formations/amon/04-filtrage.tex

221 lines
6.0 KiB
TeX

\section{Filtrage web}
\begin{frame}{Plan}
\begin{columns}[t]
\begin{column}{5cm}
\tableofcontents[sections={1-6},currentsection, hideothersubsections]
\end{column}
\begin{column}{5cm}
\tableofcontents[sections={7-11},currentsection,hideothersubsections]
\end{column}
\end{columns}
\end{frame}
\begin{frame}
\frametitle{Présentation}
\begin{itemize}
\item Possibilité :
\begin{itemize}
\item configurer la manière dont le filtrage s'effectue ;
\item associés des filtrages à des utilisateurs ;
\item associés des filtrages à des machines ;
\item configuration par zone de configuration ;
\item configuration par politique de filtrage ;
\item plusieurs configuration (1 et 2).
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Interdire ou autoriser des sites web}
\begin{itemize}
\item Interdire des sites : complèter la liste noir ;
\item autoriser des sites : forcer l'autorisation d'un site ;
\item applicable : zone entière ou a des politiques de filtrage ;
\item les listes sont mises à jour régulièrement ;
\item signaler pour améliorer les performances et la qualité des listes.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Politique de liste blanche}
\begin{itemize}
\item restreindre la navigation à un ensemble de site ;
\item ne pas confondre avec les site autorisé.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Filtre optionnel}
\begin{itemize}
\item la liste de site interdit comprend des catégories ;
\item par défaut seule les catégories "adult" et "redirector" sont activés ;
\item activation par configuration ou politique de filtrage ;
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Filtre syntaxique}
\begin{itemize}
\item Filtrage dynamique des pages ;
\item possibilité :
\begin{itemize}
\item sur les balises méta (par défaut) ;
\item sur la page entière ;
\item désactivé.
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Filtre des extensions}
\begin{itemize}
\item Interdire le téléchargement portant certaines extensions ;
\item applicable : zone entière ou a des politiques de filtrage.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Filtre des types MIME}
\begin{itemize}
\item Un type MIME est une information donner par le serveur permettant de connaitre le format d'un document sans se baser sur l'extension.
\item
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Filtre par machine}
\begin{itemize}
\item filtrage par IP ;
\item possibilité :
\begin{itemize}
\item interdire l'accès au réseau ;
\item interdire la navigation web uniquement ;
\item autoriser la navigation web selon des horaires ;
\item associer une politique de filtrage.
\end{itemize}
\item attention, ancienne methode par "postes" n'est plus d'actualité.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Filtre par utilisateur}
\begin{itemize}
\item Pre-requis : il doit y avoir une authentification utilisateur ;
\item premet d'ajouter un filtrage spécial à un utilisateur ;
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Créer un groupe de machine : configuration1/Groupe de machine ;
\item tester ;
\item créer un utilisateur : Configuration1/Utilisateurs ;
\item tester.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Filtre par destination}
\begin{itemize}
\item Possible d'interdire l'accès à un sous-réseau depuis une interface.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Ne pas authentifier / mettre en cache}
\begin{itemize}
\item La destination : Sites de mise à jour ;
\item la source : Sources à ne pas authentifier.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Filtre antivirus web}
\begin{itemize}
\item Possible d'activer l'antivirus sur le filtrage web ;
\item utilise ClamAV.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Activer le filtrage antivirus dans gen\_config ;
\item télécharger différents fichiers.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Filtre P2P}
\begin{itemize}
\item Permet de bloquer les échanges de fichiers en P2P ;
\item 2 filtres au choix : l7filter ou ipp2p.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Horaire}
\begin{itemize}
\item Les horaires du pare-feu : ferme la totalité du pare-feu ;
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Numéro de filtrage web}
\begin{itemize}
\item il est possible de différencier les politiques de filtrage suivant l'interface ;
\item amon2 : administrateur de la 2eme configuration.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Observation}
\begin{itemize}
\item Il est possible de visualiser des logs par :
\begin{itemize}
\item date (obligatoire)
\item heure de visite ;
\item IP du visiteur ;
\item login du visiteur ;
\item seulement les accès refusés.
\end{itemize}
\item possibilité d'utiliser SARG.
\end{itemize}
\end{frame}
%---------------------------------------------------------------
\begin{frame}
\frametitle{Gérer au mieux les ressources}
\begin{itemize}
\item Ne pas activer trop de politique de filtrage par défaut (0 à 3 politiques) ;
\item ne pas démarrer trop d'instance Dansguardian (voir la configuration) ... ;
\item filtrage syntaxique (surtout sur la page entière) ;
\item antivirus.
\end{itemize}
\end{frame}
%---------------------------------------------------------------
\begin{frame}
\frametitle{Reverse proxy}
\begin{itemize}
\item permet relayer des requêtes Web provenant de l'extérieur vers les serveurs internes ;
\item permet de rediriger :
\begin{itemize}
\item SSO,
\item administration Envole 2.0,
\item HTTP,
\item HTTPS ;
\end{itemize}
\item si on redirige le SSO, il ne faut pas l'activer sur l'Amon.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Rendre disponible envole de Scribe depuis l'extérieur.
\end{itemize}
\end{frame}