Linux - open source - freeBSD - UNIX

Comparatif de solutions de filtrage d’URLs et de proxy: BlueCoat, Squid, Websense

Posted on mars 7th, 2007 by Océane.
Categories: Proxy.

Cette étude propose des axes de réflexion sur une solution proxy en comparant 3 solutions dans le domaine du filtrage d’URLs et du cache Web (HTTP, FTP). Trois produits sont étudiés : Bluecoat, Squid et Websense. Les résultats attendus pour une telle solution sont de proposer aux clients du filtrage d’URLS et de contenu éventuellement (ie antivirus et antispyware) et de réduire le taux d’utilisation de la bande passante du trafic Web grâce au caching de contenu.

Tables des matières
« Cahier des charges »
Vue d’ensemble des solutions proxy
Points importants à prendre en compte
Filtrage de contenu
Squid la solution Open Source
La solution Appliance proxy/filtrage de Bluecoat
La solution logiciel de filtrage de contenu Websense
L’authentification
Elimination des menaces
Elimination des menaces par Bluecoat
Elimination des menaces par Squid
Elimination des menaces par Websense
Les rapports statistiques
Architectures possibles
Intégration d’une solution proxy/cache transparente
Intégration d’une solution de filtrage
Choix des Equipements et logiciels
Dimensionnement de l’équipement proxy + filtrage
Solution de filtrage uniquement
Conclusion
Références Bibliographiques

« Cahier des charges »
• Filtrage d’URLs et de contenu sur adresse IP source
• Fonctionnement utilisateur en mode proxy transparent
• Nombre de licences extensible aisément (Hard et Soft)
• Authentification des utilisateurs via Radius

Vue d’ensemble des solutions proxy
- BlueCoat (anciennement CacheFlow): C’est une solution commerciale destinée aux entreprises et aux ISP. Le proxy est implémenté sous forme d’une appliance (box+soft). Bluecoat WebFilter ou Websense Enterprise sont des logiciels utilisés pour le filtrage d’URLs. Tous ces produits sont des références dans leurs domaines respectifs.
- Squid : C’est un logiciel Open Source qui tourne sur une machine avec un système d’exploitation de type Unix (Linux, FreeBSD…). En filtrage de contenu il y a par exemple la combinaison DansGuardian + URLBlacklist ou Websense Enterprise (qui sont des solutions commerciales).
- Websense : Cette solution de filtrage de contenu Web permet d’améliorer la productivité des employés, d’éviter les problèmes juridiques liés au surf illégal, d’optimiser et d’améliorer l’infrastructure technique (Bande passante)

Points importants à prendre en compte
Une des raisons pour lesquelles il existe des solutions commerciales comme Bluecoat ou Websense est qu’elles permettent de décharger l’entreprise du poids de la mise à jour, de la maintenance et du support par rapport au travail du service informatique interne. L’éditeur de logiciel prend la responsabilité du bon fonctionnement, fourni des garanties sur la propriété intellectuelle et sur le support de sa solution sur une période déterminée. Les solutions Open Source, par définition, impliquent que l’entreprise prenne en charge elle-même tous ces aspects. L’entreprise ne peut compter que sur l’expertise et sur le temps de réactivité de son équipe afin d’exploiter au mieux sa solution de filtrage en place.

Filtrage de contenu
Squid la solution Open Source
Squid ne peut filtrer que les URLs de destination. Grâce à DansGuardian ou à Websense, il est capable de filtrer des phrases, des images et le filtrage d’URLs peut être ajouté ou étendu. L’entreprise doit assurer du début à la fin l’intégration, les tests, la qualité du fonctionnement et le support.

La solution Appliance proxy/filtrage de Bluecoat
Les équipements de sécurité de BlueCoat Systems forment les premières solutions du marché entièrement dédiées au Port 80 et destinées à la protection des réseaux d’entreprise contre les menaces issues du Web. L’offre de BlueCoat couvre une large gamme d’équipements de sécurité Web, des solutions de création et de configuration de règles de sécurité, un puissant logiciel de reporting et une solution de filtrage des contenus. Les principales fonctions technologiques incluent :

• Environnement de connaissances Web (Web Knowledge Framework)
• Capitalisant sur un savoir-faire en matière de Proxy cache, BlueCoat utilise une profonde connaissance des applications Web, des navigateurs et interfaces clients, des serveurs, des types d’objet, des types d’encodage MIME, des protocoles d’applications Web et des mécanismes d’authentification pour sécuriser entièrement le Port 80. L’environnement transactionnel dédié aux contenus de BlueCoat offre une sécurité parfaite des contenus. Sans cette expertise, développer une solution complète de sécurité Web est impossible.
• Moteur de développement de règles de sécurité (Policy Processing Engine)
• Le moteur de développement de règles de sécurité ultraperformant de BlueCoat offre une sécurité évolutive et granulaire, même pour les environnements les plus exigeants.
• Gestion des règles de sécurité
• Des règles de sécurité complexes et globales peuvent être déployées aisément. Grâce au Gestionnaire visuel de règles, les administrateurs de sécurité sont en mesure de développer et déployer rapidement des règles de sécurité souples, dans l’ensemble de l’entreprise
• Equipements de sécurité dédiés au Port 80
• Equipements de sécurité Web personnalisés et propriétaires conçus pour s’adapter au trafic des plus grandes entreprises, et faciles à déployer et à administrer

La solution logiciel de filtrage de contenu Websense
Gérant l’accès des employés à Internet et permettant la mise en place de politique d’utilisation d’Internet, Websense Entreprise permet aux entreprises d’équilibrer les besoins de navigation personnels et l’usage professionnel des employés, afin d’améliorer la productivité globale et de maintenir une bande passante acceptable sur le réseau.

Ce produit permet :

• Filtrage Internet complet et précis supporté par la base de données principale de Websense qui contient plus de 11 millions d’URL réparties sur plus de 90 catégories
• Equilibre la navigation professionnelle et personnelle et permet aux administrateurs d’établir des politiques d’accès personnalisées destinées à gérer l’utilisation d’Internet et du réseau par les employés
• Permet d’étendre le contrôle et l’application des politiques au niveau du réseau, à travers la gestion de plus de 59 protocoles, automatiquement mis à jour
• Inclut les catégories de Productivity PG (PG1) dans la base de données, afin de gérer l’accès des catégories suivantes:
  • Sites de Publicités
  • Sites permettant d’utiliser une messagerie instantanée
  • Sites consacrés aux clubs de discussions et de chat
  • Sites offrant du trading de bourse
  • Sites de navigation rémunérée
  • Sites de téléchargement de logiciels gratuits
• Inclut les catégories de Bandwidth PG (PG2) dans la base de données, afin de gérer l’accès des catégories suivantes :
  • Sites de radio & télévision Internet
  • Sites de téléphonie Internet permettant de passer des appels via Internet
  • Sites de partage de fichiers ou P2P comme Kazaa, Audio Galaxie…
  • Sites de stockage et sauvegarde de données personnelles
  • Sites de médias en direct proposant du contenu diffusé tel les bandes annonces

L’authentification
Chaque solution offre des méthodes d’authentification multiples des utilisateurs. Les méthodes de Bluecoat et de Websense sont implémentées en natif. Squid a besoin de différents composants à rajouter afin d’utiliser l’authentification. Une méthode d’authentification nous intéresse plus particulièrement: Radius

Les trois solutions supportent l’authentification via un serveur RADIUS. Bluecoat et Websense supporte RADIUS en natif, il n’y aucun composant ou module supplémentaire à rajouter, contrairement à Squid.

Bluecoat et Websense offre la possibilité d’utiliser plusieurs modes d’authentification à la fois. Par exemple certains clients peuvent choisir d’utiliser Radius et d’autres une authentification d’utilisateurs basée sur Windows.

Elimination des menaces
Les proxy Bluecoat et Squid intègrent des solutions de filtrage antivirus-antispyware Web. L’implémentation et l’efficacité des solutions des deux produits varient très fortement.

Elimination des menaces par Bluecoat
Le ProxySG peut éliminer un bon nombre de menaces provenant de l’Internet :

• Les applications non autorisées telles que le Peer-to-Peer ou la Messagerie Instantanée qui utilisent un tunneling au travers du port 80 du firewall
• L’utilisation de site Anonymizer pour éviter les filtres en place
• Les spywares des sites Web de s’installer sur les postes clients
• Les utilisateurs de consulter les images pornographiques en utilisant les moteurs de recherche d’images de Yahoo ou Google.
• ProxySG peut contrôler les postes infectés par des virus qui peuvent initier un grand nombre de connexions vers un site Web bien spécifique afin de réaliser une attaque par Déni de Service (DOS). ProxySG peut prévenir ce phénomène en limitant le nombre de connexions TCP simultanées provenant de chaque poste client. Lorsqu’un client a atteint la limite des connexions, ProxySG va soit arrêter de répondre aux requêtes du client ou soit terminer les connexions.

Elimination des menaces par Squid
Squid intègre la protection anti-virus en association avec ClamAV, un antivirus Open Source en ligne de commande. ClamAV tourne sur Unix/Linux. ClamAV met à disposition une documentation ainsi qu’une base de signatures antivirus en ligne.
DansGuardian et URLBlakList sont employés dans le filtrage d’URLs. Les deux solutions sont limités dans le sens ou ils ne sont compatibles qu’avec certains éditeurs et requièrent une maintenance séparée. Par exemple DansGuardian n’a été homologué qu’avec F-Prot, un éditeur antivirus commercial et ClamAV.

Elimination des menaces par Websense
Non disponible sur Websense Enterprise. Le filtrage peut être étendu aux menaces avec le produit Websense Security Filtering.

Les rapports statistiques
Squid offre des rapports statistiques détaillés sur l’activité proxy/cache ainsi que la traçabilité des utilisateurs et le filtrage de contenu. Bluecoat en plus de Squid, permet de créer des rapports personnalisés en fonction du niveau de technicité de la personne au sein d’une entreprise :

• Rapport de type ressources humaines : permet de suivre à la trace un utilisateur pour éviter des abus
• Rapport Sécurité : rapport détaillé sur l’activité virale et des spywares bloqués des sites consultés
• Utilisation du réseau : taux d’utilisation de la bande passante par utilisateurs, groupes d’utilisateurs. Rapports basés sur la bande passante consommée à destination des sites/urls consultés, sur les fichiers téléchargés… Les logs peuvent être stockés sous différents formats (squid, Websense, Surfcontrol). Support de la base de données MySql.

Websense intègre les outils de reporting suivants:

• Websense Reporter, qui permet de gérer des rapports sur l’utilisation et des applications. Instantané ou programmé, il permet d’utiliser soit des modèles prédéfinis soit des modèles personnalisés
• Websense Real-Time Analyzer, qui offre une vision en temps réel des activités réseau et permet de répondre rapidement à d’importantes questions liées au réseau.

Conclusion
Nous avons vu les enjeux qui sont en œuvre que ce soit pour une solution opensource ou une solution commerciale ainsi que les différentes architectures possibles. L’avantage d’intégrer une solution de filtrage d’URLs Websense avec le PIX est qu’elle peut être rapidement mise en œuvre (s’agissant d’un logiciel téléchargeable) mais elle n’intègre pas la fonction de cache Web et ne concerne que les clients Internet. Une solution de type proxy et filtrage de contenu intégré permet de faire du filtrage et de plus, on est en droit d’attendre une économie de la bande passante Internet (flux Web) de l’ordre de 20 à 40%.
Un des points qui n’a pas été abordé faute de temps est la sécurité des solutions en elles-mêmes, je veux parler des failles de sécurité et du temps de réactivité des éditeurs à produire des patchs de sécurité.

Références Bibliographiques
Sites Internet :
Squid : www.squid-cache.org
BlueCoat : www.bluecoat.com
Websense: www.websense.com

0 comments.