[Partie 3] Squid Windows - Configuration avancée - Blacklist

Tout ce qui concerne la sécurité

[Partie 3] Squid Windows - Configuration avancée - Blacklist

Messagepar tchao57 » 08 Avr 2013, 18:11

...Suite du tuto "Squid Windows - Configuration"

Blacklistage Simple:

L'interêt d'un proxy est bien évidemment la mise en cache mais surtout le filtrage du flux de données vers internet et également le blacklistage de sites internet et de mots clés. SQUID proxy permet bien entendu tout cela et nous allons voir comment procéder pour mettre en place des ACL's (Access List) afin de bloquer des noms de domaines, entre autres.
Notre proxy est installé et configuré au minimum. Intéressons-nous maintenant aux ACL's
Nous voulons par exemple bloquer l'accès de FACEBOOK à vos utilisateurs

  1. Ouvrir le fichier "squid.conf" avec votre éditeur de texte favoris

  2. Repérez la ligne:

    acl CONNECT method CONNECT

    Juste après cette ligne vous pourrez y ajouter toutes les ACL's que vous souhaitez. Dans notre exemple nous voulons bloquer FACEBOOK. Donc, après cette ligne nous mettons:

    acl FACEBOOK url_regex -i *.facebook.com*

    acl = Déclare notre ACL
    FACEBOOK = Nom de notre ACL (On peut donner n'importe quel nom, soyez créatif :) )
    url_regex = Signifie que le proxy filtrera les expressions régulières dans l'url
    -i = C'est une option que l'on peut ajouter à notre ACL pour signifier que le filtrage ne sera pas sensible à la casse
    l'étoile devant .facebook signifie que dans l'url on filtre également tout ce qui se trouve avant .facebook
    l'étoile après .com signifie que dans l'url on filtre également tout ce qui se trouve après .com


  3. Voilà notre ACL est créée, maintenant il va falloir dire à notre proxy qu'il faut refuser l'accès à cette ACL, donc à FACEBOOK

    Reperez la ligne:

    # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS

    Juste après vous pouvez ajouter vos propres règles d'accès. Donc pour notre exemple, nous mettons:

    http_access deny FACEBOOK

    http_access = Signifie que la règle portera sur un accès HTTP
    deny = Signifie que l'on refuse la connexion (deny = nier en Anglais, mais dans ce contexte cela veut dire plutôt refuser)
    FACEBOOK = C'est le nom de notre ACL créée précédemment (il faut qu'il soit strictement le même sous peine de ne pas faire fonctionner notre règle)

  4. Voilà notre règle de blocage de FACEBOOK est prête. Il faut maintenant enregistrer notre fichier squid.conf

  5. Redémarrez le service SQUID comme d'habitude pour tout changement de configuration.

  6. Ouvrir une page GOOGLE avec un ordinateur client du Proxy et rechercher FACEBOOK puis suivre le lien.
    Si tout est paramétré correctement, vous devriez recevoir une page d'erreur du proxy vous signifiant que vous ne pouvez pas avoir accès à cette page.
    NOTA: en tapant l'adresse URL de facebook ce sera le même effet.


    Voilà nous venons de paramétrer notre proxy pour bloquer l'accès à un site (domaine). Nous pouvons créer autant d'ACL que l'on veut couplées à leurs règles d'accès.
    Alors bien entendu ce travail est assez fastidieux. C'est pourquoi je vous présente un moyen bien plus sympa pour blacklister des sites, domaines ou mots clés.


Nous venons de voir comment bloquer un site/domaine en créant une ACL couplé à sa règle d'accès (http_access). SQUID permet de créer des blacklist sous forme de fichier texte afin de ne pas surcharger inutilement le fichier de configuration, mais aussi et surtout pour nous faciliter la vie en ajoutant dans ces fichiers textes tous les sites, domaines ou mots clés que nous voulons blacklister les uns à la suite des autres. La méthode reste sensiblement la même:

Blacklistage avec liste dans un fichier txt:

  1. Dans le dossier squid créez un fichier txt que vous nommerez par exemple Medias_Sociaux.txt
    (Vous pouvez mettre ce fichier à l'endroit de votre choix. Personnellement je le met à l'endroit où se trouve squid.conf, c'est à dire ici C:\squid\etc)

  2. Dans ce fichier, sous forme de liste, inscrivez tous les sites, domaines que vous voulez blacklister. Nous allons en énumérer quelques-uns pour notre TUTO. Voici à quoi ressemblera notre fichier texte Medias_Sociaux.txt:

    *.facebook.com*
    *.twitter.com*
    *.hotmail.com*
    *.msn.com*
    *.live.com*

    N'oubliez pas d'enregistrer votre fichier

  3. Rendez-vous maintenant dans notre fichier squid.conf

    Repérez la ligne:

    acl CONNECT method CONNECT

    Juste après nous avions créé l'ACL suivante:

    acl FACEBOOK url_regex -i *.facebook.com*

    Nous allons la supprimer et la remplacer par notre blacklist:

    acl Medias_Sociaux url_regex -i "C:\squid\etc\Medias_Sociaux.txt"


    acl = Déclare notre ACL
    Medias_Sociaux = Nom de notre ACL (On peut donner n'importe quel nom, mais soyez cohérents par rapport à votre fichier texte (banlist) )
    url_regex = Signifie que le proxy filtrera les expressions régulières dans l'url
    -i = C'est une option que l'on peut ajouter à notre ACL pour signifier que le filtrage ne sera pas sensible à la casse
    "C:\squid\etc\Medias_Sociaux.txt" = Chemin de notre banlist, ici elle se trouve dans le lecteur C: dans le sous-dossier nommé "etc" du dossier "squid"
    (Veillez à ne pas oublier les guillemets "" encadrant le chemin du fichier txt)


  4. Reperez la ligne:

    # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS

    Juste après nous avions créé la règle d'accès suivante:

    http_access deny FACEBOOK

    Nous allons la supprimer et la remplacer par notre nouvelle règle:

    http_access deny Medias_Sociaux

    http_access = Signifie que la règle portera sur un accès HTTP
    deny = Signifie que l'on refuse la connexion (deny = nier en Anglais, mais dans ce contexte cela veut dire plutôt refuser)
    Medias_Sociaux = C'est le nom de notre ACL (il faut qu'il soit strictement le même sous peine de ne pas faire fonctionner notre règle)


  5. Voilà nous avons une banlist avec l'ACL et la règle d'accès correspondantes.

  6. Enregistrez le fichier squid.conf et redémarrez le service SQUID comme d'habitude pour tout changement de configuration.

  7. Ouvrir une page GOOGLE avec un ordinateur client du Proxy et rechercher FACEBOOK et/ou twitter, hotmail, etc, puis suivre le lien.
    Si tout est paramétré correctement, vous devriez recevoir une page d'erreur du proxy vous signifiant que vous ne pouvez pas avoir accès à cette page.
    NOTA: en tapant l'adresse URL de facebook, twitter, hotmail, etc, ce sera le même effet.


Voilà nous venons de paramétrer SQUID afin qu'il nous bloque l'accès à certains sites contenus dans une blacklist. Évidemment, vous pourrez ajouter d'autres sites dans votre blacklist afin de l'étoffer.

NOTA: pensez toujours à redémarrer le service SQUID après chaque changement de configuration.

La suite de ce tuto concernera la création d'une GPO dans Windows server afin de faire redescendre la config du proxy sur les postes du domaine suivant les Utilisateurs concernés.
Nul n'est parfait, nous apprenons sans cesse...

Site Web Pro : http://www.solucetech.fr
Avatar de l’utilisateur
tchao57
Administrateur du site
 
Messages: 118
Inscription: 07 Avr 2013, 22:14
Localisation: Florange en Moselle

Retourner vers Sécurité

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 1 invité

cron