JDNet Développeurs

Développeur

BOURSE

RUBRIQUES

Benchmark Group

L'internaute Magazine

TUTORIELS

Gestion de l'usage du web avec Squid et SquidGuard

Mise en place et configuration de deux applications permettant à une entreprise de limiter l'usage du web en son sein. (10 janvier 2003)

Les entreprises sont de plus en plus soucieuses de la régulation de l'utilisation de leurs ressources informatiques et réseau par leurs employés. Aux cotés des solutions de sécurité réseau de type firewall, ou encore des solutions d'inspection du contenu entrant (type passerelle antivirus), les sociétés installent de plus en plus des dispositifs réglementant l'accès web des employés, permettant de filtrer les ressources que ceux-ci peuvent utiliser, en supprimant la possibilité d'accès aux sites web jugés improductifs (site pornographiques, site de messagerie ou de chat). Diverses solutions propriétaires existent pour remplir cette tâche, comme par exemple celles des sociétés américaines Clearswift ou Websense. Il existe aussi une alternative Open Source à ces solutions : la mise en place d'une passerelle filtrante composée du proxy Squid et du composant SquidGuard. Celle-ci, en plus de ses fonctions de filtrage de contenu, permet d'améliorer la rapidité d'accès au web grace à ses fonctions de cache.

Son installation se réalise en trois étapes : l'installation de Squid, l'installation de SquidGuard, puis le paramétrage des divers fichiers de configuration, et en particulier de la liste des sites à filtrer. Il est de plus souhaitable d'avoir en interne un serveur web sur lequel seront hébergées les pages (statiques ou dynamique) vers lesquels les utilisateurs seront redirigés en cas de tentative d'accès à un site interdit.

Installation de Squid
Il faut tout d'abord télécharger les sources de Squid. Puis les décompresser et les compiler :
- tar xzvf
- ./configure
- make
- make install

Installation de SquidGuard
Il faut tout d'abord télécharger la bibliothèque BerkeleyDB (version 2.X), si celle-ci n'est pas déjà installée sur votre système. Ensuite, télécharger les sources de SquidGuard, puis :
- tar xzvf
- ./configure
- make
- make install

Configuration de l'ensemble
Nous devons d'abord paramétrer le proxy Squid pour que celui-ci utilise SquidGuard comme redirecteur. Pour cela il faut rajouter les lignes suivantes dans le fichier squid.conf (qui doit se trouver dans /etc) :
- redirect_program /usr/local/bin/squidGuard
- redirect_children 4

Il faut noter que le chemin d'accès à SquidGuard peut être différent, selon les distributions, si celui-ci a été installé à l'aide d'un package RPM.

Ensuite, il reste à configurer le fichier de configuration de SquidGuard en fonction des besoins. Celui-ci est composé de trois parties principales. Tout d'abord le chemin vers les répertoires de SquidGuard (répertoire de log et répertoire de la base de données d'URL) :
logdir /usr/local/squidGuard/log
dbhome /usr/local/squidGuard/db

La deuxième partie du fichier de configuration permet de définir notamment des classes de destination. Par exemple :

dest adult {
  domainlist       dest/porn/domains
  urllist          dest/porn/urls
  expressionlist   dest/porn/expressions
  redirect         http://serveur.web.interne/web-site-denied.html
}

La troisième partie contient les ACL qui seront utilisée quand un utilisateur demandera une page web. Par exemple :

acl {
  default {
    pass !adult
    redirect http://votre.serveur.web.interne/url_interdite.html
  }
}

Il est possible d'aller beaucoup plus loin que ce simple exemple, et cette solution permet de définir différentes classes d'utilisateur, différentes classes d'url et permet aussi de changer les règles en fonction de l'heure de la journée par exemple.

Il ne reste plus qu'à se constituer une liste de sites à interdire, ou bien à en récupérer une sur Internet, par exemple celle disponible sur le site de SquidGuard.


[ Ludovic Blin, Infratech, pour JDNet





Accueil \| Haut de page