Les entreprises sont de plus en plus soucieuses de la régulation
de l'utilisation de leurs ressources informatiques et réseau par
leurs employés. Aux cotés des solutions de sécurité réseau de type
firewall, ou encore des solutions d'inspection du contenu
entrant (type passerelle antivirus), les sociétés installent de
plus en plus des dispositifs réglementant l'accès web des employés,
permettant de filtrer les ressources que ceux-ci peuvent utiliser,
en supprimant la possibilité d'accès aux sites web jugés improductifs
(site pornographiques, site de messagerie ou de chat
). Diverses
solutions propriétaires existent pour remplir cette tâche,
comme par exemple celles des sociétés américaines Clearswift
ou Websense.
Il existe aussi une alternative Open Source à ces solutions : la
mise en place d'une passerelle filtrante composée du proxy Squid
et du composant SquidGuard.
Celle-ci, en plus de ses fonctions de filtrage de contenu, permet
d'améliorer la rapidité d'accès au web grace à ses fonctions de
cache.
Son installation se réalise en trois étapes : l'installation de
Squid, l'installation de SquidGuard, puis le paramétrage des divers
fichiers de configuration, et en particulier de la liste des sites
à filtrer. Il est de plus souhaitable d'avoir en interne un serveur
web sur lequel seront hébergées les pages (statiques ou dynamique)
vers lesquels les utilisateurs seront redirigés en cas de tentative
d'accès à un site interdit.
Installation
de Squid
Il faut tout d'abord télécharger les sources de Squid. Puis les
décompresser et les compiler :
- tar xzvf
- ./configure
- make
- make install
Installation
de SquidGuard
Il faut tout d'abord télécharger la bibliothèque BerkeleyDB
(version 2.X), si celle-ci n'est pas déjà installée sur votre système.
Ensuite, télécharger les sources de SquidGuard, puis :
- tar xzvf
- ./configure
- make
- make install
Configuration
de l'ensemble
Nous devons d'abord paramétrer le proxy Squid pour que celui-ci
utilise SquidGuard comme redirecteur. Pour cela il faut rajouter
les lignes suivantes dans le fichier squid.conf
(qui doit se trouver dans /etc)
:
- redirect_program /usr/local/bin/squidGuard
- redirect_children 4
Il faut noter que le chemin d'accès à SquidGuard peut être différent,
selon les distributions, si celui-ci a été installé à l'aide d'un
package RPM.
Ensuite, il reste à configurer le fichier de configuration de SquidGuard
en fonction des besoins. Celui-ci est composé de trois parties principales.
Tout d'abord le chemin vers les répertoires de SquidGuard (répertoire
de log et répertoire de la base de données d'URL) :
logdir /usr/local/squidGuard/log
dbhome /usr/local/squidGuard/db
La deuxième partie du fichier de configuration permet de définir
notamment des classes de destination. Par exemple :
dest adult {
domainlist dest/porn/domains
urllist dest/porn/urls
expressionlist dest/porn/expressions
redirect http://serveur.web.interne/web-site-denied.html
}
La troisième partie contient les ACL qui seront utilisée quand
un utilisateur demandera une page web. Par exemple :
acl {
default {
pass !adult
redirect http://votre.serveur.web.interne/url_interdite.html
}
}
Il est possible d'aller beaucoup plus loin que ce simple exemple,
et cette solution permet de définir différentes classes d'utilisateur,
différentes classes d'url et permet aussi de changer les règles
en fonction de l'heure de la journée par exemple.
Il ne reste plus qu'à se constituer une liste de sites à interdire,
ou bien à en récupérer une sur Internet, par exemple celle disponible
sur le
site de SquidGuard.
|