format créé par la National Center for Supercomputing Applications (NCSA) lors du développement deleur serveur Web NCSA HTTPd. Olfeo supporte ce format universel qui permet d'avoir des logs lisibles en format texte etpouvant être analysés par un produit tiers. Toutes les requêtes reçues par l'Olfeo sont disponibles pour l'extraction, ainsi queleurs propriétés (par exemple, les logs indiquent si la requête a été bloquée ou non).

RemarqueL'extracteur permet d'obtenir des données concernant tous les utilisateurs. Il est recommandé de ne pas donner accèsà cette page aux administrateurs ne gérant qu'un groupe ou une UO.

Dans un domaine Olfeo, les historiques des requêtes reçues par toutes les machines du domaine sont stockées sur la machinemaître (et sur celle-ci uniquement).

1. Rendez-vous à la page Statistiques > Extraction des hits.

2. Définissez la période de temps pour laquelle extraire les données. Dans la section Paramètres d'extraction, utilisez leschamps Date de début et Date de fin :• Pour définir une date spécifique, utilisez le format suivant : aaaa-mm-jj hh:mm:ss (par exemple, 2011-05-16 15:06:20). Une

date entrée au format aaaa-mm-jj sera interprétée comme signifiant aaaa-mm-jj 00:00:00.• Vous pouvez également utiliser les valeurs spéciales de temps PostgreSQL : today, yesterday, now, -infinity (date la plus

ancienne trouvée dans les données), infinity (date la plus récente trouvée dans les données).

3. Définissez les caractéristiques du fichier NCSA à générer :• Nom du fichier généré : saisissez le nom du fichier qui sera prérempli lors du téléchargement.• Format : sélectionnez NCSA.

4. Dans la section Paramètres du fichier NCSA, cochez les cases des données à exclure du fichier généré (adresses IP et/ou nom des utilisateurs).

5. Cliquez sur Télécharger, une boîte de dialogue s'affiche pour vous permettre d'enregistrer le fichier ou de l'ouvrir.


SUPERVISER VOTRE OLFEO

Dans ce chapitre :

• Journal d'évènements• Envoyer les notifications vers un serveur syslog• Voir l'état de la machine• Superviser Olfeo via un outil SNMP• Tâches planifiées• Arrêter ou démarrer un service• Voir le trafic réseau en temps réel

Superviser votre Olfeo


Journal d'évènements

Le sous-menu Paramétrage > Supervision > Journal vous permet de visualiser les notifications (informations ou erreurs)remontées par les différents services d'Olfeo. Voir l'article de base de connaissances Explications sur les messages d'alerte lesplus fréquemment reportés par la supervision (seul le dernier point ne s'applique pas à la version 6 d'Olfeo).

La page ne se met pas à jour automatiquement : utilisez le bouton Rafraîchir en haut de la page.

Par défaut, le tableau n'affiche que les messages les plus récents. Pour afficher tous les messages depuis l'installation de l'Olfeo,cliquer sur le lien Montrer tout en bas à gauche du tableau.

Envoi de notifications

Vous pouvez activer l'envoi par e-mail des erreurs, à l'administrateur général de l'Olfeo où à toute autre adresse e-mail : ceux-ci recevront un e-mail pour toute notification de type erreur. (Un serveur SMTP doit être configuré.)• Pour que l'administrateur général de l'Olfeo reçoive les notifications, cochez Envoyer les alertes e-mail à {administrateur

général}.• Pour envoyer les notifications à d'autres adresses e-mail, saisissez celles-ci (séparées par des virgules) dans le champ Listes

de diffusion supplémentaires.

Vous pouvez également envoyer les notifications vers un serveur syslog externe.

Envoyer les notifications vers un serveur syslog

Vous pouvez choisir d'envoyer vers un serveur syslog les informations suivantes :• les évènements du journal. Ceux-ci sont cependant toujours affichés à la page Paramétrage > Supervision > Journal.• optionnel : chaque évènement de trafic utilisateur (requêtes URL, échanges protocolaires, analyse de contenu, menaces)

individuellement, en temps réel. Pour chaque évènement, l'Olfeo génère une ligne selon la syntaxe spécifiée et l'envoie auserveur syslog. Envoyer les logs de trafic sur un serveur distant permet d'alimenter une solution d'analyse performantetelle qu'une stack ELK ou un autre SIEM. Cela est pertinent si vous avez de gros volumes de données ou un besoin dereporting nécessitant de grosses capacités de calcul.

Le serveur syslog doit obligatoirement être en écoute sur le port standard 514, en UDP.

Paramétrage

1. Rendez-vous à la page Paramétrage > Supervision > Syslog.





2. Dans la section Syslog, saisissez un nom et une description.

3. Dans la section Paramétrage, saisissez l'adresse IP ou le nom du serveur syslog dans le champ Serveur. Attention, leserveur sera contacté sur le port standard 514, en UDP.

4. Si vous souhaitez également envoyer les évènements de trafic utilisateur, cochez Envoyer les logs de trafic.

5. Cliquez sur Créer. Le serveur apparaît dans l'onglet Syslog.

Voir l'état de la machine

Le sous-menu Paramétrage > Supervision > État vous permet de visualiser l'état du système sur lequel tourne l'Olfeo :• Pour une installation logicielle, à la fois l'OS et le chroot• Pour une Olfeo box, la box toute entière.

Ces informations proviennent de l'interrogation SNMP de la machine sur elle-même. Elles peuvent être fournies à un serveurSNMP externe : voir Superviser Olfeo via un outil SNMP à la page 170.



Superviser Olfeo via un outil SNMPVous pouvez fournir à un serveur SNMP les informations affichées à la page Paramétrage > Supervision > État.

Même si un serveur externe est utilisé, ces informations seront toujours affichées dans la page État : le fichier de configurationcontient une règle permettant de faire l'interrogation SNMP locale (loopback) sur la communauté Public.

Paramétrage

1. Rendez-vous à la page Paramétrage > Supervision > SNMP.

2. Saisissez les adresses IP des serveurs autorisés à interroger la solution Olfeo avec SNMP dans le champ IP Autorisées.

3. Saisissez la communauté autorisée à interroger la solution Olfeo. Il est recommandé d'utiliser une communauté avec desdroits uniquement en lecture sur la solution Olfeo.


Tâches planifiées

La page Paramétrage > Supervision > Tâches liste les tâches automatiques de l'Olfeo. La fréquence d'exécution des tâchesest indiquée en syntaxe cron. Les heures sont indiquées en UTC.

Pour forcer l'exécution d'une tâche, dans la section Forcer l'exécution, sélectionnez la tâche désirée, puis cliquez sur Exécuter.Pour les tâches de la section Tâches, la colonne Statut affiche le résultat de la tâche (Réussi ou Échoué).

Tâches

Tâche Description

Mise à jour de la licence Vérifie la validité des licences des différents produits, tous les jours à minuit UTC.

Synchroniser {annuaire} Synchronise l'annuaire indiqué. Cette tâche apparaît si vous avez coché la casePlanification dans la définition de l'annuaire. Elle a lieu tous les jours, à l'heure ouselon l'intervalle de temps que vous avez spécifié.

http://man7.org/linux/man-pages/man5/crontab.5.html



Tâches système

Tâche Description

/opt/olfeo/bin/dbsynchro Met à jour la base d'URLs Olfeo :• mises à jour incrémentales toutes les 15 minutes• une mise à jour quotidienne (contenant toutes les mises à jour depuis les 7 derniers

jours), à l'heure que vous avez spécifiée à la page Paramétrage > Mise à jour >Base de données > Olfeo - URL base.

/usr/bin/freshclam Met à jour la base antivirus toutes les heures.

/opt/olfeo/bin/upload_feedback_files

Envoie aux serveurs Olfeo le fichier de remontées généré par la tâchegen_feedback_file, à 1h du matin UTC.

/opt/olfeo/bin/hits_aggregate Prépare les données pour l'affichage dans le module de statistiques, toutes les 15minutes.

/opt/olfeo/bin/gen_feedback_file

Génère le fichier de remontées qui sera envoyé par la tâche upload_feedback_files.La tâche est exécutée tous les jours à 00h04 UTC.

/opt/olfeo/bin/apt_update_cron

Vérifie si une mise à jour de la solution Olfeo est disponible. La tâche est exécutée tousles jours à minuit UTC.

Si une mise à jour est disponible, celle-ci est affichée dans le champ Version disponibleà la page Paramétrage > Mise à jour > Logiciel. Les mises à jour ne sont pas installéesautomatiquement.

/opt/olfeo/bin/check_license_override

Vérifie le nombre d'utilisateurs filtrés par l'Olfeo (par rapport au nombre d'utilisateursautorisés par la licence). Si le nombre de licences est dépassé, un message est remontéà la supervision. La tâche est exécutée tous les jours à 00h04 UTC.

/opt/olfeo/bin/db-backup.sh Sauvegarde la configuration de l'Olfeo.

Cette tâche apparaît une fois que la sauvegarde a été planifiée, à la page Paramétrage >Sauvegarde > Sauvegardes planifiées. Elle a lieu à la fréquence/à l'heure que vousavez spécifiée.

/opt/olfeo/bin/hits_extract Sauvegarde les historiques de surf des utilisateurs.

Cette tâche apparaît une fois que la sauvegarde a été planifiée, à la page Statistiques >Extraction > Planification. Elle a lieu tous les jours, à l'heure que vous avez spécifiée.

Arrêter ou démarrer un service

La page Paramétrage > Système > Services liste les principaux services de l'Olfeo. Tous les services sont redémarrés tousles soirs à minuit. Vous pouvez redémarrer manuellement un service dont vous soupçonnez un dysfonctionnement.

• Pour arrêter ou démarrer un service, cliquez sur le lien Arrêter ou Démarrer du service dans la colonne Action.• Pour définir si un service doit être démarré automatiquement ou non lors du démarrage de la solution Olfeo, cochez/

décochez Activer au démarrage.



Services

Journalisation desévènements

Enregistre l'historique des flux reçus par l'Olfeo. Lorsque ce service est arrêté, la pageTemps réel devient indisponible.

Filtrage Filtrage web, filtrage applicatif, serveur de pages de blocage, serveurs ICAP/OP/WISP,proxys FTP/TCP/SOCKS...

Antivirus Antivirus (ClamAV).

PostgreSQL Bases de données internes à l'Olfeo.

Proxy RTSP Proxy RTSP.

Supervision SNMP Permet d'afficher la page Paramétrage > Supervision > État, et de fournir ces mêmesinformations à un serveur SNMP externe (si configuré).

Routeur d'évènements Processus interne à l'Olfeo.

Proxy HTTP/HTTPS Proxy HTTP intégré à la solution Olfeo (Squid).

Colonne Action

• Arrêter : Le service est démarré.• Démarrer : Le service est arrêté.• Error : Le service a rencontré une erreur : une info-bulle vous fournira plus d'information concernant l'erreur en question.

Arrêter/redémarrer l'appliance (Olfeo box uniquement)

Cette section vous permet d'arrêter ou de redémarrer une Olfeo box.

Voir le trafic réseau en temps réel

La page Statistiques > Temps réel permet de voir les derniers flux reçus par la solution Olfeo : flux d'URLs, flux applicatifset flux de fichiers. La page indique si ceux-ci ont été bloqués ou non.

Il s'agit d'un outil de débuggage, qui vous permet par exemple de vérifier rapidement si une politique fonctionne.



Par défaut, la page affiche 50 évènements. Elle peut en afficher jusqu'à 2000. Vous pouvez définir le nombre de lignes à affichervia un filtre sur la colonne Date.

Pour filtrer le tableau, cliquez sur les libellés de la ligne située en-dessous des en-têtes de colonnes.

Illustration 14: Colonne Action filtrée sur "Bloqué"



Colonne Description

Date Indique l'heure à laquelle le flux a été reçu par le moteur de filtrage. La requête apparaît dans le temps réelune fois que la réponse a été envoyée à l'utilisateur : pour les fichiers volumineux, la requête peut apparaîtredans le temps réel après des requêtes plus récentes (les différentes requêtes n'apparaîtront pas dans l'ordrechronologique).

Le fuseau horaire utilisé ici est le Fuseau horaire par défaut des utilisateurs défini à l'écran Paramètresrégionaux de l'assistant de configuration.

Type Type de filtrage concerné par le flux.• URL : filtrage d'URL : règles de l'onglet Accès du moteur de règles, politiques de filtrage d'URL.• File : actions d'analyse de contenu et antivirus. Les règles correspondantes sont définies dans les onglets

Aperçu et Contenu du moteur de règles (filtrage lié à l'antivirus, à la taille de fichier, aux types MIME...).• Proto : filtrage applicatif.

Utilisateur Utilisateur à l'origine du flux. La colonne peut contenir :• Le nom commun de l'utilisateur, lorsque la solution a identifié ou authentifié l'utilisateur.• Un libellé Identifiant inconnu : '{identifiant}'. Un identifiant inconnu est un identifiant reçu par la

solution Olfeo (transmis par un équipement tiers) mais qui ne correspond pas à un utilisateur connu dela solution Olfeo. Il s'agit d'un utilisateur inconnu.

• Un tiret, représentant un utilisateur inconnu, lorsque l'utilisateur n'a pas pu être identifié ou authentifié,et que la solution n'a reçu aucun identifiant d'un équipement tiers.

IP L'adresse IP de la machine émettrice du flux.

Catégorie Le contenu de cette colonne dépend du type de flux.• Dans le cas du filtrage d'URL, le nom de la catégorie Olfeo à laquelle appartient l'URL. Si vous avez

changé la catégorie de l'URL, c'est la nouvelle catégorie qui apparaît. Par contre, les alias de catégoriesn'apparaissent pas.

• Dans le cas du filtrage applicatif, le protocole identifié.

https://support.olfeo.com/sites/olfeo/files/support/v600/fr/installation_guide/software/webhelp/index.html#Guide_installation/topics/install_wizard.html

https://support.olfeo.com/sites/olfeo/files/support/v600/fr/installation_guide/software/webhelp/index.html#Guide_installation/topics/install_wizard.html



Colonne Description

Action L'action réalisée sur le flux :• Bloqué : Dans le cas du filtrage d'URL l'utilisateur reçoit une page de blocage.

Les flux marqués Bloqué sont :• des requêtes bloquées par une action Bloquer définie dans une règle du moteur, dans une politique

(avec ou sans possibilité d'outrepassement), ou dans la liste Pour le reste• des requêtes bloquées par l'antivirus (le nom du virus est affiché après "Bloqué")• des requêtes concernées par des quotas : ouverture de quota, quota épuisé avec ou sans possibilité

d'outrepassement• des requêtes ayant provoqué l'envoi d'une page à utilisateur (par l'Olfeo), dites "pages de blocage",

mais ne correspondant pas à une volonté de bloquer une URL : pages de connexion au portail captifou au portail public, page de signature de la charte internet.

• Autorisé : après évaluation des règles du moteur de règles et des politiques, le flux a été autorisé parla solution Olfeo.

• Bloqué ou autorisé, en mode Audit : lorsqu'un flux est concerné par le mode audit, l'action Bloqué ouAutorisé est barrée. Le mode Audit permet de simuler les actions de filtrage tout en autorisant tousles flux.

Illustration 15: Mode audit dans la page temps réel

Politique Cette colonne indique la politique ou la règle qui a entraîné l'autorisation ou le blocage du flux :• Nom d'une politique de filtrage d'URL ou d'une politique de filtrage applicatif. Dans la liste des

utilisateurs, la politique peut avoir été définie sur l'utilisateur, le groupe, l'UO (ou sa passerelle), ou surla Configuration par défaut : voir Politiques utilisateur > Traitement des politiques à la page 77.

• Connexion/Accès/Aperçu/Contenu (ACL) indique l'onglet auquel appartient la règle du moteur derègles ayant entraîné l'autorisation ou le blocage.

Domaine FQDN ou adresse IP de destination de la requête.

Filtrage webs :

• Le port TCP est indiqué pour les ports autres que le port 80.• Une infobulle indique l'URL ou l'URI exacte correspondant à la requête.

Filtrage applicatif : une infobulle indique les ports source et destination.

Sauvegarder votre configuration


SAUVEGARDER VOTRE CONFIGURATION

Les sauvegardes enregistrent la configuration de votre Olfeo, c'est-à-dire tous les objets que vous avez créés : les règlesdu moteur de règles, les politiques, quotas, listes d'URL, la liste des utilisateurs, les définitions d'annuaires, les portailspublics... Par contre, les logs de l'activité des utilisateurs ne sont pas inclus : ils sont sauvegardés via un écran dédié(voir Extraire des données d'historique au format CSV à la page 162 ou Extraire des données d'historique au formatCSV à la page 162).

Vous pouvez effectuer les sauvegardes sur l'Olfeo lui-même, sur un point de montage que vous aurez créé manuellement,ou sur un serveur FTP (FTPS/SFTP ne sont pas supportés).

Le fichier de sauvegarde est un fichier au format tar.bz2. Le nom du fichier contient la date du jour. Dans l'archive, unfichier backup_metadata.txt indique la date et l'heure UTC auxquelles la sauvegarde a été réalisée, ainsi que la versionet le numéro de build de l'Olfeo.

Dans un domaine Olfeo, le sous-menu Sauvegardes n'apparaît que sur la machine maître.

Faire une sauvegarde manuelle

À la page Paramétrage > Sauvegarde > Sauvegarde rapide, cliquez sur Sauvegarder et enregistrez le fichier de sauvegardeà l'emplacement désiré.

Planifier des sauvegardes

1. Rendez-vous à la page Sauvegarde > Sauvegardes planifiées.

2. Cochez la case Planification.

3. Dans le champ Heure (UTC), sélectionnez l'heure UTC à laquelle vous souhaitez que la sauvegarde soit réalisée. Parexemple: 23:00.

4. Définissez la fréquence à laquelle la sauvegarde doit être réalisée.• Quotidienne : une sauvegarde est réalisée chaque jour, y compris le weekend.• Hebdomadaire : dans le champ Périodicité, cochez les jours où réaliser une sauvegarde.• Mensuelle : choisissez le jour où effectuer la sauvegarde en saisissant le numéro du jour dans le champ Jour du

mois (par exemple : 5).

5. Définissez l’emplacement où enregistrer le fichier de sauvegarde.• Sur le Système de fichiers : entrez un chemin relatif à la racine du chroot, ou, pour une box, un chemin relatif à la

racine de la machine. Vous pouvez également spécifier le répertoire de destination d'un point de montage.• Sur un serveur FTP :

• Hôte : le nom de domaine ou l'adresse IP du serveur FTP.• Chemin : entrez un chemin relatif à la racine du serveur FTP. Le répertoire doit exister : s'il n'existe pas, il ne

sera pas créé.

6. Cliquez sur Valider pour enregistrer vos modifications. La tâche db-backup.sh apparaît dans la liste des tâches planifiéesà la page Paramétrage > Supervision > Tâches, section Tâches système.

Dans ce chapitre :

• Restaurer une sauvegarde

Sauvegarder votre configuration


Restaurer une sauvegarde

DangerL'opération de restauration est une opération destructrice. Les données restaurées écraseront les données existantes.

À la page Paramétrage > Sauvegarde > Restaurer, sélectionnez le fichier de sauvegarde à restaurer puis cliquez sur Envoyer.Un écran d'attente s'affiche jusqu'à ce que la restauration soit terminée. Une fois la restauration effectuée, la page de connexions'affiche.

L'opération de restauration est enregistrée dans l'historique des évènements système à la page Paramétrage > Supervision >Journal.

Intégrer l'Olfeo à votre architecture


INTÉGRER L'OLFEO À VOTRE ARCHITECTURE

Dans ce chapitre :

• Critères de choix• Positionner l'Olfeo dans l'infrastructure• Types d'intégration et fonctionnalités compatibles• Intégration proxy• Intégration couplage/connecteur• Intégrations réseau• Liste des connecteurs• Diriger le trafic vers l'Olfeo• Résolution DNS



Critères de choix

Pour choisir votre mode d'intégration, les 2 critères essentiels sont :• les fonctionnalités que vous souhaitez implémenter. En effet, certaines fonctionnalités ne sont pas compatibles avec tous

les modes d'intégration : voir Types d'intégration et fonctionnalités compatibles à la page 182.• le mode d'authentification ou d'identification souhaité : voir Authentification et type d'intégration à la page 42.

Les arbres de décision suivants pourront vous aider, en fonction de la problématique la plus importante pour vous(fonctionnalités liées au proxy, équipements présents dans l'infrastructure, suivi de l'identité des utilisateurs).

Avez-vous besoin d'un proxy ?

OUI

NON

OUI

NON

- Intégration connecteur- Miroir de port- Chaînage de proxys

Avez-vous un équipementintégrable avec l'Olfeo ?(ICAP, WISP, OPSEC)

Intégrations proxy

OUI

NON Proxy en interception

Proxy explicite

Avez-vous déjà un proxy ?

OUI

NON

Intégration connecteur

Intégrations réseauVoulez-vous fairede l'analyse de

contenu/de l'antivirus ?

OUI

NON Miroir de port

Coupure

Pouvez-vous/voulez-vous déployer

les paramètressur le navigateur ?

Illustration 16: Choix en fonction du besoin de proxy



Avez-vous un équipementintégrable avec l'Olfeo ?(ICAP, WISP, OPSEC)

OUI

NON

OUI

NON

- Intégration connecteur- Miroir de port- Chaînage de proxys

Intégrations proxy

Intégration connecteur

Est-ce un proxy?

Voulez-vous fairede l'analyse de

contenu/de l'antivirus ?

OUI

NON Miroir de port

Coupure

Intégrations réseau

OUI

NON Proxy en interception

Proxy explicite

Pouvez-vous/voulez-vous déployer

les paramètressur le navigateur ?

Illustration 17: Choix en fonction des équipements présents dans l'infrastructure

L'Olfeo doit-il réaliserune authentification/identification ?

OUI

NON

Une authentification forte ?

Tous types d'intégration

Souhaitez-vousidentifier les utilisateurs ?

OUI

NONPortail captif :- Intégrations proxy- Intégrations réseau

Récupération des informations de l'équipement tiers :- Intégration connecteur- Intégrations réseau- Proxy explicite, si chaînage avec un proxy

Portail captif :- Proxy en interception, quand redirection du flux par un équipement tiers

Un autre équipement(proxy ou firewall)

réalise-t-il uneauthentification/identification ?

OUI

NON- Proxy en interception : portail captif, LDAP basique- Intégrations réseau : portail captif

Proxy explicite : NTLM, Kerberos

OUI

NON

Illustration 18: Choix en fonction de vos besoins de suivi de l'identité des utilisateurs

Olfeo box ou installation logicielle ?

Avec une Olfeo box, vous bénéficiez de la garantie d'un environnement contrôlé produit par nos équipes de R&D : un problèmelié à l'OS ou au noyau sera pris en charge par notre support technique ou le partenaire intégrateur (selon votre contrat desupport).

Tous les modes d'intégration sont compatibles avec les Olfeo box et les installations logicielles. Il existe cependant deslimitations concernant l'intégration en coupure : seules les Olfeo box sont supportées par Olfeo.



Il est techniquement possible de réaliser une intégration en coupure avec une version logicielle d'Olfeo. Cependant, pour cetype d'installation, le support Olfeo est limité. Celui-ci peut intervenir sur le chroot, mais pas sur la machine hôte. Les élémentssuivants ne sont donc pas pris en charge par le support Olfeo : configuration réseau, gestion du bridge réalisant la coupure,gestion des règles de redirection de trafic, éléments matériels (notamment carte bypass et sa configuration). La responsabilitéde ces éléments appartient à l'intégrateur ou au client.

Virtualisation ou non ?

N'importe quel système de para-virtualisation (hyperviseur) permettant d’installer un environnement Linux pourra faire tournerun Olfeo. Exemples : Xen, QEMU, KVM.

Les systèmes de virtualisation par cloisonnement (OpenVZ, LXC...) peuvent être utilisés à des fins de test pour des intégrationsproxy ou couplage/connecteur, mais sont à proscrire pour tester les intégrations réseau, et en production quel que soit le typed'intégration.

Il peut être intéressant de virtualiser dans les cas suivants :• Faible charge à assumer (les performances des machines virtuelles sont inférieures à celles des machines physiques).• Déploiements "jetables", réalisés à des fins de test.• Lorsque la virtualisation fait partie de la politique d'urbanisation du SI.

Il est déconseillé de virtualiser si votre réseau est soumis à de fortes charges, ou si les besoins d'entrées/sorties sont importants(cas typique d'un proxy).

Positionner l'Olfeo dans l'infrastructure

La position optimale de l'Olfeo dans l'infrastructure varie selon les fonctionnalités utilisées.

• Un proxy qui filtre des URLs doit être positionné près de l'utilisateur. C'est également le cas pour les proxys explicitesréalisant de l'authentification forte.

• Un proxy qui effectue de l'analyse de contenu doit être positionné près de la passerelle, afin d'arrêter les virus le plus tôtpossible dans la chaîne de réception.

• Intégration connecteur : les fonctionnalités (filtrage d'URLs, antivirus, analyse de contenu) sont des services rendus àl'équipement tiers. Une bonne pratique consiste à séparer ces services du chemin de données accessible à l'utilisateur.Placez l'Olfeo dans un segment réseau différent de ceux de l'équipement tiers et de l'utilisateur. Attention aux risques deconfidentialité si l'équipement tiers fait du déchiffrement SSL et interroge l'Olfeo en ICAP (en effet, les flux transitentnon chiffrés).

• Intégrations réseau : pour faire du filtrage applicatif, si vous souhaitez que tous les flux soient capturés, positionnez l'Olfeoau plus proche de la passerelle.



Types d'intégration et fonctionnalités compatibles

Proxy explicite Proxyinterception

Couplage/connecteur

Coupure Miroir de port

Filtrage web Oui Oui Oui Oui Oui

Filtrage applicatif Oui (uniquementsur les flux émispar le proxy)

Oui (uniquementsur les flux émispar le proxy)

Non Oui Oui

Cache/QoS Oui Oui Non Si combinéau proxy eninterception

Non

Antivirus Oui Oui ConnecteursICAPuniquement

Si combinéau proxy eninterception

Non

Portail public Oui Oui Oui Oui Oui

DéchiffrementSSL

Oui Oui Non Si combinéau proxy eninterception

Non

Analyse decontenu

Oui Oui ConnecteursICAPuniquement

Si combinéau proxy eninterception

Non

Statistiques envolume et quotasen volume

Oui Oui Non Si combinéau proxy eninterception

Non

Voir aussi...Authentification et type d'intégration à la page 42

Intégration proxy

Il existe 2 types d'intégration proxy :• l'intégration proxy explicite• l'intégration proxy en interception (appelée proxy "transparent" dans la version 5 d'Olfeo).

Un même proxy peut être explicite sur un port, et en interception sur un autre. Cela permet, au sein d'un même Olfeo, de traiterdifféremment plusieurs populations. Exemple d'une Olfeo box : dans un hôpital, une interface dirige le trafic du personnelvers un proxy explicite (leurs postes sont maîtrisés), et sur un bridge, le proxy en interception reçoit le trafic provenant despatients qui se connectent à un réseau wifi (les postes clients ne sont pas maîtrisés).

Intégration proxy explicite

Un proxy est dit explicite quand les navigateurs clients sont configurés pour envoyer les requêtes vers le proxy afin qu'il lesenvoie vers le serveur distant.



Contraintes, limitations, avantages

• Une intégration proxy explicite peut être réalisée avec une version logicielle d'Olfeo ou une Olfeo box.• Toutes les méthodes d'authentification et d'identification sont compatibles avec une intégration proxy explicite : voir

Authentification et type d'intégration à la page 42. C'est la seule méthode qui permette d'utiliser les authentifications fortes(NTLM, Kerberos), ainsi que l’authentification LDAP basique.

• Vous devez configurer les postes clients pour qu'ils dirigent leur trafic vers l'Olfeo.

Fonctionnalités compatibles

L'intégration proxy explicite est compatible avec toutes les fonctionnalités.

Fonctionnement

1. Le client demande une page au proxy.

2. Le proxy demande la page au serveur distant.

3. Le serveur distant envoie la page au proxy.

4. Le proxy envoie la page au client.

Réaliser une intégration proxy explicite

Dans l'Olfeo, il n'y a aucun paramétrage à faire. Le paramétrage concerne les postes clients : il faut fournir aux navigateursl'adresse IP et le port d'écoute du proxy sur lequel vous voulez recevoir les requêtes de ce client.• Les ports sur lesquels l'Olfeo attend des connexions sont définis à la page Proxy avancé > HTTP > Configuration,

section Ports en écoute.• Assurez-vous que la case Interception n'est pas cochée pour le ou les ports désirés.

Déclarer le proxy sur des postes clients

RemarqueCette section concerne uniquement les intégrations proxy explicite.

Pour déclarer le proxy sur les postes clients, vous pouvez :

• Configurer les navigateurs manuellement• Déployer la configuration par GPO, avec un fichier proxy.pac. Vous pouvez enregistrer le fichier proxy.pac dans l'Olfeo

afin de le rendre accessible aux postes clients.• Déployer la configuration via le réseau : le proxy n'est pas renseigné au niveau du navigateur, c'est l'infrastructure réseau

qui fournit l'information, via un fichier wpad.dat. Le déploiement peut être fait :



• par DHCP (option 252)• par DNS, en utilisant l'alias autodiscover.

Empêcher la désactivation du proxy

Si vous déclarez le proxy manuellement ou par GPO, vos utilisateurs auront par défaut la possibilité de désactiver le proxymanuellement : il peut être judicieux d'empêcher une telle modification.

• Internet Explorer : Dans l'éditeur de stratégies de groupe (gmpc.msc) de votre domaine Windows, désactivez la modificationdes paramètres de connexion d'Internet Explorer.

• Firefox : voir l'article de base de connaissances Renseigner le proxy dans Firefox via GPO.• Chrome : voir https://support.google.com/chrome/a/answer/187202.

Voir aussi...Article de base de connaissances : Déploiement automatique de configuration de proxy

Rendre accessibles des fichiers proxy.pac

RemarqueCette section concerne uniquement les intégrations proxy explicite.

Les fichiers .pac permettent :• de déclarer des proxys explicites auprès de navigateurs• de séparer les flux par schème : d'envoyer certains types de flux vers un proxy spécifique, par exemple les flux HTTP vers

un proxy et les flux HTTPS vers un proxy faisant du déchiffrement SSL. Vous pouvez également utiliser un proxy SOCKSpour des applicatifs métier dont les flux sont encapsulés dans du HTTP.

• de faire du load balancing entre différents proxys• de gérer la disponibilité entre différents proxys : si le premier proxy ne répond pas, le client passera au suivant• de gérer des exceptions.

Pour plus d'informations sur les fichiers .pac, voir http://findproxyforurl.com (en anglais). Voir aussi l'article de base deconnaissances Tester le fonctionnement d'un proxy.pac.

Enregistrer un proxy.pac dans l'Olfeo

Vous pouvez enregistrer des fichiers .pac dans l'Olfeo afin de les rendre accessibles à vos utilisateurs.

1. Rendez-vous à la page Paramétrage > Architecture > Proxy.pac.

2. Cliquez sur le lien Ajouter un proxy.pac. La page Proxy.pac s'affiche.

3. Entrez un nom et une description.

4. Dans le champ Contenu, saisissez votre code JavaScript.

5. Cliquez sur Créer. Le proxy.pac apparaît dans la liste des proxy.pac. L'adresse à laquelle celui-ci est disponible apparaîtdans la colonne URL : utilisez cette URL pour configurer l'accès au proxy.pac dans les navigateurs ou applications despostes clients.


https://support.google.com/chrome/a/answer/187202


http://findproxyforurl.com




Intégration proxy en interception

Un proxy est dit en interception quand les navigateurs clients ne sont pas configurés pour envoyer les requêtes vers le proxy :les flux sont interceptés et redirigés vers le proxy.

Le proxy en interception correspond au proxy "transparent" dans la version 5 d'Olfeo.


• Une intégration proxy en interception peut être réalisée avec une version logicielle d'Olfeo ou une Olfeo box.• Seules les méthodes d'identification gérées par le moteur de filtrage sont compatibles avec une intégration proxy en

interception : voir Authentification et type d'intégration à la page 42.• Aucun paramétrage n'est nécessaire au niveau des postes clients.

Proxy en interception et déchiffrement SSL

• Avec le déchiffrement SSL, les flux HTTP et HTTPS doivent arriver sur 2 ports différents. En effet, un port effectuantdu déchiffrement SSL ne traitera pas correctement les requêtes HTTP.

• Avec un proxy en interception, sans déchiffrement SSL, le filtrage d'URL n'est possible que si la résolution DNS inverseest activée. En effet, par défaut l'Olfeo ne voit que les adresses IP de destination des requêtes et non les noms de domaine(car il ne voit que l'établissement de la session TLS et non le contenu de la session elle-même). Cela est visible dans lesstatistiques et à la page du trafic temps réel, dans la colonne Domaine.


L'intégration proxy en interception est compatible avec toutes les fonctionnalités.

Fonctionnement

Dans le cas du proxy en interception, le client envoie la requête vers le serveur distant et non vers le proxy, cependant celle-ci est interceptée et redirigée vers le proxy. Une fois la requête redirigée, le serveur distant voit que la requête provient d'unproxy, et lorsque le client reçoit la réponse, il voit également qu'elle provient d'un proxy :

1. Le client émet une requête en direction du serveur distant.

2. La requête est interceptée et redirigée vers le proxy par un équipement tiers (firewall ou routeur). Si l'Olfeo est une boxen coupure, celle-ci fait l'interception et la redirection elle-même (la box est alors à la fois en intégration coupure et proxyen interception).

3. Le proxy établit une connexion avec le serveur distant en incluant des en-têtes spécifiques au proxy. Le serveur distant voitdonc que la requête vient d'un proxy.

4. Le serveur envoie la réponse au proxy.

5. Le proxy transmet la réponse au client en incluant des en-têtes spécifiques au proxy : le client voit que la réponse est passéepar un proxy.



Ce n'est pas un proxy explicite car le client n'envoie pas la requête explicitement au proxy avec pour mission de la transmettreau serveur distant. Ce n'est pas un proxy transparent non plus puisque le serveur distant et le client voient que la requête estpassée par un proxy.

Réaliser une intégration proxy en interception

1. Dans l'Olfeo, mettez le proxy en interception sur le ou les ports désirés :

a. Rendez-vous à la page de configuration du proxy (Proxy avancé > HTTP > Configuration).

b. Dans la section Ports en écoute, pour le ou les ports désirés, cochez la case Interception. Attention, si vous faites dudéchiffrement SSL, les flux HTTP et les flux HTTPS doivent arriver sur 2 ports différents. En effet, un port effectuantdu déchiffrement SSL ne traitera pas correctement les requêtes HTTP.

2. Mettez en place la redirection des flux vers l'Olfeo :• Pour une version logicielle d'Olfeo, la redirection doit être configurée sur le firewall ou le routeur situé avant l'Olfeo :

référez-vous à la documentation de votre équipement. Attention à définir les redirections pour les flux HTTP et pourles flux HTTPS.

Vous devez également configurer les redirections sur le firewall ou le routeur si vous souhaitez faire de l'interceptionsur une interface d'une Olfeo box (qui n'est donc pas un bridge en coupure).

• Sur une Olfeo box, pour combiner intégration en coupure et proxy en interception : à la page Paramétrage > Réseau >Bridges, renseignez les champs suivants, pour les flux HTTP et HTTPS :• Ports redirigés : les flux en direction de ces ports seront redirigés vers le Port de redirection. Vous pouvez entrer

plusieurs valeurs séparées par des virgules. Les flux à destination de tout port non spécifié ici ne seront pas redirigésvers le proxy : ils seront envoyés directement au moteur de filtrage.

• Port de redirection : le port du proxy vers lequel effectuer la redirection. La liste propose tous les ports du proxypour lesquels la case Interception est cochée (pour la redirection HTTPS, tous les ports pour lesquels les casesInterception et Option SSL sont cochées).

Intégration couplage/connecteur

Vous pouvez créer des connecteurs permettant de communiquer avec des équipements (firewalls, routeurs, UTMs, proxys...)utilisant les protocoles suivants : ICAP, WISP, OPSEC.

Vous pouvez également vous interfacer avec un proxy Squid, en utilisant le protocole Olfeo OP, ou en ICAP : voir Couplageavec un proxy Squid externe à la page 194.

Dans une intégration couplage/connecteur, les flux vont directement au moteur de filtrage et ne passent pas par le proxyinterne à la solution Olfeo.




• Une intégration couplage/connecteur peut être réalisée avec une version logicielle d'Olfeo ou une Olfeo box.• Ce mode d'intégration présente une faible charge réseau (sauf pour les connecteurs ICAP).• Seules les méthodes d'identification gérées par le moteur de filtrage sont compatibles avec une intégration couplage/

connecteur : voir Authentification et type d'intégration à la page 42.• Aucun paramétrage n'est nécessaire sur les postes clients.


• Compatibles :• Pour tous les types de connecteurs : filtrage d'URL, portail public.• Pour les connecteurs ICAP uniquement : antivirus, analyse de contenu (seuls les connecteurs ICAP peuvent transmettre

les contenus réels à l'Olfeo).

• Non compatibles :• Le filtrage applicatif (seul le protocole correspondant au connecteur peut être reconnu).• Les fonctions cache, QoS, déchiffrement SSL, statistiques en volume de données et quotas en volume, car le flux ne

passe pas par le proxy interne à la solution Olfeo.• Pour les connecteurs autres qu'ICAP : l'antivirus, l'analyse de contenu (ces connecteurs ne transmettent pas les flux

réels à l'Olfeo).

Fonctionnement

1. L'utilisateur tente d'accéder à une page web.

2. Le flux arrive à l'équipement tiers, qui interroge l'Olfeo. Les informations transmises varient suivant le protocole utilisé(celui-ci dépend de l'équipement tiers).

3. Le moteur de filtrage évalue la requête (politiques, règles du moteur) et décide si elle doit être bloquée ou non.• Si le flux est autorisé, l'Olfeo renvoie la requête à l'équipement tiers, qui l'envoie vers l'extérieur.

Illustration 19: Couplage avec un équipement tiers utilisant le protocole WISP, OPSEC ou Olfeo



Illustration 20: Couplage avec un équipement tiers utilisant le protocole ICAP

• Si le flux n'est pas autorisé, l'Olfeo envoie une redirection vers une page de blocage à l'équipement tiers, qui l'envoieà l'utilisateur.

Réaliser une intégration couplage/connecteur

1. Dans l'interface d'administration, créez un connecteur de couplage.

2. Paramétrez l'équipement tiers pour diriger les flux vers l'adresse IP de l'Olfeo et vers le port que vous avez défini lors dela création du connecteur de couplage : référez-vous à la documentation de votre équipement. Pour une intégration avecun Squid externe, voir Couplage avec un proxy Squid externe à la page 194.

Créer un connecteur de couplage

Le type de connecteur à créer dépend du protocole utilisé par votre équipement tiers.

Créer un connecteur de couplage

1. Rendez-vous à la page Paramétrage > Architecture > Intégration.

2. Cliquez sur Ajouter un mode d'intégration. L'écran Ajouter un mode d'intégration s'ouvre.

3. Dans le menu Mode d'intégration, sélectionnez Je m'intègre à un de mes équipements.

4. Saisissez un nom décrivant le connecteur dans le champ Libellé.



5. Cliquez sur le bouton Suivant. La page Paramétrage s'ouvre.

6. Dans le champ Type de connexion, indiquez le type d'équipement avec lequel vous souhaitez coupler l'Olfeo. L'écranParamètres du connecteur s'ouvre.• Selon le type de connecteur, choisissez le mode de transport TCP ou UDP dans le menu Mode.• Saisissez le numéro de port vers lequel l'équipement tiers devra diriger les flux.

7. Cliquez sur le bouton Terminer pour enregistrer les changements. Le connecteur apparaît dans la liste des connecteurs.

8. Selon le type de connecteur créé, effectuez des paramétrages supplémentaires :• Si besoin, pour les connecteurs ICAP, cliquez sur le connecteur pour paramétrer les options ICAP de celui-ci.• Pour un connecteur Olfeo vers un proxy Squid, paramétrez celui-ci pour utiliser squid_wrapper.

Options des connecteurs ICAP

Cette page concerne le paramétrage des connecteurs ICAP : chaque connecteur est une instance du serveur ICAP inclus dansle moteur de filtrage. Un connecteur est défini sur un port précis du moteur de filtrage.

Un même connecteur peut recevoir des flux en provenance de plusieurs équipements. Un seul connecteur par équipement estsuffisant : créer 2 connecteurs aux paramétrages identiques ne permet pas de traiter deux fois plus de données.

Les paramètres définis ici seront communiqués au client ICAP lors de la requête OPTIONS.



Options ICAP

Option Mode Description

Taille limite de Preview REQMODetRESPMOD

Utilisé si la case Prévisualiser en RESPMOD et/ou Prévisualiser enREQMOD est cochée.

Taille qui sera annoncée par le moteur de filtrage (le serveur ICAP) comme étantla taille maximale de l'aperçu qu’il souhaite recevoir. Cette valeur correspond aunombre de caractères du body de la réponse HTTP (les en-têtes sont toujourstransmis).

La valeur par défaut, 63 Ko, est la taille maximale de l'aperçu que peut envoyerle client ICAP du proxy HTTP interne à la solution Olfeo. Cette taille peuten revanche être plus grande avec d’autres clients ICAP : fixez cette valeur enfonction de votre équipement.

Bufferisation de laréponse

RESPMOD Chaque requête ICAP reçue par le serveur ICAP est mise en attente par celui-ci (en mémoire ou sur le disque) : définissez la quantité de données à bufferiser.• La taille définie dans ce champ doit être inférieure ou égale à celle définie

dans le paramètre Taille maximum : pour les contenus annonçant unetaille, il est inutile de bufferiser au-delà de la Taille maximum, car le contenune sera de toute façon pas analysé.

• Il est recommandé de définir la même valeur que dans le champ Taillemaximum.

Cas des réponses sans taille annoncée

Le paramètre permet également de définir la taille jusqu'à laquelle analyser lescontenus lorsqu'une réponse HTTP ne contient pas de taille annoncée, c'est-à-dire pas d'en-tête HTTP Content-Length. Le fichier peut par exemple ne pasannoncer de taille à cause d'un problème de configuration du serveur distant,ou avoir une taille infinie (streaming). (Si la réponse annonce sa taille, c'est leparamètre Taille maximum qui est pris en compte.)

Le moteur de filtrage met en attente (en mémoire ou sur le disque) le contenude la réponse HTTP jusqu’à cette taille.

• Si cette valeur n’est pas atteinte, le moteur de filtrage connaît alors la taille dela réponse HTTP : il applique le traitement qu'il aurait appliqué si la réponseavait eu une taille annoncée (règles du moteur).

• Si le fichier dépasse cette taille :• Si aucune règle fixant une limite de contenu n'est définie dans l'onglet

Aperçu, le moteur de filtrage n’exécute pas les règles de l’ongletContenu et transmet le fichier à l'utilisateur. Aucune analyse antivirusn'est donc faite.

• Si une règle fixant une limite de contenu est définie dans l'onglet Aperçuet que la taille de la réponse est supérieure à cette limite, le contenu estbloqué.

Voir aussi Gestion de la taille des fichiers reçus à la page 97.




Taille maximum RESPMOD Utilisé uniquement lorsque les réponses HTTP indiquent leur taille (dans l'en-tête HTTP Content-Length). (Si la taille n'est pas indiquée, c'est le paramètreBufferisation de la réponse qui est utilisé.)• Si le fichier est plus petit que cette valeur, les règles des onglets Aperçu et

Contenu sont évaluées normalement.• Si le fichier dépasse cette taille :

• Si aucune règle fixant une limite de contenu n'est définie dans l'ongletAperçu, le moteur de filtrage n’exécute pas les règles de l’ongletContenu et transmet le fichier à l'utilisateur. Aucune analyse antivirusn'est donc faite.

• Si une règle fixant une limite de contenu est définie dans l'onglet Aperçuet que la taille de la réponse est supérieure à cette limite, le contenu estbloqué.

Valeur par défaut : 10 Mo

Voir aussi Gestion de la taille des fichiers reçus à la page 97.

Prévisualiser enRESPMOD

RESPMOD Indique si le serveur doit déclarer au client qu'il accepte les prévisualisations enmode “modification de réponse” dans la requête OPTIONS. Cette option doitêtre activée pour que les règles de l’onglet Aperçu soient appliquées.

Certains clients déclarent savoir gérer la prévisualisation alors qu'ils ne la gèrentpas : dans ce cas, décochez la case. Le client devra envoyer le contenu entier.Les règles de l'onglet Aperçu seront ignorées.

Prévisualiser enREQMOD

REQMOD Indique si le serveur doit déclarer au client qu'il accepte les prévisualisations enmode “modification de requête” dans la requête OPTIONS. La prévisualisationen REQMOD concerne l'upload de fichiers et les informations envoyées avecla méthode POST.

Si la prévisualisation est désactivée (si la case est décochée), le fichier uploadédoit transiter par le moteur de filtrage, ce qui peut prendre du temps. Cependant,le moteur de filtrage n'a pas besoin du contenu du fichier uploadé pour prendreune décision de blocage ou non (l'Olfeo n'effectue pas de filtrage sur les fichiersuploadés).

Cochez la case pour que seule une partie du fichier soit transmise au moteurde filtrage, afin d'éviter un transfert de données inutile. La taille du preview estcelle indiquée dans le champ Taille limite de Preview.

Ne pas tenir compte de laprévisualisation

REQMODetRESPMOD

Paramètre permettant de prendre en charge le comportement de certains clientsICAP.

Certains clients ICAP ne savent pas gérer la prévisualisation correctement : ilsenvoient l'ensemble de la requête en indiquant qu'il ne s'agit que d'un aperçu.Ce paramètre permet de considérer toutes les requêtes ICAP comme complètesmême si le client indique qu'il s'agit d'un aperçu.

Les règles de l'onglet Aperçu sont évaluées.




Accepter d'utiliser le 204 RESPMOD Paramètre permettant de prendre en charge le comportement de certains clientsICAP.• Certains clients ICAP ne savent pas gérer la réponse 204. Décochez la case :

le moteur de filtrage n'enverra pas de réponses 204 même si le client déclaresavoir les gérer. C'est la réponse originale qui sera renvoyée, à l'identique.

• Si votre client ICAP implémente le support de la réponse 204, cochez cettecase afin d'améliorer les performances.

Attention, les échanges sont plus lents si l'on n'utilise pas de réponses 204.

Transfert des donnéespar défaut

RESPMOD Permet de définir le comportement de l'Olfeo pour les gros fichiers qui mettrontdu temps à être transmis à l'utilisateur. La valeur définie ici est une valeur pardéfaut : elle peut être surchargée via une règle de l'onglet Aperçu du moteur derègles (action Transfert des données).

L'action Transfert des données par défaut est effectuée si la taille annoncéeest supérieure à 1024 ko, et inférieure à la taille définie dans le paramètre Taillemaximum.

• Attendre la fin de l'analyse : L'Olfeo attend d'avoir reçu les données et deles avoir analysées avant de transmettre. L'utilisateur voit le téléchargementdémarrer une fois le contenu téléchargé en entier sur l'Olfeo.

• Page de patience : Pendant l'attente des données et de l'analyse, l'Olfeoenvoie une page de patience à l'utilisateur. Cette page informe l'utilisateurque le fichier est en cours de téléchargement.

• Écoulement de données (data trickling) : L'Olfeo transfère de petitesquantités de données vers l'utilisateur au fur et à mesure que les donnéesarrivent, afin d'éviter que le navigateur n'envoie une erreur de type timeout.Les règles de l'onglet Contenu seront cependant appliquées avant quela totalité du fichier ne soit envoyée à l'utilisateur. L'utilisateur voit letéléchargement démarrer immédiatement. Cependant, en cas de blocage,l'utilisateur ne reçoit pas de page de blocage (il reçoit uniquement les partiesde la ressource envoyées par l'Olfeo avant l'action de blocage).

Expiration de la page depatience

RESPMOD Utilisé si le paramètre Transfert des données par défaut a la valeur Page depatience, ou si une règle du moteur définit une action Transfert des donnéesavec la valeur Page de patience.

Cette valeur indique combien de temps le moteur de filtrage doit attendre unmorceau de fichier avant de considérer la connexion caduque et de mettre unterme à la page de patience.

Forcer l'authentificationICAP au format LDAP

REQMODetRESPMOD

Les clients ICAP peuvent fournir les informations d'identité des utilisateursdans différents formats. Par défaut, le serveur ICAP du moteur de filtragen'attend pas ces informations au format LDAP. Si le client ICAP que vousutilisez envoie ces informations au format LDAP (DN LDAP), cochez cettecase pour le signaler au moteur de filtrage.




Utiliser X-Forwarded-For au lieu de X-Client-IP

REQMODetRESPMOD

Pertinent si l'Olfeo est couplé avec un proxy faisant de l'authentification, et quece proxy est également proxy parent.

Si la case est cochée, le moteur de filtrage déterminera l'adresse IP de l'utilisateurà partir de l'en-tête X-Forwarded-For. En effet, si le proxy est proxy parent,l'en-tête X-Client-IP donne l'adresse IP du proxy enfant et non celle del'utilisateur.

Utiliser X-Forwarded-User pour récupérerl'identifiant depuis l'en-tête HTTP

REQMODetRESPMOD

Pertinent si l'Olfeo est couplé avec un proxy lui-même parent d'un proxyréalisant de l'authentification.

Si la case est cochée, le moteur de filtrage récupérera l'identifiant de l'utilisateur àl’origine de la requête depuis l'en-tête X-Forwarded-User de la requête HTTPincluse dans la requête ICAP. L'en-tête contient l'information au format suivant :royaume\identifiant, ou DN LDAP. Pour un AD, royaume = domaine.

Utiliser l'en-tête ICAP X-Authenticated-Groups

REQMODetRESPMOD

Cette option peut être utilisée lorsque l'équipement tiers transmet le libellé dugroupe auquel appartient l'utilisateur, encodé en base 64 dans l'en-tête ICAP X-Authenticated-Groups. L'Olfeo se base alors sur le groupe de l'utilisateur pourappliquer règles et politiques (colonne Source du moteur de règles, politiques).Cela permet d'appliquer des règles ou des politiques au niveau d'un groupelorsqu'on ne dispose pas d'autre moyen d'identification.

Attention, pour que cette option fonctionne, l'option Utiliser X-Forwarded-User pour récupérer l'identifiant depuis l'en-tête HTTP doit être décochée.

Tenter de résoudre la findes en-têtes HTTP mêmes'ils ne sont pas corrects

REQMODetRESPMOD

Certains serveurs HTTP utilisent à mauvais escient des caractèrescorrespondant aux fins de ligne Unix dans leurs en-têtes, ce qui génère uneerreur ICAP dans le navigateur et une entrée dans le journal d'évènements (àla page Paramétrage > Supervision > Journal). Cocher cette case permet desupprimer de telles erreurs mais affecte légèrement les performances.

En cas de blocage,REQMOD envoiedirectement une réponseHTTP

REQMOD Paramètre permettant de prendre en charge le comportement de certains clientsICAP.• Si la case est décochée (cas standard) : le serveur ICAP envoie au client ICAP

une requête GET modifiée pointant vers les pages de blocage. Celui-ci latransmet au navigateur.

• Si la case est cochée (déconseillé) : le serveur ICAP envoie une redirection(302) au client ICAP, qui la transmet au navigateur.

En REQMOD,transmettre la catégorieOlfeo correspondant à larequête

REQMOD Si la case est cochée, le serveur ICAP ajoute un en-tête X-Olfeo-Categoryà la réponse REQMOD. Cet en-tête indique l'ID de la catégorie Olfeocorrespondant au domaine vers lequel pointe la requête. L'ID dépend de laversion de la base d'URLs installée (version France, Belgique...).

Transmettre l'ID de lacatégorie correspondantà la requête

REQMODetRESPMOD

Si la case est cochée, l'Olfeo envoie à l'équipement tiers l'ID de la catégoriecorrespondant au domaine de destination de la requête, dans un en-tête ICAPX-Olfeo-Category-ID. Cet ID dépend de la base d'URLs Olfeo installée.

Transmettre le libelléde la catégoriecorrespondant à larequête

REQMODetRESPMOD

Si la case est cochée, l'Olfeo envoie à l'équipement tiers le libellé de la catégoriecorrespondant au domaine de destination de la requête, dans un en-tête ICAPX-Olfeo-Category.




Transmettre la décisionde filtrage

REQMODetRESPMOD

Si la case est cochée, l'Olfeo envoie à l'équipement tiers la décision prise par lemoteur de filtrage, dans un en-tête ICAP X-Olfeo-Status. Valeurs possibles :Allowed, Denied.

Couplage avec un proxy Squid externe

Olfeo peut se coupler avec un proxy Squid externe de deux façons :• Avec un connecteur Olfeo, pour réaliser du filtrage d'URLs. Dans ce cas, afin de communiquer avec le connecteur, le proxy

Squid externe utilise un binaire développé par Olfeo, squid_wrapper.

L'analyse de contenu et l'antivirus ne sont pas compatibles avec cette intégration, car le protocole OP ne transmet pasles contenus réels.

• En ICAP, avec un connecteur de couplage ICAP, à partir de la version 3 de Squid. Cette intégration représente une chargeréseau plus importante. Cependant, l'analyse de contenu et l'antivirus sont disponibles, car le protocole ICAP transmetles contenus réels.

Attention à ne pas confondre une intégration couplage avec un chaînage de proxy. Contrairement au chaînage de proxy, dansle cas du couplage, les flux ne passent pas par le proxy interne à l'Olfeo.

Coupler l'Olfeo avec un proxy Squid externe via un connecteur Olfeo

1. Créez un connecteur de couplage pour Squid (connecteur Olfeo). Vous pouvez également utiliser le Connecteur Olfeointerne pour filtrage d'URL installé par défaut.

2. Copiez l'exécutable squid_wrapper d'Olfeo dans le répertoire /usr/bin/ de votre proxy Squid. Dans votre solutionOlfeo, vous trouverez ce binaire dans le répertoire suivant :• Pour une installation logicielle : /opt/olfeo/chroot/opt/olfeo/bin/• Pour une Olfeo box : /opt/olfeo/bin/

3. Éditez le fichier de configuration squid.conf de votre Squid (sous Debian, celui-ci est situé par défaut dans /etc/squid3/squid.conf).

a. Saisissez l'appel au binaire Olfeo squid_wrapper, en utilisant la directive Squid url_rewrite_program. Attention,la syntaxe de cette directive varie suivant la version de Squid.

url_rewrite_program /usr/bin/squid_wrapper --host {adresse IP de l'Olfeo} --port {port défini dans le connecteur de couplage}



Exemple :

url_rewrite_program /usr/bin/squid_wrapper --host 10.5.1.178 --port 5556

b. Saisissez le nombre de processus squid_wrapper à exécuter, en utilisant la directive Squid url_rewrite_children.Attention, la syntaxe de cette directive varie suivant la version de Squid. Exemple :

url_rewrite_children 70

La valeur 70 convient pour la majorité des installations de la solution Olfeo.

c. Sauvegardez les modifications réalisées dans le fichier de configuration de Squid.

4. Vérifiez la validité de votre configuration :

squid3 -k check

Si la configuration est valide, la console n'affiche rien.

5. Redémarrez Squid pour appliquer les modifications.

/etc/init.d/squid3 restart

Coupler l'Olfeo avec un proxy Squid externe en ICAP

1. Dans l'Olfeo, créez un connecteur de couplage ICAP et paramétrez les options ICAP de celui-ci.

2. Paramétrez le Squid externe pour communiquer en ICAP avec l'Olfeo (en REQMOD pour le filtrage d'URLs, et/ou enRESPMOD pour l'analyse de contenu et l'antivirus, suivant vos besoins) : éditez le fichier squid.conf (sous Debian,celui-ci est situé par défaut dans /etc/squid3/squid.conf).

La syntaxe des directives Squid varie suivant les versions de Squid. Reportez-vous à la documentation Squid pour plusd'informations.

Exemple de configuration minimale permettant d'activer le REQMOD et le RESPMOD pour un Squid 3.4.8 :

icap_enable on icap_service service_reqmod reqmod_precache icap://10.1.37.18:1344/reqmod bypass=0adaptation_service_set class_reqmod service_reqmodadaptation_access service_reqmod allow all

icap_service service_respmod respmod_precache icap://10.1.37.18:1344/respmod bypass=0adaptation_service_set class_respmod service_respmodadaptation_access service_respmod allow all

Intégrations réseau

Il existe 2 types d'intégration réseau :

• L'intégration en coupure (Olfeo box).• L'intégration en miroir de port.

http://www.squid-cache.org/Doc/config/



Intégration coupure

L'intégration en coupure est typiquement faite avec des Olfeo box. Dans une intégration en coupure, les flux traversent la boxvia un bridge et sont capturés par un connecteur de capture.

Par défaut, le connecteur de capture envoie directement les flux au moteur de filtrage, sans passer par le proxy interne à lasolution Olfeo. Cependant, il est possible de faire passer les flux par le proxy en utilisant une intégration proxy en interception.La box a alors une double intégration.


• Pour une intégration en coupure, seules les Olfeo box sont supportées par Olfeo.

Il est techniquement possible de réaliser une intégration en coupure avec une version logicielle d'Olfeo. Cependant, pource type d'installation, le support Olfeo est limité. Celui-ci peut intervenir sur le chroot, mais pas sur la machine hôte. Leséléments suivants ne sont donc pas pris en charge par le support Olfeo : configuration réseau, gestion du bridge réalisantla coupure, gestion des règles de redirection de trafic, éléments matériels (notamment carte bypass et sa configuration). Laresponsabilité de ces éléments appartient à l'intégrateur ou au client.

• L'intégration coupure peut être couplée avec un proxy en interception :

Avec un proxy en interception, sans déchiffrement SSL, le filtrage d'URL n'est possible que si la résolution DNS inverseest activée. En effet, par défaut l'Olfeo ne voit que les adresses IP de destination des requêtes et non les noms de domaine(car il ne voit que l'établissement de la session TLS et non le contenu de la session elle-même). Cela est visible dans lesstatistiques et à la page du trafic temps réel, dans la colonne Domaine.

• Seules les méthodes d'identification gérées par le moteur de filtrage sont compatibles avec une intégration en coupure :voir Authentification et type d'intégration à la page 42.

• Aucun paramétrage n'est nécessaire sur les postes clients.


• Si le proxy interne à la box est en interception, toutes les fonctionnalités sont compatibles avec l'intégration en coupure.• Sans proxy en interception :

• Compatibles : filtrage d'URL, filtrage applicatif, portail public.• Incompatibles :

• cache/QoS, déchiffrement SSL, statistiques en volume de données et quotas en volume, car les flux ne passentpas par le proxy

• antivirus et analyse de contenu, car l'intégration en coupure permet uniquement d'agir sur les connexions et nonsur les contenus.

Fonctionnement


2. Le flux arrive dans le bridge de la box et est capturé par le connecteur de capture.

3. Le moteur de filtrage évalue la requête (politiques, règles du moteur) et décide si elle doit être bloquée ou non.• Si la requête est autorisée, l'Olfeo la laisse passer vers le serveur distant. La réponse du serveur distant passe également

par le bridge de la box.



• Si la requête n'est pas autorisée, l'Olfeo envoie une redirection vers une page de blocage à l'utilisateur (ou, pour dufiltrage applicatif, une trame avec le flag RST afin de clôturer la session). La requête a cependant été reçue par le serveurdistant, qui répond normalement au client. Cependant, l'Olfeo envoie sa réponse avant que la réponse du serveur distantn'arrive au client. Quand la réponse du serveur distant arrive au client, celui-ci l'ignore car il considère qu'il a déjà reçula réponse à sa requête.

Réaliser une intégration en coupure avec une Olfeo box

1. Dans l'interface d'administration, paramétrez les interfaces/bridges de la box (à la page Paramétrage > Réseau >Bridges).

2. Créez un connecteur de capture, qui capturera les flux passant par le bridge désiré.

Intégration en miroir de port


• Une intégration en miroir de port peut être réalisée avec une version logicielle d'Olfeo ou une Olfeo box.• Cette méthode implique un coût réseau au niveau du switch (charge CPU).• Seules les méthodes d'identification gérées par le moteur de filtrage sont compatibles avec une intégration en miroir de

port : voir Authentification et type d'intégration à la page 42.• Cette méthode nécessite de passer l'interface en mode "promiscuité" : assurez-vous que votre équipement le permet.• Veillez à ce qu'il n'y ait pas de congestion sur la machine hôte (CPU, I/O, mémoire, débit linéaire de l’interface), en particulier

sur un système virtualisé.• Aucun paramétrage n'est nécessaire sur la machine hôte ou au niveau des postes clients.


Compatibles : filtrage d'URL, filtrage applicatif, portail public.

Incompatibles :



• Le déchiffrement SSL, car les flux ne passent pas par le proxy.• L'antivirus et l'analyse de contenu, car l'Olfeo ne dispose que de la copie des flux.• Les fonctions cache/QoS, les statistiques en volume de données et les quotas en volume, car les flux ne passent pas par

le proxy.

Fonctionnement

Une copie du trafic est réalisée au niveau d'un switch et est envoyée vers l'Olfeo. La copie du trafic est capturée par un connecteurde capture. Le blocage se fait par injection de paquets (vol de session TCP) : l'Olfeo répond plus vite que le serveur distant.


2. La requête arrive au switch. 2 flux ressortent du switch :• la requête, qui est envoyée vers le serveur distant• une copie de la requête, qui est envoyée à l'Olfeo, qui la capture grâce au connecteur de capture.

3. Le moteur de filtrage évalue la requête (politiques, règles du moteur) et décide si elle doit être bloquée ou non.• Si la requête est autorisée, l'Olfeo n'effectue aucune action : le serveur distant répondra directement au client.

• Si la requête n'est pas autorisée, l'Olfeo envoie une redirection vers une page de blocage à l'utilisateur (ou, pour dufiltrage applicatif, une trame avec le flag RST afin de clôturer la session). La requête a cependant été reçue par le serveurdistant, qui répond normalement au client. Toutefois, l'Olfeo envoie sa réponse avant que la réponse du serveur distantn'arrive au client : quand la réponse du serveur distant arrive au client, celui-ci l'ignore car il considère qu'il a déjà reçula réponse à sa requête.



Réaliser une intégration en miroir de port

1. Dans l'interface d'administration, créez un connecteur de capture.

2. Au niveau du switch, configurez la copie de trafic. La copie du trafic doit être dirigée vers l'interface de l'Olfeo définiedans le connecteur de capture. Pour les Olfeo box, l'interface qui reçoit la copie de trafic doit être active, mais il n'est pasnécessaire d'y associer une adresse IP.

Créer un connecteur de capture

Les connecteurs de capture sont utilisés pour les 2 modes d'intégration réseau (coupure et miroir de port).

Par défaut, le connecteur capture tous les flux IP qui passent par les interfaces configurées pour recevoir le trafic. Si vous nesouhaitez pas capturer la totalité du trafic, vous pouvez :• spécifier dans le champ Adresses locales les machines en provenance desquelles capturer le trafic.• utiliser des filtres BPF.• exclure le trafic d'URLs ou le trafic protocolaire, selon vos besoins.

Créer un connecteur de capture

1. Rendez-vous à la page Paramétrage > Architecture > Intégration.

2. Dans la colonne Libellé, cliquez sur le lien Ajouter un mode d'intégration. L'écran Ajouter un mode d'intégrations'affiche.• Dans le champ Libellé, entrez un nom pour le connecteur de capture.• Dans le champ Mode d'intégration, sélectionnez Je capture le réseau.

3. Cliquez sur le bouton Suivant. L'écran Paramètres du connecteur apparaît.

4. Renseignez les paramètres :



Interface de capture Interface ou bridge sur lequel sera réalisée la capture.• En coupure, ce doit être un bridge.• En miroir de port, ce peut être une interface d'un bridge ou une interface seule.

Interface pour l'injection Interface réseau via laquelle les trames de blocage seront émises.• En coupure, utilisez l'interface située côté LAN du bridge.• En miroir de port, si votre switch le tolère, faites l'injection sur la même interface

que celle réalisant la capture.

La valeur par défaut, "---------", ne permet pas d'injecter de trames : sélectionnez cetteoption si vous souhaitez juste écouter le réseau sans bloquer les utilisateurs.

Copier les en-têtes 802.1qdans les paquets injectés

Cochez cette case si les paquets que vous capturez contiennent des tags 802.1q. Pouréviter des coûts de traitement inutiles, décochez l'option si vos paquets ne contiennentpas ces tags.

Source MAC L'adresse MAC à indiquer comme étant l'émetteur de la trame lors de l'envoi des pagesde blocage. Ce paramètre peut dépendre du Niveau d'injection (voir ci-dessous).• Utiliser celle du routeur (celui qui transmet les réponses des serveurs distants à

l'Olfeo) : recommandé, surtout si vous faites l'injection au niveau ethernet. Attentionà ce que ce comportement ne soit pas considéré comme du spoofing par le switchou par vos équipements de sécurité.

• Interface pour l'injection : recommandé si l'injection est faite au niveau IP.

Adresses locales Ce champ permet de définir les machines en provenance desquelles capturer le trafic(sauf exceptions définies dans le champ Filtres BPF).

Les adresses IP spécifiées dans ce champ seront considérées comme internes àl'infrastructure. Par conséquent, toute adresse IP non déclarée ici sera considérée commeexterne à l'infrastructure.

• Le connecteur ne capturera que les flux envoyés par des machines internes vers desmachines externes.

• Il ne capturera pas :• les flux échangés entre machines internes, ni les flux échangés entre machines

externes.• les flux envoyés par des machines externes vers des machines internes.

Vous pouvez également utiliser ce champ pour capturer des échanges internes àl'infrastructure : si vous excluez une adresse des adresses locales, celle-ci sera considéréepar le connecteur comme externe même si elle est techniquement interne à votreinfrastructure. Par exemple, exclure les adresses correspondant à une DMZ permettrade logguer et/ou filtrer les accès des utilisateurs vers cette DMZ.

Par défaut, le champ contient les adresses privées telles que définies par l'IANA.

Ne pas capturer le traficURL

Si la case est cochée, le connecteur de capture ne réalisera pas de filtrage web. Cochezcette case si le filtrage web est fait par un autre Olfeo, ou par un autre élément que leconnecteur de capture (par exemple, pour les intégrations mixtes, le filtrage applicatifpeut être fait par une box en coupure et le filtrage web par un proxy en interception).

Ignorer le traficprotocolaire

Cochez cette case si le filtrage applicatif est fait par un autre Olfeo (pour les intégrationsmixtes).



Niveau d'injection • Ethernet : choisir cette valeur si le réseau utilise des VLANs.• IP : choisir cette valeur dans les cas où la cible ne peut pas être jointe par son adresse

MAC (présence d'un routeur intermédiaire).

Berkeley Packet Filter Dans ce champ, saisissez des filtres pour définir les types de flux qui doivent être analysésou non, en utilisant la syntaxe BPF. Par exemple, pour exclure le trafic émis par l'Olfeo,entrez not host {adresse IP de l'Olfeo au format CIDR}.

Pour plus d'informations, voir http://biot.com/capstats/bpf.html (en anglais).

5. Cliquez sur le bouton Terminer. Le nouveau connecteur apparaît dans la liste des connecteurs.

Liste des connecteurs

La page Paramétrage > Architecture > Intégration :• Permet de créer :

• des connecteurs de couplage, pour les intégrations connecteur/couplage• des connecteurs de capture, pour les intégrations réseau (coupure ou miroir de port).

• Liste les 2 connecteurs fournis par défaut à l'installation, utilisés uniquement dans les intégrations proxy (voir schéma) :• Connecteur Olfeo interne pour filtrage d'URL : connecteur Olfeo utilisé entre le proxy interne à l'Olfeo et le moteur

de filtrage, pour réaliser du filtrage d'URLs. Les échanges utilisent le protocole OP (Olfeo Protocol).• Connecteur ICAP interne pour analyse de contenu : ce connecteur ICAP permet de faire circuler des contenus

entre le proxy interne à l'Olfeo et le moteur de filtrage, pour réaliser de l'analyse de contenu ou pour transmettre lescontenus à l'antivirus.

Les intégrations proxy ne nécessitent pas de créer de connecteurs autres que ceux fournis par défaut.

Diriger le trafic vers l'Olfeo

À quel endroit indiquer l'adresse IP et le numéro de port de l'Olfeo vers lesquels le trafic doit être dirigé?

Intégration proxy • Proxy explicite : au niveau du poste client.• Proxy en interception : au niveau du mécanisme de redirection (routeur, switch). Pour une

box, la redirection doit être faite par la box elle-même : créez des règles iptables sur br0.

Pour séparer des populations différentes, vous pouvez spécifier plusieurs ports d'écoute auniveau du proxy.

Couplage/connecteur Au niveau de l'équipement tiers situé avant l'Olfeo. Dirigez le trafic vers le port que vous avezspécifié lorsque vous avez créé le connecteur de couplage.

Réseau • Coupure : les flux ne sont pas dirigés explicitement vers le proxy, ils sont interceptés par leconnecteur de capture : aucun paramétrage n'est nécessaire.

• Miroir de port : au niveau de l'équipement qui réalise la copie de trafic (switch). Dirigez letrafic vers l'interface que vous avez spécifiée lorsque vous avez créé le connecteur de capture.

Résolution DNS

Qui effectue la résolution DNS suivant le mode d'intégration?

http://biot.com/capstats/bpf.html



Mode d'intégration La résolution DNS est faite par...

Proxy explicite Le proxy

Proxy en interception Le client

Couplage/connecteur Le client ou l'équipement tiers, si c'est un proxy

Coupure Le client

Miroir de port Le client


GÉRER UN DOMAINE OLFEO

Un domaine Olfeo est un groupe de machines Olfeo partageant une même configuration (liste des utilisateurs, politiquesde filtrage, règles du moteur, authentification, pages de blocage personnalisées...). Un domaine Olfeo sert à :• partager une même configuration sur plusieurs machines Olfeo, afin d'éviter de devoir refaire plusieurs fois la même

configuration, ou de faire les mêmes modifications plusieurs fois• d'avoir un log centralisé du trafic reçu par toutes les machines du domaine.• assurer l'homogénéité des configurations, ce qui est nécessaire dans le cadre de la haute disponibilité.

Fonctionnement

Un domaine Olfeo est un système maître-esclave :• Le domaine comprend une seule machine maître active, et peut contenir autant d'esclaves que vous le souhaitez.• Par défaut, un Olfeo nouvellement installé est maître : il est le seul membre de son domaine. Contrairement à la v5 d'Olfeo,

il n'y a pas d'étape de création du domaine.• Les logs et les statistiques sont disponibles uniquement sur la machine maître.• Le statut maître/esclave est indiqué en bas à gauche de l'interface d'administration, ainsi que l'identifiant de la ou des

machine(s) esclave(s).

• La configuration locale des esclaves est stockée sur le maître.• Seuls les comptes administrateur de la machine maître sont conservés• Le domaine comprend une seule hiérarchie : une machine maître ne peut pas être esclave d'un autre maître.• Une machine esclave dimentionnée comme une machine maître peut être désignée comme maître de secours. En cas de

difficulté du maître, le maître de secours prendra sa place.• Dans l’extracteur de logs, si vos Olfeos sont intégrés en mode proxy, le champ proxy_id indique la machine ayant reçu

le flux. Dans les autres modes d'intégration, il n'est pas possible de connaître la machine.

Le maître de secours

La machine maître étant responsable de la centralisation des logs de navigation pendant 366 jours glissants, il est importantqu’elle soit disponible en permanence. En cas d’indisponibilité de la machine maitre, le fonctionnement du domaine Olfeoest dégradé et certaines opérations deviennent impossibles :• synchronisation des utilisateurs de l’annuaire (utilisateurs ajoutés, modification des groupes),• modification des politiques de filtrage, des règles du moteur, des messages de blocage,• sauvegarde des logs de navigation reçus par toutes les machines membres, etc.

Dans cette situation la navigation sur Internet et le filtrage des utilisateurs, avec les politiques et règles en vigueur, restentfonctionnelles tant que les machines esclaves ne sont pas redémarrées. Toutefois, cette situation n’est pas pérenne et il convientde mettre en place une solution de redondance de la machine maitre. Une machine maitre de secours peut être désignée parmiles machines esclaves du domaine Olfeo :

Gérer un domaine Olfeo


RemarqueAttention, la machine désignée en tant que maitre de secours doit disposer d’un dimensionnement équivalent (CPU,mémoire, espace disque) à la machine maître en production, et elle doit être dans le même réseau.

Lorsque ce rôle est donné à une machine, les opérations suivantes ont lieu :

• tous les logs de trafic (URL, fichier, applicatif) sont synchronisés entre le maitre «principal» et le maitre de secours,• tous les services Olfeo sont redémarrés sur cette machine,• une fois l’opération terminée, le statut des différentes machines membres du domaine Olfeo est actualisé

Le maître de secours interroge le maitre toutes les secondes et prendra le relai s’il n’obtient aucune réponse au bout de5 secondes. De plus, l’arrêt d’un service, parmi lesquels confbase, userbase, logd et filtering, sur la machine maître peutégalement entraîner la bascule du rôle vers le maître de secours. En définitive, la bascule du rôle maître entre les 2 machinespourra prendre jusqu’à 20 secondes. En revanche, le temps d’indisponibilité des services de remontées de logs des esclavesvers le maître est au plus de 10 secondes.

Une bascule manuelle du rôle maitre vers le maitre de secours est également possible depuis le maitre à l’aide du boutonBasculer maintenant, ou depuis le maître de secours à l’aide du bouton Forcer la bascule. Après le transfert du rôle maitrevers le maitre de secours, l’ancien maitre devient automatiquement esclave du domaine Olfeo. Pour réaffecter les rôles maitreet maitre de secours comme à l’état initial, il faut désigner l’ancien maitre comme maitre de secours puis forcer la bascule.

Illustration 21: Schéma de fonctionnement du maître de secours

Jonction au domaine Windows

• Si la jonction au domaine Windows a été faite sur la machine esclave avant que celle-ci ne soit intégrée au domaine Olfeo,cet élément de configuration n'est pas écrasé par celui de la machine maître.



• Chaque machine du domaine Olfeo peut être jointe à une infrastructure Active Directory différente. Si vous gérez plusieursinfrastructures Active Directory au sein d'un même domaine Olfeo, il faut déclarer les différentes infrastructures AD surl'Olfeo maître, puis joindre chaque esclave au contrôleur de l'AD correspondant.

• Si vous gérez plusieurs sites appartenant à une même infrastructure Active Directory, joignez chaque esclave au contrôleurde domaine le plus proche. Filtrez uniquement les utilisateurs concernés par un contrôleur de domaine avec la machinejointe à ce contrôleur.

• La jonction au domaine Windows n'est nécessaire que si vous réalisez une authentification forte (NTLM, Kerberos).

Contraintes

• Toutes les machines doivent avoir la même version de la solution Olfeo. Si vous devez faire une mise à jour, mettez à jourtoutes les machines à la suite, en commençant par le maître.

• Toutes les machines doivent avoir la même base d'URLs (base France, Belgique...). Ne joignez pas un esclave ayant unebase avec un maître ayant une autre base.

• Les éventuels firewalls situés entre le maître et les esclaves doivent permettre les connexions TCP sur les ports suivants :

912480861664166565471

• Tous les types d'intégration sont compatibles avec les domaines Olfeo. Vous pouvez utiliser des versions box et logiciel. Undomaine peut comprendre des Olfeo box et/ou logiciels, avec un mélange de modes d'intégration. Tous les paramétragespropres aux différents modes d'intégration devront être faits sur le maître (connecteurs, configuration du proxy...).

• L'ensemble du domaine est couvert par une seule licence (la licence du maître écrase celle de l'esclave lors de la jonction).

Superviser le domaine

Vous pouvez voir l'état des machines esclaves dans l'écran Domaine Olfeo de la machine maître. Celui-ci liste toutes lesmachines esclaves et indique leur état (En ligne, Hors ligne). Une infobulle sur le libellé En ligne/Hors ligne vous donnel'heure où la machine maître a "vu en dernier" la machine esclave (la connexion entre maître et esclave est testée toutes les10 secondes).

La configuration locale des esclaves étant stockée sur le maître, il est facile de remplacer une machine esclave : donnez à lanouvelle machine la même adresse IP et joignez-la au domaine en utilisant le même ID de membre.

Sauvegarder la configuration du maître sauvegarde également la configuration locale de toutes les machines esclaves, celles-ci étant enregistrées sur la machine maître.

Dans ce chapitre :

• Déclarer des esclaves dans un domaine• Éléments configurables des machines esclaves• Déclarer un maître de secours dans un domaine• Supprimer une machine du domaine



Déclarer des esclaves dans un domaine

Attention, si vous aviez créé des objets sur la future machine esclave (annuaires, charte internet, politiques...) ou appliqué despolitiques à des utilisateurs, ces éléments seront écrasés et remplacés par la configuration de la machine maître. Les comptesadministrateur de la machine esclave seront également écrasés, et les logs ne seront plus accessibles. Seuls les paramètrespropres à la machine esclave sont conservés (voir Éléments configurables des machines esclaves à la page 207). Si besoin,sauvegardez votre configuration et faites un export de vos données avant jonction au domaine Olfeo.

Procédure

1. Sur la machine maître, à la page Paramétrage > Haute disponibilité > Domaine Olfeo, cliquez sur Ajouter un esclave.L'écran Machine esclave apparaît.• ID du membre : Ce champ affiche un ID généré automatiquement : vous devrez renseigner cet ID dans la configuration

de la machine esclave.• Adresse IP : Adresse IP de la future machine esclave.

Illustration 22: Sur la machine maître, déclarer la machine esclave et obtenir un ID de membre

2. Cliquez sur Valider. La nouvelle machine esclave apparaît dans la liste Monitoring du domaine. Son État est Hors ligne(car à cette étape elle n'est pas encore jointe au domaine Olfeo).

3. Sur la machine esclave, à la page Paramétrage > Haute disponibilité > Domaine Olfeo, cliquez sur Joindre undomaine Olfeo. L’écran Joindre un domaine s'ouvre.

Illustration 23: Sur la machine esclave, renseigner l'ID fourni par la machine maître pour pouvoir joindre le domaine Olfeo

4. Renseignez l'ID fourni par la machine maître et l'adresse IP de la machine maître, puis cliquez sur Joindre le domaine.Un écran d'attente s'affiche pendant que l'Olfeo réalise l'opération. Une fois la jointure effectuée :• L'écran affiche la page de connexion à la console d'administration de la machine esclave. Connectez-vous en utilisant

un compte administrateur de la machine maître : seuls les menus propres à la configuration locale de la machineapparaissent. La page Paramétrage > Haute disponibilité > Domaine Olfeo affiche "Cette machine est jointe àun domaine Olfeo".



• Rafraîchissez la page Domaine Olfeo dans la machine maître : l'État de l'esclave passe à En ligne.

Éléments configurables des machines esclaves

Lorsqu'une machine esclave est jointe à un domaine Olfeo, la plupart de ses menus disparaissent. Seuls restent les écranspermettant de superviser la machine elle-même ou de modifier la configuration locale de la machine (réseau...).

Illustration 24: Interface d'administration d'une machine esclave jointe à un domaine Olfeo

• Statistiques > Temps réel : cette page n'affiche rien sur les machines esclaves, tous les logs de trafic sont affichés surle maître.

• Paramétrage :• Authentification > Joindre le domaine Windows : vous pouvez joindre l'Olfeo au domaine Windows sur la machine

esclave avant ou après de joindre le domaine Olfeo. Voir Jonction au domaine Windows à la page 204.• Haute disponibilité > Domaine Olfeo : cette page indique que la machine est jointe à un domaine Olfeo.• Réseau > tous les onglets : Serveur, DNS, SMTP, SMS, HTTP, Tests.• Système > Services, Date, Console.• Supervision > Journal : évènements concernant uniquement la machine esclave (ils n'apparaissent pas sur le maître),

État, Tâches.• Mise à jour > Logiciel, Base de données, Abonnements. La licence est une licence commune à toutes les machines

du domaine (la licence du maître écrase celle de l'esclave lors de la jonction).• Avancé > Redirection.• Support > Support.

Déclarer un maître de secours dans un domaine

Avant de pouvoir déclarer un maître de secours, vous devez vous être assuré d'avoir le bon dimensionnement (voir Gérer undomaine Olfeo à la page 203 et de disposez d’un domaine Olfeo composé d’une machine maitre et au minimum d’une machineesclave (voir Déclarer des esclaves dans un domaine à la page 206.)



Procédure

1. Sur la machine machine maître, allez à la page Paramétrage > Haute disponibilité > Domaine Olfeo. La partieMonitoring du domaine affiche la liste des machines présentes dans le domaine. Si la machine est hors ligne, vous nepourrez la choisir comme maître de secours. Attendre qu'elles passe En ligne.

2. Dans la partie Désignation du master de secours, sélectionnez le nom de la machine esclave à désigner comme maîtrede secours dans la liste déroulante.

Illustration 25: Désignation du maître de secours

3. Cliquez sur le bouton Valider. Le statut de la machine esclave passe en Hors ligne et l'installation démarre.



Illustration 26: Installation du maître de secours

Lorsque l'installation est terminée, l'état du maître de secours redevient En ligne.

Basculement

Le basculement peut se faire automatiquement ou il peut être forcé pour tester le fonctionnement par exemple.

Pour forcer le basculement :

• Allez à la page Paramétrage > Haute disponibilité > Domaine Olfeo, dans la partie Désignation du maître desecours et cliquez Forcer le basculement.

Après un basculement, le maître devient esclave et affiche cet écran :

Illustration 27: Machine maître devenue esclave

Supprimer une machine du domaine

Une machine esclave peut êre supprimée de la liste des nœuds depuis la machine maître.

1. Allez à la page Paramétrage > Haute disponibilité > Domaine olfeo. La fenêtre s'affiche.



2. Cliquez sur la corbeille située à droite du nom de la machine à supprimer. Elle disparaît de la liste.


SPÉCIFICITÉS DES OLFEO BOX

Avec une Olfeo box, vous bénéficiez de la garantie d'un environnement contrôlé produit par nos équipes de R&D :un problème lié à l'OS ou au noyau sera pris en charge par notre support technique ou le partenaire intégrateur (selonvotre contrat de support).

De plus, les Olfeo box sont équipées d'une fonctionnalité "power-off Bypass" qui permet de ne pas rompre le pont encas de défaillance électrique du système et donc de laisser passer le trafic.

L'OS installé sur les box pour une v6 est une Debian 8. Contrairement à une installation logicielle (installation viaun .run sur une machine physique ou une VM), l'Olfeo n'est pas installé dans un chroot.

Modèles de box compatibles avec la v6

Seuls les modèles d'Olfeo box suivants sont compatibles avec la v6 de la solution Olfeo :

• 7000 R2• 11000• 15000

Les modèles 6000 et 10000, bien que toujours supportés, ne sont pas compatibles avec la v6. Les box 5000 ne sont plussupportées. Il sera cependant possible de migrer votre configuration et vos données sur un modèle de box plus récent équipéd'une v6 : contactez votre interlocuteur commercial.

Dans ce chapitre :

• Se connecter à une Olfeo box• Configurer les interfaces d'une Olfeo box• Configurer les bridges d'une Olfeo box• Arrêter ou redémarrer une Olfeo box

Spécificités des Olfeo box


Se connecter à une Olfeo box

Se connecter à la box en port série

Vous pouvez vous connecter sur une Olfeo box en port série :• Pour effectuer la première configuration réseau de la box afin d'avoir accès à l’interface d'administration.• Si vous ne pouvez plus accéder à l'interface d'administration.

Procédure

1. Branchez le câble série présent dans le package Olfeo sur votre ordinateur et sur la box.

2. Lancez votre terminal série (par exemple, Screen sous Linux, ou Putty sous Windows), suivant votre modèle de box : d'aborden 9600 bauds, afin d'afficher le BIOS correctement, puis en 38400 bauds pour le boot de Linux et de l'Olfeo. Exemple :

screen /dev/ttyS0 38400

Un mauvais choix de baudrate vous donnera un affichage dégradé, ou pas d’affichage du tout.

Se connecter via une interface spécifique à l'interface d'administration

Pour changer l'interface ou le bridge par lequel vous vous connectez à l'interface d’administration :

1. Paramétrez et activez une autre interface/bridge que celle par laquelle vous êtes connecté à l'interface d'administration.

2. Connectez-vous à l'interface d'administration via la nouvelle interface/bridge (avec l'adresse IP correspondante).

3. Si besoin, désactivez l'ancienne interface/bridge.

Configurer les interfaces d'une Olfeo box

La page Paramétrage > Réseau > Interfaces affiche une liste de toutes les interfaces de la box. Une box a 8 interfaces,nommées de eth0 à eth7.• Potentiellement, toutes les interfaces peuvent être utilisées dans un bridge. Voir Configurer les bridges d'une Olfeo box

à la page 213.• La box peut avoir une interface dans n réseaux pour que l'Olfeo puisse recevoir les flux en provenance de ces réseaux.• Toutes les interfaces doivent être situées dans des réseaux différents.• La configuration DHCP n'est pas supportée.• Il doit y avoir au moins une interface dans le même réseau que la route par défaut pour garantir que la box peut joindre

l'extérieur.



Champs

Actif Une bonne pratique consiste à désactiver les interfaces qui ne servent pas.

Interface Interfaces et bridges disponibles. Si une interface est utilisée dans un bridge, elle n'apparaît pas ici :c'est le bridge qui apparaît.

Adresse IP Pour une interface active, laissez le champ Adresse IP vide si celle-ci reçoit une copie du trafic,dans une intégration en miroir de port. Cela correspond au mode Manual.

Masque de sous-réseau

Le masque de sous-réseau de l'interface.

Champ Passerellepar défaut

La passerelle par défaut doit être située dans le sous-réseau d'une des interfaces actives.

Configurer les bridges d'une Olfeo box

Utilisez la page Paramétrage > Réseau > Bridges :• pour créer/activer un bridge, afin de réaliser une intégration en coupure.• pour configurer la redirection du trafic utilisateur vers le proxy interne à l'Olfeo, afin de combiner une intégration proxy

en interception à l'intégration en coupure.

Avant de configurer les bridges, vérifiez que les câbles ne forment pas une boucle de niveau 2.

Il doit y avoir au moins une interface dans le même réseau que la route par défaut pour garantir que la box peut joindrel'extérieur.

Champs

Actif Pour pouvoir activer un bridge, il faut que les deux interfaces correspondantes soient inactives (àla page Paramétrage > Réseau > Interfaces). Cette contrainte permet d'éviter une erreur quicouperait l'accès à l'interface d'administration.

Une fois un bridge activé, celui-ci remplace les 2 interfaces qui le composent à la pageParamétrage > Réseau > Interfaces.

Bridge Tous les bridges qu'il est possible de créer/d'activer sur ce modèle de box. Ceux-ci correspondentaux 4 cartes bypass intégrées à la box.

Interfaces Les interfaces qui composent le bridge.

Redirections Utilisez cette section pour mettre en place une intégration proxy en interception. Pour les fluxHTTP et HTTPS :• Ports redirigés : les flux en direction de ces ports seront redirigés vers le Port de redirection.

Vous pouvez entrer plusieurs valeurs séparées par des virgules. Les flux à destination de toutport non spécifié ici ne seront pas redirigés vers le proxy : ils seront envoyés directement aumoteur de filtrage.

• Port de redirection : le port du proxy vers lequel effectuer la redirection. La liste propose tousles ports du proxy pour lesquels la case Interception est cochée (pour la redirection HTTPS,tous les ports pour lesquels les cases Interception et Option SSL sont cochées).



Arrêter ou redémarrer une Olfeo box

Pour arrêter ou redémarrer une Olfeo box, utilisez les commandes situées à la page Paramétrage > Système > Services.


SUPPORT TECHNIQUE OLFEO

Le support technique d'Olfeo est dédié :• Aux clients ayant souscrit le support direct éditeur.

Pour voir si vous bénéficiez actuellement du support direct, rendez-vous à la page Paramétrage > Mise à jour >Abonnement, section Support direct Olfeo.

• Aux ingénieurs techniques de nos partenaires ayant suivi la certification technique Olfeo et ayant souscrit àl'assistance partenaire Olfeo.

E-mail: [email protected]él: +33 (0)1 78 09 68 01

Dans ce chapitre :

• Ouvrir un tunnel support

http://www.olfeo.com/produits-et-services/services/le-support-olfeo


Support technique Olfeo


Ouvrir un tunnel support

Utilisez la page Paramétrage > Support pour permettre au support Olfeo ou au support de votre partenaire de se connecterà votre Olfeo, à leur demande. Vous devrez fournir au support un identifiant et un mot de passe valides pour la machinehôte de l'Olfeo.

Le nom de la section Support partenaire varie en fonction du partenaire.

Ouvrir un tunnel support

1. Dans la section Support technique Olfeo ou Support partenaire, renseignez les champs suivants :

Adresse IP dusupport

Adresse IP que vous communiquera le support Olfeo ou votre partenaire

Port de sortie Port TCP de sortie de votre solution Olfeo qui sera utilisé pour communiquer avec le serveurOlfeo ou celui de votre partenaire

Port distant Port TCP que vous communiquera le support Olfeo ou votre partenaire

2. Cliquez sur le bouton Connexion pour lancer la connexion. Si la connexion s'effectue correctement, le champ Statutpasse à Activé.

Retour d'information

À la demande du support Olfeo ou de votre partenaire, cliquez sur le bouton Retour d'information, puis copiez-collez lecontenu de la fenêtre dans un e-mail et envoyez-le au support Olfeo ou à votre partenaire.


RÉFÉRENCE

Dans ce chapitre :

• ICAP• Structure d'une URL

Référence


ICAP

Le protocole ICAP permet de modifier les requêtes HTTP provenant d’un utilisateur, et/ou les réponses fournies par lesserveurs distants. ICAP est utilisé dans Olfeo dans les cas suivants :

• Pour faire communiquer un équipement tiers, utilisant le protocole ICAP, avec le moteur de filtrage, dans une intégrationconnecteur/couplage (en REQMOD pour la partie filtrage d'URL, et en RESPMOD pour l'analyse de contenu).

Illustration 28: Intégration connecteur : échanges en ICAP entre l'équipement tierset le moteur de filtrage. Étapes 2 et 6 : requêtes ICAP, étapes 3 et 7 : réponses ICAP.

• Pour faire communiquer le moteur de filtrage avec le proxy HTTP intégré à l'Olfeo, dans une intégration proxy, lorsquel'Olfeo doit réaliser de l'analyse de contenu et/ou transmettre ces contenus à l'antivirus (onglets Aperçu et Contenu dumoteur de règles). Les échanges se font via le Connecteur ICAP interne pour analyse de contenu, en RESPMOD.

Référence


Illustration 29: Intégration proxy. Échanges entre le proxy et le moteur de filtrage : ICAPtraite les réponses du serveur distant. Étape 6 : requête ICAP, étape 7 : réponse ICAP.

Lors des échanges ICAP, chaque requête HTTP est encapsulée dans une requête ICAP (voir exemple dans la section Preview).Pour comprendre le fonctionnement d'ICAP, il faut garder à l'esprit la distinction entre requêtes/réponses HTTP et requêtes/réponses ICAP (une requête ICAP pouvant par exemple contenir une réponse HTTP).

AvertissementLes flux sont fournis en clair au service ICAP : dans les architectures où l'analyse de contenu/l'analyse antivirus ne sontpas faites par le même Olfeo que celui qui héberge le proxy, faites en sorte que ces flux soient cloisonnés/sécurisés.

Fonctionnement client-serveur et requête OPTIONS

ICAP fonctionne sur un mode client-serveur.• Le moteur de filtrage contient le ou les serveurs : chaque connecteur de couplage est une instance du serveur ICAP, qui

peut être paramétrée individuellement.• L'équipement tiers ou le proxy HTTP inclus dans l'Olfeo (Squid) sont clients. Le client ICAP du proxy HTTP peut être

configuré via la section Options du client ICAP de la page Proxy avancé > HTTP > Configuration.

La première fois que le client ICAP se connecte au serveur ICAP (c'est-à-dire au connecteur vers lequel il doit envoyerles requêtes), il lui envoie d'abord une requête OPTIONS afin de connaître ses paramètres, en précisant REQMOD ouRESPMOD.

Exemple de requête OPTIONS envoyée par le client au serveur, pour le RESPMOD

OPTIONS icap://127.0.0.1:1343/respmod ICAP/1.0 Host: 127.0.0.1:1343

Référence


Réponse du serveur

ICAP/1.0 200 OK Date: Wed, 20 Apr 2016 10:50:34 GMT ISTag: "6.0.0" Cache-Control: max-age=0 Methods: RESPMOD Transfer-Preview: * Preview: 4096 Service: proto_icap/1.0 Service-ID: RESPMOD-service Encapsulated: null-body=0 Options-TTL: 216000 X-Include: X-Client-IP, X-Authenticated-User, X-Server-IP Max-connections: 100 Allow: 204

REQMOD et RESPMOD

ICAP peut utiliser 2 méthodes :

• REQMOD : modification de la requête HTTP. Ce mode est utilisé uniquement en intégration connecteur/couplage, pourle filtrage d'URLs.

Le client ICAP (l'équipement tiers) transmet la requête HTTP au serveur ICAP (le moteur de filtrage), dans une requêteICAP. Le moteur évalue les règles de l'onglet Accès du moteur de règles et les politiques utilisateur :• Si la page est autorisée :

• Si la réponse 204 est autorisée, le serveur ICAP renvoie une réponse ICAP 204 au client ICAP.• Si la réponse 204 n'est pas autorisée, il renvoie la requête HTTP à l'identique, dans une réponse ICAP.• Dans le cas de la réécriture d'URL, il renvoie une requête HTTP modifiée pointant vers la nouvelle URL, dans

une réponse ICAP.

Le client ICAP envoie la requête HTTP (modifiée ou non) au serveur distant.• Si la page est bloquée, le serveur ICAP envoie une requête HTTP modifiée (dans une réponse ICAP) : la nouvelle

requête contient l'adresse de la page de blocage. Le proxy/l'équipement va chercher la page de blocage lui-même afinde la transmettre au navigateur.

• RESPMOD : modification de la réponse HTTP. Ce mode est utilisé pour effectuer de l’analyse de contenu ou pourtransmettre les contenus à l'antivirus.

Le client ICAP (l'équipement tiers ou le proxy intégré à l'Olfeo) reçoit une réponse HTTP du serveur distant. Il transmetla réponse HTTP au serveur ICAP (le moteur de filtrage), dans une requête ICAP. Le moteur évalue les règles des ongletsAperçu et Contenu du moteur de règles.• Si le contenu est autorisé :

• Si la réponse 204 est autorisée, le serveur ICAP renvoie une réponse ICAP 204 au client ICAP.• Si la réponse 204 n'est pas autorisée, il renvoie le contenu à l'identique, dans une réponse ICAP.

Le client ICAP transmet le contenu au navigateur.• Si le contenu est bloqué ou qu'une page de patience doit être affichée, le serveur ICAP envoie une réponse HTTP

modifiée (dans une réponse ICAP) : la nouvelle réponse contient l'adresse de la page de blocage ou de la page depatience. Le proxy/l'équipement va chercher la page de blocage lui-même afin de la transmettre au navigateur.

Preview

En RESPMOD, le preview permet d'obtenir les informations nécessaires pour évaluer les règles de l'onglet Aperçu du moteurde règles.

Référence


La requête ICAP n'envoie que le début des données, et indique au serveur qu'il ne s'agit que du début des données grâce à l'en-tête Preview. Il indique la taille de la portion de données transmise.• Le début du fichier inclut la signature du fichier, qui permet au moteur de déterminer le type MIME du fichier.• La réponse HTTP encapsulée dans la requête ICAP peut contenir un en-tête Content-Length, qui indique la taille totale

du fichier.

Ces informations peuvent permettre au moteur de filtrage de prendre une décision (bloquer ou autoriser), sans attendre d'avoirreçu l'intégralité des données, ce qui permet d'améliorer les performances.

RESPMOD icap://127.0.0.1:1343/respmod ICAP/1.0 Host: 127.0.0.1:1343 Date: Wed, 20 Apr 2016 10:50:34 GMT Encapsulated: req-hdr=0, res-hdr=165, res-body=487 Preview: 4096 X-Client-IP: 127.0.0.1 GET http://support.olfeo.com/sites/olfeo/files/guide_utilisateur_olfeo_v596.pdf HTTP/1.1 User-Agent: Wget/1.16 (linux-gnu) Accept: */* Host: support.olfeo.com HTTP/1.1 200 OK Date: Wed, 20 Apr 2016 10:51:25 GMT Server: Apache/2.2.16 (Debian) Last-Modified: Thu, 29 Jan 2015 17:21:24 GMT ETag: "33c07fe-37454f-50dcdb7a42d00" Accept-Ranges: bytes Content-Length: 3622223 Cache-Control: max-age=1209600 Expires: Wed, 04 May 2016 10:51:25 GMT Content-Type: application/pdf f59 %PDF-1.4 %.... 4 0 obj << /Title (Solution Olfeo) /Author (Olfeo) /Creator (DITA Open Toolkit) /Producer (Apache FOP Version 1.1) /CreationDate (D:20130725094806+02'00') >> endobj 5 0 obj << /N 3 /Length 11 0 R /Filter /FlateDecode >> stream x...wTS.....7.P.....khR.H .H..*1..J..."6DTpDQ...2(...C.."...Q....D.qp...Id....y......~k....g.}.... ....LX....X.......g`......l..p..B..F...|..l....... ..*.?.......Y"1.P......\...8=W.%.O...4M.0J."Y.2V.s.,[|..e.9.2.<..s..e... '..9....`......2.&[email protected]...|N6.(....sSdl-c.(2.-.y..H._../X........Z..$ ...&\S........M....0.7.#.1...Y..r.f..Y.ym..";.8980m-m.(..]....v.^....D.. ..W~. ...e....mi..]..P....`/....u.}q..|^R..,g+...\K..k)/......C_|.R....ax..8.t (contenu abrégé)

• 1è partie : en-têtes de la requête ICAP• 2è partie : requête HTTP originale• 3è partie : en-têtes HTTP de la réponse du serveur distant

Référence


• 4è partie : début du fichier (les 4096 octets annoncés)

Illustration 30: Exemple de requête ICAP RESPMOD, avec en-tête Preview (étape 6 sur les schémas)

La taille de l'aperçu attendu par le serveur est définie dans les options du connecteur ICAP (paramètre Taille limite dePreview).

Réponse 204

Dans certains cas, le serveur ne souhaite pas modifier la requête ou la réponse HTTP : par exemple, en REQMOD, parce quel'URL est autorisée, ou en RESPMOD, parce que le fichier n'est pas bloqué par une règle portant sur sa taille ou son typeMIME, ou par l'antivirus. Le serveur peut alors renvoyer au client une réponse 204 No Modifications needed, qui necontient aucune donnée. Le résultat est le même que s'il avait renvoyé au client la requête ou la réponse HTTP à l'identique :

• En REQMOD, si le client reçoit un 204, il envoie la requête HTTP telle quelle au serveur distant.• En RESPMOD, il envoie la réponse HTTP telle quelle au navigateur.

La réponse 204 permet d'éviter de renvoyer les données et donc d'améliorer les performances.

Le client doit avoir déclaré accepter les réponses 204 en incluant un en-tête Allow: 204 dans sa requête.

ICAP/1.0 204 No Modifications neededDate: Wed, 01 Jun 2016 10:39:36 GMTServer: proto_icap/1.0ISTag: "6.0.0"Cache-Control: max-age=0Encapsulated: null-body=0

Illustration 31: Réponse ICAP RESPMOD avec 204 (étape 7 sur les schémas)

ICAP/1.0 200 OKDate: Wed, 01 Jun 2016 12:27:53 GMTServer: proto_icap/1.0ISTag: "6.0.0"Cache-Control: max-age=0Encapsulated: res-hdr=0, res-body=243

HTTP/1.1 200 OKDate: Wed, 01 Jun 2016 12:27:53 GMTServer: Apache/2.4.18 (Ubuntu)Last-Modified: Mon, 21 Dec 2015 16:29:00 GMTETag: "f71110-5276afc8e70cd"Accept-Ranges: bytesContent-Length: 16191760Content-Type: application/zip

36edPK........{.G................apacheds-2.0.0-M21/PK........{.G................apacheds-2.0.0-M21/bin/PK........{.G................apacheds-2.0.0-M21/instances/PK........{.G............%...apacheds-2.0.0-M21/instances/default/PK........{.G............+...apacheds-2.0.0-M21/instances/default/cache/PK........{.G............*...apacheds-2.0.0-M21/instances/default/conf/PK........{.G............)...apacheds-2.0.0-M21/instances/default/log/PK........{.G............0...apacheds-2.0.0-M21/instances/default/partitions/PK........{.G............)...apacheds-2.0.0-M21/instances/default/run/PK........{.G................apacheds-2.0.0-M21/lib/PK........{.G3t.C-....M......apacheds-2.0.0-M21/LICENSE.....M......-........

Référence


\ms.F..._1...H....{...U.-.6.2.%)+.T.v..I. ....y...e..R..;..s.v-.....y...Q"..?..L6J\f.*..>..;U..,....X.$.FV{....g.. ............e.e.>.y)}.......\.&Cq1.....t2...3q=..b6..M....qLO ...l...?!.O.b.VY.....GF...QO...s.U..5..V.V.Y.")........V....*.&..c# .M3]W......".%U*.{1W..y....Yo...\...<W&.V.uW..:P,)w.*[ojQ.........{!.zSV ...zF..7....,..$.X..!c.@........%..7H.+!..b..3..FL....3.yi0h].y,d...9).. n...H....n..H2.......^./^....k.]......n}.3Rz..-N.S~..SU....K.DV..cQ."..t |.H.......B..:...M.1...n.h..}[email protected];...V`.....}......r%.. o.5......pS...."...#$...%=....}........z..../..6K..U.0>......4*.zo3.).). ...[.Bm..%p..xm.....JU..N.....p.m.f.5I..:8+..!S.!.EY.<.f.:.Q.....K...... o...2b.....U.n*......>... ..U...?.w49..UUn..d#.......B.....}...WB 6.....42:..c...@......".....6.......[..>.[.fR..].....p. [email protected].\......#.b.&...t.`. ...;xcK....U.5.......8. ..r....E.v.s~....v V...)/.N.....n...J.At.....q....Il...Rjt^AG1.50.!z..p)r....M.l.0.g....dV. 6#Wb..i.9. ,\V.'.a...&#.....)d}...9. x-[g..r..C<.8.j..Xt.g...l|G.M...Vf.|...(R......T..sP| .-!Z0N .U.....Q...%.8.....J.uT..^.@(79....g...`[email protected](.S.D...mCo...)....(contenu abrégé)

Illustration 32: Réponse ICAP RESPMOD sans 204 (la réponse du serveur est renvoyée telle quelle)

Voir aussi...RFC 3507, Internet Content Adaptation Protocol (ICAP)

Structure d'une URL

Une URL est l'identifiant d'une ressource sur un hôte.

https://tools.ietf.org/html/rfc3507

SOLUTION OLFEO V6

Documents

Transcript of SOLUTION OLFEO V6